Hardware Vergleich - Was ist für Euch zu Hause sinnvoll? Was nutzt ihr?

[guest15032]

Genau. mSATA ist nur ein Laufwerk mit SATA Schnittstelle das über einen speziellen miniPCIe Bus angebunden ist. Verhält sich und installiert sich genauso wie eine normale SSD/HDD.

Ok. Bei der Box entfallen auch irgendwelche vorherigen BIOS Installationen usw.  richtig? Da ist ein Bootloader vorinstalliert mit dem ich direkt von einem USB Stick OPNsense installieren kann.

Hatte ich ja bereits gemeint: In dem Preissegment bis ~200€ wirst du nichts finden, was an die APU2 rankommt (leider - wäre schön Alternativen zu haben). Bei Firmen könnte dann die 1010 und andere wieder interessant werden, was Garantieerweiterungen, next-business-day replacement usw. angeht. :)

Vielleicht habe ich meine Anforderungen ein wenig ungenau formuliert. ;)

Rein technisch gesehen, waren die Punkte , die Oxygen in seinem Beitrag gepostet hatte, ziemlich genau das, was ich ebenfalls suche.

Wobei sich hier eben für mich daraus ergibt, dass ich Kompromisse eingehe, wenn es einfach nicht genau das gibt, was ich mir vorstelle. Beispiel NIC: Ich fände 4 LAN Ports perfekt, wenns dabei noch Intel NIC sind, noch besser. Wenn ich das in der Gerätekonfiguration nicht finde, dann ist das hinnehmbar. Dann sind auch weiterhin 3 LAN Ports Ok, dann werden Netze halt per vLAN getrennt und nicht physisch. 

Wenn ich die APU2C4 mit meiner jetzigen Appliance vergleiche, ist es für mich persönlich ein Grund, mir eine Appliance wie die APU2C4 zuzulegen, da die Spezifikationen zum großen Teil meine Anforderungen decken. Meine jetzige Appliance hatte ich damals eher blind gekauft (seitdem ist ja auch einige Zeit vergangen), schlecht ist sie deswegen aber auch nicht. Allerdings ist die APU in den meisten Belangen technisch besser und zudem in einem Preissegment, in dem ich direkt zuschlagen würde.

Mimr gehts darum, jetzt ein Gerät zu kaufen, mit dem ich zumindest 1-2 Jahre zufrieden bin. Dann wird sich, allein durch den Betrieb des Gerätes und den Spielereien damit, zeigen, ob es dann zur nächsten Stufe geht und ich mir dann halt wieder eine neue Hwardware zulege oder nicht.

Die ca. 200€ sind für mich auch keine endgültige Grenze. ;) Wenn es irgendein Gerät gibt, das vergleichbar mit der APU ist, aber dann halt doch noch nen LAN Port mehr hat und vielleicht auch noch etwas mehr Speicher oder nen besseren Prozessor, dann gebe ich dafür auch 250€ oder 270€ oder vielleicht auch 300€ aus. Es sollen halt Ressourcen da sein, um auch mal etwas "mehr" zu machen, also um VPN mit vernünftigem Durchsatz zu erzielen, um nen transparenten Caching und Webfilter Proxy laufen zu lassen, usw. Keine ungalublich hohen Anforderungen, aber trotz allem performant genug, um nicht in paar Monaten an die Grenzen zu stoßen.

Wenn da also bei höherem Preis etwas dabei ist, das vergleichbar wäre, dann freue ich mich über Vorschläge. :)

Gruß
Chris

[Oxygen61]

Hey hey,

ich muss an der Stelle nochmal der Spielverderber sein und nochmal was klar stellen bezüglich VLANs, weil ich vorhin gelesen hatte dass es da keinen (?) Unterschied zu einer physischen NIC gibt.
Das ist grundlegend falsch, weshalb ich da nochmal nachhake.

VLANs trennen immer auf "logischer Ebene", währenddessen NICs auf "physischer Ebene" die Pakete trennen.
Der Einsatz von VLANs ist grundsätzlich nicht falsch oder unsicher (ganz im Gegenteil, es ist sogar gängige Praxis viele VLANs in Firmen aufzuziehen). Jedoch muss einem bewusst sein, dass es auf Layer-2 viele Angriffsmethoden gibt, die einzig und allein davon abhängig sind, ob notwendige Security Features bei dem Switch angewendet wurden oder eben nicht. Ist man sich dessen bewusst und nutzt einen ordentlich konfigurierten Switch ist alles i.O. Trotzdem würde ich "offensichtliche" Trennungen (WLAN/Gästenetz/LAN/DMZ/WAN/Testumgebung) nicht durch VLANs trennen, wenn es denn anders geht.

Hierfür kann ich euch nur die beiden Links hier ans Herz legen zum nachlesen:
https://security.stackexchange.com/questions/1551/why-do-people-tell-me-not-to-use-vlans-for-security
https://www.redscan.com/news/ten-top-threats-to-vlan-security/

________________________________

1) Die 7525 ist genauso wie alle Lanner erstmal ein Barebone. Was du als RAM und SSD reinsteckst bleibt dir überlassen. Die 7525 gibt es als Scope-7 bspw. mit 80GB Intel SSD und 8GB RAM. Klar ist da eine SSD drin - wir vertreiben das Ding ja auch an unsere Kunden für mittlere/große Office Anbindungen :)

@JeGr ich tendiere mittlerweile wirklich zu dem 7525. Grade als ich mich heute auch nochmal hinsetzte und meinen Netzplan anschaute, wurde mir bewusst, dass ich wohl so oder so tief in die Tasche greifen muss....
(Site-to-site VPN, OpenVPN Gateway am WAN, Proxy, Gästenetz, 1xNAS, VoIP Telefon, IP TV, DMZ mit IP-Kameras, 2 VLAN fähige Switche.... usw. Damn it... )

Ich konnte aber nichts zum Bestellen/Kaufen finden? Soll ich mich in dem Fall einfach direkt über "Contact" bei euch melden wenn es soweit ist? Hast du für die Kiste auch mal ne Review geschrieben? Würde ich mir gern mal durchlesen. :)

@ne0h ich glaube der NCA-1210 wär für das Heimnetz ganz ausreichend, grade weil er ja anscheinend doch AES-NI kann, was Grundvoraussetzung sein sollte, sobald du irgendwas verschlüsselt übertragen möchtest.
Wegen dem Lüfter steht hier folgendes: "Supports smart fan control".
Meine Vermutung: Ich gehe mal davon aus, dass er dadurch abhängig von der Auslastung entweder den Lüfter anschmeißt oder eben nich.
(Kennt man ja bereits von Grafikkarten und Gehäuse Lüftern in einem Desktop PC.
Dort fängt der Lüfter erst an zu arbeiten, wenn er es für nötig erachtet.)

[JeGr]

@ne0h

Ok. Bei der Box entfallen auch irgendwelche vorherigen BIOS Installationen usw.  richtig? Da ist ein Bootloader vorinstalliert mit dem ich direkt von einem USB Stick OPNsense installieren kann.

Was heißt entfällt BIOS Installation. Die Kiste verhält sich wie ein normaler x64 PC. BIOS bootet, da kannst du auch rein und ggf. noch was einstellen, per default wird aber der USB Stick vor der integrierten mSATA erkannt und gebootet.

Mimr gehts darum, jetzt ein Gerät zu kaufen, mit dem ich zumindest 1-2 Jahre zufrieden bin. Dann wird sich, allein durch den Betrieb des Gerätes und den Spielereien damit, zeigen, ob es dann zur nächsten Stufe geht und ich mir dann halt wieder eine neue Hwardware zulege oder nicht.

1-2 Jahre wirst du - solange du nicht innerhalb der Zeit auf Leitungsgrößen >200MBit/s aufrüstest - locker klar kommen. Auch mit IDS o.ä. wird das gehen, wobei diese Tools allerdings eh immer "je größer je besser" rufen :) Mehr RAM und CPU sind bei sowas immer toll, aber es muss auch preislich im Rahmen bleiben, gerade für zu Hause und mit WAF :D

@Oxygen

@JeGr ich tendiere mittlerweile wirklich zu dem 7525. Grade als ich mich heute auch nochmal hinsetzte und meinen Netzplan anschaute, wurde mir bewusst, dass ich wohl so oder so tief in die Tasche greifen muss....
(Site-to-site VPN, OpenVPN Gateway am WAN, Proxy, Gästenetz, 1xNAS, VoIP Telefon, IP TV, DMZ mit IP-Kameras, 2 VLAN fähige Switche.... usw. Damn it... )

Ich wollte niemand bekehren ;) Und bevor das hier ggf. auch anfängt: Nur weil ich mal hier und da auf Lanner hinweise oder empfehle habe ich - außer dass sie einer unserer Distributoren in der Firma sind - privat oder persönlich mit ihnen nix zu tun und bekomme auch keine Provision o.ä. :) Nachdem ich an anderer Stelle schonmal böse dafür abgewatscht worden bin, deshalb nochmal in aller Deutlichkeit. Ich empfehle sie nur, weil ich persönlich jetzt schon Jahre an extrem guten Erfahrungen mit Lanner und dem Distri habe und - leider - mit anderen Sachen wie APUs auch schonmal einige Fehlgriffe.

Ich konnte aber nichts zum Bestellen/Kaufen finden? Soll ich mich in dem Fall einfach direkt über "Contact" bei euch melden wenn es soweit ist? Hast du für die Kiste auch mal ne Review geschrieben? Würde ich mir gern mal durchlesen. :)

Wer ist denn "bei euch"? Wie gesagt, ich bin nicht Lanner oder Landitec :) Aber wenn du als Firma, Freelancer oder Privat eine Kiste brauchst, kann ich dir da ggf. auch gern weiterhelfen soweit gewünscht. ;)

ich muss an der Stelle nochmal der Spielverderber sein und nochmal was klar stellen bezüglich VLANs, weil ich vorhin gelesen hatte dass es da keinen (?) Unterschied zu einer physischen NIC gibt.
Das ist grundlegend falsch, weshalb ich da nochmal nachhake.

Vielleicht habe ich etwas überlesen, aber keinen Unterschied ist natürlich nicht richtig. "Keinen" Unterschied lediglich in dem Sinn, dass ein VLAN auf der *sense wie ein normales Interface zu behandeln ist, mit eigenem virtuellen Interface, eigenen Regeln etc. etc.
Natürlich ist ein VLAN nicht das Gleiche wie ein echtes Interface.

VLANs trennen immer auf "logischer Ebene", währenddessen NICs auf "physischer Ebene" die Pakete trennen.

Das ist aber auch "nur eine Halbwahrheit", da die Trennung spätestens dann aufgehoben wird, wenn sie in den gleichen Switch laufen. Spätestens dann sind sie wieder meistens nur noch logisch getrennt, weil hier dann meist VLANs zum Einsatz kommen um unnötige Hardware zu vermeiden. Ansonsten bräuchte es für jedes LAN auch einen eigenen Switch an dem auch NUR dieses LAN aufgelegt ist.

Trotzdem würde ich "offensichtliche" Trennungen (WLAN/Gästenetz/LAN/DMZ/WAN/Testumgebung) nicht durch VLANs trennen, wenn es denn anders geht.

Gerade aus Gründen wie dem obigen (zusätzliche Hardware etc.) und  den - doch oft recht theoretischen - Angriffsmethoden auf VLANs, die noch dazu sehr häufig Zugriff auf Switch oder Konfiguration von Ports benötigen, die per default auch kaum ein Gerät inzwischen konfiguriert hat, sehe ich das als eher nachrangiges Problem an. Vor allem wenn hier eines bedacht wird:

WLAN, Gästenetz, LAN etc. heißt: eine Person IST bereit physikalisch in meiner Einflußsphäre anwesend. Wenn sie eh bereits physikalischen Zugriff auf mein Netz HAT (weil anwesend) kann JEDER auch noch entsprechend mehr Chaos anrichten, als es theoretisch mit irgendwelchen VLAN Springereien möglich wäre. Auch Testumgebung vs. Live, etc. ist in diesem Muster. Wenn meine Mitarbeiter statt zu testen im Testnetz und produktiven Umgang im Livenetz die Zeit damit verschwenden, VLAN Attacken gegen sich selbst zu fahren, läuft was schief.

Die ganzen VLAN Angriffe sind ja hauptsächlich dann gefährlich, wenn ich - bspw. als Service Provider - Zugriff auf Systeme gebe, die per VLAN abgeschottet sind und dann von diesen Systemen aus ein VLAN Hopping möglich wäre mit den Bordmitteln dieses Geräts. Und genau da kommen sehr viele wenns und danns zusammen, die gegeben sein müssen. Für einen großen Hoster z.B. mag das ein durchaus existentes Phänomen sein, über dass er sich Gedanken machen sollte und muss. Für eine Trennung in einer Firma, wo nur eigenes Personal tätig ist, halte ich das für schlichtweg überzogen.

Das ist ja auch im Grundprinzip im ersten Beitrag auf Stackexchange so beantwortet, dass das Hopping teils theoretisch ist bzw. Dinge voraussetzt, die eigentlich eh nie gegeben sein sollten bzw. konfiguriert sein dürfen. Schön im zweiten Beitrag noch erwähnt, was ich auch immer wieder sage wenn es um VLANs geht: Vermeidet VLAN 1 irgendwo produktiv zu nutzen. Wenn VLANs dann bitte >1. Die anderen Punkte mögen Probleme sein, aber z.B. 5-10 sind sehr protokoll- bzw. produktspezifisch.

Deshalb in kurz: da sehe ich IRL kaum wirkliche Gefahr von VLANs, auch wenn man sich dessen bewusst sein sollte, ganz klar(!)
Trotzdem: Schöne Diskussion über das Thema! Sehr erfreulich!

[monstermania]

@JeGr
Genau deswegen lese ich Deine Beiträge sehr gern!
Bezüglich vLAN denke ich genau so! Und gerade beim privaten Einsatz einer FW sollte man sich m.E. über ganz andere Dinge Gedanken machen wie über die Sicherheit von vLAN's!

[guest15032]

@ne0h ich glaube der NCA-1210 wär für das Heimnetz ganz ausreichend, grade weil er ja anscheinend doch AES-NI kann, was Grundvoraussetzung sein sollte, sobald du irgendwas verschlüsselt übertragen möchtest.
Wegen dem Lüfter steht hier folgendes: "Supports smart fan control".
Meine Vermutung: Ich gehe mal davon aus, dass er dadurch abhängig von der Auslastung entweder den Lüfter anschmeißt oder eben nich.
(Kennt man ja bereits von Grafikkarten und Gehäuse Lüftern in einem Desktop PC.
Dort fängt der Lüfter erst an zu arbeiten, wenn er es für nötig erachtet.)

Wenn ich denn mal irgendwo einen Vergleichpreis dafür finden würde, könnte ich das Gerät auch deutlich besser bewerten. ;) Wer kann/darf denn dazu Preise rausgeben?

Was heißt entfällt BIOS Installation. Die Kiste verhält sich wie ein normaler x64 PC. BIOS bootet, da kannst du auch rein und ggf. noch was einstellen, per default wird aber der USB Stick vor der integrierten mSATA erkannt und gebootet.

Alles klar. :)

1-2 Jahre wirst du - solange du nicht innerhalb der Zeit auf Leitungsgrößen >200MBit/s aufrüstest - locker klar kommen. Auch mit IDS o.ä. wird das gehen, wobei diese Tools allerdings eh immer "je größer je besser" rufen :) Mehr RAM und CPU sind bei sowas immer toll, aber es muss auch preislich im Rahmen bleiben, gerade für zu Hause und mit WAF :D

Hmm.... Nochmal einfacher erklärt für mich: Sprichst Du gerade von Netzanbindungen zu Hause (Glasfaser, Kabel, etc.)? Denn ich sitze hier hinter einem 400Mbit Kabel Anschluss. ^^ Falls ja, stellt sich mir eher die Frage, wo denn da innerhalb der Box der Flaschenhals zu suchen ist, bezüglich der Bandbreite?

Per LAN Kabel direkt an meiner Appliance angeschlossen konnte ich schon das eine oder andere Mal tatsächlich knapp 400Mbit messen, wobei das natürlich von so vielen Faktoren abhängt (Tageszeit und Netzauslastung, Netzwerkkarte meines Rechners, Wahrheitsgehalt des Speedtests, etc.) dass ich mich darauf niemals wirklich verlassen würde. Und natürlich muss die Gegenstelle auch immer solche Geschwindigkeiten zulassen, was ja auch nicht oft der Fall ist (hinsichtlich großer Downloads z.B.).

Also wo genau siehst du da die technischen Limitierungen, die mir den Spaß verderben würden?

Deshalb in kurz: da sehe ich IRL kaum wirkliche Gefahr von VLANs, auch wenn man sich dessen bewusst sein sollte, ganz klar(!)
Trotzdem: Schöne Diskussion über das Thema! Sehr erfreulich!

Ja, ich finde es auch schön zu sehen, wie aktiv hier diskutiert wird. Und das bringt ja genau die Erkenntnisse und Lerneffekte mit sich.

Und gerade beim privaten Einsatz einer FW sollte man sich m.E. über ganz andere Dinge Gedanken machen wie über die Sicherheit von vLAN's!

Was speziell meinst Du? Die Firewall Regeln an sich? Oder andere Sachen?

Gruß
Chris

[Oxygen61]

Ich wollte niemand bekehren ;) Und bevor das hier ggf. auch anfängt: Nur weil ich mal hier und da auf Lanner hinweise oder empfehle habe ich - außer dass sie einer unserer Distributoren in der Firma sind - privat oder persönlich mit ihnen nix zu tun und bekomme auch keine Provision o.ä. :) Nachdem ich an anderer Stelle schonmal böse dafür abgewatscht worden bin, deshalb nochmal in aller Deutlichkeit. Ich empfehle sie nur, weil ich persönlich jetzt schon Jahre an extrem guten Erfahrungen mit Lanner und dem Distri habe und - leider - mit anderen Sachen wie APUs auch schonmal einige Fehlgriffe.

Das ist natürlich auch ne Lösung. Die Schuld von einem selber abwenden, noch bevor man überhaupt auch nur irgendwie von jemanden etwas negatives zu hören bekommen hat.
Das ist doch jedem selber freigestellt, wie er mit der Empfehlung umgeht die er von dir bekommt.
Mein Sinneswechsel, war vollkommen unabhängig von deiner Überzeugung oder deinem Vorschlag. :)
Ich hatte die Kiste halt einfach mal gegoogled und hab gerade in den pfSense Beiträgen nur gutes über Lanner lesen können und über die 7525.
Da ich mir die Möglichkeit der Erweiterung meines Netzes frei halten wollte
und eben nich in 3 Jahren wieder neue Hardware kaufen will passt mir die 7525 doch besser als zuerst gedacht. :)
(Hier an der Stelle nochmal betont, ich kannte Lanner vorher nicht und hatte vorher keine Hardware Lösung die mich wirklich überzeugte... APU2 oder so eine andere Kiste mit 4 Ports, aber ohne AES-NI, nichts halbes und nichts ganzes. War deshalb froh für Alternativen :))

Ich weiß du wolltest dich nur von der Firma distanzieren,
aber so kam es halt leider Gottes nicht bei mir an bei deinen ersten Postings.
Falls du dich von mir mit Lanner in einen Topf geworfen fühltest, dann tut es mir leid.
Kommt nich wieder vor, versprochen! ;)

[...]Aber wenn du als Firma, Freelancer oder Privat eine Kiste brauchst, kann ich dir da ggf. auch gern weiterhelfen soweit gewünscht. ;)

Das wär super Nett von dir oder zu mindestens irgendjemanden zum Anschreiben,
wenn ich dann in ~2 Monaten die Hardware bräuchte. :)

Vielleicht habe ich etwas überlesen, aber keinen Unterschied ist natürlich nicht richtig. "Keinen" Unterschied lediglich in dem Sinn, dass ein VLAN auf der *sense wie ein normales Interface zu behandeln ist, mit eigenem virtuellen Interface, eigenen Regeln etc. etc.
Natürlich ist ein VLAN nicht das Gleiche wie ein echtes Interface.

Genau. Vielleicht hatte ich mich da auch verlesen, war schon spät :(

Das ist aber auch "nur eine Halbwahrheit", da die Trennung spätestens dann aufgehoben wird, wenn sie in den gleichen Switch laufen. Spätestens dann sind sie wieder meistens nur noch logisch getrennt, weil hier dann meist VLANs zum Einsatz kommen um unnötige Hardware zu vermeiden. Ansonsten bräuchte es für jedes LAN auch einen eigenen Switch an dem auch NUR dieses LAN aufgelegt ist.

Aber genau das, ist doch so oder so im "SOHO" gängige Praxis oder nicht?
Ich trenne doch nicht per Interfaces in WLAN und LAN und stöpsel beide dann wieder an einen Switch?
Übersehe ich da grade was? :D Ich bitte um Aufklärung :)

Das ist ja auch im Grundprinzip im ersten Beitrag auf Stackexchange so beantwortet, dass das Hopping teils theoretisch ist bzw. Dinge voraussetzt, die eigentlich eh nie gegeben sein sollten bzw. konfiguriert sein dürfen. Schön im zweiten Beitrag noch erwähnt, was ich auch immer wieder sage wenn es um VLANs geht: Vermeidet VLAN 1 irgendwo produktiv zu nutzen. Wenn VLANs dann bitte >1. Die anderen Punkte mögen Probleme sein, aber z.B. 5-10 sind sehr protokoll- bzw. produktspezifisch.

"die eigentlich eh nie gegeben sein sollten".... lol :P
Einen in sich sicheren Switch den man per Plug and Play in sein Netz integriert, gibt es leider nicht.
Heutzutage muss alles einfach und schnell gehen und dann wird das "eigentlich" dann doch eher zu einem "oh, das hätte ich einstellen müssen?".
Man kann nich an alles denken. Man muss aber wissen, wonach man suchen muss,
wenn man dann vor der Frage der richtigen Switch Konfiguration steht. :)

Deshalb in kurz: da sehe ich IRL kaum wirkliche Gefahr von VLANs, auch wenn man sich dessen bewusst sein sollte, ganz klar(!)
Trotzdem: Schöne Diskussion über das Thema! Sehr erfreulich!

Ich glaube das rundet alles perfekt ab. :) Mir fehlt leider das Praxiswissen für große VLAN Umgebungen bei Dienstleistern. Deshalb kann ich schwer einschätzen, was ein "akutes Problem" ist und was eben nicht.
Deswegen vielen Dank für den Einblick in dieses doch sehr komplexe Thema. :)

Schöne Grüße
Oxy

[JeGr]

@ne0h

Hmm.... Nochmal einfacher erklärt für mich: Sprichst Du gerade von Netzanbindungen zu Hause (Glasfaser, Kabel, etc.)? Denn ich sitze hier hinter einem 400Mbit Kabel Anschluss. ^^ Falls ja, stellt sich mir eher die Frage, wo denn da innerhalb der Box der Flaschenhals zu suchen ist, bezüglich der Bandbreite?

Von der Anbindung, wo du das Gerät nutzen möchtest. Und da ist ja ggf. nicht nur up- sondern auch downstream relevant. Flaschenhals ist da weniger die Box, als mehr der Crypto-Part der eben CPU-lastig ist. Auch AES-NI kann da nur entlasten, aber selbst mit wird eine APU eben bei ~150MBit/s die Fühler strecken. Aber solang du nicht 400MBit/s vollverschlüsseln willst, sollte das kein Problem darstellen. Es gibt aber auch Leute die eben alles verschlüsseln und nur noch so online gehen. Dafür wärs dann knapp.

Also wo genau siehst du da die technischen Limitierungen, die mir den Spaß verderben würden?

Wenn du Vollverschlüsseln würdest - also volle Leistung haben willst - oder wenn du auf die 400MBit/s heftige Regelsets mit pfBlockerNG bspw. oder auch Surricata/Snort los lässt. Dann könnte es vielleicht(!) etwas eng werden. Bei Crypto definitiv. 350MBit/s aufwärts zu verschlüsseln, da braucht es ggf. nen C2558 oder C2758 von der Leistung her.

Was speziell meinst Du? Die Firewall Regeln an sich? Oder andere Sachen?

Gerade Dinge wie Netzplanung, Compartmentalizing, WiFi Bridges, powerLAN etc. bringen alle für sich Überlegungen mit, die getroffen werden müssen und die ggf. sicherheitsrelevant sind.

Grüße
Jens

[JeGr]

@Oxygen

:o Der Übersicht halber hier mal ein eigenes Post dazu :)

Das ist natürlich auch ne Lösung. Die Schuld von einem selber abwenden, noch bevor man überhaupt auch nur irgendwie von jemanden etwas negatives zu hören bekommen hat.
...
Ich weiß du wolltest dich nur von der Firma distanzieren, aber so kam es halt leider Gottes nicht bei mir an bei deinen ersten Postings.
Falls du dich von mir mit Lanner in einen Topf geworfen fühltest, dann tut es mir leid. Kommt nich wieder vor, versprochen! ;)

OK in Kurzfassung: Ich wurde u.a. durch Empfehlungen bzw. Vorschläge, eine Lanner Kiste einzusetzen von zwei (später einem) anderen Forenschrieben im anderen bekannten Forum massiv angegriffen.
Begründung: Ich wäre als Mod nicht objektiv, würde massiv (?) Werbung für Lanner und nicht für pfSense' eigene Kisten machen und wäre doch bezahlter "Schreibdepp" und "Frontschwein" für Lanner/Landitec.
Da ich in Foren - sowohl hier als auch als Mod im anderen Forum - als Privatperson unterwegs bin und es mit etwas Nachfragen recht einfach möglich ist, herauszufinden, dass ich weder für den einen noch den anderen Laden arbeite, sondern bei einer Firma die eben u.a. pfSense Partner ist, ging mir das gelinde gesagt ziemlich aufs Schwein.
Und um da gar keine Unklarheiten aufkommen zu lassen, dachte ich ich mache es dieses Mal gleich klar, dass ich mit Lanner/Landitec weder verwandt noch verschwägert noch angestellt bin ;) Ich habe allerdings das Glück gehabt, dort offene Ohren für egal welches *Sense Projekt und andere Software zu finden, so dass mir auch vergönnt war, für die Foren bspw. eine NCA-1010B kurz nach Release zu testen.
Evtl. werde ich das mit der kommenden 1020 wieder dürfen und auch gern die Leute an meiner (durchaus subjektiven) Meinung daran Teil nehmen zu lassen. Auch wird es ggf. ein Teardown der FW-7525 in den nächsten Wochen geben, in Schrift- und ggf. Video- oder Streamform. Auch das lediglich mit gutem Willen und unbezahlt, ich bekomme lediglich die Hardware gestellt (die 1010B ging danach zurück bzw. wurde an einen Kunden verkauft).
Das lernt man aber einfach im Umgang auch mit US Unternehmen, dass man einfach einen "Disclaimer" braucht, der viele andere - vielleicht auch dich - gar nicht jucken würde :) Deshalb auch der Satz mit "wollte nicht bekehren" eher Augenzwinkernd ;)

Das wär super Nett von dir oder zu mindestens irgendjemanden zum Anschreiben,
wenn ich dann in ~2 Monaten die Hardware bräuchte. :)

Kannst du bei Interesse und Wunsch gerne tun, ggf. Mail oder PN schicken, dann schreibe ich dir dazu gern brav von der Firma aus ein Angebot :)

Aber genau das, ist doch so oder so im "SOHO" gängige Praxis oder nicht?

Echt? Also ich kenne einige Privatmenschen, die sich eben einen Switch wie nen 24er TP-Link mit VLAN hinstellen und darüber (und mit einer *sense) dann eben VLANs nutzen. Ein Switch pro LAN kenn ich eher selten.
Zudem ist mitunter die Infrastruktur daran mit Schuld. Denn nicht überall lässt sich dann gut Kabel verlegen und für eigene Switche noch extra Kabel legen etc. Da nutzt man dann einfach was man hat. Also nö, selbst Privat kenn ich das eher selten :) Zudem wäre der Verkabelungsaufwand und Komplexität höher, würden ja ggf. 2-3 Switche rumliegen nur um LAN, WLAN und ggf. Gäste zu trennen.
Was durchaus gemacht wird: LAN1 und LAN2 (getrennte LANs mit VLAN Tag) auf einzelne Ports legen und dann beide an den Switch rauf. Damit kann man dann auch 2x Linespeed 1Gbps nutzen, gerade wenn man bpsw. in LAN2 den Storage hinpackt und in LAN1 nen Server/heavy User hat, der möglichst schnell Daten kopieren muss. Dann möchtest du natürlich mit einem Trunk Port mit 2 VLANs drauf deinen Linespeed nicht halbieren. Dann trennt man es gern auf mehrere Interfaces auf.

Man kann nich an alles denken. Man muss aber wissen, wonach man suchen muss,

Durchaus richtig :) Allerdings sind einige genannten Szenarien Herstellerspezifisch (CDP etc.) bzw. in kleineren Switchen mit VLAN gar nicht implementiert. Somit auch kein Problem.
Und physikalische Sicherheit toppt da trotzdem noch theoretisches VLAN Hopping ;)

Deswegen vielen Dank für den Einblick in dieses doch sehr komplexe Thema. :)

Sehr gern. Da mein Brötchengeber u.a. selbst Cloud Hoster ist (das große Standbein, Netzwerk/Security das andere) bin ich da direkt mit konfrontiert. Und selbst dann geht es an der Stelle auf die Rechnung herunter: Das geht nur/meist nur, wenn der Angreifer Kunde von dir ist (oder der Server komplett übernommen werden würde). Und ein Kunde würde sich ja nicht die eigene Umgebung torpedieren (außer er ist dafür Kunde geworden, das ist aber ne wirklich böse Story dann).

So hoffentlich nicht zu viel abgeschweift. :)

Grüße
Jens

[guest15032]

Hi,

Ok, also geht es im Prinzip um Hardware Crypto bei VPN.

Da ich das momentan nur in sehr seltenen Fällen privat nutze und eher Mal fürs Homeoffice, ist das nicht zwingend der wichtigste Punkt für mich, wenn es um eine Entscheidung geht. ;)

Für diesen Anwendungsfall reicht mir also aktuell auch meine Kiste  prinzipiell. Und die AES-NI der APU würde da ja schon deutlich was bringen.

Also bleibt da grade noch meine Frage im Raum stehen:

Was kostet denn die Lanner 1210 ? ;)

Gruss
Chris

Gesendet von meinem Nexus 6P mit Tapatalk

[JeGr]

Also bleibt da grade noch meine Frage im Raum stehen:

Was kostet denn die Lanner 1210 ? ;)

Ich frag die gerade mal an, jetzt interessiert es mich selber. :)

[Oxygen61]

Begründung: Ich wäre als Mod nicht objektiv, würde massiv (?) Werbung für Lanner und nicht für pfSense' eigene Kisten machen und wäre doch bezahlter "Schreibdepp" und "Frontschwein" für Lanner/Landitec.
Da ich in Foren - sowohl hier als auch als Mod im anderen Forum - als Privatperson unterwegs bin und es mit etwas Nachfragen recht einfach möglich ist, herauszufinden, dass ich weder für den einen noch den anderen Laden arbeite, sondern bei einer Firma die eben u.a. pfSense Partner ist, ging mir das gelinde gesagt ziemlich aufs Schwein.

Arme Sau... (Sorry konnte ich mir nich verkneifen :P)
Aber mal Spaß beiseite.... ich versteh da beide Seiten, deshalb darf man sich niemals von nur einer Person etwas "empfehlen" lassen. Entweder man hat die Chance das Gerät zu testen oder man sucht sich halt weitere Quellen. Habe aber nur gutes gelesen über die Desktop Lanner Hardware. Die Anforderungen stimmen für mich.. also.. ::)

Auch wird es ggf. ein Teardown der FW-7525 in den nächsten Wochen geben, in Schrift- und ggf. Video- oder Streamform. Auch das lediglich mit gutem Willen und unbezahlt, ich bekomme lediglich die Hardware gestellt (die 1010B ging danach zurück bzw. wurde an einen Kunden verkauft).

Perfekt, das klingt doch super! Sag bescheid wenn es dann was zu sehen/lesen gibt. :)

Das lernt man aber einfach im Umgang auch mit US Unternehmen, dass man einfach einen "Disclaimer" braucht, der viele andere - vielleicht auch dich - gar nicht jucken würde :) Deshalb auch der Satz mit "wollte nicht bekehren" eher Augenzwinkernd ;)

Ja, naja is doch okay. Ich bin offen für neues. Die Wahrheit kriegt man dann eh raus wenn man bohrt und sucht.
Von daher, wer nicht offen für neues ist bleibt stehen, besonders in der IT. :)

Kannst du bei Interesse und Wunsch gerne tun, ggf. Mail oder PN schicken, dann schreibe ich dir dazu gern brav von der Firma aus ein Angebot :)

Supi, dann schreib ich mir das gleich mal auf und meld mich in gut ~2 Monaten nochmal bei dir, wenn ich das Geld habe und die Zeit und keinen Stress... man kennt das ja. (Klingt wie bei ner Erpressung. :o ;D)

Echt? Also ich kenne einige Privatmenschen, die sich eben einen Switch wie nen 24er TP-Link mit VLAN hinstellen und darüber (und mit einer *sense) dann eben VLANs nutzen. Ein Switch pro LAN kenn ich eher selten.
Zudem ist mitunter die Infrastruktur daran mit Schuld. Denn nicht überall lässt sich dann gut Kabel verlegen und für eigene Switche noch extra Kabel legen etc. Da nutzt man dann einfach was man hat. Also nö, selbst Privat kenn ich das eher selten :) Zudem wäre der Verkabelungsaufwand und Komplexität höher, würden ja ggf. 2-3 Switche rumliegen nur um LAN, WLAN und ggf. Gäste zu trennen.

Okay... da bin ich dann in der Hinsicht wohl einfach sehr verwöhnt und hab verallgemeinert.
Die Leute die ich gefragt hatte und kenne haben größtenteils ein Haus und leben nicht in einer WG/Mietswohnung, etc.
In der Hinsicht kann ich mir gut vorstellen, dass man da sehr eingeschränkt ist, wenn nicht viel Spielraum für neues "Spielzeug" zur Verfügung hat.
Switch für LAN, Switch für WLAN und ein Switch für Gäste oder ein Switch für Geräte in der DMZ....
ich meine.. wer kann der kann. Muss ja auch nicht alles von heut auf morgen umgebaut werden.
Kann man ja Schritt für Schritt planen und umsetzen. :)

Was durchaus gemacht wird: LAN1 und LAN2 (getrennte LANs mit VLAN Tag) auf einzelne Ports legen und dann beide an den Switch rauf. Damit kann man dann auch 2x Linespeed 1Gbps nutzen, gerade wenn man bpsw. in LAN2 den Storage hinpackt und in LAN1 nen Server/heavy User hat, der möglichst schnell Daten kopieren muss. Dann möchtest du natürlich mit einem Trunk Port mit 2 VLANs drauf deinen Linespeed nicht halbieren. Dann trennt man es gern auf mehrere Interfaces auf.

Stimmt, das wär natürlich auch noch eine Idee, falls man so oder so schon einen Switch rumzustehen hat.

Ich werde mir wohl den hier holen: Netgear ProSAFE Plus GS108Ev3 8x 10/100/1000 Mbit Desktop Switch
(https://www.mindfactory.de/product_info.php/Netgear-ProSAFE-Plus-GS108Ev3-8x-10-100-1000-Mbit-Desktop-Switch_978450.html)
Der is nich so teuer... kann alles was ich brauche... sogar PoE und VLANs und isn 1000mbit/s Switch.
Wenn ich mir davon 2-3 hole über 2 Monate verteilt, brech ich mir kein Bein ab dabei und kann das umsetzen was ich mir im Kopf vorgestellt hatte.
(Der Konfigurationsaufwand steigt dadurch natürlich immens (mehrere VLANs... das ist mir bewusst.
Aber man hat ja sonst nichts zu tun :P)

physikalische Sicherheit toppt da trotzdem noch theoretisches VLAN Hopping ;)

Richtig. Das sowieso.... aber man muss ja auf alles gefasst sein, Paranoia sei dank. :)

Schönes Wochenende euch allen
Oxy

[JeGr]

Arme Sau... (Sorry konnte ich mir nich verkneifen :P)

Nö wird aber einfach irgendwann lächerlich sowas immer wieder zu lesen. :)

Perfekt, das klingt doch super! Sag bescheid wenn es dann was zu sehen/lesen gibt. :)

Momentan noch etwas unklar, aber es gab letztes Jahr schon einmal nen kleinen Livestream zum Thema "DIY eigener Home-Router/Firewall mit pfSense" und da werde ich wohl dank Leihstellung der 7525 dieses Mal weitermachen. Wahrscheinlich zweigeteilt: Einmal Teardown - im Prinzip das was ich ich Schriftform für die NCA1010 gemacht habe - und einmal dann Installation von *sensen (warum nicht beide) und Test nach Möglichkeit mit einer Gegenstelle (vielleicht nen iperf machen). Auch den Bypass muss ich mal testen, Stromaufnahme etc. Ich hoffe ich bekomme das dieses mal etwas "profesioneller" hin, letztes Mal war sehr ad-hoc und improvisiert :D

Supi, dann schreib ich mir das gleich mal auf und meld mich in gut ~2 Monaten nochmal bei dir, wenn ich das Geld habe und die Zeit und keinen Stress... man kennt das ja. (Klingt wie bei ner Erpressung. :o ;D)

Läuft ja nicht weg das gute Stück :D Da die 7525-D ein Fokusprodukt ist, ist die auch noch länger vorhanden und lieferbar :)

Ich werde mir wohl den hier holen: Netgear ProSAFE Plus GS108Ev3 8x 10/100/1000 Mbit Desktop Switch

Tus nicht ;) OK sehr subjektiv, aber Netgear (billig)Switche sind/waren bei mir Crap. Ein 5er (GS105EV2) war derart schlecht verarbeitet dass er beim Stecken/Abziehen nen Kurzen bekommen hat. Ein 8er hatte ständig Probleme mit "Aufhängen" (man bekam einfach keine Verbindung mehr, es sah aber alles gut aus -> Power raus rein geht wieder!?) und der 24er hatte Ports die gebuggt haben. Inzwischen von 10 Stück 4-5 als defekt oder strange markiert...
Ich würde TP-Link nehmen, die können ebenfalls VLANs und bislang von denen noch keinen einzigen verloren. Oder für ein paar Euro mehr die HP 1810er oder 1820er (NIE die 1910er die sind Müll). Oder Cisco 300er - nachdem was ich zuletzt gelesen habe könnte man mit denen sogar 802.1x port based authorization machen :D

[Oxygen61]

Läuft ja nicht weg das gute Stück :D Da die 7525-D ein Fokusprodukt ist, ist die auch noch länger vorhanden und lieferbar :)

Alles klar... nur um das nochmal klar zustellen frag ich lieber nochmal nach...
Am Ende is das "nur" ein Barebone und RAM und SSD muss ich mir selber noch besorgen oder kann man die gleich mit bestellen? 8 GB RAM und ~120 GB SSD von Samsung z.B.?

Tus nicht ;)

Och nö jetzt muss ich nochmal vergleichen. :D Dabei dachte ich ich hätte etwas sicher.
Das Ding is, Kollegen von mir nutzen bereits die Netgear Switche zu Hause ohne Probleme.
Da trifft Aussage nun auf Aussage.
An der Stelle wären wir wieder beim Thema: Recherchieren. ::)

Trotzdem Danke für die Vorschläge ich werde mal schauen wer sich da am Besten schlägt.
Wichtig war mir auch PoE, weil an einen der Switche IP Kameras rankommen sollen, die natürlich nur das LAN Kabel gesteckt bekommen. Nen Cisco Switch wollte ich mir eigentlich nich Zuhause hinstellen.
Preislich übersteigt das mir den Kosten Nutzen Faktor und der IEEE 802.1x Standard ist "to much" für mein privates Netz. Die von TP-Link und HP vergleich ich nochmal mit dem NetGear Switch. Mal kucken wo mich das dann am Ende hintreibt. :)

Schöne Grüße
Oxy

[guest15032]

Ich frag die gerade mal an, jetzt interessiert es mich selber. :)

Super, vielen Dank. :) Du kannst mir auch gern ne PN schicken diesbezüglich.

Tus nicht ;) OK sehr subjektiv, aber Netgear (billig)Switche sind/waren bei mir Crap. Ein 5er (GS105EV2) war derart schlecht verarbeitet dass er beim Stecken/Abziehen nen Kurzen bekommen hat. Ein 8er hatte ständig Probleme mit "Aufhängen" (man bekam einfach keine Verbindung mehr, es sah aber alles gut aus -> Power raus rein geht wieder!?) und der 24er hatte Ports die gebuggt haben. Inzwischen von 10 Stück 4-5 als defekt oder strange markiert...
Ich würde TP-Link nehmen, die können ebenfalls VLANs und bislang von denen noch keinen einzigen verloren. Oder für ein paar Euro mehr die HP 1810er oder 1820er (NIE die 1910er die sind Müll). Oder Cisco 300er - nachdem was ich zuletzt gelesen habe könnte man mit denen sogar 802.1x port based authorization machen :D

.
Preislich übersteigt das mir den Kosten Nutzen Faktor und der IEEE 802.1x Standard ist "to much" für mein privates Netz. Die von TP-Link und HP vergleich ich nochmal mit dem NetGear Switch. Mal kucken wo mich das dann am Ende hintreibt. :)

Vielleicht kann ich dazu beitragen, dass ich einen vLAN fähigen Switch von TP Link seit kurzem habe, den hier: http://www.tp-link.de/products/details/cat-41_TL-SG108E.html

Macht sich bisher wohl ganz gut.

Gruß
Chris

[peter008]

Ich werde mir wohl den hier holen: Netgear ProSAFE Plus GS108Ev3 8x 10/100/1000 Mbit Desktop Switch

Nur mal am Rande: der von Dir bezeichnete Netgear kann KEIN PoE (hatte mich schon bei dem von Dir angegebenen Preis gewundert).

Für das entsprechende Gerät zahlst Du selbst bei Netgear auch mal eben über 250 € !

https://www.amazon.de/NETGEAR-GS108E-300PES-ProSAFE-8-Port-Managed/dp/B01MQQCQ4V/ref=sr_1_1?ie=UTF8&qid=1485606672&sr=8-1&keywords=Netgear%2BProSAFE%2BPlus%2BGS108Ev3&th=1

edit: die Cisco 300er (für die ich mich kürzlich auch mal interessiert hatte) sind übrigens seit über einem Jahr "end of support" !