Hardware für OpnSense

[steppi]

Hallo Zusammen,

ich habe gerade erst entdeckt, dass es hier noch einen deutschen Bereich gibt (im Hardwarebereich habe ich bereits schonmal auf Englisch gefragt) und hoffe daher, dass es okay ist wenn ich es hier nochmal platziere (natürlich mit den Infos aus den originalen Thread und etwas Zusatzinfos).

Ich möchte in meinem EFH mein Netz neu aufstellen und liebäugel schon seit Jahren eigentlich mit einer APU und einer Hardwarefirewall. Ich bin zwar aus der IT und habe damals viel mit Watchguard und Checkpoint operiert (lang her), bin nun aber schon eine Weile nur noch in Projekten und nicht mehr in der Infrastrukturschiene.


Die erste Idee war eine APU2E4 oder APU4D4 einzusetzen und darauf IPFire, PFSense oder OpnSense zu betreiben. Geplant wäre mein Netz zu strukturieren (Vlans) in z.B. IoT, Gäste, Wlan, Clients und "Secure" (z.B. NAS-/ Backupspeicher - eventuell erst erreichbar nach Proxyfreischaltung). Dazu möchte ich den Traffic filtern und DNS-Listen einsetzen (aktuell PiHole ohne Unbound und DNScrypt - soll dann aber zum Einsatz kommen).
Neben Segmentierung(VLANs), DNS (Secure), DHCP usw. möchte ich noch VPN/ IPSec machen, um auch von Außerhalb in mein Netzwerk zu kommen und damit brauchts auch DynDNS. Neben der Firewall wird noch ein MikroTik-Switch mit SwOS arbeiten, der entsprechend auch VLANs, Trunking usw. unterstützt. Fürs WLAN kommt wahrscheinlich, sofern lieferbar ein AP von ExtremeNetworks zum Einsatz, der ebenfalls VLANs unterstützt. Anschluss ist aktuell ein VDSL 100/50 (Mbit Up/Down). Verfügbar wäre aktuell bis 250Mbit/s und wird wahrscheinlich beim nächsten Tarifwechsel mitgenommen.
Vor die Firewall kommt wahrscheinlich erstmal ein Speedport im Modem-only-Modus, der wahrscheinlich zeitnah gegen ein Drytek Vigor ersetzt wird. (130/ 160)

Grundsätzlich kann ich nicht ausschließen, dass wenn alles verfügbar ist noch ein wenig gebastelt wird und weitere Funktionen genutzt werden. OpnSense habe ich noch nicht gesehen und freue mich natürlich auch zu experimentieren.

Jetzt die eigentliche Frage.
Macht das auf der PCEngines APU (2E4 oder 4D4) überhaupt sind oder wäre ich mit einem Qotom oder Protecli besser beraten? Gibts noch weitere Alternativen? Schön wäre wenns günstige "Rackmounting"-Brackets für den 19" Schrank gebe. (für die PCengines habe ich nur Gehäuse gefunden die fast nochmal soviel wie die APU selbst kosten)

Preislich hatte ich mich so um die 200-300€ eingeschossen.
P.S. lohnt es die internen Wlan-Karten der APU's mitzukaufen als einzigen AP? (2-3 Netze brauch ich hier für 140qm Bungalow - aktuell schafft es am Aufstellort ein einfach Speedport Smart mit mittlerer Sendeleistung alles abzudecken)

Ich hoffe das war jetzt alles nicht zu wirr oder zuviel "tamtam". (wie gesagt, aktuell ist auch viel "Basteldrang" dahinter)

[micneu]

bitte nutze mal die forum suche, wir haben diese themen mehr als ein mal behandelt. keine lust noch mal alles zu wieder holen.

kurz: NRG IPU 8xx, da haste die nächsten jahre ruhe oder

https://shop.opnsense.com/dec3800-series-opnsense-rack-security-appliance/


Gesendet von iPad mit Tapatalk Pro

[steppi]

Forensuche werde ich nochmal bemühen.

Die beiden Vorschläge sind für ein kleines Heimnetz aber ziemlich drüber. Zumindest vom genannten Preisrahmen her.

[micneu]

na dann schau mal in der forum suche, vieleicht findest du da was.
deshalb habe ich ja betont da haste die nächsten jahre ruhe mit der hardware (meine aktuelle hardware ist ähnlich NRG IPU 675 bin an der VPN leistungrenze angekommen, brauche was performanteres)
und plane gerade eine neue hardware.

ich kann dir meine Vorgänger Hardware mit einem Core i3 anbieten, melde dich per PN, dann bekommst du mehr infos

Gesendet von iPad mit Tapatalk Pro

[steppi]

Okay, ich gehe aber davon aus dass du das intensiv nutzt bzw. sich da mehr als 1-2 Clients einwählen?

[steppi]

Bei mir funktioniert gerade das Editieren nicht:

Aktuell sehe ich meinen persönlichen Bedarf realistisch beurteilt eher bei der PCEngines APU, da die aktuell aber auch um die 200€ liegen komplett war die Überlegung ob da ein ähnlich teurer Qotom oder Protecli nicht besser angelegt sei.

[micneu]

in der preis region liegst du bei
- uralter cpu
- veraltete technik
- Realtek NIC
- warscheinlich richtung J1900

viel spaß, das was du alles auf der kiste laufen lassen willst, nein das wird kein spaß machen (oder abstriche machen: kein VPN, kein proxy mehr fällt mir jetzt nicht ein)

PS: keiner hat gesagt das OpenSource / Firewalls billig sind

[lfirewall1243]

Bei mir funktioniert gerade das Editieren nicht:

Aktuell sehe ich meinen persönlichen Bedarf realistisch beurteilt eher bei der PCEngines APU, da die aktuell aber auch um die 200€ liegen komplett war die Überlegung ob da ein ähnlich teurer Qotom oder Protecli nicht besser angelegt sei.

200€ sind wirklich knapp bemessen
Plane mal ehr so 400 ein, damit du bei OpenVPN über 5Mbit an Durchsatz kommst.
Oder du setzt voll auf Wireguard, da gibt's schon bessere Performance.

[steppi]

Prinzipell kenne ich die Regionen wo Firewalls und selbst einzelne Services hingehen können. (WatchGuard)

Bei den kleinen Kisten kenne ich mich dagegen so gut wie nicht aus und kann auch nicht abschätzen, was an Leistung erforderlich ist. Direkte IT-Kollegen kommen z.B. mit der APU2E4 und IPFire sehr gut zurecht und nutzen ebenfalls u.A. VPN, VLANs und Proxy.
Ich hätte daher nicht gedacht mit meinem Plan soweit daneben zu liegen für ein recht kleines Homenetz.
Speziell die "kleinen" PCEngines liest man ja auch hier häufiger in den Signaturen.
Trotzdem Danke schonmal soweit.

[Patrick M. Hausen]

Die APUs sind fein. Sie schaffen halt kein Gbit per PPPoE und für die IDS-Komponenten (Suricata, Sensei) sind sie wohl auch etwas schwach dimensioniert. Alles andere läuft prima. 4 GB RAM sind ja auch eher üppig, wenn man mal mit so einem Edgerouter oder ähnlichem Zeug, auf dem gerne OpenWRT installiert wird, vergleicht.

[micneu]

ich hatte mit der APU 4d4 an einem 100MBit/s VDSL anschluß probleme mit VPN (performance)


Gesendet von iPad mit Tapatalk Pro

[Patrick M. Hausen]

Welches VPN?  ;)

[thowe]

Ich habe zwei APU2 seit Jahren erfolgreich im Einsatz:
- WAN1 100/20
- WAN2 30/10
- pf Firewall mit einigen Alias
- Unbound mit einigen Blockern
- IDS
- OpenVPN
- ntopng
- telegraf

Läuft alles wirklich gut. Günstig, kühl, stromsparend, zuverlässig. Ich werde demnächst mal einen Test machen, bis wieviel WAN-Speed das System in meiner Konfiguration skalieren kann. Damit ich abschätzen kann, wo die APU2 den "Kopf anschlagen wird", falls mein Provider deutlich mehr hergeben wird.

Quick-Tipp: PowerD fix auf "High" oder gleich ganz ausschalten. Und die üblichen tunables setzen.

Hinweis: WAN-Connections mit PPPoE führen wohl am ehesten zu einem Flaschenhals. Da dies nur Single-threaded läuft, bringt eine CPU mit schnellerem Takt bei PPPoE Vorteile. Das ist bei meinem Provider-Modem aber glücklicherweise nicht der Fall und ich kann alle Cores nutzen.

Ansonsten: Ich bin von den APU2 fasziniert, baue diese gerne zusammen und nehme sie gerne unter OPNsense in Betrieb.

[micneu]

Welches VPN?  ;)

OpenVPN

[steppi]

Danke schonmal für die weiteren Inputs.
Momentan würde ich zwischen APU2E4 und Protectli/ Qotom 4-Port mit AES-NI-Unterstützung schwanken.
Letztere scheinen direkt aus Deutschland gerade recht schwer zu bekommen zu sein.