Messages

Wenn das Leben einem keine Zeit gibt,  :-\

Hey,

Ja ich dachte mir mal das so eine Zusammenfassung doch nicht schaden könnte, immerhin habe ich damals als ich angefangen habe das hier zu recherchieren, eine gewünscht:D

Jein. Klar wäre eine noch tiefergehende Planung sicherlich wünschenswert gewesen, speziell was Kühlung & Adapter angeht, andererseits sind die 350€ für alles zusammen jetzt auch nicht wenig - Nur im ganzen weitaus weniger als ein komplett selbstgebautes System. Dafür halt den Nervenkrieg, leider
Was mich bei den Geräten von Thomas Krenn immer "abgeschreckt" hat, ist die Tatsache das sie nicht unbedingt das neuste sind/waren, je nach Preispunkt. Ich wollte unbedingt einen N100 oder N305, daher war die Auswahl nicht sehr groß. Am Ende des Tages muss ich dir aber beipflichten, mittlerweile würde ich auch etwas anderes kaufen da mir der extra aufwand etwas die Lust verhagelt hat.


Ich werde mir deine Servicesliste einmal klauen, etwas zum Vergleichen schadet bekanntlich nie.
Haben deine VLAN's keinen Overhead bzw. büßt du keine Leistung ein? Ich frage eher aus Neugierde als aus Sorge, da es ja weit und breit beschrieben wird, das man bloß keine VLANs über OPNsense laufen lassen soll, lieber über einen Layer3 Switch.

In diesem Sinne, viel Spaß beim Lesen:)
Cheers, Alex'

Hallo zusammen :)

Ich hatte vor einiger Zeit, genau genommen um Oktober 2023 herum, habe ich hier einen Thread eröffnet mit Fragen zur Hardware für einen eigenen Router & Firewall.
Diesen hier, für alle die lesen wollen: https://forum.opnsense.org/index.php?topic=36331.0

Gesagt getan und in einen regen Austausch gekommen, wie man's kennt auch selbst viel gegoogelt & YouTube Videos geschaut, mittlerweile ja Standard was sowas angeht.
Nach langem hin und her dann um den 22.04.2024 diesen Jahres das Angebot Amazons für das Gerät hier: https://shorturl.at/YWloY , was zum damaligen Zeitpunkt 285€ gekostet hat. Eine M.2 SSD hatte ich noch, einzig die 16GB Arbeitsspeicher musste ich noch dazu kaufen. Jedenfalls dachte ich das aber dazu später.

Alles trudelte dann nach und nach ein, das Gerät, aufgrund von Versand aus China, knapp 2 Wochen später als der Rest was aber nicht weiter schlimm.
Angekommen, ausgepackt, erstmal Windows drauf und siehe da: Das Ding wird echt warm. Klar, es ist passiv gekühlt und dementsprechend auf passive Wärme abfuhr angewiesen aber knappe 65 Grad Kühler Temperatur außen ist schon sehr warm.
Mir sogar ein wenig zu warm. Also was macht man? Richtig: Erstmal aufschrauben aber nicht nur die Unterseite, sondern diesmal alles. Stellt sich raus, da ist mehr als genug Wärmeleitpaste drauf, daran kann es nicht liegen aber nichtsdestotrotz einmal neue drauf, kann nicht schaden. Temperaturen waren danach zwar die selben aber immerhin war die Möglichkeit ausgeräumt.
Aber was war die Lösung?
Ich hab einen Lüfter, der beim PC Bau herausgeflogen ist, oben drauf gelegt und testweise an meinen PC gehängt - Siehe da, Temperaturen sind sofort auf normale 35 runter gegangen & das Gehäuse war wieder zu berühren.
Also an die langfristige Lösung gemacht & erstmal festgestellt, dass das Board einen "speziellen" Header hat, um Lüfter anzuschließen. Genau genommen hat es 2, einen auf der Unterseite und auf der Oberseite, dort wo auch die CPU sitzt. Nur da bekommt man keinen Stecker rein, jedenfalls nicht wenn es in diesem Gehäuse bleiben soll.
Also geschaut was in Frage kommt und erstmal stecken geblieben aber so richtig. Stellt sich raus, was vorher auch schon in den Amazon Bewertungen zu lesen war: Man muss den Verkäufer kontaktieren, was sie tatsächlich schon von sich aus getan haben in meinem Fall und Ihn bitten, dir einen Adapter zuzuschicken da du diesen kaum zu kaufen bekommst bzw. ziemlich aufwendig selber herstellen müsstest, jedenfalls in meinem Fall. Gesagt getan, denen geschrieben & tatsächlich: Nach 2 Nachrichten wurden 2 Adapter, inklusive Lüfter wie sich später herausstellte, in den Versand gegeben - Kostenlos wohlgemerkt. Die kamen dann auch gute 10 Tage später an.
Zwischenzeitlich fix noch einen PWM Lüfter bestellt, der leise ist und mit allen anderen gleicht, die ich hier habe und einen M.2 Kühler, denn was sich nach einigem Testen herausstellte ist das die SSD ihre 60 Grad auch mal gerne überschreitet und da der Kühler nur 7,99€ kostete, dachte ich mir: Wird ja wohl nicht schaden.
Nach rund 2 Wochen hatte ich dann alles hier, übers Wochenende dann alles montiert und jetzt ist, was die Hardware angeht, das Ding leise, kühl und Wartungsfrei - Jedenfalls stand jetzt.

Dann drängte sich aber das andere Problem in den Vordergrund, jenes worauf mich dieser gute Herr schon hinwies:

...die NICs im Auge behalten

"Network Card: Intel 2.5GbE I226-V, UDE built-in filter connector"

https://forum.opnsense.org/index.php?topic=37717.0

Aufgrund meiner Recherche wusste ich schon, das die Intel I226-V so einige Probleme geworfen haben und nach wie vor werfen. Was ich nicht wusste ist, welche Probleme & das war der Inhalt meiner letzten 3 Tage: Diese Probleme.
Tatsache: Eigentlich funktionieren sie wie sie sollen. Außer mit 2,5Gbit Realtek Nics, wie dieser der sich auf meinem Mainboard wieder findet, oder in meinem Laptop (Note: Beide ASUS).
Also sehr viel probiert, viele Lösungen gesehen die mal funktionierten & dann ging der Download nur bis zur Hälfte oder gerade mal 120Mbit Download beim Speedtest usw.
Bis ich mir einfach dachte: Nimm doch mal den Intel Anschluss, den du eh die ganze Zeit benutzt. Kabel getauscht, ausprobiert: Linespeed, ohne Probleme.
Im Klartext: Die Nics, die im Router sind, verstehen sich in meinem Fall nur mit anderen Intel Nics - Mit nichts anderem sonst aber immerhin funktionieren Sie, was mir persönlich reicht da dahinter sowieso ein Switch kommt.

Was OPNsense angeht ist soweit nur die aktuellste Version, zum Zeitpunkt des Erstellen dieses Threads, installiert mit einem anderen Theme & dem Speedtest Plugin & ein paar Kleinigkeiten mehr.

Zur Info:
Die Sense bzw. der Router kommt später an einen Lan Anschluss der FritzBox 6590, der sich im Bridgemode befindet - Bei meiner, im Vodafone NRW Netz, geht das noch & die IP's geben das auch.

Was jetzt kommt ist eigentlich der Teil, der am meisten Spaß macht, wenn ich aktuelle nicht ein wenig, sagen wir, gesättigt bin, was das ganze angeht: Installieren & Konfigurieren der Sense und vielleicht ein wenig einstellen.

Wenn jemand Ratschläge hat oder Fragen, immer her damit, ansonsten ist dieser Thread vielleicht ein guter Startpunkt für alle die, die sich schonmal fragten wie es eigentlich aussieht wenn man ein solches Projekt aus der Planungs-, in die Umsetzungsphase bringt. 


Note:

Ich hänge hier noch ein Webseiten bzw. Anleitungen an, die ich über die Wochen gefunden habe, vielleicht ist da was für jeden dabei.

Cheers
Alex'


Links:
https://www.kuketz-forum.de/t/opnsense-teil-i-einrichtung-im-heimnetzwerk/2953

https://www.kuketz-forum.de/t/opnsense-teil-ii-einrichten-eines-vpn-mittels-wireguard/4024

https://schroederdennis.de/allgemein/pihole-vs-adguard-home-welcher-dns-blocker-gewinnt-ist-besser/

https://teklager.se/en/knowledge-base/opnsense-performance-optimization/

https://forum.opnsense.org/index.php?topic=18754.30

https://forum.opnsense.org/index.php?topic=33878.0

https://www.reddit.com/r/OPNsenseFirewall/comments/10qil8o/n5105_box_with_intel_i226_getting_13_the_speed/

https://docs.opnsense.org/manual/how-tos/ipv6_fb.html

https://github.com/mihakralj/repo-mihak/tree/main

Hi

Kleines Update, für alle lesenden hier:
Barebone kam die Tage an, Intel S2363L10 SRKTU Netzwerk Chips on Board, läuft gerne Warm - Da sind definitiv 2 Lüfter für Luftzug notwendig, sonst hast du eine sehr warme Wärmflasche. Ansonsten super gebaut, das Ding ist echt schwer.

Werde es die Tage dann zum Einsatz bringen und dann demnächst berichten.

Cheers
Alex'

Hey y'all,

stumbled across this thread almost the same day I ordered my Firewall Barebone on Amazon. If you wanna take a look, just search for HUNSN RJ35 Core I3-N305 Firewall Barebone.

The Intel Chips are all the following:
Intel
S2363L10
SRKTU

All four of them, so I'll just throw it in here.

Cheers
Alex'

Just in dem moment, in dem ich dachte, es würde einmal ohne "Probleme" gehen. Well.

Danke für's drauf aufmerksam machen. Ich wusste, das es durchaus Probleme mit gewissen Konfigurationen gibt aber das es nach wie vor so "aktuell" ist, wundert mich.
Anyway, wenn es dann in, hoffentlich, knapp 2 Wochen hier sein wird, werde ich das ganze mal durchtesten und dann sehen, was dabei herauskommt.
Nur wenn das Problem sowohl mit der PCI-E Card Version als auch mit den Internen besteht, wäre es auch egal sich dann etwas selbst zusammenzubauen - Würde ja zwangsläufig auf das selbe hinaus laufen.

VG
Alex

Hallo an alle, die eventuell hier noch mitlesen 👋🏽

Die Tage gab's bei Amazon ein zeitlich begrenztes Angebot für die HUNSN I3 N305, was mich schlussendlich dazu bewegt hat dieses Projekt aus der Planungsphase in die Umsetzungsphase zu bringen. Gerät ist bestellt, kommt Ende April bzw. Anfang Mai, der Speicher kommt die Tage.

Jetzt geht's nur daran die ganzen Dienste einzurichten aber das ist ja auch der Spaß;)

my 8gig DEC750 handles my symmetrical 1gig fibre connection (FTTH) using PPPoE without any issues...
I have Zenarmour running as well :)

Thanks for the input, Yeah I guess in that case, it is enough for my use case too ;)

The DEC695 is €649,00 with 8G of memory. The DEC750 is €849,00 with 8G of memory.

We run the older DEC650 with 8G of memory and it easily serves a 1Gbit/s fibre connection with PPPoE.

I'd go for 8G, too, not because of an abundance of additional firewall services, but because I run ZFS everywhere I have that option.

First of all: Thanks for the reply!
I do think the DEC750 is enough for a 1000Mbit Down and 50Mbit up connection, in front of that is a FritzBox which only does Modem work. So it should be fine, given that it will only run a couple VPN Connections at best, and heavy Filtering, DNS Blocking etc. pp.

If you have a budget, just skip all the self building and testing and get Deciso hardware. It's great, and some offerings like the DEC 700 line of devices are hard to acquire in the same kind of configuration elsewhere. Since getting one I have no problems anymore or any stability issues or anything. Before I ran OPNsense as VM, but you're always dependant on your Hypervisor Server and might not get the same kind of routing speed and latency as on real hardware thats specially tuned for FreeBSD.

For me, the higher price was worth it not to have to spend a lot of time debugging weird edge case issues.

That is, in fact, very true. I'm thinking about it but also, I'm not sure how strong these appliances are given that most below 1000€ only have 4GB of RAM. Voiding your warranty gives you more but still, I'm skeptical about these 4GB. In general I just don't know if it will work under load or not or that I'm just to "eh" about a pre-build appliance for 799€

Tho, only 15/20W consumption is a real fact why considering these is actually really smart

Hey you all, I've got a 1000 Mbit down, 50 Mbit up Internet connection and planing to build my own router. Well, I've got an UnRaid Homeserver as well and stuff like that, so I know how to handle myself.
My question is just very simple: Should I go with a pre build barebone N100 with 2,5Gbit ports and stuff or should I build my own, with an I3 or AMD equivalent?

I just want some real life experience from all of you, who probably, have a lot of different stories and devices running, so yeah

Thanks in advance, Alex

Das mit den Security-Updates habe ich auch mal so vereinfacht betrachtet. Man kann da nach der Maxime "better be safe than sorry" vorgehen - nur funktioniert das leider ohne weiteres nicht:

1. Wenn man mal wirklich mit einem Security-Checker wie z.B. Wazuh einen Vulknerability-Scan durchführt, stellt man fest, dass bei weitem nicht alle bekannten Bugs auch gefixt werden. Beispielsweise waren in meinem voll gepatchten Ubuntu 22.04-Server zu meiner Überraschung noch ca. 80 ungepatchte CVEs enthalten, teilweise 5 Jahre alt. Als ich da stichprobenartig nachgesehen habe, waren es bekannte CVEs, wo schon Debian als Ubuntu-Basis "wontfix" zu gesagt hat.

2. Ein weiteres Beispiel um Thema Microcodes: Ich habe oben schon meine Anleitung für OpnSense verlinkt. Allerdings gibt es auch da ein "aber": in den von FreeBSD und Linux bereitgestellten Microcode-Paketen sind nicht immer die neuesten Microcodes drin. Die kann man sich unter Linux aber selbst bauen: https://www.reddit.com/r/linux/comments/15xvpfg/updating_your_amd_microcode_in_linux/. Das gilt u.a. auch für die in der Deciso 27x0 und 7x0 verbauten AMD Ryzen Embedded V1500B.

3. In vielen Fällen sind die Entscheidungen, ein bestimmtes Paket nicht zu fixen, nachvollziehbar - nämlich, wenn das Szenario, in dem es eingesetzt wird, nicht zum Tragen kommt. Ein gutes Beispiel ist aktuell curl (siehe hier), weil der in OpnSense eben keinen Socks5-Proxy verwendet.

4. Bei Open-Source gibt es immer einen Tradeoff zwischen Sicherheit und Funktionalität: Da es für die wenigsten Pakete gleichzeitig LTS- und aktuelle Versionen gibt, hat man das Problem, dass bei Bekanntwerden von Sicherheitslücken ein Patch auf die "alte", eingesetzte Version nicht stattfindet, die "neue", gepatchte Version aber leider andere Funktionen und/oder APIs hat, die zum Rest des Systems nicht passen und umfangreiche Änderungen zur Folge hätten.

Insbesondere Nummer 4 ist in der Realität ein großes Problem. Ich habe einen Freund, der Embedded-Systeme baut, die auf einer alten Version von OpenWRT basieren. Darin ist OpenSSL 1.0 enthalten, worauf der SFTP-Client basiert. Inzwischen haben fast sämtliche Provider von FTP-Servern auf OpenSSL 1.1.x oder höher umgestellt, so dass keine Verbindungsmöglichkeit mehr besteht, weil die Ciphers inkompatibel sind, da OpenSSL 1.1 die "unsicheren" Ciphers abgeschaltet hat und OpenSSL 1.0 die neueren noch nicht kann.
Er müsste die gesamte Basis seines Systems auf eine neuere Version von OpenWRT umstellen, was aber nicht geht, weil er mangels Speicherplatz nicht alles im Flash-ROM unterbringen kann und Teile der Software ins RAM nachladen muss.

Gleiches Problem bei kommerziellen Anwendungen - ich arbeite viel im Homebanking-Umfeld. Wenn dort z.B. Java-Basisbibliotheken zum Einsatz kommen, müsste man in Zweifel bei aufkommenden Sicherheitslücken den gesamten Basis-Stack für die Anwendung austauschen. Bevor man das macht und die Anwendung produktiv setzen kann, braucht man wochenlange Tests, ob die Funktionalität danach noch gegeben ist.

Diese Lücke zwischen "Rückwärts-Kompatibilität" und "Sicherheit" wird aktuell z.B. beim Linux-Kernel noch weiter aufgerissen, weil die Supportdauer für LTS-Kernels verkürzt wird.

Für die Anbieter von Downstream-Anwendungen (wie Deciso mit OpnSense) ist das eine Gratwanderung: Sollen sie - bevor die Upstream-Pakete gefixt sind (falls sie das tun) - selber patchen? Eher nicht.

Als Endnutzer ist die Strategie "sofort patchen" tragfähig - kann halt sein, dass man dann irgendein Problem bekommt. Selbst wenn man bei OpnSense immer aktuell bleibt, gibt es immer wieder diese Situationen, wie dieses Forum beweist. Nicht zuletzt hinkt deswegen die Business-Variante immer ein wenig hinterher, weil dort eben die Auswirkung von Bananen-Ware auf potentiell viele Benutzer unerwünscht ist.

Im Großen und ganzen: Ja. Das Sicherheitslücken immer beseitigt werden sollten bzw. das man sich darum immer sofort kümmern sollte, ist glaube ich jedem hier soweit klar.
Das es aber manchmal, je nach Update, ein paar extra Probleme erzeugen ist so der einzige Grund, warum viele Updates erst einmal abwarten und dann erstmal schauen wie es performt - Siehe Windows Updates.

Ich glaube im großen und ganzen, ist es immer ein "Wie sehr habe ich mich mit dem Thema auseinander gesetzt/Wie sehr bin ich bereit das alles abzuwägen und mich dort einzuarbeiten."
Denke aber, das zum Beispiel die NRG Systeme durchaus eine sehr gute Anlaufstelle sind, wenn man etwas möchte was gut ist. Sicher gibt's auch auf Amazon genug und genügende Geräte, eine seriöse Anlaufstelle zu haben schadet jedoch nie.

@Tuxtom007

Interessante Einsicht, vor allem da man als Privatkunde sowieso nicht bei TK Bestellen kann und ich sowieso schon in Frage gestellt habe, wie aktuell die Hardware da ist.
Zumal die neueren, wie ein N100, Ja durchaus sehr sehr gut sind. Wie bei NRG

@stevie

Habe den auch im Blick, alleine weil die Dinger klein sind und jetzt nicht die Welt einem vom Kopf fressen.
Overkill geht ja immer, das ist leicht. Es bedacht für den Homeuser zu machen ist die Kunst mittlerweile. Und wie hier schon erwähnt, wenn es einmal richtig läuft werden sehr sehr sehr selten Updates gemacht, alleine weil das Ding 24/7 läuft. Support ist ja da.

@tuxtom007

Hab's grad mal gecheckt, der MaxCPE wert ist bei mir auf 3 gesetzt. Bin ich ehrlich gesagt sehr froh drüber, möchte mich ungern mehr als nötig mit Vodafone auseinander setzen, das ist hier sowieso schon Glück das alles läuft;D

UH Boy, das wird eine lange Antwort:

PPPoE ist hier im Hoheitsgebiet NRW von Vodafone kein Thema, alles was man an anderen Internetanschlüssen bekommen könnte ist deutlich weniger in der Bandbreite und deutlich teurer als das, was aktuell gezahlt wird. Die Frage ist eher, ob ich nicht über kurz oder lang ein TC4400-EU anschaffe, wenn es wieder verfügbar ist, um die im Bridge Modus befindliche FritzBox zu entfernen - Wobei das eher ein Afterthought ist.

@Ozzy
Virtualisierung um im Vorfeld damit rumzuspielen ist das tatsächlich auch einplan, den ich habe. Muss nur schauen ob ich's auf meinem Server mache oder externe Hardware nehme.
Vor allem wäre es final halt hardware, die dann gedoppelt wird oder halt virtualisiert. Von daher ist und war dein Beitrag schon sehr interessant, gerade auch aus "Neulings" Sicht.

@all
Generell habt ihr alle fast den selben Ansatz, den ich auch hatte bzw. habe, alleine weil man sich den ganzen Rotz ja erst einmal zusammen suchen bzw. erklären muss.
Die FritzBox ist in dem gesamten Plan ja nur noch als Bridge und als Telefonanlage gedacht, damit von Vodafone Seite aus nichts geändert werden muss.

Was haltet Ihr eigentlich davon? Overkill oder eher gute Basis/Genug?:
https://shop.opnsense.com/product/dec2750-opnsense-rack-security-appliance/

Da hat sich jemand auch mit der Thematik auseinander gesetzt?;D Spaß beiseite, in NRW geht das Ja und da ich in NRW lebe, habe ich wohl Glück. Dass das ganze Bridge Thema aber so dermaßen von Vodafone blockiert wird bzw. versucht wird, zu blockieren ist eigentlich eine Frechheit sonders gleichen.

Nö, bin vorbelastet, hat über 15 Jahre bei Vodafone gearbeitet aber nicht im Kabelbereich :-)

Klar wollen die das blockieren, es ist offiziell kein Funktion der FritzBox, AVM verweigert jeglichen Support und verweisst sofort auf die Provider.
Zudem verliert Vodafone für jeden BridgeModus locker mal zwei öffentliche IPv4-Adresse und die sind nunmal knapp bzw. nicht mehr verfügbar.  Man hat mal gemunkelt, das die ganz weg wollen, die Bridge-Funktion frei zuschalten.
Dann bleibt nur der Weg über ein Kabelmodem und Telefonie anderweitig zu lösen ( FritzBox als Client im Netz z.b. )

Zudem bekommt Vodafone massiv Gegenwind, weil viel Glasfaser ausgebaut wird, bei und fängt gerade die Erfassung von Interessenten an, wenn 30% überschreitet, wird ab Januar ausgebaut - ich hoffe es, ich will weg von Vodafone und mehr Upload-Bandbreite haben.

Performance, hier mal ein Screenshot meines OPNSense über 7 Tagen der CPU-Load:

Ohje, hoffentlich ohne Folgeschäden herausgegangen ;D

Logisch, IPV4 ist immer knapper, da wollen die sowieso Ihre Sachen zusammenhalten. Dual Stack Lite, also beide IPV4 und IPV6, hab' ich ja hier, zum gluck. ist ja auch immer so eine Sache das zu bekommen.
Wobei ein gutes Kabelmodem, was das alles kann, aktuell seine 250€ kostet, eigene Fritz!Box als Telefonanlage würde nochmal gut was kosten - aber was macht man nicht alles für Vodafone ;)
Telekom fängt hier an auszubauen aber nicht ansatzweise schnell genug um Vodafone hier zu verdrängen, Glasfaser wäre und ist mittlerweile echt nötig, was das alles angeht. Mehr Upload steht hier auch auf der Liste.

Die Performance sieht sehr gut aus, also das wäre eine wirklich gute Sache wenn ich es ebenso/ähnlich hinbekommen würde. Zumal alles neuere besser laufen sollte, was Leistung/Energieverbrauch angeht - Jedenfalls wäre es wünschenswert