Messages

pfSense ist bei uns nicht verpönt.... OPNsense ist bloß bei den pfSense Leuten verpönt.
So wird ein Schuh draus. ;)

Aber auch nur bei bestimmten Leuten und/oder dann, wenn es um unnötigen oder sinnfreien Vergleich geht. Was besser ist muss eh jeder für sich entscheiden. Deshalb halte ich mich aus der (m.E. unnötigen) Diskussion raus. Und das mit dem Schuh... nunja der passt sicher immer hin wie her. Da ist jede Seite mal - nennen wir es überfürsorglich - gegenüber seinem Lieblingsprojekt. ;) Aber da mag ich gar nicht tiefer rein, am Besten lässt man einfach das "vs" ganz und ignoriert gezicke an höherer Stelle :)

Ich bin selbst immer noch bei pfSense. Und dort kannst du natürlich mit pfBlocker NG und Co. GeoIPs blocken. Trotzdem muss in deinen Filterregeln ja erst einmal Traffic erlaubt werden, denn sonst gilt immer noch, dass alles was nicht erlaubt ist verboten wird. Und in deinem etwas unklaren Screenshot konnte ich keine andere Regeln finden, die irgendwas erlaubt hätten?

Oh und ich weiß nicht ob es ein wenig anrüchig oder verschrien ist - ich mach mir da ja kein Kopf mehr, mir ist das gleich - wenn man das "andere" Forum verlinkt, aber es geht ja um Hard- nicht um Software :)

Deshalb für die, die es interessieren möge, mein kurzer Einblick von damals in die NCA-1010B:
https://forum.pfsense.org/index.php?topic=104714.0

Grüße

Alles klar... nur um das nochmal klar zustellen frag ich lieber nochmal nach...
Am Ende is das "nur" ein Barebone und RAM und SSD muss ich mir selber noch besorgen oder kann man die gleich mit bestellen? 8 GB RAM und ~120 GB SSD von Samsung z.B.?

Nö die bieten wir dann schon so an, dass sie dem Kunden passt. Barebones wollen nur die wenigsten. Unsere Standard Bestückung der 7525 ist entweder 8/32 oder 8/120, aber auch 8/80 wäre möglich, hängt einfach vom Kunden ab aber die ersten beiden sind die "Defaults" :)

Das Ding is, Kollegen von mir nutzen bereits die Netgear Switche zu Hause ohne Probleme.

Wenn man sie nie anfasst ;) Auch wenn das Forum des "roten Cousin" vielleicht verpönt ist - schaut mal rein, was die deutschen Kollegen im pfSense Forum zu Netgear und Co haben. Klar gibts da einige die daheim 1-2 Kisten haben die nicht mucken, aber andere wie Jahonix o.ä. die schon mal ein Dutzend verbaut haben, zeigen leider das gleiche Bild wie bei mir, dass 1/4-1/3 locker davon hops geht :/

Super, vielen Dank. :) Du kannst mir auch gern ne PN schicken diesbezüglich.

Momentan ist sie wohl noch gar nicht im Programm, sondern nur gelistet, ich frage aber mal Verfügbarkeit und Preis an.

Auch die WLAN-Geräte von Ubiquiti sind m.E. sehr zu empfehlen und bieten fast schon Enterprise-Features zum günstigen Kurs.

Anbieten ja  ::) Leider nicht ganz in der Qualität die ich erwartet hätte  :-\ Wir haben davon 3 Stück in der Firma an der Decke, AC-PRO, neue Generation. Seit Neujahr haben die ~3 Wochen lang sich im Dreieck alle paar Minuten durchgebootet, weil sie sich automatisch ne Firmware gezogen haben und dann in einer Reboot Loop hingen :( Danach hatten wir lustige Phänomene wie ständige Disconnects mancher Clients (Android Telefone, aber nur manche) die einfach den Empfang verlieren. Support ist leider auch nicht so prall und verweist entweder auf neue Firmware (die schon drauf ist), dass man die WiFi Netze trennen soll (hatten wir auch schon - bringt nix) und schiebt die Schuld dann auf die WiFi Umgebung, jemand würde da wohl stören. Super. Mit dem Billig-AP der vorher dran war, gings aber doch auch - und die UniFi UFOs sind dann hyperempfindlich oder wie? Alles ein wenig unbefriedigend. Für zu Hause aber ganz nett.
Zum Controller: Sieht zwar totschick aus, aber das Java Gedöns ist etwas frickelig zu installieren wenn mans sauber aufsetzen will. Und mein KO war eigentlich, dass fast jede kleine Änderung automatisch zum Neustart der APs führt. Mal ehrlich, da ist Windows weniger schlimm als der UniFi Controller... :o Und das mag was heißen.

Das ist auch im Entwicklerumfeld gang und gäbe, Sicherheit spielt so lange keine Rolle, bis tatsächlich mal etwas passiert. Ich habe mir früher oft den Mund fusselig geredet, Perlen vor die Säue... ^^

Stimmt leider. Provisorien gehen live, hinterher weiß es keiner mehr, dann bleibt einfach alles offen. Etc. etc.

Sicherheit, egal ob aus Entwickler- oder Administratorensicht, hat einen, immer noch, viel zu geringen Stellenwert. In einem professionellen Umfeld ist es mir ein Rätsel...

Schaut man sich Industrie 4.0 an, kommt man sich vor wie bei Hornbach. "Industrielösung XY - jetzt mit Stecker (RJ45)". Überall wird einfach IP/Netz/LAN/Internet drangeschraubt, aber von Leuten, die leider Security, Authorization, Authentication, Encryption etc. noch nie gehört haben. Kein Wunder, dass Botnetze inzwischen liebend gern IoT (Internet of Terror) Devices nutzen. Pah was braucht der Kühlschrank auch nen sicheres Passwort...

Und laut Google bin ich einer unter vielen, die die Controller Software nicht wirklich gut bewerten. ;)

Nee da bin ich dabei. Wirkt typisch Web 2.1 (oder 2.0): Optisch fancy, Bootstrappy, JavaScript, klick und zieh schön... aber unter der Haube werkelts böse. Wie gesagt, wenn die kleinste Änderung jedes Mal alle APs durchstartet find ich das schon sehr suspekt.

Wer schon mal bei 10-20 AP gleichzeitig die Firmware updaten mußte, weiß was ich meine!

Mich gruselts bei dem Gedanken da ne Einstellung zu ändern und 20 APs rebooten zu sehen. Natürlich gleichzeitig...
Oder ein auto-Firmware Update wie bei uns *schauder*

Gruß

Hi,

sorry da sehe ich wenig Hoffnung. Von dem kurzen Blick auf den Mobile Client ist das was eigenes in Richtung SSL VPN, ich habe zumindest aber nicht gefunden worüber. Den NetExtender finde ich dazu suspekt. https://support.sonicwall.com/kb/sw10657 -> Da wird lustig PPP konfiguriert und mehr, erinnert irgendwie stark an PPTP und DAS ist wirklich nicht mehr sicher. Ich will nicht unterstellen dass sie das machen, aber es sieht ein wenig seltsam aus.

Kurzum ich würde lieber auf offene und sichere Standards setzen als proprietäre Clients. Langfristig die bessere Alternative.

Hallo Peter,

Ist doch aber auch logisch, oder? Deine Regel besagt doch nur "alles was NICHT diese Länder sind" bitte Droppen. Da steht nirgends was von "erlaube lokale IPs". Du solltest vielleicht vor der Regel mit den GeoBlocks erst einmal deine internen IPs whitelisten, wenn die erreichbar sein sollen. :)

Grüße

Arme Sau... (Sorry konnte ich mir nich verkneifen :P)

Nö wird aber einfach irgendwann lächerlich sowas immer wieder zu lesen. :)

Perfekt, das klingt doch super! Sag bescheid wenn es dann was zu sehen/lesen gibt. :)

Momentan noch etwas unklar, aber es gab letztes Jahr schon einmal nen kleinen Livestream zum Thema "DIY eigener Home-Router/Firewall mit pfSense" und da werde ich wohl dank Leihstellung der 7525 dieses Mal weitermachen. Wahrscheinlich zweigeteilt: Einmal Teardown - im Prinzip das was ich ich Schriftform für die NCA1010 gemacht habe - und einmal dann Installation von *sensen (warum nicht beide) und Test nach Möglichkeit mit einer Gegenstelle (vielleicht nen iperf machen). Auch den Bypass muss ich mal testen, Stromaufnahme etc. Ich hoffe ich bekomme das dieses mal etwas "profesioneller" hin, letztes Mal war sehr ad-hoc und improvisiert :D

Supi, dann schreib ich mir das gleich mal auf und meld mich in gut ~2 Monaten nochmal bei dir, wenn ich das Geld habe und die Zeit und keinen Stress... man kennt das ja. (Klingt wie bei ner Erpressung. :o ;D)

Läuft ja nicht weg das gute Stück :D Da die 7525-D ein Fokusprodukt ist, ist die auch noch länger vorhanden und lieferbar :)

Ich werde mir wohl den hier holen: Netgear ProSAFE Plus GS108Ev3 8x 10/100/1000 Mbit Desktop Switch

Tus nicht ;) OK sehr subjektiv, aber Netgear (billig)Switche sind/waren bei mir Crap. Ein 5er (GS105EV2) war derart schlecht verarbeitet dass er beim Stecken/Abziehen nen Kurzen bekommen hat. Ein 8er hatte ständig Probleme mit "Aufhängen" (man bekam einfach keine Verbindung mehr, es sah aber alles gut aus -> Power raus rein geht wieder!?) und der 24er hatte Ports die gebuggt haben. Inzwischen von 10 Stück 4-5 als defekt oder strange markiert...
Ich würde TP-Link nehmen, die können ebenfalls VLANs und bislang von denen noch keinen einzigen verloren. Oder für ein paar Euro mehr die HP 1810er oder 1820er (NIE die 1910er die sind Müll). Oder Cisco 300er - nachdem was ich zuletzt gelesen habe könnte man mit denen sogar 802.1x port based authorization machen :D

Also bleibt da grade noch meine Frage im Raum stehen:

Was kostet denn die Lanner 1210 ? ;)

Ich frag die gerade mal an, jetzt interessiert es mich selber. :)

OPNsense-16.7-OpenSSL-vga-amd64.img
-> mit Rufus auf Stick geschrieben, kein Problem
=> Windows 10 mit aktuellem Patchlevel. Nüx :)

OK jetzt bin ich neugierig, ob das ggf. nur das opnSense Image ist ;)

@Oxygen

:o Der Übersicht halber hier mal ein eigenes Post dazu :)

Das ist natürlich auch ne Lösung. Die Schuld von einem selber abwenden, noch bevor man überhaupt auch nur irgendwie von jemanden etwas negatives zu hören bekommen hat.
...
Ich weiß du wolltest dich nur von der Firma distanzieren, aber so kam es halt leider Gottes nicht bei mir an bei deinen ersten Postings.
Falls du dich von mir mit Lanner in einen Topf geworfen fühltest, dann tut es mir leid. Kommt nich wieder vor, versprochen! ;)

OK in Kurzfassung: Ich wurde u.a. durch Empfehlungen bzw. Vorschläge, eine Lanner Kiste einzusetzen von zwei (später einem) anderen Forenschrieben im anderen bekannten Forum massiv angegriffen.
Begründung: Ich wäre als Mod nicht objektiv, würde massiv (?) Werbung für Lanner und nicht für pfSense' eigene Kisten machen und wäre doch bezahlter "Schreibdepp" und "Frontschwein" für Lanner/Landitec.
Da ich in Foren - sowohl hier als auch als Mod im anderen Forum - als Privatperson unterwegs bin und es mit etwas Nachfragen recht einfach möglich ist, herauszufinden, dass ich weder für den einen noch den anderen Laden arbeite, sondern bei einer Firma die eben u.a. pfSense Partner ist, ging mir das gelinde gesagt ziemlich aufs Schwein.
Und um da gar keine Unklarheiten aufkommen zu lassen, dachte ich ich mache es dieses Mal gleich klar, dass ich mit Lanner/Landitec weder verwandt noch verschwägert noch angestellt bin ;) Ich habe allerdings das Glück gehabt, dort offene Ohren für egal welches *Sense Projekt und andere Software zu finden, so dass mir auch vergönnt war, für die Foren bspw. eine NCA-1010B kurz nach Release zu testen.
Evtl. werde ich das mit der kommenden 1020 wieder dürfen und auch gern die Leute an meiner (durchaus subjektiven) Meinung daran Teil nehmen zu lassen. Auch wird es ggf. ein Teardown der FW-7525 in den nächsten Wochen geben, in Schrift- und ggf. Video- oder Streamform. Auch das lediglich mit gutem Willen und unbezahlt, ich bekomme lediglich die Hardware gestellt (die 1010B ging danach zurück bzw. wurde an einen Kunden verkauft).
Das lernt man aber einfach im Umgang auch mit US Unternehmen, dass man einfach einen "Disclaimer" braucht, der viele andere - vielleicht auch dich - gar nicht jucken würde :) Deshalb auch der Satz mit "wollte nicht bekehren" eher Augenzwinkernd ;)

Das wär super Nett von dir oder zu mindestens irgendjemanden zum Anschreiben,
wenn ich dann in ~2 Monaten die Hardware bräuchte. :)

Kannst du bei Interesse und Wunsch gerne tun, ggf. Mail oder PN schicken, dann schreibe ich dir dazu gern brav von der Firma aus ein Angebot :)

Aber genau das, ist doch so oder so im "SOHO" gängige Praxis oder nicht?

Echt? Also ich kenne einige Privatmenschen, die sich eben einen Switch wie nen 24er TP-Link mit VLAN hinstellen und darüber (und mit einer *sense) dann eben VLANs nutzen. Ein Switch pro LAN kenn ich eher selten.
Zudem ist mitunter die Infrastruktur daran mit Schuld. Denn nicht überall lässt sich dann gut Kabel verlegen und für eigene Switche noch extra Kabel legen etc. Da nutzt man dann einfach was man hat. Also nö, selbst Privat kenn ich das eher selten :) Zudem wäre der Verkabelungsaufwand und Komplexität höher, würden ja ggf. 2-3 Switche rumliegen nur um LAN, WLAN und ggf. Gäste zu trennen.
Was durchaus gemacht wird: LAN1 und LAN2 (getrennte LANs mit VLAN Tag) auf einzelne Ports legen und dann beide an den Switch rauf. Damit kann man dann auch 2x Linespeed 1Gbps nutzen, gerade wenn man bpsw. in LAN2 den Storage hinpackt und in LAN1 nen Server/heavy User hat, der möglichst schnell Daten kopieren muss. Dann möchtest du natürlich mit einem Trunk Port mit 2 VLANs drauf deinen Linespeed nicht halbieren. Dann trennt man es gern auf mehrere Interfaces auf.

Man kann nich an alles denken. Man muss aber wissen, wonach man suchen muss,

Durchaus richtig :) Allerdings sind einige genannten Szenarien Herstellerspezifisch (CDP etc.) bzw. in kleineren Switchen mit VLAN gar nicht implementiert. Somit auch kein Problem.
Und physikalische Sicherheit toppt da trotzdem noch theoretisches VLAN Hopping ;)

Deswegen vielen Dank für den Einblick in dieses doch sehr komplexe Thema. :)

Sehr gern. Da mein Brötchengeber u.a. selbst Cloud Hoster ist (das große Standbein, Netzwerk/Security das andere) bin ich da direkt mit konfrontiert. Und selbst dann geht es an der Stelle auf die Rechnung herunter: Das geht nur/meist nur, wenn der Angreifer Kunde von dir ist (oder der Server komplett übernommen werden würde). Und ein Kunde würde sich ja nicht die eigene Umgebung torpedieren (außer er ist dafür Kunde geworden, das ist aber ne wirklich böse Story dann).

So hoffentlich nicht zu viel abgeschweift. :)

Grüße
Jens

@ne0h

Hmm.... Nochmal einfacher erklärt für mich: Sprichst Du gerade von Netzanbindungen zu Hause (Glasfaser, Kabel, etc.)? Denn ich sitze hier hinter einem 400Mbit Kabel Anschluss. ^^ Falls ja, stellt sich mir eher die Frage, wo denn da innerhalb der Box der Flaschenhals zu suchen ist, bezüglich der Bandbreite?

Von der Anbindung, wo du das Gerät nutzen möchtest. Und da ist ja ggf. nicht nur up- sondern auch downstream relevant. Flaschenhals ist da weniger die Box, als mehr der Crypto-Part der eben CPU-lastig ist. Auch AES-NI kann da nur entlasten, aber selbst mit wird eine APU eben bei ~150MBit/s die Fühler strecken. Aber solang du nicht 400MBit/s vollverschlüsseln willst, sollte das kein Problem darstellen. Es gibt aber auch Leute die eben alles verschlüsseln und nur noch so online gehen. Dafür wärs dann knapp.

Also wo genau siehst du da die technischen Limitierungen, die mir den Spaß verderben würden?

Wenn du Vollverschlüsseln würdest - also volle Leistung haben willst - oder wenn du auf die 400MBit/s heftige Regelsets mit pfBlockerNG bspw. oder auch Surricata/Snort los lässt. Dann könnte es vielleicht(!) etwas eng werden. Bei Crypto definitiv. 350MBit/s aufwärts zu verschlüsseln, da braucht es ggf. nen C2558 oder C2758 von der Leistung her.

Was speziell meinst Du? Die Firewall Regeln an sich? Oder andere Sachen?

Gerade Dinge wie Netzplanung, Compartmentalizing, WiFi Bridges, powerLAN etc. bringen alle für sich Überlegungen mit, die getroffen werden müssen und die ggf. sicherheitsrelevant sind.

Grüße
Jens

 ???
Bin ich jetzt andersartig, weil das bei mir nicht zum "Erfolg" führt? ;) Wir präparieren (aus erzwungenen Gründen) unsere Install Sticks für *sense mit Rufus auch unter Windows - ohne den genannten Effekt :)

[@ne0h]

@ne0h

Ok. Bei der Box entfallen auch irgendwelche vorherigen BIOS Installationen usw.  richtig? Da ist ein Bootloader vorinstalliert mit dem ich direkt von einem USB Stick OPNsense installieren kann.

Was heißt entfällt BIOS Installation. Die Kiste verhält sich wie ein normaler x64 PC. BIOS bootet, da kannst du auch rein und ggf. noch was einstellen, per default wird aber der USB Stick vor der integrierten mSATA erkannt und gebootet.

Mimr gehts darum, jetzt ein Gerät zu kaufen, mit dem ich zumindest 1-2 Jahre zufrieden bin. Dann wird sich, allein durch den Betrieb des Gerätes und den Spielereien damit, zeigen, ob es dann zur nächsten Stufe geht und ich mir dann halt wieder eine neue Hwardware zulege oder nicht.

1-2 Jahre wirst du - solange du nicht innerhalb der Zeit auf Leitungsgrößen >200MBit/s aufrüstest - locker klar kommen. Auch mit IDS o.ä. wird das gehen, wobei diese Tools allerdings eh immer "je größer je besser" rufen :) Mehr RAM und CPU sind bei sowas immer toll, aber es muss auch preislich im Rahmen bleiben, gerade für zu Hause und mit WAF :D

@Oxygen

@JeGr ich tendiere mittlerweile wirklich zu dem 7525. Grade als ich mich heute auch nochmal hinsetzte und meinen Netzplan anschaute, wurde mir bewusst, dass ich wohl so oder so tief in die Tasche greifen muss....
(Site-to-site VPN, OpenVPN Gateway am WAN, Proxy, Gästenetz, 1xNAS, VoIP Telefon, IP TV, DMZ mit IP-Kameras, 2 VLAN fähige Switche.... usw. Damn it... )

Ich wollte niemand bekehren ;) Und bevor das hier ggf. auch anfängt: Nur weil ich mal hier und da auf Lanner hinweise oder empfehle habe ich - außer dass sie einer unserer Distributoren in der Firma sind - privat oder persönlich mit ihnen nix zu tun und bekomme auch keine Provision o.ä. :) Nachdem ich an anderer Stelle schonmal böse dafür abgewatscht worden bin, deshalb nochmal in aller Deutlichkeit. Ich empfehle sie nur, weil ich persönlich jetzt schon Jahre an extrem guten Erfahrungen mit Lanner und dem Distri habe und - leider - mit anderen Sachen wie APUs auch schonmal einige Fehlgriffe.

Ich konnte aber nichts zum Bestellen/Kaufen finden? Soll ich mich in dem Fall einfach direkt über "Contact" bei euch melden wenn es soweit ist? Hast du für die Kiste auch mal ne Review geschrieben? Würde ich mir gern mal durchlesen. :)

Wer ist denn "bei euch"? Wie gesagt, ich bin nicht Lanner oder Landitec :) Aber wenn du als Firma, Freelancer oder Privat eine Kiste brauchst, kann ich dir da ggf. auch gern weiterhelfen soweit gewünscht. ;)

ich muss an der Stelle nochmal der Spielverderber sein und nochmal was klar stellen bezüglich VLANs, weil ich vorhin gelesen hatte dass es da keinen (?) Unterschied zu einer physischen NIC gibt.
Das ist grundlegend falsch, weshalb ich da nochmal nachhake.

Vielleicht habe ich etwas überlesen, aber keinen Unterschied ist natürlich nicht richtig. "Keinen" Unterschied lediglich in dem Sinn, dass ein VLAN auf der *sense wie ein normales Interface zu behandeln ist, mit eigenem virtuellen Interface, eigenen Regeln etc. etc.
Natürlich ist ein VLAN nicht das Gleiche wie ein echtes Interface.

VLANs trennen immer auf "logischer Ebene", währenddessen NICs auf "physischer Ebene" die Pakete trennen.

Das ist aber auch "nur eine Halbwahrheit", da die Trennung spätestens dann aufgehoben wird, wenn sie in den gleichen Switch laufen. Spätestens dann sind sie wieder meistens nur noch logisch getrennt, weil hier dann meist VLANs zum Einsatz kommen um unnötige Hardware zu vermeiden. Ansonsten bräuchte es für jedes LAN auch einen eigenen Switch an dem auch NUR dieses LAN aufgelegt ist.

Trotzdem würde ich "offensichtliche" Trennungen (WLAN/Gästenetz/LAN/DMZ/WAN/Testumgebung) nicht durch VLANs trennen, wenn es denn anders geht.

Gerade aus Gründen wie dem obigen (zusätzliche Hardware etc.) und  den - doch oft recht theoretischen - Angriffsmethoden auf VLANs, die noch dazu sehr häufig Zugriff auf Switch oder Konfiguration von Ports benötigen, die per default auch kaum ein Gerät inzwischen konfiguriert hat, sehe ich das als eher nachrangiges Problem an. Vor allem wenn hier eines bedacht wird:

WLAN, Gästenetz, LAN etc. heißt: eine Person IST bereit physikalisch in meiner Einflußsphäre anwesend. Wenn sie eh bereits physikalischen Zugriff auf mein Netz HAT (weil anwesend) kann JEDER auch noch entsprechend mehr Chaos anrichten, als es theoretisch mit irgendwelchen VLAN Springereien möglich wäre. Auch Testumgebung vs. Live, etc. ist in diesem Muster. Wenn meine Mitarbeiter statt zu testen im Testnetz und produktiven Umgang im Livenetz die Zeit damit verschwenden, VLAN Attacken gegen sich selbst zu fahren, läuft was schief.

Die ganzen VLAN Angriffe sind ja hauptsächlich dann gefährlich, wenn ich - bspw. als Service Provider - Zugriff auf Systeme gebe, die per VLAN abgeschottet sind und dann von diesen Systemen aus ein VLAN Hopping möglich wäre mit den Bordmitteln dieses Geräts. Und genau da kommen sehr viele wenns und danns zusammen, die gegeben sein müssen. Für einen großen Hoster z.B. mag das ein durchaus existentes Phänomen sein, über dass er sich Gedanken machen sollte und muss. Für eine Trennung in einer Firma, wo nur eigenes Personal tätig ist, halte ich das für schlichtweg überzogen.

Das ist ja auch im Grundprinzip im ersten Beitrag auf Stackexchange so beantwortet, dass das Hopping teils theoretisch ist bzw. Dinge voraussetzt, die eigentlich eh nie gegeben sein sollten bzw. konfiguriert sein dürfen. Schön im zweiten Beitrag noch erwähnt, was ich auch immer wieder sage wenn es um VLANs geht: Vermeidet VLAN 1 irgendwo produktiv zu nutzen. Wenn VLANs dann bitte >1. Die anderen Punkte mögen Probleme sein, aber z.B. 5-10 sind sehr protokoll- bzw. produktspezifisch.

Deshalb in kurz: da sehe ich IRL kaum wirkliche Gefahr von VLANs, auch wenn man sich dessen bewusst sein sollte, ganz klar(!)
Trotzdem: Schöne Diskussion über das Thema! Sehr erfreulich!

Aloha,

Wie bespiele ich denn so nen mSATA Speicher? Also boote ich so eine Kiste einfach von einem USB Stick, um die OPNsense Software auf den mSATA Speicher zu installieren?

Genau. mSATA ist nur ein Laufwerk mit SATA Schnittstelle das über einen speziellen miniPCIe Bus angebunden ist. Verhält sich und installiert sich genauso wie eine normale SSD/HDD.

Generell noch ähnlich ausgestattete Geräte zum Vergleich? ;) Ich finde das Bundle bisher als Gesamtpaket am attraktivsten.

Hatte ich ja bereits gemeint: In dem Preissegment bis ~200€ wirst du nichts finden, was an die APU2 rankommt (leider - wäre schön Alternativen zu haben). Bei Firmen könnte dann die 1010 und andere wieder interessant werden, was Garantieerweiterungen, next-business-day replacement usw. angeht. :)