Hardware Vergleich - Was ist für Euch zu Hause sinnvoll? Was nutzt ihr?

[atgis]

Hi,
ich bin ganz neu hier und habe seit ca. 1 Woche OPNsense Zuhause laufen. Ich komme von IPCop der auf einem Fuijtsu Futro S300 mit 4GB CF Card und 1GB RAM lief.

Jetzt habe ich (günstig bei ebay) eine Terra Firewall "Black Dwarf" G2 UTM, VIA Nano U3500 1GHz , 2GB RAM mit 16GB mSata SSD ergattert. https://wiki.securepoint.de/UTM/Appliances#Terra_Firewall_.22Black_Dwarf.22_G2_UTM

Ich habe einen (theoretisch  ::) ) 25 MBit's Down und 5 Mibt/s Up O2 VDSL Anschluss. Die Einwahl macht ein Sphairon Speedlink 1113 VDSL2 Modem <- WAN-> danach OPNsense <- LAN -> Fritzbox 7490.

Ich nutze eigentlich vorerst auf der OPNsense:
- OpenVPN Einwahl 1x Android Client, 1x PC
- DHCP, DNS, DynDNS

Ich möchte gerne noch etwas spielen und eventuell noch das Virenscanner-Plugin nachrüsten. Bzw. was ist noch sinnvoll im Heimgebrauch?

Ist es nötig / sinnvoll von 2GB Ram auf 4GB aufzurüsten?

MfG
:)

EDIT: Besonders cool finde ich das Captive-Portal. Dann bekommt meine Freundin zeitliche begrenzte WLAN-Voucher und ich somit weniger Pakete von Zalando.  ;D

[monstermania]

Ich möchte gerne noch etwas spielen und eventuell noch das Virenscanner-Plugin nachrüsten. Bzw. was ist noch sinnvoll im Heimgebrauch?
Ist es nötig / sinnvoll von 2GB Ram auf 4GB aufzurüsten?

Ich empfinde den WebProxy mit einigen aktiven Sperrlisten (z.B. Werbung) als sehr empfehlenswert. Ich habe den Proxy transparent für http-Filterung am Laufen. HTTPS-Verbindung aufzubrechen empfinde ich als nicht sinnvoll und mache ich dementsprechend nicht.
2 GB RAM reicht auf jedem Fall auch dafür aus. Ich habe hier selbst einen Zwerg G1 am laufen (1GB RAM) und da läuft der Proxy problemlos.

Wenn Du das ClamAV-Plugin und icap installierst macht 4GB RAM auf jedem Fall sinn. Aber Vorsicht! Ist sehr prozessorlastig und da könnte der Zwerg an die Grenzen kommen! Am Besten einfach ausprobieren, ob es der Zwerg tut.

IDS/IPS würde ich auf jedem Fall sein lassen! Dafür hat der Zwerg einfach nicht die (Prozessor)Power.

Gruß
Dirk

[atgis]

Ja, dass habe ich schonmal gelesen, dass du einen Zwerg hast. Danke für den Tipp  ;) Daraufhin habe ich mir das teil besorgt, da mir ein PC Engines Gerät doch zu teuer war. Prinzipiell hätte es auch der alte IPCop weiterhin getan. Aber manchmal macht man solche Sachen aus einen Impuls heraus, einfach was neues haben zu wollen.

Werbung blocken ist sicher auch interessant, wobei ich auf meinen Geräte bis auf 1x Iphone Werbeblocker laufen habe bzw. angepasste Hostdateien.

Zum Thema IDS/IPS: Schade, dass ließt sich in der Theorie so gut. Aber dann ist das halt so.

[monstermania]

Zum Thema IDS/IPS: Schade, dass ließt sich in der Theorie so gut. Aber dann ist das halt so.

Ja, Theorie und Praxis!
Jedes IP-Paket muss ja bei einem IDS/IPS-System analysiert werden, damit das System feststellen kann, ob es sich dabei um eine pot. Gefahr handelt oder um 'sauberen' Traffic. Dementsprechend sieht es auch mit der Last aus. Dementsprechend ist eigentlich auch SSL-Inspection pflicht, wenn man es mit IDS/IPS ernst meint.
Insbesondere, wenn Du dann noch eine schnelle Internetanbindung hast kommt die Hardware des Zwergs da  einfach nicht mehr mit. Dafür braucht's dann schon Mehrkern-CPU-Systeme.
Erfahrungsgemäß sind aber die Meisten User mit der sauberen Konfiguration eines IDS/IPS eh hoffnungslos überfordert.  ;)
Und jetzt mal ehrlich. Für 2-3 von einem selbst genutzte Clients zu Hause so ein Aufriss!?

[loden_richard]

@monstermania

Das mit dem ClamAV wuerde ich mir auch ueberlegen, da die Software anscheinend nicht besonders oft geupdated wird [1].





[1] http://tmowizard.square7.ch/wordpress/2017/10/15/sicherheit-am-pc-vi-ubuntu-clamav-verantwortungslos/

[monstermania]

@loden_richard
Nun Ja, zunächst mal würde ich das Updateverhalten von ubuntu nicht als Masstab nehmen wollen.  ;)
Aber rein grundsätzlich her ist der ClamAV von der Erkennungsleistung eh nicht doll. Wir haben auf unser kommerziellen UTM in der Firma sowohl ClamAV und noch ein Produkt im Einsatz (weiß jetzt nicht welches vom UTM Hersteller dazugekauft wurde ;)).
Fakt ist, dass durch ClamAV so ziemlich alle aktuellen Bedrohungen durchgehen (Email). Das dauert manchmal Tage, bis eine aktuelle Bedrohung auch durch ClamAV erkannt wird...

[Tom74]

Hallo zusammen,

zur Frage was nutzt Ihr? Zur Zeit eine Fritzbox 7490.

Ich möchte aber eine "gescheite Firewall" in mein Netz integrieren. Die Fritzbox ist ja bezüglich der Firewall Funktion nicht so toll und lässt sich ja auch nur eingeschränkt konfigurieren. Ich würde gerne auf zusätzlicher Hardware Opnsene einsetzen. Die Fritzbox vorerst aber weiter nutzen. (ADSL Modem/ Switch/VOIP)

Welche Hardware ist da empfehlenswert. Zur Zeit habe ich DSL mit 16Mbit , 2018 soll dann aber VDSL mit 100MBit verfügbar sein.

Würde ein apu3b4 Board mit 4GB RAM erst einmal ausreichen? Könnte ich diese Hardware auch noch mit 100MBit weiter nutzen?

Die Draytek VigorNIC 132 PCIe Karte sieht auch interessant aus. Leider passt diese nicht auf das apu3b4 Board.

Wenn man sich damit damit eine Firewall/Router zusammenbaut ist man bei einer PC / Barebone Größe.

Ein kleineres Stück Hardware so wie das apu3b4 Board wäre mir da schon lieber. Der Stromverbrauch wäre auch geringer.

Was gibt es für Alternativen?

Über ein paar Ratschläge würde ich mich sehr freuen.

Danke.

Gruß Tom74

[monstermania]

Hallo Tom,
ein PCengines APU ist eine sehr gute Wahl. Ich würde aber ein APU2C4 empfehlen. Das APU3 macht nur Sinn, wenn Du 3G/4G damit machen willst (SIM Slots auf dem Board).
Das APU3 ist nicht der Nachfolger des APU2.
Ansonsten wäre auch eine Securepoint RC100 eine Möglichkeit. Die Teile werden immer wieder für einen schmalen Taler bei eBay angeboten. Die laufen mit einem Intel Atom D525 und haben 4 x Gbit LAN. Braucht deutlich weniger als 10 Watt.
Hab gerade selbst vor einem Monat eine RC100 für 30€ gekauft.

Von der Leistung her reicht eine APU/RC100 auf jedem Fall auch für 100Mbit aus!

Gruß
Dirk

[Tom74]

Vielen Dank für die Antwort.

Ist es sinnvoll noch eine WLAN Karte mit in die APU2 Firewall einzubauen? So wie ich gelesen habe kann die Compex WLE200NX Karte 2,4GHz und 5GHz nicht gleichzeitig. Oder einfach das WLAN der Fritzbox weiter nutzen?

Gruß Tom74

[monstermania]

Ist es sinnvoll noch eine WLAN Karte mit in die APU2 Firewall einzubauen?

Tja gute Frage.
Die richtige Antwort ist wohl: Es kommt darauf an.  ;)
Wenn richtig schnelles WLAN (IEEE 802.11ac) und 2,4/5Ghz für Dich wichtig ist und Du auch das WLAN reglementieren möchtest (z.B. Captive Portal, Proxy), dann besorg Dir einen extra AP. Die Unifi AC Pro sind m.E. von der Preis/Leistung her sehr empfehlenswert.
Ein eigener AP ist definitiv die optimale Lösung um stabiles und schnelles WLAN bereit zu stellen.

Wenn Du Deinen Gästen nur einen einfachen WLAN Gastzugang zu Verfügung stellen willst und Du keine besonderen Regeln dafür benötigst, dann nimm einfach die FritzBox dafür.

Und wenn Du partout keinen Platz und/oder Deine Frau auch diesen ganzen 'EDV-Krams' nicht haben will  ::) und es Dir auch nicht auf den absoluten WLAN Speed ankommt und Du darüber hinaus noch Spaß am basteln/konfigurieren hast, dann kannst Du auch 1 oder 2  Atheros AR9280 Karten verbauen (z.B. Compex WLE 200 NX).  ;)
WLAN in der OPNsense ist und bleibt eine Kompromisslösung. 

[vypr]

Hallo monstermania,

ich habe richtig verstanden dass man opnsense auf der securepoint rc100 installieren kann, richtig ?
Und wenn das so ist braucht man dann irgendwelche Lizenzen von securepoint ?

[monstermania]

ich habe richtig verstanden dass man opnsense auf der securepoint rc100 installieren kann, richtig ?

Ja, OPNsense läßt sich problemlos auf Securepoint HW betreiben. Egal, ob nun auf den Black Dwarf G1/G2 oder den RC100/RC200.
Securepoint baut die Hardware ja nicht selbst, sondern verwendet Hardware/Barebones von Lexcom:
- Black Dwarf G1 = Lexcom 3V700 (würde ich nicht mehr kaufen, da nur 32 Bit!)
- Black Dwarf G2 = Lexcom 3V900
- RC100/RC200 G2 = Lexcom 3I525D

Und natürlich brauchst Du keine Securepoint-Lizenz um OPNsense auf der Hardware zu installieren/nutzen. Allerdings wird bei der Installation der OPNsense die vorhandene Securepoint-Software gelöscht!
Das schöne ist halt, dass die Securepoint-Teile in D recht häufig bei ebay auftauchen.

Gruß
Dirk

[vypr]

Hallo Dirk,

vielen Dank für deine Antwort ;)

Das ist ja prima, ich hatte auch schon in der Bucht nach den RC100 geschaut. Werde mir dann auf jeden Fall eine greifen !

Wie läuft das bei der Installation ?
1. Das serial-Image der sense auf einen USB-Stick kopieren und ich die RC100 stecken.
2. Consolen-Anschluss der RC100 mit PC-Verbinden und die RC100 anschalten.

Korrekt ?

[monstermania]

@vypr
Nein,
du benötigst für die Seceurepoints das VGA-Image! Die Securepointhardware hat einen VGA-Ausgang und keine serielle Konsole.
Ansonsten hast Du recht. Einfach das Image auf einen USB-Stick und vom Stick booten. Anschließend kann dann über den Installer einfach OPNsense auf der SSD installiert werden.

Achte darauf, dass Du auch wirklich eine RC100/200 G2 bekommst! Die G2 hat auf der Rückseite 4 x LAN und 3 x SMA-Anschluss für WLAN/UMTS.
Es gibt von Securepoint auch noch die Piranha's. Die haben das gleiche Gehäuse wie die RC100/200 aber nur 2 oder 3 x LAN und keine SMA-Anschlüsse. Teilweise verwechseln die Anbieter in Ihren Angeboten das auch!

Gruß
Dirk

[vypr]

RC100 V11 steht in der Beschreibung und sieht auch so aus wie hier:

https://wiki.securepoint.de/Datei:Rc100-200-back.png