Hardware für OpnSense

Started by steppi, March 05, 2021, 11:57:01 AM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
March 05, 2021, 09:04:01 PM #15
Quote from: micneu on March 05, 2021, 08:04:46 PM
Quote from: pmhausen on March 05, 2021, 03:19:52 PM
Welches VPN?  ;)
OpenVPN
Cypher mit HW Crypto? Wundert mich etwas, 100 Mbit/s sollten die Kistchen doch schaffen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 05, 2021, 09:06:50 PM #16
Quote from: pmhausen on March 05, 2021, 09:04:01 PM
Quote from: micneu on March 05, 2021, 08:04:46 PM
Quote from: pmhausen on March 05, 2021, 03:19:52 PM
Welches VPN?  ;)
OpenVPN
Cypher mit HW Crypto? Wundert mich etwas, 100 Mbit/s sollten die Kistchen doch schaffen.
keine ahnung, hatte die kiste nur 2 tage, habe sie danach zurück gegeben
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 06, 2021, 08:13:02 AM #17 Last Edit: March 06, 2021, 08:15:52 AM by robgnu
Ich empfehle hier auch nochmal die APU2E4. Ich betreue derzeit 10 OPNsense und (noch) 4pfSense Installationen auf den Teilen. Wenn man IDS etc. weglässt läuft alles prima und stabil. Selbst Homeoffice (OpenVPN) mit über 15 gleichzeitigen Verbindungen läuft zuverlässig.
Ich sehe auch die Firmware als Pluspunkt an, denn bei den meisten Intel-Boxen hat man ein BIOS des Herstellers mit Intel oder AMD-Blobs (Intel Management Engine etc.). Die APUs benutzen vom Beginn an Coreboot, welches als OpenSource BIOS eher dem Gedanken der OPNsense enspricht. Am Ende ist das auch ein Security-Feature.

Gruß
Robert

ps. zur Performance: Bei kleinen Unternehmen mit VDSL-Anschlüssen genügt die APU locker. Gigabit-Routing zwischen (V)LANS ist auch möglich.
March 06, 2021, 01:41:04 PM #18 Last Edit: March 06, 2021, 01:45:07 PM by Meditux
Hi Steppi,

bei der von dir zukünftig genutzten Anbindung (250MBit) würde ich von den PC Engines APUs abraten.

Die Kisten haben eine zu schlechte Single-Core-Performance und sind mit den 4GB RAM limitiert. Im Labortest, bei direkter Verbindung über OpenVPN ( AES-256-GCM / SHA256 ) mögen die Kisten einen Durchsatz vom 99 MBit schaffen, im realbetrieb mit konkurrierenden Diensten kann man das allerdings vergessen. WireGuard wäre eine Alternative.

Ich habe auch mit der PC Engines APU2x4 angefangen und die recht schnell ersetzt. Die APU dient heute nur noch als SFTP-Server. Von den APU-Kisten habe ich beruflich viele im Einsatz. Allerdings hängen die Kisten dann via PPPoE an einer vDSL-50MBit Anbindung und Verwalten ein paar Filterlisten, Firewall, Routing und realisieren über OpenVPN eine Standortvernetzung für RDP. Dafür sind die Kisten sehr gut.

IDS/IPS ist auf den Kisten nicht möglich, Maltrail kann man vergessen. Man kauf die Hardware für mehrere Jahre und der Leistungsbedarf wachst schnell mit dem Erkennen der Möglichkeiten ;-)

Mein Rat, schau dich nach leistungsstärkerer Hardware um! Ich nutze zur Zeit, nach dem dritten Upgrade eine Kiste mit einer Intel i5-8365U CPU.

Gruß Meditux
March 06, 2021, 02:10:07 PM #19
Quote
IDS/IPS ist auf den Kisten nicht möglich

Kann ich so nicht bestätigen. Eine Frage des nötigen Durchsatzes. In meinem Fall läuft IDS auf OPNsense seit Jahren einwandfrei ohne den Durchsatz nachteilig zu beeinflussen.
System 1: PC Engines APU2C4
System 2: PC Engines APU2E4
System 3: Proxmox-VM on Intel NUC
March 06, 2021, 02:23:15 PM #20 Last Edit: March 06, 2021, 02:45:04 PM by Meditux
Quote from: thowe on March 06, 2021, 02:10:07 PM
Quote
IDS/IPS ist auf den Kisten nicht möglich

Kann ich so nicht bestätigen. Eine Frage des nötigen Durchsatzes. In meinem Fall läuft IDS auf OPNsense seit Jahren einwandfrei ohne den Durchsatz nachteilig zu beeinflussen.
Klar, den Dienst kann man nutzen, man ist halt nur sehr begrenzt in der Wahl der Rulesets. Die Sicherheit wird somit von den Möglichkeiten der Hardware unschön begrenzt. Was passiert wenn Rulesets wie abuse.ch/URLhaus mal sprunghaft wachsen ist ja bekannt. Und dann spielt der Durchsatz noch nicht mal eine Rolle.

Steppi hatte eine geplante 250MBit Anbindung erwähnt. Das bekommt eine APU mit aktivierten IDS\ISP nicht gebacken ohne den Durchsatz stark zu begrenzen.
March 08, 2021, 10:22:12 AM #21
Danke für die weitere Beteiligung.

Wie ich so rauslese geht die Spanne doch sehr weit und ist von einigen Faktoren abhängig.

Ich installiere OpnSense erstmal in eine VM oder einen Container und schau mir an welche Features ich tatsächlich benötige bzw. welche ich nutzen möchten. Damit kann ich ein erstes Gefühl für das Ganze bekommen und konkreter die Hardware bestimmen. Die VM-Umgebung wäre ein Celeron J3455 (mit AES-NI) mit 2x 8GB DDR3L-1600 mit Realtek-Nics.
March 08, 2021, 11:16:25 AM #22 Last Edit: March 08, 2021, 11:27:02 AM by thowe
Wenn Du die Möglichkeit hast, das erstmal in einer VM zu testen, umso besser. Ich habe eine sehr ähnliche Testumgebung mit Proxmox in Betrieb. Läuft sehr gut.

Zur Frage des "richtigen" Sizing der Hardware für eine dedizierte OPNsense, stellen sich mir immer folgende Fragen:

  • welche Dienste werde ich darauf wirklich mit einem Mehrwert laufen lassen (manchmal ist weniger auch hier mehr...)
  • Was ist die erforderliche Leistung (muss ich wirklich Wirespeed über OpenVPN jagen können - oder reichen mir OpenVPN mit 100MBit/s?)
  • Welche Nutzungsdauer strebe ich an? Erst mal 2 Jahre und dann allenfalls neue Hardware (dannzumal günstiger) nachkaufen? Oder gebe ich up-front schon viel Geld aus, in der Hoffnung, dass die Hardware dann länger nutzbar ist?

Aktuell habe ich abhängig vom Einsatzprofil folgende drei Hardware-Appliances auf meiner Shortlist:

  • PC Engines APU2 für alles was nicht viel Leistung braucht (OpenVPN bis 100 Mbps)
  • Yanling IBOX-501 N13 mit 3865U und 6 NIC für alles Mittlere (OpenVPN bis 400 Mbps)
  • Yanling IBOX-501 N18 mit 8250U und 6 NIC für mehr Leistung (OpenVPN bis 875 Mbps)
  • Alternativ: Die neuen Ryzen Appliances von Deciso für top seriöse Einsätze.

Anmerkung: Die Yanling Geräte gibt es so ähnlich auch von Protectli und laufen wahlweise auch mit Coreboot BIOS. Grundsatzfrage ist hier immer: Will ich direkt in China bestellen oder nicht.


System 1: PC Engines APU2C4
System 2: PC Engines APU2E4
System 3: Proxmox-VM on Intel NUC
March 08, 2021, 01:49:19 PM #23
Vielen Dank für deinen Kommentar.

Ich versuche mal die drei Punkte des "Sizing" von hinten aufzuräumen.

  • Nutzungsdauer, hier erwarte ich so schnell kein riesiges Wachstum meines Netzwerks. Am Ehesten wenn die Kinder groß genug sind für eigene Systeme und Szenarien, was noch locker 5-10 Jahre dauert. Alle anderen Sachen die "Wachsen" könnten sind dann eher interner Natur (Automatisierung) und bleiben im Heimnetz
  • Wenn wir direkt von VPN sprechen, wird mein Upload zuHause selbst mit 250Mbit/s down bei max. 50Mbit/s up bleiben. Noch weiter limitierend ist da eher die Mobile-Anbindung z.B. am Smartphone oder an anderen Standorten. Also dass da wirklich mal VPN in beide Richtungen größer 50/ 100 Mbit/s anfallen, sehe ich die nächsten Jahre noch nicht.
  • Das wohl größte Fragezeichen! Hier muss ich erstmal "Sichten" was es gibt, was sinnvoll ist und was nicht. Sicher werde ich allein schon aus Interesse mal Dieses und Jenes probieren. Was dann "produktiv" eingesetzt wird ist aber noch nicht absehbar. Generell finde ich das Minimalprinzip garnicht so verkehrt.

Danke auch für den weiteren Hardwareüberblick.
Print
Go Up Pages 1 2
User actions