Kaufberatung

[Patrick M. Hausen]

Pi-hole oder AdGuard, Vaultwarden vielleicht noch Immich wenns der Rechner, der es werden wird, leistungstechnisch hergibt.

Das bedeutet, du musst virtualisieren. Diese Dienste bekommst du nicht sicher direkt auf dem Firewall-OS zum Laufen.
Überleg dir mal, ob du dafür nicht zwei Geräte möchtest. Das vereinfacht vieles. Willst du, dass bei jeder Wartung an deinem Hypervisor das gesamte Internet weg ist? Das der Hypervisor braucht, um seine Updates (z.B.) herunterzuladen.

Es gibt hier im Forum ein gewisses Muster, dass immer wieder Leute, die weder mit Netzen, noch mit Firewalls, noch mit Virtualisierung Erfahrung haben, gleich von Anfang an "alles" einrichten wollen.

Fang doch mit dem Thomas-Krenn-Teil an, nur für OPNsense. Das ist ein Projekt. Danach kannst du dir Gedanken über ein Homelab auf Basis von Proxmox machen.

[Monviech (Cedrik)]

Ich kann Patrick nur zustimmen,

am besten Firewall und Hypervisor strickt trennen. Das erspart einem viel Ärger.

Ich hab Fritzbox->Opnsense->Switch->Hyper-V sauber in der Reihenfolge.

Es lohnt sich zu trennen. Es kann sich auch lohnen mit Windows (Hyper-V) als Hypervisor anzufangen, das ist einfacher.

[iani]

Wahrscheinlich habt ihr recht. Beziehungsweise kann ich das wahrscheinlich wohl streichen, denn ihr seid die Profis.

Man schaut halt was man so alles machen kann und dann am Ende alles haben möchte. Vieles liest sich so leicht, aber ich weiss natürlich aus Erfahrung, dass es oftmals dann doch nicht so leicht ist, wie einem suggeriert wird oder man sich das vorstellt. Ich bin mir durchaus bewusst, dass das alles kein Spaziergang für mich werden wird und obwohl ich immer versuche mir selbst zu helfen, ich bestimmt das eine oder andere Mal mit Fragen hier auftauchen werde müssen.
Deshalb schrieb ich ja auch, dass OPNsense und Adblock, das vorerst auf dem Raspi bleiben kann, Vorrang haben und erst wenn das reibungslos läuft, denke ich an andere nette Sachen. Aber klar, man neigt dazu alles auf einmal zu wollen, wenn man weiss, dass OPNsense nativ und dazu die anderen Dinge nicht gleichzeitig laufen können.

Ich werde euren Rat beherzigen und mit einer nativen OPNsense loslegen. Nützt ja nix, wenn ich mich überfordere und dadurch ewig brauche um ans Ziel zu kommen oder es eventuell gar nicht hinkriege.

Ich danke euch.

[viragomann]

Im Moment lese ich gerade etwas über Proxmox, weil ja am Ende mehrere Dienste auf dem Rechner laufen sollen.

Habe ich auch so laufen, zwar nicht auf Proxmox sondern auf openSUSE, aber eben neben der Firewall noch andere VMs und Container.

Meine Beweggründe waren ein geringerer Stromverberbrauch als gesonderte Hardware und ich wollte mir den Kabelsalat zwischen den Geräten ersparen.
Allerdings war für mich weder die Virtualisierung noch die Firewall Neuland als ich das Projekt vor 8 Jahren auf einer China-Box startete.
Mit einer zusätzlichen 2 TB Platte für die Nextcloud lagen die Kosten dann aber auch schon bei 380 Euro.

Wenn du an Virtualisierung denkst, würde ich das TK-Ding mit 4 GB RAM aber keineswegs empfehlen. Die anderen Services möchten ja auch noch etwas Speicher. Bei mehreren VMs wird der schnell eng.
Wenn du mit 2 Netzwerkschnittstellen das Auslangen hast, könnte etwas im NUC-Format auch interessant sein und günstiger zu bekommen sein als performante Router-Hardware. Oder etwas Gebrauchtes, wenn die Kosten im engen Rahmen bleiben sollen.

Überleg dir mal, ob du dafür nicht zwei Geräte möchtest. Das vereinfacht vieles.

Auch virtualisieren vereinfacht einiges. Bsp. mal schnell einen Snapshot im laufenden Betrieb machen, bevor die VM Upgegradet wird.

Willst du, dass bei jeder Wartung an deinem Hypervisor das gesamte Internet weg ist? Das der Hypervisor braucht, um seine Updates (z.B.) herunterzuladen.

Ein Online-Distri-Upgrade sollte man so nicht versuchen. Diese Erfahrung hatte ich auch machen müssen. ;-)
Also immer ein ISO Image runter laden und auf einen USB-Stick schreiben und von da upgraden. Der Mensch ist ja lernfähig.
Wie das mit Proxmox funktionieren könnte, kann ich allerdings nicht sagen.

Wie gesagt, ich habe das seit Jahren so und denke nicht daran, es zukünftig anders zu machen.

[Patrick M. Hausen]

Auch virtualisieren vereinfacht einiges. Bsp. mal schnell einen Snapshot im laufenden Betrieb machen, bevor die VM Upgegradet wird.

Kann OPNsense mit ZFS auch im System.

[viragomann]

Dem Hypervisor Snapshot messe ich hier mehr Vertrauen bei. Das klappt immer.

[Patrick M. Hausen]

Meine Hypervisor laufen alle auf ZFS. One and the same ... :-)

[fastboot]

Also mal meine zwei Cent zu dem Thema.


Protectli: Tolle Hardware und wirklich guter Support. Und ja, je nach Model schlagen die Hardwareseitig auch locker eine Deciso. Nein, dass soll kein Deciso gebashe werden. Einfach simple Fakten ;)

Fritzbox: Eine Fritzbox ist ein Consumer produkt. Bzw eine Eier legende Wollmilchsau. Ich hatte jahrelang eine 7590 und letzlich damit nur Probleme.

Für die Stabilität würde ich deutlich zu einem reinen Modem greifen und pppoe über die OPNsense aufbauen lassen. Warte selbst immer noch auf  Fibre... Allerdings tut mein Vigor 166 nun seit Jahren den Dienst. Das deutlich performanter und stabiler als die Fritzbox jemals war. Auch bezogen auf Gaming und den heiß begehrten niedrigen Latenzen.

Und wenn Du auch noch WLAN auslagern willst, kauf Dir einen gebrauchten Ubiquiti 6 LR und pack OpenWRT drauf. Kostenpunkt ~100€

[iani]

@viragomann
Für Virtualisierung habe ich bisher qemu, früher Virtualbox genutzt. Proxmox ist aber eine ganz andere Hausnummer. Dass dann 4 GB RAM nicht ausreichend sind, ist mir klar. Weiter oben schrieb ich ja schon, dass ich ein Gerät mit 16GB bevorzuge. Ich möchte da relativ zukunftssicher aufgestellt sein, denn alle paar Monate wegen fehlender Ressourcen die Hardware zu wechseln kann und möchte ich mir nicht leisten. Daher ist der Minix Z100/Z150 Aero mit 16 GB RAM auch in der engeren Auswahl.

@fastboot
Auch dass eine Fritzbox kein Profi Router ist, ist mir bewusst. Am Dualstack Lite Kabelanschluss bin ich aber erstmal darauf angewiesen. Leider steht mir auf Nachfrage beim Anbieter kein Bridge Modus zur Verfügung und auch eine Tausch hin zum reinen Modem ist nicht möglich. Sonst hätte ich einfach einen anderen Rouer dahintergehängt. Bis vor ein paar Monaten ging das noch, machen sie aber nicht mehr. Alles sehr unbefriedigend und restritkiv. Aber es gibt hier bei uns auf dem platten Land schlicht keinen anderen Anbieter, der eine halbwegs schnelle Leitung bieten kann.
Im Moment liegen wir bei 50 Euro alles inklusive für 1Gbit. Da sind im Vergleich relativ teure 16 Mbit via DSL, die sowieso zu schmal sind oder eine noch teurere Glasfaser, die zudem noch Monate braucht bis sie dann vielleicht mal verfügbar ist, halt keine Option.

Der Fritzbox auch das WLAN wegzunehmen habe ich natürlich im Sinn. Aber eins nach dem anderen. Die Hardware für das alles wächst nicht auf den Bäumen und will finanziert werden.

[cadzen]

Meine 2 Cent ...

Lenovo m720q (i5-8500T, 32 GB RAM, SATA- und NVMe SSD) mit PCIe riser und Intel i350-T4 (https://ibb.co/TLdBRXw). OPNsense läuft virtualisiert unter Proxmox. Die Hardware taugt dann auch noch für weiter Spielereien mit PVE. Bezogen von AMSO bzw. dessen Shop bei eBay. Leider nicht mehr so günstig wie vor 2 Jahren.

Willst du, dass bei jeder Wartung an deinem Hypervisor das gesamte Internet weg ist? Das der Hypervisor braucht, um seine Updates (z.B.) herunterzuladen.

Bin mir gerade nicht sicher wobei das Internet öfter "weg" ist. Bei der Wartung von PVE oder bei Updates/Upgrades von OPNsense?

[Patrick M. Hausen]

Bei mir hat noch kein OPNsense-Update nicht funktioniert wie erwartet. Außerdem gibt es ZFS und Snapshots.

[cadzen]

Bei mir hat noch kein OPNsense-Update nicht funktioniert wie erwartet. Außerdem gibt es ZFS und Snapshots.

Bei mir auch. Sowohl von OPNSense als auch von PVE. Außerdem meinte ich die "Downtime" bei Update- bzw. Upgradebedingten Reboots.

[viragomann]

Bin mir gerade nicht sicher wobei das Internet öfter "weg" ist. Bei der Wartung von PVE oder bei Updates/Upgrades von OPNsense?

Daran, dass OPNsene die Verbindung bei einem System-Update oder dem darauffolgenden Neustart mal unterbricht, bebessert auch die Bare-Metal Installation nichts.

Und ja, das Hostsystem kann die Verbindungen auch unterbrechen. Aber das kann ich nur für eine Distributions-Upgrade bestätigen. Normale Updates laufen problemlos durch.

[Tuxtom007]

Bei mir hat noch kein OPNsense-Update nicht funktioniert wie erwartet. Außerdem gibt es ZFS und Snapshots.

Bei mir auch nicht, wenn hab ich mir eher was durch Konfiguänderungen zerschossen, wenn ssh wenigstens nicht geht, hab man aber schnell ein Restore der vorherigen Config wieder aktiviert ( musste ich gestern abend noch :-) )

Ich hab mir gerade nen "S2 Mini PC N305" gekauft beim grossen A, N305 CPU als Barebone, leider nicht günstiger aber mach robusten Eindruck und ist trotz Lüfter extrem leise ( 2x 10GB SFP und 2x 2,5GBE - alles Intel, SSD + NMVE und 32GB Ram hab ich verbaut ) und gestern OPNSense installiert und läuft.
Jetzt werde ich anfangen, meine Config des alten MiniPC darauf zu migrieren.