Router Build + allgemeine Fragen.

[deltaexray]

Da hat sich jemand auch mit der Thematik auseinander gesetzt?;D Spaß beiseite, in NRW geht das Ja und da ich in NRW lebe, habe ich wohl Glück. Dass das ganze Bridge Thema aber so dermaßen von Vodafone blockiert wird bzw. versucht wird, zu blockieren ist eigentlich eine Frechheit sonders gleichen.

Nö, bin vorbelastet, hat über 15 Jahre bei Vodafone gearbeitet aber nicht im Kabelbereich :-)

Klar wollen die das blockieren, es ist offiziell kein Funktion der FritzBox, AVM verweigert jeglichen Support und verweisst sofort auf die Provider.
Zudem verliert Vodafone für jeden BridgeModus locker mal zwei öffentliche IPv4-Adresse und die sind nunmal knapp bzw. nicht mehr verfügbar.  Man hat mal gemunkelt, das die ganz weg wollen, die Bridge-Funktion frei zuschalten.
Dann bleibt nur der Weg über ein Kabelmodem und Telefonie anderweitig zu lösen ( FritzBox als Client im Netz z.b. )

Zudem bekommt Vodafone massiv Gegenwind, weil viel Glasfaser ausgebaut wird, bei und fängt gerade die Erfassung von Interessenten an, wenn 30% überschreitet, wird ab Januar ausgebaut - ich hoffe es, ich will weg von Vodafone und mehr Upload-Bandbreite haben.

Performance, hier mal ein Screenshot meines OPNSense über 7 Tagen der CPU-Load:

Ohje, hoffentlich ohne Folgeschäden herausgegangen ;D

Logisch, IPV4 ist immer knapper, da wollen die sowieso Ihre Sachen zusammenhalten. Dual Stack Lite, also beide IPV4 und IPV6, hab' ich ja hier, zum gluck. ist ja auch immer so eine Sache das zu bekommen.
Wobei ein gutes Kabelmodem, was das alles kann, aktuell seine 250€ kostet, eigene Fritz!Box als Telefonanlage würde nochmal gut was kosten - aber was macht man nicht alles für Vodafone ;)
Telekom fängt hier an auszubauen aber nicht ansatzweise schnell genug um Vodafone hier zu verdrängen, Glasfaser wäre und ist mittlerweile echt nötig, was das alles angeht. Mehr Upload steht hier auch auf der Liste.

Die Performance sieht sehr gut aus, also das wäre eine wirklich gute Sache wenn ich es ebenso/ähnlich hinbekommen würde. Zumal alles neuere besser laufen sollte, was Leistung/Energieverbrauch angeht - Jedenfalls wäre es wünschenswert

[stevie]

Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance.

Fritz!Boxen können auch performante PPPoE Einwahlen machen. Das ist etwas, das OPNsense überhaupt nicht gut kann. Daher sollte man das ggf. nutzen...

[Patrick M. Hausen]

Alles bis 1 Gbit/s ist aber auch mit PPPoE kein Problem mehr.

[stevie]

Alles bis 1 Gbit/s ist aber auch mit PPPoE kein Problem mehr.

Ich kenne nur aus der Vergangenheit entsprechende Berichte, wie z.B.

https://medium.com/avenum-technology-blog/benchmarking-pppoe-connections-with-openwrt-and-opnsense-f5fe6c30b70

Sollte das nicht mehr so sein, umso besser.

[Patrick M. Hausen]

900 Mbit/s netto mit Ookla in unserem Büro. Telekom 1 Gbit/s Glasfaser. Deciso DEC690.

[0zzy]

Ich geb auch mal als newbie meinen Senf dazu.
Also zum testen würde ich dir raten OPNSense zu virtualisieren.
Läuft bei mir jetzt zwei Wochen, abgesehen von der Typischen Zwangstrennung die ich erst mal richtig konfigurieren musste, rennt das teil nun auf Proxmox.

Zum Backup gebe ich dir recht, da läufts dann wesentlich einfacher mit, aber auf entsprechender Hardware vorausgesetzt (in meinem fall wird es eine protectli) setze ich auch einfach auf proxmox und dann erst OPNsense.

Eben weil ich die Vorzüge meines Proxmox Backup Servers nicht missen möchte (Restore Zeit = Lebenszeit).
Ist mit dem restore in ca 3 Minuten erledigt.

Liegt aber an mir, da ich einfach alles Virtualisiere.


Sicherlich kannst du dir einfach auf einem barebone (was protectli auch ist imho) installieren und dort die Backup files ziehen, damit sähe das Backup und restore etwas anders aus aber geht sicherlich auch klar.

Daher mein Tip:

Probier doch erst mal alles virtuell aus, bei gefallen dann auf spezielle Hardware falls dann noch gewünscht.

[0zzy]

Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance.

Fritz!Boxen können auch performante PPPoE Einwahlen machen. Das ist etwas, das OPNsense überhaupt nicht gut kann. Daher sollte man das ggf. nutzen...

kann ich so nicht unterschreiben. Brutto liegen bei mir 275Mbit/s down und 48Mbit/s up an.
Da kommt die Fritte gar nicht hin. Liege meist im Netto bei 228Mbit/s und 38Mbit/s.
OPNSense auf Proxmox hingegen: 250Mbit/s und 42 Mbit/s (inkl. ein paar Proxmox und NIC relevante tunables).

Daher ist die Performance virtualisiert garnicht so übel, naja mehr als ne 250er gibts hier auch nicht.

[Tuxtom007]

Eben weil ich die Vorzüge meines Proxmox Backup Servers nicht missen möchte (Restore Zeit = Lebenszeit).
Ist mit dem restore in ca 3 Minuten erledigt.

Wie oft muss du deine OPNSense den restoren ?
Ich hab das in 1 1/2 Jahren Nutzung einmal machen müssen und da war es ein Hardwaredefekt ( SSD in der OPNSense kaputt ) - halbe Stunde und das Teil lief wieder ( hatte zum Glück noch ne Samung SSD rumliegen )

[0zzy]

@Tuxtom007 bisher zweimal.
ich probier gern mal was aus, beim ersten mal hab ich meine lan schnittstelle versemmelt, als ich die beste möglichkeit für mein lab gesucht habe welche art der anbindung bei den nics ich nutze. kam nicht mal mehr ins system. ich kann dir auch nicht sagen was genau die ursache war, proxmox logs haben nix ausgespuckt.

Beim zweiten mal war es einfach ein test, gut 3 Minuten sind übertrieben, läuft auf ner nvme sind vielleicht 60 sekunden.

Aber warum nicht alle Vorzüge aus beiden Welten nutzen?
wenn es hardware technisch doch realisierbar ist, dann mach ich das auch ;).

Der Vorteil ist einfach, ich habe diverse storage möglichkeiten, das hilft mir ungemein dinge auszutesten und einfach per snapshot bspw. auf den Ursprung zu kommen.

nach 1,5 Jahren ist schon geil, aber Pferde kotzen gewissermaßen immer vor die apotheke, ich hab schon so einiges erlebt.

Muss der TE aber selbst entscheiden, ist nur ein gut gemeinter rat, damit man sich viel nerven sparen kann.

[stevie]

Fritzboxen sind als Router spezialisiert, sonst haben sie nicht so viel Performance.

Fritz!Boxen können auch performante PPPoE Einwahlen machen. Das ist etwas, das OPNsense überhaupt nicht gut kann. Daher sollte man das ggf. nutzen...

kann ich so nicht unterschreiben. Brutto liegen bei mir 275Mbit/s down und 48Mbit/s up an.
Da kommt die Fritte gar nicht hin. Liege meist im Netto bei 228Mbit/s und 38Mbit/s.
OPNSense auf Proxmox hingegen: 250Mbit/s und 42 Mbit/s (inkl. ein paar Proxmox und NIC relevante tunables).

Daher ist die Performance virtualisiert garnicht so übel, naja mehr als ne 250er gibts hier auch nicht.

Vielleicht hast du eine uralte Fritz!Box? Dein Proxmox-Server könnte auch deutlich mehr Leistung als so mancher MiniPC haben.

Ich habe eine Protectli FW4B mit einem J3160 und kann mich an die Details nicht mehr erinnern aber ich weiß noch, dass ich PPPoE schon merklich gespürt habe, als ich damit auf einmal nach einem Providerwechsel in Berührung kam. Und das unter IPFire bzw. Linux, wo PPPoE ohnehin besser als mit FreeBSD laufen soll. Ich habe dann eine Fritz!Box davor gehangen, die vorher dahinter war.
Ich nutze Cake (kann leider BSD nicht, sondern nur das ältere FQ_Codel) und in Speedtests bricht durch Cake mit der CPU der Download dann um ca. 50% ein (Upload deutlich weniger). Surricata habe ich ebenfalls noch am laufen.

900 Mbit/s netto mit Ookla in unserem Büro. Telekom 1 Gbit/s Glasfaser. Deciso DEC690.

Ich kann die CPU bzw. die CPU-Leistung nicht einordnen - daher kann ich die Aussage nur bedingt einordnen. Finde es gut, wenn dem so ist. Im Forum hier findet man aber auch anderes Aussagen zu PPPoE. Daher bleibt eine gewisse Skepsis, auch wegen meiner eigenen Erfahrung (siehe oben). Hast du irgendwelche Tunable an bzw. verzichtest auf FQ_Codel und sonstige Dienste, die CPU-Leistung ziehen können?

z.B. TCP Offload Engine: https://teklager.se/en/knowledge-base/opnsense-performance-optimization/
=> hat das eigentlich irgendwelche Nachteile?

[Patrick M. Hausen]

Ist ein "AMD GX-416RA SOC (4 cores, 4 threads)". Ich hab RSS für 4 Kerne konfiguriert und eingeschaltet, das wars aber auch.

TSO ist m.E. nur sinnvoll für Verbindungen, die auf einem System enden, und das sind in unserem Fall hier die wenigsten. Die Firewall reicht die Pakete doch nur durch. Ähnlich TCP Prüfsummen, wobei die natürlich bei NAT schon gebraucht werden.

[0zzy]

@steve wenn eine 7590 AX alt ist deiner Meinung nach, mag das sicherlich stimmen.

[stevie]

@steve wenn eine 7590 AX alt ist deiner Meinung nach, mag das sicherlich stimmen.

Bei mir ist eine FRITZ!Box 7530 AX im Einsatz. Genaue Werte kann ich nicht liefern. Dazu ist das zu lange her und um das jetzt alles durchzutesten, fehlt mir aktuell die Zeit.

[0zzy]

@stevie ist aktuell nur mein wifi ap. Nutze ne vigor 167 als Modem (wenn ich mich nicht irre).

[deltaexray]

UH Boy, das wird eine lange Antwort:

PPPoE ist hier im Hoheitsgebiet NRW von Vodafone kein Thema, alles was man an anderen Internetanschlüssen bekommen könnte ist deutlich weniger in der Bandbreite und deutlich teurer als das, was aktuell gezahlt wird. Die Frage ist eher, ob ich nicht über kurz oder lang ein TC4400-EU anschaffe, wenn es wieder verfügbar ist, um die im Bridge Modus befindliche FritzBox zu entfernen - Wobei das eher ein Afterthought ist.

@Ozzy
Virtualisierung um im Vorfeld damit rumzuspielen ist das tatsächlich auch einplan, den ich habe. Muss nur schauen ob ich's auf meinem Server mache oder externe Hardware nehme.
Vor allem wäre es final halt hardware, die dann gedoppelt wird oder halt virtualisiert. Von daher ist und war dein Beitrag schon sehr interessant, gerade auch aus "Neulings" Sicht.

@all
Generell habt ihr alle fast den selben Ansatz, den ich auch hatte bzw. habe, alleine weil man sich den ganzen Rotz ja erst einmal zusammen suchen bzw. erklären muss.
Die FritzBox ist in dem gesamten Plan ja nur noch als Bridge und als Telefonanlage gedacht, damit von Vodafone Seite aus nichts geändert werden muss.

Was haltet Ihr eigentlich davon? Overkill oder eher gute Basis/Genug?:
https://shop.opnsense.com/product/dec2750-opnsense-rack-security-appliance/