Messages

Overkill geht ja immer, das ist leicht. Es bedacht für den Homeuser zu machen ist die Kunst mittlerweile. Und wie hier schon erwähnt, wenn es einmal richtig läuft werden sehr sehr sehr selten Updates gemacht, alleine weil das Ding 24/7 läuft. Support ist ja da.

Ich nehme seit Jahren zeitnah jedes Update mit. Egal ob Software oder Firmware (bei mir OpenCore). Bei mir läuft das Ding ebenfalls 24/7.
Ein Security-Gerät sich hinzustellen, aber dann die Beseitigung von Security-Schwachstellen (die auch die Firmware/UEFI betreffen kann) teilweise zu ignorieren, ich weiß nicht. Gut, muss jeder selber entscheiden.

Ob die IPU Systeme hinsichtlich Firmware (UEFI) gepflegt werden oder nicht, ist mir zumindest nicht klar.

Improper access control in the  BIOS firmware for some Intel(R) Processors

K000134744: Intel BIOS vulnerability CVE-2022-38087
https://my.f5.com/manage/s/article/K000134744

K000137201: Intel BIOS vulnerability CVE-2022-37343
https://my.f5.com/manage/s/article/K000137201

Ist auch egal und war nur das erst beste Beispiel, das ich gefunden hatte.
In der Firmware (oder in der CPU) kann es Schwachstellen geben, die über UEFI/Firmware-Updates beseitigt werden. 

[weil ich keinen Grund für sehe]

und ich laufe nicht jedem Firmware-Update hinterher.  Ich hab ein NRG-System für meine OPNsense, das wird kein Firmwareupdate drauf gemacht, das Teil läuft stabil und das soll so bleiben. Das Risiko einer neuen Firmware gehe ich garnicht ein, weil ich keinen Grund für sehe.

Security Schwachstellen kommen Dir offenbar nicht in den Sinn oder scheinen keinen Grund darzustellen.
Aktuelles Beispiel: https://www.msn.com/de-de/nachrichten/digital/f5-big-ip-it-sicherheitslücke-mit-hohem-risiko-warnung-erhält-update/ar-AA1i5vom

"Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 10.10.2023 einen Sicherheitshinweis für F5 BIG-IP veröffentlicht. Der Bericht weist auf mehrere Schwachstellen hin, die von Angreifern ausgenutzt werden können. Betroffen von der Sicherheitslücke sind das Betriebssystem BIOS/Firmware sowie das Produkt F5 BIG-IP. Zuletzt wurde diese Warnung am 11.10.2023 aktualisiert."

Ich arbeite selber im IT-Bereich

Vulnerability & Patch Management?!

Wie sieht es denn bei den IPU Systemen von NRG Systems und auch DEC mit der Firmwarepflege (UEFI/BIOS) aus? Dazu konnte ich eben nichts finden.

Wenn ich mir jetzt für OPNsene neue Hardware kaufen würde, dann würde es wahrscheinlich bei mir eine Protectli VP2420 (J6412, 4x 2.5 GBe, OpenCore und deaktivierte Management Engine) oder eine IPU410 von NRG Systems (N100, 4 x 2.5 GBe) werden.
Preislich liegen die gleich. Protectli hat den Vorteil mit OpenCore, dafür hat die IPU4100 die aktuelle CPU.

DEC2750 hat leider einen V1000 verbaut, obwohl dieser schon zwei Nachfolger hat (aktuell ist V3000 basierend auf Zen 3). Finde es immer ärgerlich wenn in so Appliance jahrelang die gleichen bzw. veraltete CPUs verbaut werden, auch wenn es schon lange Nachfolger gibt, selbst wenn die Performance nach wie vor gut ist (z.B. z.B. Security-Schwachstellen in der Hardware, man könnte etwas aktuelles für den gleichen Preis bekommen, etc.).

@steve wenn eine 7590 AX alt ist deiner Meinung nach, mag das sicherlich stimmen.

Bei mir ist eine FRITZ!Box 7530 AX im Einsatz. Genaue Werte kann ich nicht liefern. Dazu ist das zu lange her und um das jetzt alles durchzutesten, fehlt mir aktuell die Zeit.

Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance.

Fritz!Boxen können auch performante PPPoE Einwahlen machen. Das ist etwas, das OPNsense überhaupt nicht gut kann. Daher sollte man das ggf. nutzen...

kann ich so nicht unterschreiben. Brutto liegen bei mir 275Mbit/s down und 48Mbit/s up an.
Da kommt die Fritte gar nicht hin. Liege meist im Netto bei 228Mbit/s und 38Mbit/s.
OPNSense auf Proxmox hingegen: 250Mbit/s und 42 Mbit/s (inkl. ein paar Proxmox und NIC relevante tunables).

Daher ist die Performance virtualisiert garnicht so übel, naja mehr als ne 250er gibts hier auch nicht.

Vielleicht hast du eine uralte Fritz!Box? Dein Proxmox-Server könnte auch deutlich mehr Leistung als so mancher MiniPC haben.

Ich habe eine Protectli FW4B mit einem J3160 und kann mich an die Details nicht mehr erinnern aber ich weiß noch, dass ich PPPoE schon merklich gespürt habe, als ich damit auf einmal nach einem Providerwechsel in Berührung kam. Und das unter IPFire bzw. Linux, wo PPPoE ohnehin besser als mit FreeBSD laufen soll. Ich habe dann eine Fritz!Box davor gehangen, die vorher dahinter war.
Ich nutze Cake (kann leider BSD nicht, sondern nur das ältere FQ_Codel) und in Speedtests bricht durch Cake mit der CPU der Download dann um ca. 50% ein (Upload deutlich weniger). Surricata habe ich ebenfalls noch am laufen.

900 Mbit/s netto mit Ookla in unserem Büro. Telekom 1 Gbit/s Glasfaser. Deciso DEC690.

Ich kann die CPU bzw. die CPU-Leistung nicht einordnen - daher kann ich die Aussage nur bedingt einordnen. Finde es gut, wenn dem so ist. Im Forum hier findet man aber auch anderes Aussagen zu PPPoE. Daher bleibt eine gewisse Skepsis, auch wegen meiner eigenen Erfahrung (siehe oben). Hast du irgendwelche Tunable an bzw. verzichtest auf FQ_Codel und sonstige Dienste, die CPU-Leistung ziehen können?

z.B. TCP Offload Engine: https://teklager.se/en/knowledge-base/opnsense-performance-optimization/
=> hat das eigentlich irgendwelche Nachteile?

Alles bis 1 Gbit/s ist aber auch mit PPPoE kein Problem mehr.

Ich kenne nur aus der Vergangenheit entsprechende Berichte, wie z.B.

https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70

Sollte das nicht mehr so sein, umso besser.

Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance.

Fritz!Boxen können auch performante PPPoE Einwahlen machen. Das ist etwas, das OPNsense überhaupt nicht gut kann. Daher sollte man das ggf. nutzen...

Noch besser wäre Libreboot.

Bei den Boxen aus China bin ich ohne Coreboot (und mit China-Netzteil) immer ein wenig skeptisch.
Ich hatte mir mal eine "China-Box" vor längerer Zeit angeschafft und von vornherein geplant Coreboot drauf zu flachen. Hatte funktioniert und die Box scheint mir baugleich mit der Protectli FW4B zu sein. Wahrscheinlich ist es die gleiche Hardware. Hatte zudem das Netzteil noch gegen ein hochwertiges Netzteil eingetauscht. Wenn ich mal etwas neues kaufen sollte, dann aber wahrscheinlich direkt bei Protectli, um u.a. die Coreboot-Entwicklung auch zu belohnen/fördern.
Auf der Kiste läuft noch IPFire. Wollte eigentlich schon längst auf OPNsense umgestiegen sein, finde aber wenig Zeit.

NRG Systems IPU456A System mit AMD Ryzen 5 5600U und 4 x 10/100/1000/2500 MBit/s Intel i226-V Netzwerkschnittstellen sieht ansonsten interessant aus.
https://www.ipu-system.de/produkte/ipu456a.html
Oder NRG Systems IPU410 System ...

würde alles haben was ich benötige. Alternativen nehme ich auch gern, falls entsprechend Konfigurierbar, nur keine Böller aus Chinesium.

Dei Hardware kommt nun mal größtenteils aus Fernost Asien.

Als Alternative kann ich dir https://www.ipu-system.de/ noch mitgeben,

Sollen recht gut sein. Leider ohne Coreboot. Coreboot ist die Besonderheit bei Protectli.

Why are the old CPUs of the V1000 series still used? There is now the V3000 series.
The V3000 series has already been available for a year, replacing the V2000 series.

https://www.cnx-software.com/2022/09/28/amd-ryzen-embedded-v3000-zen3-processors-storage-networking-applications/

Ich muss dazu sagen ich habe keine IPv4 mehr sondern nur noch die IPv6.

Ich habe dazu einige Anlöeitungen im Internet gefunden aber nichts hat geklappt.

Danach möchte ich dann die Fritzbox dahinter als reine Telefonanlage und momentan auch noch als WLAN Gerät nutzen was ja eigentlich funktionieren sollte da sie ja in meinem LAN ist.

Sofern du eine aktuelle Fritzbox hast, die mit Sicherheitsupdates versorgt wird, würde ich darüber nachdenken die OPNsense hinter die Fritzbox als ExposedHost zu hängen und dann in deinem internen Netz einen extra WLAN-AccessPoint zu nutzen.

PPPoE ist nicht schön und FreeBSD bzw. OPNsense ist bei PPPoE besonders langsam. Durch die Fritzbox könntest du das umgehen.

Und bei IPv6 wäre da wohl noch nicht mal ein Doppel-Nat dazwischen... .

Mein Workaround nun mit rund 1000 MBit (1 GBit): Vor der Firewall ein "Modem" rein zu PPPoE Einwahl, das wäre ein TP-LINK Archer C6 v3 mit OpenWrt 22.03.0. Dank SoC MediaTek MT7621DAT lässt sich Software und Hardware flow offloading aktivieren, ist zwar noch ein Experimental feature, aber es funktioniert. Ohne Offload nur knapp 400 MBit, mit Offloads über 900 MBit :-)

Danke für den Hinweis. Ich habe einen Edgerouter X SFP, der einen MediaTek MT7621AT hat und ebenfalls mit OpenWrt läuft. Ich wollte urspünglich ebenfalls den Edgerouter davor setzen aber die Fritzbox scheint mit aktueller Konfiguration super zu funktionieren. Damit hat man dann auch keine (möglichen) Probleme mit VoIP hinter der Firewall. Das VoIP läuft zwar vor dem QoS der IPFire (möchte auf OPNsense umsteigen, wenn ich mehr Zeit finde) aber das bischen wirkt sich nicht nachteilig aus. Allerdings wenn man in solchen Konstallationen vor der OPNsense noch ein eigenes Netz (DMZ, Transfernetz, etc.) aufbaut (wie manche das scheinbar machen), dann bekommt das QoS der OPNsene einges nichts mehr mit.... (suboptimal) etc.

Mit richtig schlecht, meine ich super langsam.

Beispiel: https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70



Selbst wenn die CPU dann noch für die eigene Leitung schnell genug ist, fehlt die Power dann ggf. für weitere Dienste.

Ist es dann nicht besser die OPNsense als Exposed Host zu betreiben, NAT aus + statische Route (ipv4)? Bzw. IPv6 Delegation hinter der Fritzbox (ipv6).

Ich selber nutze noch kein OPNsene. Bin aber mehr als interessiert. Die PPPoE-Geschichte finde ich aber bescheiden...


Edit:

Auch hier:
"Might I ask why you are using an OpenWRT device  in front of Opnsense?"

"Yes of course. The PPPoE only gives me 250MB/s from the ONT. If I put my ISP box or my Openwrt router into the ONT then I get full 500MB/s out of the OPNsense interface."
https://forum.opnsense.org/index.php?topic=26328.0