Hardware "zukunftsorientiert" // Noob =)

[High-Tower]

Hallo zusammen,

bin neu hier im Forum und beschäftige mich erst seit ~3Monaten intensiver mit Firewall und der genauen Aufgaben und Funktion.
War bisher immer der Meinung, dass es die Hardware, wo vom Provider kommt, schon richtet, aber da es im näheren Freundeskreis doch mehr mit Angriffen und auch Zugriffe auf Private Daten erleben durfte, lese und Arbeite mich in das Thema ein und will auch schnellst möglich handeln.

Aktuell besitze ich einen Telekom Hybrid Anschluss (ja auch mit dem Speedport Hybrid *WÜRG*) mit Max 16 Down und 6 Up (wirklich Max, das hab ich noch nie erreicht). Zukünftig (in den nächsten ~2 Jahren (oder auch 5 Jahre *Ironie*) wird bei uns Glasfaser (Wahrscheinlich NetCom) endlich mal verlegt und es kann eine 300 Down / 60 Up Leitung gebucht werden.

Zu den Thypischen "Firewall" Aufgaben liegt mein Augenmerk auch auf Wireguard (VPN) gerade für RDP Verbindungen auf meinem Unraid Server (max. 2-3 Gleichzeitig (wenn ne bessere Internet-Verbindung vorhanden ist) und Zugriff auf Dateien von Unterwegs.
Eine Blacklist für Domain "blocking" bräuchte ich ebenso (auch für den "Schutz" meiner Kinder, um einfach Inhalte und Seiten zu blocken) und IDS wäre, denk ich sicherlich von Vorteil (aber wie ich auch gelesen hab, sehr CPU hungrig).
DHCP denk ich brauch ich nicht erwähnen.....

Aktuell ist an dem Speedport Hybrid ein großer POE+ 48Port Aruba Switch (4x SFP+) wo alles Managed im Haus (Server, Cams, AP´s, HomeSPS)

Gedanken über eine Virtuelle OPNSense Maschine (und oder Docker) hatte ich mir auch schon gemacht, will das aber dediziert belassen.

Leider hab ich noch einige Fragen, wo ich hoffe, dass ich gedankenanstöße bekomme und/oder Antworten =)

Wenn ein Glasfaseranschluss (in zukunft) verlegt wird, wird wahrscheinlich auch ein Medienkonverter installiert (wo wieder Strom benötigt).
Frage daher, ob ich, durch einsatz "richtiger" Hardware für die OPNSense evtl. den Medienkonverter (in Zukunft) und das Modem weg lassen kann, oder ob man trotz alledem zumindest ein Modem benötigt und / oder auch ein Medienkonverter für den LWL Anschluss.

Dann stellt sich natürlich die Frage, welche Hardware für das Thema?! Dieser "Computer" hat einzig das OPNSense installiert.
Wie ich es gelesen habe, sind Prozessoren mit HT Technik nicht Hilfreich für OPNSense, d.h. eine Core mit Quad Core wäre Hilfreich.

Zur frage welche Hardware, wäre hierfür folgende Modell in Ordnung (ohne einen SFP / LWL Anschluss):

https://www.thomas-krenn.com/de/produkte/low-energy-systeme/les/les-v3.html
oder
https://www.amazon.de/Zotac-Barebone-mini-PC-quad-core-Graphics/dp/B07H569HM2/ref=sr_1_1?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&dchild=1&keywords=zotac&qid=1611568567&sr=8-1
oder
https://www.amazon.de/Zotac-Barebone-i3-8130U-dual-core-Graphics/dp/B07H57PNTC/ref=sr_1_5?__mk_de_DE=%C3%85M%C3%85%C5%BD%C3%95%C3%91&dchild=1&keywords=zotac&qid=1611568567&sr=8-5
oder
https://de.aliexpress.com/item/1005001290787585.html?spm=a2g0s.9042311.0.0.6da14c4djFM9KH
mit dem i5 8265U // 8GB RAM // 128GB SSD

bei den Zotac Geräten weis ich leider nicht, welcher Ethernet Controller Installiert ist, hatte bisher immer nur schlechte Erfahrungen mit Relatek´s gemacht, daher kommen nurnoch Intel in Frage.

Die APU Geräte wären dafür wahrscheinlich nicht ausreichend?!

Für Selbstbau bin ich gerne bereit, jenachdem ob es möglich ist mit einem SFP+ Anschluss und das weglassen eines Medienkonverters und Modems...

Hoffe das ich nichts vergessen habe und habt bitte nachsicht für einen Noob wie mich.

Danke schon mal im Voraus.

Viele Grüße
High-Tower

[k0ns0l3]

Ich glaube, dass könnte auch für Dich interessant sein :

https://www.ipu-system.de/

 Gruß 

[Gauss23]

Je nach Budget würde ich mir ggf. auch was stärkeres anschauen. Die AMD EPYC 3000er SoCs sehen ziemlich interessant aus. Ich werde damit demnächst mal was aufbauen.

Gibt es von SuperMicro z.B.:
https://www.supermicro.com/en/products/motherboard/M11SDV-4CT-LN4F

Das ist die kleinste EPYC CPU der Reihe. Das Board liegt bei um die 400 Euro (mit der größten CPU der Reihe kommt das Board allein bei 650€). Mit den restlichen Komponenten liegt man dann bei rund 650€. Je nach System, kosten die IPU Systeme ähnlich viel und haben zum Teil uralte (und im Vergleich schwache) CPUs. Und dann auch noch Intel CPUs, bei den Hyper-Threading wegen der Sicherheitspatches gegen die gravierenden Sicherheitslücken in der Vergangenheit in den meisten Systemen quasi wirkungslos wird.

Weiterer Vorteil ist IPMI/BMC. D.h. egal wo das Gerät steht, Du hast Zugriff auf das System als würdest du davor stehen. Isos zum Booten einhängen, kein Problem.

Das Ganze ist natürlich weniger sparsam was den Energieverbrauch angeht. Je nach Ausstattung wird so ein System um die 25W verschlucken. Alleine IPMI nimmt sich 5W. Dafür hat man auch um Welten mehr Leistung. Man kann ggf. sogar noch eine 10g Netzwerkkarte nachrüsten.

Den Medienkonverter vom Anbieter würde ich allerdings nicht unbedingt ablösen.

[High-Tower]

Danke schon mal für die Anregungen.
IPMI hatte ich in den letzten 3 Jahren 1 mal benötigt in der Arbeit. Ansonsten noch nie....
Im Privat segment würde ich das mal außer Acht lassen....

Mine Idee bis jetzt (Selbstbau):
- AMD A12-9800E, 4C/4T (TDP 35W)
- ASRock A320M-ITX (mit 1x Intel GBit)
- Crucial DIMM Kit 8GB, DDR4-2400
- LC-Power LC-1360II, 90W FlexATX Gehäuse
- 1x Netzwerkkarte (wahrscheinlich ne Intel X520 SFP+)
- Intenso Top Performance SSD 128GB

So komm ich auf ca ~400€ und hab, meiner Meinung nach, ein Performantes System wo man auch mal Komponenten, bei einem Defekt, austauschen kann...
Mit dem internen Nic dann auf den Speedport Hybrid (bis jetzt noch und später dann auf den Medienkonverter) und mit der X520XT auf meinen Aruba SFP+ Anschluss...

Was meint ihr?! Schlechte Idee!?

[Gauss23]

Wenn man gut an die Firewall rankommt und dort auch mal Bildschirm, Tastatur und Maus anschließen kann, bzw die Box einfach woanders hinstellen kann zum Debuggen ist IPMI definitiv überflüssig. Ich halte es für einen Komfortgewinn, vor allem, wenn die Box schlecht zugänglich verbaut ist.

Zu Deiner CPU: die ist auch schon wieder 4 Jahre alt und reißt laut Benchmarks keine Bäume aus.
https://www.cpubenchmark.net/cpu.php?cpu=AMD+PRO+A12-9800E&id=2944

Spielt die Geräuschkulisse für Dich eine Rolle? Dann müsstest Du dich nicht auf eine 35W TDP CPU einschränken.

ASRock als MB Hersteller für ein 24/7 Gerät, da hab ich auch keine guten Erfahrungen mit gemacht.

Warum spielt SFP+ so eine große Rolle? Was willst Du mit 10GBit auf einer Firewall, wo nur 300/30 zum WAN gehen? Wenn Du darüber per VLANs richtig Traffic zwischen 2 Netzwerken routen und inspizieren willst, wird je nach Funktionsauswahl die gewählte CPU nicht reichen. Daher sehe ich Deiner Zusammenstellung keinen Sinn.

Hast Du OPNsense schon benutzt und ausprobiert? Das kann man prima in einer VM tun bevor man unnötig Geld in Hardware versenkt.

[micneu]

Also, ich kann die NRG Systeme empfehlen

https://www.ipu-system.de

besonders die IPU672 bis IPU885

Das System habe ich selber

https://www.ipu-system.de/produkte/ipu675.html




Gesendet von iPad mit Tapatalk Pro

[Thomas]

Ich kann Dir auch die NRG Systeme empfehlen. Ich habe den IPU882 vor kurzem gekauft.

[High-Tower]

Vielen Dank für die Vorschläge.

Da ich noch einige Sachen übrig habe von meinen vorherigen Selbstbau NAS (Unraid) hab ich mich entschlossen auch eine OPNSense selber zu bauen (mit neuerer Hardware).
Gekauft hab ich nun:
- Asrock j5040 mITX (Pentium Silver J5040 Gemini lake mit Intel AES New Instructions) (10W TDP)
- 16 GB Hyper X DDR4 2400 (Mainboard und Sockel sollen anscheinend offiziell nur 8GB können, aber einige User haben davon berichtet, dass die 16GB im BIOS und unter Win erkannt und eingesetzt werden)

Was ich noch habe:
- Server Rack Gehäuse
- Netzteil (300watt)
- 120GB Samsung SSD
- Dual Intel 82576 Gigabit Netzwerkkarte PCIe 2.0 x1

so komm ich nun auf ca. ~220€ (Neuteile).
Sollte das Board mal einen Defekt haben, kann ich dies austauschen. Genauso die PCIe.

Hab eigentlich ein Patent gegen Ars...Rock... aber bei dem Preis und 2 Jahre Garantie, riskiere ich es.....
So sollte ich auf jeden Fall genug Power haben für den Anfang und schau mal, wie weit ich damit komme =)

Vielen Dank noch mal für die Hilfe   

[fiR3W4LL87]

Hey High-Tower

Bist du zufrieden mit dem j5040 von Asrock?`
Ich überlege mir mehr oder weniger den gleichen Build zu bauen.

Möchte div. Plugins installieren so wie max 15 VLANS inkl. DHCP verwalten können. Ich erhalten von meinem ISP 600mbits download und 120 upload aber bald wird bei uns Giga down und Giga up installiert. Somit wäre ich froh wenn die Leistung dann nicht fehlt

Grüsse

[micneu]

@fiR3W4LL87 bei deinem vorhaben mit 15 VLANS (auf einem interface, so habe ich es verstanden) könnte ich mir vorstellen das deine bandbreite doch leiden wird (bei sowas würde ich ja schon ehe zu was greifen mit 10GBit/s Interface) meine persönliche meinung

[mimugmail]

Also, ich kann die NRG Systeme empfehlen

https://www.ipu-system.de

besonders die IPU672 bis IPU885

Das System habe ich selber

https://www.ipu-system.de/produkte/ipu675.html




Gesendet von iPad mit Tapatalk Pro

Wie lang arbeitet ihr schon mit den Systemen? Langzeiterfahrung? Wie ist bei denen der Support?

[Tuxtom007]

Wie lang arbeitet ihr schon mit den Systemen? Langzeiterfahrung? Wie ist bei denen der Support?

Ich nutze seit genau 1 Jahr jetzt einen IPU-System, das Modell gibt es allerdings nicht mehr, bzw. einen Nachfolger davon mit 2,5GBit-Interfacen.

Erfahrungen Support:  brauchte ich bisher nicht.

Bei der Bestellung ist was schief gegangen, mir wurde das Core-i5 anstelle des bestellten Core-i7 System zugeschickt, das ich den damals aber für Proxmox nutzen wollen, hab ich das zurückgestellt und erst die OPNSense aufgebaut.  Der Differenzbetrag wurde mir sofort und problemlos erstattet.
Was daher kein Thema.

Das System läuft bei mir einwandfrei, der Core-I5 hat genug Power für meinen GBit-Anschluss, mehr 20 bis 25% CPU-Load bekommen ich nicht hin.
Mir ist nur vor kurzem die SSD kaputtgegangen, die hatte ich aber nicht mitbestellt sondern aus eigenem Bestand genommen, die war also nicht mehr neu.
Neue SSD eingebaut, OPNSense neu installiert und Config-Backup eingespielt, lief wieder.

Ich würde das NPU-System auf jeden Fall wieder kaufen, dann aber ggf. sogar als Rack-Modell und mit kleinere CPU, ein Core-I3 reicht da auch locker aus.

[mimugmail]

Danke dir