Router Build + allgemeine Fragen.

[deltaexray]

Guten *Insert whatever you want*!

Vorab: Ich verfolge seit gut 2 Jahren intensiv OPNsense als auch PFsense, da ich schon länger in der Thematik eigener Router/Firewall/VPN stecke und demnach so einiges an Grundwissen mitbringe aber auch nicht aus dem Himmel gefallen bin, was wissen und das angeht.

So, jetzt aber zum eigentlichen Thema:
Was sollte man sich im Jahr 2023, für eine Vodafone CableMax (1000/50) Leitung, als Hard und Software zu legen um folgendes damit umzusetzen: Firewall, DNS Filterung, DNS blocking (PiHole equivalent), VPN (als direkt Verbindung als auch Remote Zugriff), Traffic Inspection etc. und sonstige Sachen die gehen, um Sicherheit als auch Spam Schutz zu erhöhen. Als extra oder zukünftiges Projekt wäre da noch die Einbindung mit Mobilfunk/5G als Modem, nur das kann erst einmal noch etwas warten.
Meine Frage wäre dahingehend auch, ob OPNsense da überhaupt aufgrund der BSD Natur, die richtige Wahl ist bzw. wäre. Das ganze zu virtualisieren ist ein Gedankenspiel, alleine weil es BackUp und Failover sicherlich erleichtern würde, auch um PiHole nativ laufen zu lassen.

Was sagt Ihr denn dazu, ihr habt ja sicherlich auch schon so einiges gemacht/gesehen/gelesen?

Vielen Dank für Eure Zeit im voraus

[Tuxtom007]

Meine Frage wäre dahingehend auch, ob OPNsense da überhaupt aufgrund der BSD Natur, die richtige Wahl ist bzw. wäre. Das ganze zu virtualisieren ist ein Gedankenspiel, alleine weil es BackUp und Failover sicherlich erleichtern würde, auch um PiHole nativ laufen zu lassen.

Ob Virtualisierung die richtige Wahl ist, muss jeder selber für sich entscheiden, ich ziehe eine OPNSense auf eigenere Hardware vor. ( Backup später ).

Bei mir läuft Vodafone Kabel 1000/50 mit einer FritzBox im BridgeModus, ich nutze VPN um von aussen auf meine System zugreifen zu können, ich nutze DNS Blocking, aktuell wieder AdGuard direkt auf der OPNSense, vorher hatte ich PiHole als Linux-Container auf Proxmox, ich nutze  rund 10 VLAN's um Dienste und System zu trennen, 4 davon auch als WLAN ( über Unifi - Systemen ), daher hab ich auch etlich Firewallregeln.

Stelle deine Frage also nochmal, ob OPNSense die richtige Wahl ist - ja ist es absolut, wenn nicht OPNSense aös professionelle Firewall, wer soll dann besser machen ?

Backup:  Ich habe für Notfall einen USB-Stick mit dem OPNSense Image im Schrank liegen, die Konfiguration sichere ich automatisch von der OPNsense weg auf meine NAS und wenn ich größere Änderungen mache, vorher und nachher noch lokal auf meinem Notebook.
Sollte die OPNSense also kaputte gehen, kann ich die innerhalb ner halben Stunde wieder aufsetzen und die letzte Software einspielen.

Backup-Leitung:  habe ich mir geschenkt, ich mache zwar täglich HomeOffice und wenn wirklich mal die Kabel-Leitung ausfallen, kann ich notfalls mein Firmenhandy als Einwahl zum Arbeiten nutzen. Das ist in den letzten 3 Jahren nur einmal notwenig gewesen und das war kein Ausfall sondern geplante Arbeiten am Kabelnetz durch Vodafone.

[lewald]

Ich habe selbigen Tarif.

Bei mir geht der Bridge Mode mit Vodafone derzeit nicht. Ich habe das ganze virtualisiert aufgebaut.

Grund
1. Mehr Hardwareauswahl als nativ OPNsense erlaubt.
2. Bessere Nutzung der Hardware. Siehe mein Screenshot. Ich kann auf dem gleichen Rechner Pi-Hole und eine Unifi Instanz betreiben.
3. Mit Backup und Restore auf VM Ebene bin ich schneller wieder am Start  (Wenn mal ein update OPNsense schief geht oder noch nicht optimal läuft)

Als Rechner bieten sich kleine Mini PC Instanzen an. (Intel N100  Alder Lake)

[deltaexray]

@Tuxtom007

Vielen Dank für die Antwort und die Ansichten, das hilft immer.

Ob Virtualisiert oder nicht, das ist im Endeffekt ja eine Sache die man später einrichten kann. Ich stelle mir eher die Frage, welche Hardware ich nun nutzen möchte bzw. welche Klasse notwendig ist für die Anforderungen um unter Vollast alles machen zu können.

Hat OPNsense nicht Probleme mit sehr hohem Durchsatz, speziell VPN und Gigabit Leitungen, aufgrund des BSD Kernel?

Die BackUp Leitung/Möglichkeit ist deshalb wichtig weil wir hier alle 2 Tage Netzprobleme haben aber auch um den Upload zu erhöhen, daher ist das eine Möglichkeit die durchaus zeitig genutzt werden sollte/müsste. Aber das ist eine Sache für sich.


@lewald

Bridge Modus geht bei geliehenden/gemieteten FritzBoxen von Vodafone nicht, nur das der gesamte Traffic unbearbeitet über einen der LAN Anschlüsse durch geschliffen wird. Das geht.

Der Screenshot ist Goldwert da ich eine ähnliche Installation im Kopf habe/mir vorschwebt, ob Virtualisiert oder nicht. Zumal hinter der OPNsense ein Switch soll, der dann den rest regelt.

Die Frage ist nur, mit dem was ich vorhabe und dem Durchsatz, ob da ein MiniPC "ausreicht" bzw. genügt.
Stichwort Stromverbrauch und 24/7 verbrauch.

[lewald]

- Hat OPNsense nicht Probleme mit sehr hohem Durchsatz, speziell VPN und Gigabit Leitungen, aufgrund des BSD
Kernel? -

Nein nicht auf diesem Level. Ich bekomme quasi fast die gesamte Bandbreite von der Cabel/ Fritte bis zu meinen Clients. Und den vollen Upload. Mit Wireguard bekommen ich bei mir auch die volle Bandbreite (die mein gegenüber liefern kann). Das sind bei mir ca. 60 Mbit. Da ist die Sense dann zu 60 % ausgelastet. Ich habe das ganze auf einem ca. 10 Jahren alten i5 am laufen. Die Adler Lake A100 sind in einer ähnlichen wenn nicht sogar besseren Leistungsklasse. Bei deutlich weniger verbrauch.

[Patrick M. Hausen]

Fragt mal Netflix, weshalb sie diesen problematischen BSD-Kernel benutzen, um von einer Maschine aus 800 Gbit/s an Video auszuliefern ...

[lewald]

Das ist jetzt Äppel /Birnen vergleich. Es gab sehr wohl Probleme bei der Performance jenseits von 10 Gbit. Zumindest wenn man es als Firewall benutzen will.

[deltaexray]

@lewald

Also im Klartext: Umso größer die Leitung/Ansprüche, umso bessere Hardware ist notwendig, was ja auch logisch ist.
Interessant, vor allem wenn man mit dem Gedanken spielt, das so zukunftssicher zu machen das falls mal eine größere Leitung kommt, man nichts neu kaufen muss/müsste. Also: Die Hardware soll größer sein als das was rein und raus geht.
Das jede Router software irgendwann an ihr Limit kommt, ist klar. Nur wer hat zuhause schon eine 10Gbit Internet Verbindung

[lewald]

https://forum.opnsense.org/index.php?topic=35603.0

https://www.amazon.de/Firewall-Appliance-HUNSN-Barebone-Storage-N100/dp/B0BZJC12VP?th=1

Naja das schöne an einer Software Lösung ist ja du kannst die Hardware tauschen. Mit Virtualisierung oftmals auch noch viel einfacher.

[deltaexray]

https://forum.opnsense.org/index.php?topic=35603.0

https://www.amazon.de/Firewall-Appliance-HUNSN-Barebone-Storage-N100/dp/B0BZJC12VP?th=1

Naja das schöne an einer Software Lösung ist ja du kannst die Hardware tauschen. Mit Virtualisierung oftmals auch noch viel einfacher.

Das stimmt, definitiv - Virtualisierung hat halt Vorteile. Unabhängig davon, Schaue ich mir das auf Amazon mal an und schaue dann weiter. Definitiv nicht davon gewusst, dachte immer die hätten nicht genug Leistung für alles was ich damit vorhabe/ausprobieren möchte🤔

Fun Fact: Dachte immer sowas wie ein Ryzen 5 3600X wäre eher etwas, was die Leistung etc angeht. Glaube ich sollte mich nochmal etwas mehr in die Hardware einarbeiten

[Tuxtom007]

Hat OPNsense nicht Probleme mit sehr hohem Durchsatz, speziell VPN und Gigabit Leitungen, aufgrund des BSD Kernel?

Ich habe einen MiniPC / lüfterlos, mit Core i5, 32 GB RAM und ner 128 GB SSD drin und 8 Netzwerk-interface, der ist für meine Zwecke vollkommen oversized. Der Core-i3 mit 16 GB hätte locker gereicht. Das Teil langweilt sich total.
Aber mehr mehr Leistung in Reserver haben als das Gerät ständig am Limit zu betreiben, das ist auf Dauer nicht gut für die Lebensdauer.
Mein Rechner ist von NRG-Systems, ich würde den jederzeit wieder kaufen, dann aber als 19" Rackmodell und mit 2,5 GBit Netzwerkkarten ( was die neueren Modelle eh meist schon haben )

Bei einem Bekannten von mir laufen zwei Hardware-OPNSense Modelle mit 10 GBit Netzwerkanbindungen und 2 x1 GBit-Glasfaserleitungen in einer gemischten Firmen/Privat Netzwerkumgebungen - die OPNSense ist das letzte Gerät im Netzwerk, was ans Limit geht, die hat Power genug.

Bridge Modus geht bei geliehenden/gemieteten FritzBoxen von Vodafone nicht, nur das der gesamte Traffic unbearbeitet über einen der LAN Anschlüsse durch geschliffen wird. Das geht.

Der BridgeModus geht bei jeder Fritzbox, auch wenn der im Menü nicht angezeigt wird, ist die Funktion vorhanden und mit einem kleinen Confighack kann man das Menü aktivieren.

ABER: Damit der BridgeModus funktioniert, muss am Anschluss seitens Vodafone eine maxCPE-Wert von mind. 2., besser 3 eingestellt werden. 
Manche haben Glück, das diese der Fall ist, bei anderen schaltet Vodafone das nur, wenn man von denen eine FritzBox gemietet hat, allerdings ist die Bundesland-abhängig und Vodafone macht das sehr ungerne.

Ich habe eine von Vodafone gemietete Fritzbox 6591 und der BridgeModus ist von Vodafone ganz offizielle aktiviert ( in NRW, ex Unitymedia-Netz ).

Der maxCPE-Wert sagt aus, wieviele IP-Adresse die FritzBox vom Netz bekommt, für den BridgeModus sind mind. 2 erforderlich, wobei es aber auch Bereiche gibt, wo es nur mit einem Wer von "3" funktioniert.
Die FritzBox nimmt sich immer die erst IP, egal ob für Telefonie benötigt oder nicht, die 2. wird dann über den LAN-Port 2,3 oder 4 durchgereicht.

[deltaexray]

@Tuxtom007

Gut zu wissen, wo dann die "Flaschenhälser" sind, davon abgesehen wird es mit einer größeren Leitung sowieso noch dauern, wir kennen das ja alle, nur ich möchte ungern doppelt kaufen so gesehen.

Ich habe irgendwie Schwierigkeiten zu glauben, das ein I3 oder I5 mit 4 bzw. 4/4 Kernen, genug Leistung hat. Also entweder denke ich wirklich zu kompliziert oder unterschätze was Standard Router/FritzBoxen an Leistung haben, so das ein I5 wirklich richtig Dampf hat.
Auf der anderen Seite wäre es aber sehr schön wenn das stimmt, denn wenn die Stromverbrauchs Angaben stimmen, wäre das sehr nice - Man muss ja nicht mehr verbrennen als notwendig, nicht war?

NRG Systems kenne ich übrigens auch, ist mir auch schon des häufigerem unter die Nase gekommen - Wenn es die Leistung bringt, wäre das definitiv eine Option als Rack Mount für den Preis


Da hat sich jemand auch mit der Thematik auseinander gesetzt? Spaß beiseite, in NRW geht das Ja und da ich in NRW lebe, habe ich wohl Glück. Dass das ganze Bridge Thema aber so dermaßen von Vodafone blockiert wird bzw. versucht wird, zu blockieren ist eigentlich eine Frechheit sonders gleichen.
Davon abgesehen, dieser ist auch bei mir aktiviert - Das meinte ich mit dem weiterschicken des Traffics über einen der 4 Lan Anschlüsse, was mir immerhin mehr Möglichkeiten gibt. Telefon soll ja weiter über die FritzBox laufen, den Rest dann über die OPNsense mit Switch dahinter.

[meyergru]

Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance. Sie wären mit Aufgaben wir Virenscans, Zenarmor usw. deutlichst überfordert.

I3 oder I5 reichen also locker aus, wobei die neueren Plattformen N5105, N200 usw. in ähnlichen Leistungsbereichen liegen, aber deutlich weniger brauchen.

Wenn man Virtualisierung für die Firewall machen möchte, ginge z.B. auch so etwas (dann hätte man sogar das NAS gleich integriert): https://www.cnx-software.com/2023/06/13/aoostar-amd-ryzen-5-mini-pc-also-works-as-a-two-bay-nas-and-2-5gbe-router/

[Tuxtom007]

Da hat sich jemand auch mit der Thematik auseinander gesetzt? Spaß beiseite, in NRW geht das Ja und da ich in NRW lebe, habe ich wohl Glück. Dass das ganze Bridge Thema aber so dermaßen von Vodafone blockiert wird bzw. versucht wird, zu blockieren ist eigentlich eine Frechheit sonders gleichen.

Nö, bin vorbelastet, hat über 15 Jahre bei Vodafone gearbeitet aber nicht im Kabelbereich :-)

Klar wollen die das blockieren, es ist offiziell kein Funktion der FritzBox, AVM verweigert jeglichen Support und verweisst sofort auf die Provider.
Zudem verliert Vodafone für jeden BridgeModus locker mal zwei öffentliche IPv4-Adresse und die sind nunmal knapp bzw. nicht mehr verfügbar.  Man hat mal gemunkelt, das die ganz weg wollen, die Bridge-Funktion frei zuschalten.
Dann bleibt nur der Weg über ein Kabelmodem und Telefonie anderweitig zu lösen ( FritzBox als Client im Netz z.b. )

Zudem bekommt Vodafone massiv Gegenwind, weil viel Glasfaser ausgebaut wird, bei und fängt gerade die Erfassung von Interessenten an, wenn 30% überschreitet, wird ab Januar ausgebaut - ich hoffe es, ich will weg von Vodafone und mehr Upload-Bandbreite haben.

Performance, hier mal ein Screenshot meines OPNSense über 7 Tagen der CPU-Load:

[deltaexray]

Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance. Sie wären mit Aufgaben wir Virenscans, Zenarmor usw. deutlichst überfordert.

I3 oder I5 reichen also locker aus, wobei die neueren Plattformen N5105, N200 usw. in ähnlichen Leistungsbereichen liegen, aber deutlich weniger brauchen.

Wenn man Virtualisierung für die Firewall machen möchte, ginge z.B. auch so etwas (dann hätte man sogar das NAS gleich integriert): https://www.cnx-software.com/2023/06/13/aoostar-amd-ryzen-5-mini-pc-also-works-as-a-two-bay-nas-and-2-5gbe-router/

Ja, dass die nur das können, was sie sollen, ist ja hinlänglich bekannt. Das machen sie auch gut, nur eben nicht in allen Bereichen wie viele andere und ich es gerne hätten.

Guter Einwand, allerdings steht hier schon ein Server mit allem drum und dran. Zumal das auch zu wenig Speicherplatz wäre 😬