"Gut und Günstig" Appliance gesucht

[August8828]

Ich würde mir dazu den Unify Flex Mini POE holen. Konnte auf die Schnelle bzgl Vlans nichts finden. Unterstütze der Switch tagged Vlans / VLAN Trunking?

[Gauss23]

Ich bin in solchen Fällen eher dazu übergegangen sowas in der Art zu nehmen:
https://amzn.eu/d/567ghXO

Da kommt dann Proxmox drauf und die OPNsense als VM. Dann kann man für Unifi noch eine VM spendieren und hat genug Power für viele weitere Anwendungen. Mit USV und externer Platte für Backups ist das eigentlich ein ganz rundes Konstrukt.


Pppoe Einwahl über die OPNsense würde ich auch eher vermeiden. Bei 1gbps kann man da vor allem mit den kleinen Prozessoren in Bedrängnis geraten. Pppoe unter BSD ist irgendwie nur single threaded. Unter Linux geht das besser.

[August8828]

Danke, aber ist für mich keine Option.

[meyergru]

Ich bin in solchen Fällen eher dazu übergegangen sowas in der Art zu nehmen:
https://amzn.eu/d/567ghXO

1. Wenn man die Zusatzanwendungen unter Proxmox braucht und dafür keine andere Hardware hat, kann man das machen - allerdings möchten viele Leute eine dedizierte Hardware für die Firewall.

2. Ist das Ding teurer als die geforderten 250€.

3. Sind die Folgekosten wegen der TDP des Prozessors höher (45 Watt statt 6 Watt). Jedes Watt mehr kostet bei 24/7 und aktuellen Strompreisen ca. 2€ im Jahr, das macht dann ca. 40€, wenn ich davon ausgehe, dass die Leistungsaufnahme im Schnitt nur 20 Watt höher ausfällt.

4. Es sind wieder Realtek-Adapter: https://androidpctv.com/wp-content/uploads/2024/09/Beelink-EQR6-review-t001.jpg und nur 1 Gbps, wobei Ersteres keine Rolle spielt, wenn man Proxmox fährt. Man kann dann allerdings den Netzwerk-Adapter nur als Bridge, nicht nativ an die VM durchreichen (LAN muss man ja sowieso sharen, weil nur zwei NICs vorhanden sind).

Ich würde mir dazu den Unify Flex Mini POE holen. Konnte auf die Schnelle bzgl Vlans nichts finden. Unterstütze der Switch tagged Vlans / VLAN Trunking?

Ja, tut er (Layer 2). Gegenüber den anderen Unifi-Switches ist er in bestimmten Features etwas eingeschränkt, z.B. kann er kein 802.1X, kein STP usw. und er kann das PoE auch nicht duchreichen. Eigentlich ist das mehr ein Port-Multiplier, wenn man eine Stelle hat, wo zu wenig Kabel hinführen. Ernsthafter ist da ein USW-Lite-8-PoE.

[bimbar]

Ich würde mir dazu den Unify Flex Mini POE holen. Konnte auf die Schnelle bzgl Vlans nichts finden. Unterstütze der Switch tagged Vlans / VLAN Trunking?

Unifi Switches werden in der Regel auch über den Controller gemanaged. Ich mache da einen Bogen drumrum.
Low Cost Optionen sind die gemanagten TP-Link oder günstiger noch Mikrotik.

[Monviech (Cedrik)]

Ich nehme gerne Netgear z.B. GS110TP

Ich mache gerne Bögen um TP-Link oder D-Link.

Mikrotik Switche benötigen mir persönlich zu viel Liebhaberei in der Software.

[Patrick M. Hausen]

Bei Fragen zu Mikrotik gebe ich gerne im Rahmen des Online-Stammtischs eine kleine Einführung.  :)

[mschaeffler]

Ich habe vier Zyxel NWA50AX im Einsatz.
Ich setze jeweils vier VLANs in je eine SSID um, zusätzlich habe ich noch ein Managaement-VLAN.
Sie funktionieren einwandfrei, wenn man die Konfiguration verstanden hat.
Was sie nicht können ist WPA-Enterprise / Radius.

[aleco]

Leider gibt es auf Amazon so viele Angebot, das ich die Übersicht verloren habe. Ich habe mir die Protectli angeguckt, aber diese ist relativ teuer. Könnt ihr mir eine gute Appliance empfehlen, die gut, aber nicht unbedingt mehr als 250€ kostet?

August, poste hier, sobald du dich entschieden hast. Bei mir wurde es vor ein paar Wochen eine Protectli V1410 (8GB, 256GB NVMe). Protectli bietet guten Support, das Gerät ist klar für den headless 24/7-Betrieb ausgelegt und passiv gekühlt. Der COM-Port mit macOS Support ist ein großer Vorteil, falls die Firewall an einem schwer zugänglichen Ort steht und man im Problemfall nicht einfach Monitor und Tastatur anschließen kann, sondern nur den Laptop. Die 380 Euro haben mich zwar etwas schlucken lassen, aber dafür habe ich nicht die Sorge, stundenlang Probleme lösen zu müssen, weil etwas nicht passt. Je mehr Expertenwissen man hat, desto leichter lassen sich solche Probleme beheben. Ich persönlich tue mich jedoch schwer mit BIOS-Einstellungen, da ich seit Ewigkeiten nur Mac benutze – da gibt es diesen technischen Kauderwelsch nicht. Und wer weiß, wie unzuverlässig ein BIOS von einem Aliexpress-Gerät sein kann.

[Gauss23]

1. Wenn man die Zusatzanwendungen unter Proxmox braucht und dafür keine andere Hardware hat, kann man das machen - allerdings möchten viele Leute eine dedizierte Hardware für die Firewall.

Das ist natürlich richtig

2. Ist das Ding teurer als die geforderten 250€.

Ist auch eher exemplarisch gemeint, bei dem Ding gäbe es gerade einen 60€ Rabatt, wo wir dann bei 339 wären bei ungleich mehr Leistung
Das ist auch einer der Gründe, warum ich nicht die kleinste passiv gekühlte CPU vorschlagen würde. Er schrieb was von NGFW mit Zenarmor. Je nachdem, was er da vor hat, kann eine kleine CPU damit überfordert sein. Vor allem, wenn die Internetverbindung über PPPoE aufgebaut wird, sind die kleinen CPUs oft nicht in der Lage 1 Gbps zu liefern, geschweige denn mehr als reines Netzwerkfiltering anzubieten.

3. Sind die Folgekosten wegen der TDP des Prozessors höher (45 Watt statt 6 Watt). Jedes Watt mehr kostet bei 24/7 und aktuellen Strompreisen ca. 2€ im Jahr, das macht dann ca. 40€, wenn ich davon ausgehe, dass die Leistungsaufnahme im Schnitt nur 20 Watt höher ausfällt.

Also ich würde meinen, dass so ein Teil bei rund 10-12W landet. Aber wenn die laufenden Kosten so drücken, ist das natürlich ein Thema.

4. Es sind wieder Realtek-Adapter: https://androidpctv.com/wp-content/uploads/2024/09/Beelink-EQR6-review-t001.jpg und nur 1 Gbps, wobei Ersteres keine Rolle spielt, wenn man Proxmox fährt. Man kann dann allerdings den Netzwerk-Adapter nur als Bridge, nicht nativ an die VM durchreichen (LAN muss man ja sowieso sharen, weil nur zwei NICs vorhanden sind).

Wie gesagt: das Gerät war jetzt einfach nur ein Schnellschuss, die gibt es bestimmt auch mit Intel-Nics, leider kann man sich da oft nicht drauf verlassen, da manchmal unangekündigt Specs geändert werden.

[meyergru]

2. Ist das Ding teurer als die geforderten 250€.

Ist auch eher exemplarisch gemeint, bei dem Ding gäbe es gerade einen 60€ Rabatt, wo wir dann bei 339 wären bei ungleich mehr Leistung
Das ist auch einer der Gründe, warum ich nicht die kleinste passiv gekühlte CPU vorschlagen würde. Er schrieb was von NGFW mit Zenarmor. Je nachdem, was er da vor hat, kann eine kleine CPU damit überfordert sein. Vor allem, wenn die Internetverbindung über PPPoE aufgebaut wird, sind die kleinen CPUs oft nicht in der Lage 1 Gbps zu liefern, geschweige denn mehr als reines Netzwerkfiltering anzubieten.

Aus eigener Erfahrung: doch.

3. Sind die Folgekosten wegen der TDP des Prozessors höher (45 Watt statt 6 Watt). Jedes Watt mehr kostet bei 24/7 und aktuellen Strompreisen ca. 2€ im Jahr, das macht dann ca. 40€, wenn ich davon ausgehe, dass die Leistungsaufnahme im Schnitt nur 20 Watt höher ausfällt.

Also ich würde meinen, dass so ein Teil bei rund 10-12W landet. Aber wenn die laufenden Kosten so drücken, ist das natürlich ein Thema.

Kaum. Schon ein N100 benötigt ca. 6 Watt CPU plus 5 Watt Chipsatz plus RAM, plus 3 Watt SSD plus ca. 1 Watt pro Netzwerkanschluss (I226, I225 eher 1,5 Watt), zuzüglich den Aufschlag für die Effizienz des Netzteils, das in diesen Lastbereichen nur mit ca. 85% arbeitet. Damit kommst Du selbst in Ruhe mit einem N100 nicht unter 15 Watt, im Mittel eher 20-25. FreeBSD ist auch nicht für seine Sparsamkeit berühmt.

Bei stärkeren CPUs kommt neben der reinen Mehr-TDP noch der zwangsweise fällige Lüfter mit einem weiteren Watt hinzu.

Natürlich kann man immer mehr als nötig nehmen - aber bei solchen Systemen würde ich eher auf rightsizing gehen, insbesondere, wenn der Fragesteller schon Maximalgrenzen setzt. Man setzt so ein Gerät sicher ca. 5 Jahre ein und dann macht es schon einen Unterschied, ob man in Summe 250€ plus 5 * 60€ an Strom (550€) oder 350€ plus 5 * 120€ (also 950€) dafür zahlt. Der Vorteil bei diesen Kisten ist auch, dass sie mit 2.5 GBps genau das Maximum bieten, was man mit geringem Budget an Netzwerkgeschwindigkeit braucht (10 Gbps kann man kaum ausnutzen und bei RJ45-Verbindungen braucht jeder Port ca. 2-3 Watt).

Ganz schlimm sind Überlegungen wie: "Ich nehme meinen alten PC mit einem i7-4700k" - da amortisiert sich die Investition in eine kleine Appliance meist schon nach 2 Jahren.

Wie gesagt, das ist ein anderer Schnack, wenn man andere Anforderungen hat. Ich habe neben der Firewall auch einen Proxmox-Server laufen. Der hat dann aber eine ganz andere CPU drin.

[August8828]

Ich würde mir dazu den Unify Flex Mini POE holen. Konnte auf die Schnelle bzgl Vlans nichts finden. Unterstütze der Switch tagged Vlans / VLAN Trunking?

Unifi Switches werden in der Regel auch über den Controller gemanaged. Ich mache da einen Bogen drumrum.
Low Cost Optionen sind die gemanagten TP-Link oder günstiger noch Mikrotik.

Wait. Wie kann ich mir das vorstellen bei Unifi? Benötige ich extra Hardware um einen Switch / AP zu managen oder wie ist das mit Controller gemeint?

[Patrick M. Hausen]

Wenn du nur einen AP hast, kann man den wohl inzwischen auch per Browser managen. Ansonsten benötigt man für jedes nicht-triviale Unifi-Netz (und wenn ich mich nicht irre für die Switche auf jeden Fall) ein "Unifi Controller" genanntes Stück Software.

Kann man

- als Appliance bei UI kaufen
- auf einem Raspberry Pi deployen
- auf einer amd64 VM mit Debian/Ubuntu als Paket installieren
- auf einer geeigneten Umgebung als Docker-Compose Anwendung hochfahren
- als Plugin auf der OPNsense aktivieren
- ...

Kostet auch nichts, aber man braucht dieses Controller-Ding. Das "adoptiert" alle Geräte, man konfiguriert über die Weboberfläche des Controllers, und der pusht zu den Geräten. Z.B. alle VLANs, die Zuordnung zu SSIDs, etc. pp.


Die Option, die ich weggelassen habe, ist "bei Unifi in der Cloud mieten"  ::)

[August8828]

Und außerdem sollte Deine Firewall zwei Netzwerkanschlüsse haben - möglichst keine Realteks, siehe Punkte 1 und 6 hier.

Der Minisforum GK41 hat nur einen Netzwerkanschluss und ob das ein Realtek oder ein Intel-Chip ist, lässt sich den Spezifikationen nicht entnehmen - bei dem Preis würde ich daher eher von Realtek ausgehen.

Wenn Du Zenarmor mit 1 GBps nutzen willst, reicht m.E. ein J4125 nicht aus (siehe Punkt 7), ich würde einen N100 nehmen, z.B. https://www.amazon.de/Firewall-Appliance-Fanless-Celeron-Support/dp/B0D47T5L6T oder https://www.amazon.de/KingnovyPC-Firewall-Appliance-Fanless-Support/dp/B0DGCSMMPF, wegen Zenarmor eventuell auch mit mehr als 8 GByte RAM.

Danke für Deine Hilfe! Ich habe mir jetzt eine bestellt. Wieso das so eine Lieferzeit hat, weiß ich auch nicht. Kommt die direkt aus Asien?

AP überlege ich noch, ob ich Unify nehme. Vielleicht wird es auch ein TP-Link mgmt Switch und ein TP Link AP mit WIFI 6.

[bimbar]

Ich nehme gerne Netgear z.B. GS110TP

Ich mache gerne Bögen um TP-Link oder D-Link.

Mikrotik Switche benötigen mir persönlich zu viel Liebhaberei in der Software.

Die TP Link managed switches haben eine Cisco ähnliche CLI, was für mich wichtig ist, und recht gut funktioniert.

Mikrotik Switches betreibe ich mit SwOS, zu RouterOS auf Switchen stimme ich dir zu, das ist gräßlich.