Wo und wie fange ich nur an...?

[micneu]

Um nochmal auf das Thema Hardware zurück zu kommen - ich habe mir kürzlich eine FW6B von Protectli besorgt (https://protectli.com) und bin sehr zufrieden. Super verarbeitet und montiert - läuft 1a.

das ist mein System2, nur habe ich damals meine hardware bei aliexpress gekauft.

[monstermania]

@inkasso
Ich habe jetzt nicht alle Beiträge en Detail gelesen, möchte aber meine Sichtweise als Denkanstoß beitragen.

Ich würde mir keine "Rechenleistung" langfristig auf Vorrat kaufen! Nur weil es in Deinem Anschlussbereich möglicherweise mal Gigabit geben könnte und ich z.B. OpenVPN machen will, würde ich mir jetzt noch keine HW anschaffen, die dass dann auch in 2 Jahren (noch) schafft. In den 2 Jahren gibt es dann wieder ganz andere Hardware für gas Gleiche oder sogar weniger Geld!
Kauf Dir jetzt eine vernünftige Einstiegslösung und komm erst einmal an und lerne die Möglichkeiten von OPNsense kennen. Die bereits genannten APU2D4 bekommst Du komplett für ~ 200€ neu.
Wenn Du etwas Zeit hast, kannst Du auch bei ebay nach einem Securepoint BlackDwarf G3 oder einer 100/200G3 schauen. Gebraucht bekommt man die Securepoint mit etwas Glück für nen schmalen Taler (~100€). Die sind mit dem Atom E38x5 und 4GB RAM auch ein guter Einstieg.
Achtung: Von den häufig angebotenen BlackDwarfG2 bzw. 100/200G2 würde ich inzwischen die Finger lassen!
Ach ja, Überleg genau, wie viele LAN Ports Du wirklich benötigst (>4 LAN Porst wird es i.d.R. immer teuer). OPNsense kommt prima mit VLAN zurecht, so dass man problemlos mehrere Netzwerksegmente per VLAN auf einen Port laufen lassen kann. Gerade bei WLAN absolut üblich, dass man das interne Netz und das Gäste-WLAN über einen Port und VLAN laufen lässt.

Du wirst ja wahrscheinlich von der Telekom einen Router gestellt bekommen (allein schon wegen Telefonie). Sollte das eine AVM FritzBox sein, spricht m.E. überhaupt nichts dagegen diese weiter zu nutzen. Machen hier neben mir einige so. FritzBox für Telefonie und die OPNsense läuft als Exposed Host  an der FritzBox und kümmert sich um Alles andere. Hat auch den charmanten Vorteil, dass man zur not mal eben über die Fritte ins Internet gehen kann, wenn es mit der OPNsense mal hakt.  ;)
EDIT: Gauss23 hat das Thema ja bereits ausführlich dargelegt.

Zum WLAN ist ja bereits gesagt worden, lass von FW-internen WLAN-Lösungen die Finger!!! Im SOHO Umfeld habe ich sehr gute Erfahrungen mit WLAN-AP (Access Points) von Ubiquiti gemacht. Sehr einfach zu konfigurieren und laufen sehr stabil. Gerade Dinge wie Band Steering und WLAN-Handover möchte man nicht mehr missen, wenn man das mal genutzt hat. Ist schon genial, mit seinem Tablet vom Keller in den Garten zu laufen, ohne dass die Videokonferenz abbricht.
Sogar noch etwas günstiger sind AP von Mikrotik. Aber leider ist die Lernkurve bei Mikrotik recht steil! Bei Mikrotik lässt sich jede Kleinigkeit konfigurieren. Nur leider muss eben auch jede Kleinigkeit konfiguriert werden.  ;D Da kommt schnell Frust auf.

Und dann noch etwas Grundsätzliches zum Thema FW. Nicht Alles was geht, macht auch in jedem Umfeld wirklich Sinn! Stell Dir immer die Frage, was Du überhaupt erreichen kannst (techn. Wissen) und wirklich erreichen willst. Ein Voll-Ausgerüstete FW mit allen möglichen Optionen ist ein fulltime Job! Wir haben in der Fa. 2 Kollegen, die sich ausschließlich um FW/Security kümmern. Das braucht man nicht im SOHO. Zumal ich gesehen habe, dass Du nach Außen hin keine Dienste anbieten willst. Und bisher scheinst Du ja mit der Lösung "Brain" auch nicht schlecht gefahren zu sein.  ;) Eine FW ist immer nur ein Baustein eines ganzen Sicherheitskonzepts. Und ich hatte etwas gelesen von Windows7 und Office 2000. :o Was nutzt Dir die FW, wenn Du Dich mit einem inzwischen unsupportetem BS und einem uralten Office dann noch per VPN in ein Firmennetz einwählst!? Sorry, aber da fehlt mir dann jegliches Sicherheitsbewustsein sowohl Deines AG als auch von Dir.

Gruß
Dirk

[inkasso]

Das wird dann aber mit der Fritzbox schwierig. Die Zeiten in denen die FritzBox zum DSL Modem umfunktioniert werden konnten sind offenbar vorbei. Du kannst wie gesagt an der OPNsense dann Regeln anlegen für diese Geräte aus dem Fritzbox-WLAN (statische DHCP Leases helfen dabei) anlegen, um die Zugriffe, die diese Geräte benötigen zuzulassen.

Wenn das für Dich keine Option ist, würde ich Dir direkt zum Kauf einer WLAN-Lösung wie der Unifi-Serie von Ubiquiti raten. Dann kannst Du das konfigurieren wie Du magst mit mehreren SSIDs, die dann in unterschiedlichen VLANs landen.

Hmmm... Das hat mich nun echt überrascht. Ich fange an, die Fritzbox immer weniger zu mögen. Früher waren die mal toll - inzwischen gehen die aber immer mehr in Richtung "für Ahnungslose" und beschneiden die Möglichkeiten.

Ich hab hier noch eine alte 3270er Fritzbox. Da muss ich aber erstmal schauen, was das Modem überhaupt mitmacht.

Aprospos VLANs: VLAN-fähiges Switch ist vorhanden?

Ja, einen Managed Switch mit 8 Ports habe ich. Leider aber auch noch einen älteren 32 Port, der zumindest nicht offiziell VLAN fähig ist. Man behauptet, er würde die Frames durchlassen - aber das will ich glaub ich gar nicht erst ausprobieren. der wird dann auch irgendwann abgelöst werden. Bis dahin muss ich mit den sich ergebenden Einschränkungen leben.

Ich finde es nicht doof. Wenn man kein doppeltes NAT hat, hat man keine echten Nachteile. Das Fritzbox-Netz, was vor der OPNsense liegt, betrachtet man einfach als DMZ. Entertain Geräte und anderen Krempel, den man nicht im Griff hat aber Internetzugriff benötigt, rein und gut is.

Das war auch nicht aufs doppelte NAT bezogen. Das würd ich auch vermeiden wollen.
Die Firewall soll u.A. aber den Entertainment-Geräten einen Maulkorb verpassen, nach dem Motto: ihr wollt ins Internet? Gut... ich sag euch wohin ihr dürft und wohin nicht.

Ferner werden die Geräte auch über das sichere (W)LAN gesteuert. Ist also leider auch nicht ganz so trivial zu lösen, wie ichs gern hätte.

Die OpenVPN Clients würde ich auf den Clients belassen, wenn diese tatsächlich jeweils nur einen Rechner bedienen. Die zusätzlich NAT-Ebene macht da mehr Probleme, als Du damit löst.

Die IPSec Verbindung könnte man auf der OPNsense terminieren. Ist aber vermutlich keine Site-to-Site Verbindung, oder? Wenn nicht Site-to-Site musst Du wieder NATten. Muss man abwägen.

Gut, ich hab kein Problem mit den openVPN Clients - die laufen ja schließlich sauber vor sich hin und ich hatte nie Theater damit. Denke demnächst wird hier zumindest vorübergehend noch eine weitere Verbindung dazu kommen. (Arbeitgeber hat vorübergehend einen weiteren Standort)

Die IPSecs sind IPSecs, weil es so am Einfachsten zu konfigurieren war. Gegenstelle hat feste IP, aber eben auch nur eine Fritzbox... Letztendlich greift man nur auf eine einzelne NAS im Zielnetz zu.

Ich bin von dem Setup überzeugt, da es einem kostengünstig den Einstieg in die OPNsense Welt ermöglicht. Und man kann sich Stück für Stück an weitere Themen rantrauen. Ich hatte mal ein Setup ohne die Fritzbox und hatte nur Ärger mit dem IGMP Entertaintraffic und die SIP Funktionen von einer kleinen Gigaset-Anlage fand ich auch nicht so überzeugend.

Na ich stelle es mal sicherheitshalber klar: ich habe und bekomme kein Entertain, kein Netflix, kein was auch immer. Solange ich unfreiwillig das GEZ PayTV habe, gibt es kein anderes für mich.

Entertainment Geräte: Smart TV, Spielekonsole, BluRay Player - die wollen alle ins Internet und überwiegend sehe ich aktuell kaum gute Gründe dafür. Updates... ja. Sonst eher nichts. Und ja... ich gehör nach wie vor zu der Fraktion die lieber Single Player offline spielen.

Da die Konsole aber auf Internet besteht zum Funktionieren und der Fernseher nicht über das Netzwerk steuerbar ist, wenn man ihm keinen Netzwerkanschluss gibt, macht es auch wenig Sinn, kein Kabel einzustöpseln... Und der BluRay Player weint mir immer alle 10 Sekunden einen vor, wenn er kein Kabel hat.

Die Fritzbox hat m.E. ein gutes (V)DSL Modem drin und stellt die Internetverbindung stabil zur Verfügung. Auch die Telefonie-Funktionen sind sehr brauchbar. Gerade Fax und co nachzubauen ist doch ziemlich nervig. Ich habe meine Fritzbox sogar als SIP-Gateway eingerichtet und habe per VPN von unterwegs eine SIP Verbindung zu dieser. D.h. eine Nebenstelle auf einer Telefonnummer ist mein Smartphone. Funktioniert alles über die ergänzenden Möglichkeiten der OPNsense, die hinter der Fritzbox steht.

Zumindest am Anfang werde ich es sicher auch so konfigurieren müssen. Die erste Neuanschaffung wird dann nach der Firewall aber wohl am Ehesten ein separates Modem sein (entweder VDSL oder Glasfaser).

[Gauss23]

Hmmm... Das hat mich nun echt überrascht. Ich fange an, die Fritzbox immer weniger zu mögen. Früher waren die mal toll - inzwischen gehen die aber immer mehr in Richtung "für Ahnungslose" und beschneiden die Möglichkeiten.

Ich hab hier noch eine alte 3270er Fritzbox. Da muss ich aber erstmal schauen, was das Modem überhaupt mitmacht.

Mach Dir Gedanken wie du das mit der Telefonie löst, bevor Du Deine jetzige Fritzbox in die Rente schickst. Man kann die Fritzbox auch als IP Client laufen lassen und die SIP Zugangsdaten dort hinterlegen, um die Telefonie weiter darüber laufen zu lassen.

Das war auch nicht aufs doppelte NAT bezogen. Das würd ich auch vermeiden wollen.
Die Firewall soll u.A. aber den Entertainment-Geräten einen Maulkorb verpassen, nach dem Motto: ihr wollt ins Internet? Gut... ich sag euch wohin ihr dürft und wohin nicht.

Ferner werden die Geräte auch über das sichere (W)LAN gesteuert. Ist also leider auch nicht ganz so trivial zu lösen, wie ichs gern hätte.

Das kannst Du ja machen. Eigenes VLAN für solche Geräte hinter der OPNsense anlegen und los. Wenn diese aber per WLAN ins Netz wollen, brauchst Du eine andere WLAN Lösung als die der internen Fritzbox. Dann kannst du auf diesen Netzen auch Port-Isolation aktivieren, damit die Geräte nur mit der OPNsense sprechen dürfen und nicht mit anderen Geräten im selben VLAN.

Gut, ich hab kein Problem mit den openVPN Clients - die laufen ja schließlich sauber vor sich hin und ich hatte nie Theater damit. Denke demnächst wird hier zumindest vorübergehend noch eine weitere Verbindung dazu kommen. (Arbeitgeber hat vorübergehend einen weiteren Standort)

Die IPSecs sind IPSecs, weil es so am Einfachsten zu konfigurieren war. Gegenstelle hat feste IP, aber eben auch nur eine Fritzbox... Letztendlich greift man nur auf eine einzelne NAS im Zielnetz zu.

Dann kann man das an der OPNsense terminieren lassen und per NAT drauf zugreifen.

Na ich stelle es mal sicherheitshalber klar: ich habe und bekomme kein Entertain, kein Netflix, kein was auch immer. Solange ich unfreiwillig das GEZ PayTV habe, gibt es kein anderes für mich.

Entertainment Geräte: Smart TV, Spielekonsole, BluRay Player - die wollen alle ins Internet und überwiegend sehe ich aktuell kaum gute Gründe dafür. Updates... ja. Sonst eher nichts. Und ja... ich gehör nach wie vor zu der Fraktion die lieber Single Player offline spielen.

Da die Konsole aber auf Internet besteht zum Funktionieren und der Fernseher nicht über das Netzwerk steuerbar ist, wenn man ihm keinen Netzwerkanschluss gibt, macht es auch wenig Sinn, kein Kabel einzustöpseln... Und der BluRay Player weint mir immer alle 10 Sekunden einen vor, wenn er kein Kabel hat.

Wie ich oben schon schrieb, in ein eigenes VLAN und Port-Isolation an. Am besten mit Ubiquiti Hardware. Switch+AP

Zumindest am Anfang werde ich es sicher auch so konfigurieren müssen. Die erste Neuanschaffung wird dann nach der Firewall aber wohl am Ehesten ein separates Modem sein (entweder VDSL oder Glasfaser).

Bei der Glasfaser der Telekom (Privatbereich) kannst Du m.E. die OPNsense direkt per Ethernet an den ONT anschließen und per PPPoE die Einwahl machen. Denk dabei an VLAN-ID 7.

[inkasso]

@inkasso
Ich habe jetzt nicht alle Beiträge en Detail gelesen, möchte aber meine Sichtweise als Denkanstoß beitragen.

Danke! Genau darum hab ich ja überhaupt angefangen was zu schreiben :)

Ich würde mir keine "Rechenleistung" langfristig auf Vorrat kaufen! Nur weil es in Deinem Anschlussbereich möglicherweise mal Gigabit geben könnte und ich z.B. OpenVPN machen will, würde ich mir jetzt noch keine HW anschaffen, die dass dann auch in 2 Jahren (noch) schafft. In den 2 Jahren gibt es dann wieder ganz andere Hardware für gas Gleiche oder sogar weniger Geld!
Kauf Dir jetzt eine vernünftige Einstiegslösung und komm erst einmal an und lerne die Möglichkeiten von OPNsense kennen. Die bereits genannten APU2D4 bekommst Du komplett für ~ 200€ neu.

Wenn Du etwas Zeit hast, kannst Du auch bei ebay nach einem Securepoint BlackDwarf G3 oder einer 100/200G3 schauen. Gebraucht bekommt man die Securepoint mit etwas Glück für nen schmalen Taler (~100€). Die sind mit dem Atom E38x5 und 4GB RAM auch ein guter Einstieg.
Achtung: Von den häufig angebotenen BlackDwarfG2 bzw. 100/200G2 würde ich inzwischen die Finger lassen!
Ach ja, Überleg genau, wie viele LAN Ports Du wirklich benötigst (>4 LAN Porst wird es i.d.R. immer teuer). OPNsense kommt prima mit VLAN zurecht, so dass man problemlos mehrere Netzwerksegmente per VLAN auf einen Port laufen lassen kann. Gerade bei WLAN absolut üblich, dass man das interne Netz und das Gäste-WLAN über einen Port und VLAN laufen lässt.

Bekommt man denn auf die Securepoint Geräte beliebige Software drauf? Ich frag, weil mir Securepoint ein Begriff ist - haben wir in der Firma. Finde ich aber verdammt träge und Umständlich in der Bedienung. Denke aber, wenn du sagst von G2 die Finger lassen, dass dies auch der Grund dafür ist... Wir haben da noch eine der ersten Generation.

Du wirst ja wahrscheinlich von der Telekom einen Router gestellt bekommen (allein schon wegen Telefonie). Sollte das eine AVM FritzBox sein, spricht m.E. überhaupt nichts dagegen diese weiter zu nutzen. Machen hier neben mir einige so. FritzBox für Telefonie und die OPNsense läuft als Exposed Host an der FritzBox und kümmert sich um Alles andere. Hat auch den charmanten Vorteil, dass man zur not mal eben über die Fritte ins Internet gehen kann, wenn es mit der OPNsense mal hakt.  ;)
EDIT: Gauss23 hat das Thema ja bereits ausführlich dargelegt.

Ok... den Absatz hab ich jetzt 3x neu geschrieben, weil sich mir bei dem Vorschlag die Fußnägel kräuseln...
Sagen wir einfach: freiwillig kommt mir keine Hardware der Telekom ins Haus. Deswegen hab ich hier auch kein Hybrid LTE, obwohl das seit 2-3 Jahren ginge und wenigstens ein wenig mehr Speed gebracht hätte. Alles Weitere, was ich dazu zu sagen hätte, gehört nicht in diesen Thread.

Zum WLAN ist ja bereits gesagt worden, lass von FW-internen WLAN-Lösungen die Finger!!! Im SOHO Umfeld habe ich sehr gute Erfahrungen mit WLAN-AP (Access Points) von Ubiquiti gemacht. Sehr einfach zu konfigurieren und laufen sehr stabil. Gerade Dinge wie Band Steering und WLAN-Handover möchte man nicht mehr missen, wenn man das mal genutzt hat. Ist schon genial, mit seinem Tablet vom Keller in den Garten zu laufen, ohne dass die Videokonferenz abbricht.
Sogar noch etwas günstiger sind AP von Mikrotik. Aber leider ist die Lernkurve bei Mikrotik recht steil! Bei Mikrotik lässt sich jede Kleinigkeit konfigurieren. Nur leider muss eben auch jede Kleinigkeit konfiguriert werden. ;D Da kommt schnell Frust auf.

Das schöne ist, dass wir uns hier bereits einig sind :)
Quasi "nebenbei" erwähnte mein Chef, dass wir demnächst einen größeren Standort haben und dass ich mich dort um "vernünftiges Netzwerk" kümmern soll. Jahrelang hab ich ihm gesagt, was hier daneben läuft und warum und leider wusste er am Anfang alles besser. Inzwischen vertraut er meinem Urteil erheblich mehr und einige Probleme konnte ich auch beseitigen. Und bezüglich WLAN kam er mit "ich hab mal in meiner Business-Facebook-Gruppe rumgefragt und alle hätten Ubiquiti gerufen". Ich hatte noch nicht die Gelegenheit, mir das näher anzusehen, aber jetzt wo ich selbiges auch hier schon mehrfach gelesen habe, gehe ich davon aus, dass da was dran ist.

Und dann noch etwas Grundsätzliches zum Thema FW. Nicht Alles was geht, macht auch in jedem Umfeld wirklich Sinn! Stell Dir immer die Frage, was Du überhaupt erreichen kannst (techn. Wissen) und wirklich erreichen willst. Ein Voll-Ausgerüstete FW mit allen möglichen Optionen ist ein fulltime Job! Wir haben in der Fa. 2 Kollegen, die sich ausschließlich um FW/Security kümmern. Das braucht man nicht im SOHO. Zumal ich gesehen habe, dass Du nach Außen hin keine Dienste anbieten willst. Und bisher scheinst Du ja mit der Lösung "Brain" auch nicht schlecht gefahren zu sein.  ;) Eine FW ist immer nur ein Baustein eines ganzen Sicherheitskonzepts. Und ich hatte etwas gelesen von Windows7 und Office 2000. :o Was nutzt Dir die FW, wenn Du Dich mit einem inzwischen unsupportetem BS und einem uralten Office dann noch per VPN in ein Firmennetz einwählst!? Sorry, aber da fehlt mir dann jegliches Sicherheitsbewustsein sowohl Deines AG als auch von Dir.

Bezüglich Dienste nach außen... für mich privat werde ich einen OpenVPN Server betreiben, damit ich von unterwegs auf gewisse Daten zugreifen kann. Quasi Owncloud zu Hause. Sonst ist hier nichts geplant, da nicht notwendig.

Klar hast du mit dem Windoofs Recht. Ich würde eigentlich liebend gern ganz darauf verzichten - lebe aber leider in einer Windows Welt. Und von der Seite "Sicherheit" ist es natürlich sträflich, wenn man Betriebssysteme nutzt, für die es gar keine Sicherheits-Updates mehr gibt. Ich hab das Update auf Win10 so lange herausgeschoben wie es ging, weil Microsoft meint, dass ein PC Betriebssystem so aussehen und sich so verhalten muss, wie ein Betriebssystem für Tablets. Und da bin ich definitiv anderer Meinung. Und die Probleme die ich täglich mit meinem Win10 habe, geben mir Recht. Und mit dem Office ist es leider nicht anders.

Und in Sachen Zeitaufwand für die FW: ich denke mal, es geht mit viel los und endet mit "läuft fast von allein". Die lokale Situation ändert sich ja nicht so oft und wenn man mal alles beisammen hat, was man möchte, dann kommt irgendwann der Punkt, wo man sich einfach nur freut, dass es "fertig" ist. Vor 20 Jahren hätte das bei mir noch ganz anders ausgesehen :D

Gruß

Dirk

Schönen Gruß zurück!

[inkasso]

Um nochmal auf das Thema Hardware zurück zu kommen - ich habe mir kürzlich eine FW6B von Protectli besorgt (https://protectli.com) und bin sehr zufrieden. Super verarbeitet und montiert - läuft 1a.

das ist mein System2, nur habe ich damals meine hardware bei aliexpress gekauft.

Ohne das gerade irgendwie werten zu wollen - ich hab erst am Wochenende Zeit es mir in Ruhe nochmal anzusehen: warum ist sämtliche vorgeschlagene Hardware eigentlich immer aus Übersee? Gibts in Europa keinen Markt dafür? Immer wenn ich nach Angeboten suche kommt entweder was aus China oder was aus den USA hoch. Ganz selten auch mal was von einem EU Standort. Wundert mich - das hatte ich noch nie bei der Beschaffung von Elektronik.

[mimugmail]

Die Hardware kommt im Endeffekt immer aus China/Asien, ganz egal ob den Händler der an dich verkauft in DE/EU oder CN sitzt.

Wenn du dem Projekt was Gutes tun willst kaufst du was von Applianceshop oder von den OPNsense Partnern (Thomas Krenn und Landitec/scope7)

[franco]

Fairerweise muss man sagen der Deciso A10 wird tatsächlich in Holland bestückt, deswegen ist auch der Preis höher.

Habe es selbst gesehen. ;)


Grüsse
Franco

[monstermania]

Zum Thema Securepoint HW.
Securepoint selbst stellt ja keine HW her, sondern nutzt OEM-Produkte. Früher wurden Barebones von Lexcom genutzt. Inzwischen nutzt Securepoint für den BlackDwarf bzw. die 100/200 Serie Barebones von AAEON (FWS-225x). Da es sich dabei prinzipiell um 08/15 x86 Hardware handelt, lässt sich problemlos auch eine beliebige FW-Distribution installieren. Ich habe hier diverse SP-Hardware mit OPNsense am laufen.
Es lassen sich auch FW von Sophos sowie Gateprotect mit OPNsense bestücken. Allerdings sind m.E. nach die Preise für gebrauchte Sophos Hardware höher als bei Securepoint.  :)
Und wie bereits geschrieben, so eine APU4D4 gibt es für ~ 200€

Ich habe hier eine FritzBox, die wir kostenlos von unserem Kabelnetzbetreiber zur Verfügung gestellt bekommen haben. Das Ding ist locked, wird also durch den Netzbetreiber mit FW-Updates versorgt, was sogar mal am Sonntag Nachmittag passiert ist. Dachte erst, Holy Shit, jetzt ist die OPNsense abgeschmiert, weil das I-Net plötzlich weg war. War aber 'nur' das FW-Update! Kann man so etwas nicht nachts einspielen!  >:(
Egal, Jeder wie er mag und Du willst halt partout keine Provider-HW.

Die Anschaffung eines Samsung Smart-TV war auch die Initialzündung für mich, sich mit einer eigenen FW zu Hause zu beschäftigen. Das Teil ist wirklich so etwas von gesprächig... Aber dank OPNsense kein Problem. Hin und wieder hakt es mal mit den Mediatheken, insbesondere bei Sat.1/Pro7, da es hier immer wieder Probleme mit dem Werbeblockern gibt.

[Gauss23]

Wenn wir schon beim Thema Hardware sind.
Ich finde diese Box interessant:
https://www.senetic.de/product/SYS-E200-9B

Selbst im Einsatz hab ich sie noch nicht, habe es aber vor.

Ram und SSD machen nochmal 60€ aus. Ist leider nicht passiv gekühlt und der eingebaute Lüfter ist wohl etwas laut, kann man aber gegen etwas leiseres tauschen. Komplett geräuschlos wird die Box wohl aber nicht. Je nach Standort möglicherweise ein NoGo.

Die CPU kann alles was man für einen SOHO Einsatz benötigt.

Toll ist das vorhandene IPMI. Damit kann man die Box noch ansprechen, wenn OPNsense abgestürzt oder aus anderen Gründen nicht mehr erreichbar sein sollte.

[inkasso]

Die Hardware kommt im Endeffekt immer aus China/Asien, ganz egal ob den Händler der an dich verkauft in DE/EU oder CN sitzt.

Wenn du dem Projekt was Gutes tun willst kaufst du was von Applianceshop oder von den OPNsense Partnern (Thomas Krenn und Landitec/scope7)

Das war ja auch gar nicht damit gemeint. Das Hardware fast ausschließlich in fernOst hergestellt wird, ist mir klar. Nur für gewöhnlich bekommt man alles, was man sonst so kauft, vom europäischen Markt. Mich hat gewundert, dass es hier eben überwiegend nicht so ist.

[inkasso]

Zum Thema Securepoint HW.
Securepoint selbst stellt ja keine HW her, sondern nutzt OEM-Produkte. Früher wurden Barebones von Lexcom genutzt. Inzwischen nutzt Securepoint für den BlackDwarf bzw. die 100/200 Serie Barebones von AAEON (FWS-225x). Da es sich dabei prinzipiell um 08/15 x86 Hardware handelt, lässt sich problemlos auch eine beliebige FW-Distribution installieren.

Gut zu wissen, falls wir mal eine Securepoint ausmustern, die nicht überaltert ist. Vielleicht empfehle ich meinem Chef diesmal aber auch etwas aus dem hiesigen Business Bereich. Hätte den Vorteil, dass ich mich privat schon damit beschäftigt hätte.

Ich habe hier eine FritzBox, die wir kostenlos von unserem Kabelnetzbetreiber zur Verfügung gestellt bekommen haben. Das Ding ist locked, wird also durch den Netzbetreiber mit FW-Updates versorgt, was sogar mal am Sonntag Nachmittag passiert ist. Dachte erst, Holy Shit, jetzt ist die OPNsense abgeschmiert, weil das I-Net plötzlich weg war. War aber 'nur' das FW-Update! Kann man so etwas nicht nachts einspielen!  >:(
Egal, Jeder wie er mag und Du willst halt partout keine Provider-HW.

Ich weiß noch, früher konnte man da einfach die Firmware vom ISP gegen die Originale tauschen und schon war man glücklich mit dem Ding. Genau solche Aktionen sind mit Grund dafür, warum ich keine Fremdhardware in meinem Netz dulde.

[micneu]

@inkasso, schau mal bitte in deinen "My Messages" bereich, habe dir nachrichten geschickt (hast du warscheinlich übersehen).

[inkasso]

@inkasso, schau mal bitte in deinen "My Messages" bereich, habe dir nachrichten geschickt (hast du warscheinlich übersehen).

Genau so war es :D
Bekomme zwar Mail Benachrichtigung - aber wenn man so wie ich da nur 1x die Woche reinsieht, dauert es, bis Antworten kommen ;)

[inkasso]

Ok... kleiner Nachtrag.

Die Jungs für die FTTH-Dose waren da. Konnten die vorhandenen leerRohre nicht nutzen und werden nun "demnächst" die Leitung über die Außenfassade legen.

Was mich aber viel mehr ärgert ist eine Aussage, die mir bei der Telekom leider nur zu gut ins Bild passt :-|
"Die alte Kupferverdrahtung zwischen Haus und Verteiler wird nicht auf die neue Technik mit aufgelegt".

Resultat ist also: entweder weiter Kriech Internet oder Glasfaser.
Unser DSL war immer nur so lahm, weil die Kupferverdrahtung zwischen zwei Verteilern der Telekom defekt war. Bis zum Verteiler ist unsere Leitung nämlich gar nicht so lang... Und nu hatte ich doch gehofft, die alte Technik wird weiter betrieben und im Anschlusskasten dann über die neuen Glasfaserleitungen geroutet, die sie eh zwischen den Verteilern legen mussten...

Jetzt muss ich also noch sehen, wo ich kurzfristig einen passenden ONT her bekomme, weil ich den von der Telekom ja nicht nutzen will UND keinen in eine Fritbox eingebauten möchte... :-/