Kaufberatung

[Patrick M. Hausen]

Das ist ein Punkt, der definitiv für das kleine Thomas Krenn Gerät spricht. Nicht viel Geld, reicht wirklich für Ethernet zu Ethernet ohne PPPoE locker und auch ein AdGuard Home geht da prima noch mit drauf, auch mit 4G RAM.

Und dann weitersehen, wenn die Erfahrung da ist, und auch klarer ist, was man wirklich will und braucht.

[kruemelmonster]

Ich werfe für alle Stater mal das Gerät von Thomas-Krenn Edge4Go in den Ring, da es nur 100 EUR kostet. Dafür hat es halt nur 4GB DDR3 Speicher.
https://www.thomas-krenn.com/de/produkte/low-energy-systeme/edge4go-konfigurator?xtxsearchselecthit=1

Das ist in der Tat ein sehr guter Preis. Ich habe 2018 für meinen APU.2C4 von PC-Engines mit ähnlichen CPU-und Speicherdaten aber wesentlich kleinerer SSD noch gut 190,- gelöhnt. Der ist aber an sich gut gelaufen. Nur Wireguard war nicht ganz sein Ding...

[fastboot]

Meine 2 Cent ...

Lenovo m720q (i5-8500T, 32 GB RAM, SATA- und NVMe SSD) mit PCIe riser und Intel i350-T4 (https://ibb.co/TLdBRXw). OPNsense läuft virtualisiert unter Proxmox. Die Hardware taugt dann auch noch für weiter Spielereien mit PVE. Bezogen von AMSO bzw. dessen Shop bei eBay. Leider nicht mehr so günstig wie vor 2 Jahren.

Willst du, dass bei jeder Wartung an deinem Hypervisor das gesamte Internet weg ist? Das der Hypervisor braucht, um seine Updates (z.B.) herunterzuladen.

Bin mir gerade nicht sicher wobei das Internet öfter "weg" ist. Bei der Wartung von PVE oder bei Updates/Upgrades von OPNsense?

Wenn man kostenbewusst unterwegs ist, wird man sich dieses Teil sicherlich nicht kaufen...


Verlustleistung (TDP) 35 W
Konfigurierbare TDP-down 25 W
14nm...^

eher nicht...

[fastboot]

Für das Heimnetz bin ich persönlich auch ein Freund von Konsolidierung und Virtualisierung. So wenig Hardware wie möglich, nicht zuletzt wegen des Stromverbrauchs.

Mein gesamtes Heimnetz - Switch, GPON-ONT, WLAN-AP, OPNsense, File Server, mehrere RIPE Atlas Probes, LTE-Modem, USV, Freifunk, Smart Home Controller, Hue Bridge, DECT (bestimmt habe ich etwas vergessen) - habe ich mittlerweile auf 32 Watt gedrückt. Und da ist noch Luft nach unten, die nächste Optimierung ist schon geplant. :)

Aber ich stimme Patrick zu, dass man nicht zu viel auf einmal anfangen sollte. Gerade die Konstellation "keine Erfahrung mit OPNsense und keine Erfahrung mit Virtualisierung" sorgt bei vielen schnell für Frust.

Grüße
Maurice

Was die Effizent angeht, gebe ich Dir sicherlich recht.

Trotzdem sollte man meiner Meinung nach gerade bei einer Firewall dem KISS Prinzip folgen. Eine FW ist eine FW und sollte das auch bleiben, ohne jeglichen Overhead.

[Maurice]

Eine FW ist eine FW und sollte das auch bleiben, ohne jeglichen Overhead.

Mit "Overhead" meinst Du Virtualisierung? Sehe ich unproblematisch. OPNsense selbst würde ich nicht als Hypervisor betreiben (machen ja tatsächlich manche mit bhyve), aber OPNsense als Gast unter QEMU/KVM und Hyper-V hat sich bei mir über viele Jahre bewährt.

[iani]

Ja, ich habe lange nichts mehr hören lassen hier. Sorry dafür, aber Leben und Gesundheit lassen nicht immer genügend Zeit für Hobbys.

Meine Entscheidung viel nun doch auf einen Minix Z100 Aero. Die lüfterlosen aus China sind mir einfach zu unsicher, wenn mal was damit ist. Das Gerät von Thomas Krenn zu schwachbrüstig. Will am Ende ja mehr machen als "nur" OPNsense. Lenovo Tiny schwirrte mir auch lange im Kopf rum, aber 2. Netzwerkkarte besorgen und der Stromverbauch haben mich dann doch davon abgebracht auch wenn mehr als nur der eine Anschluss für Massenspeicher im Minix durchaus ein Argument war, das es zu überdenken galt.

Ich danke euch vielmals für die rege Beteiligung, eure Tipps und auch die Diskussionen um einzelne Dinge wie zum Beispiel die Virtualisierung. Das hatte ich so gar nicht erwartet. Ein tolles Forum habt ihr hier.

Der Minix kam gestern morgen hier an und natürlich habe ich mich sofort ans Werk gemacht. Aber darüber besser mehr an anderer Stelle hier im Forum.

[Patrick M. Hausen]

Ich wünsch dir viel Glück. Ich hätte kein System mit Realtek-Netzwerk gekauft.

[fastboot]

@iani Das ist keine FW Appliance, sondern in Mini-PC mit zwei NICs. Dazu auch noch mit nem Realtek Chipset. Leider ist es bei den meisten dieser Geräte so, dass man keine Ersatzteile bekommt.
In meinem Fall für den Mini-PC auf den mein Home Assistant läuft, durfte ich einen Ersatzlüfter aus China bestellen. Kostenpunkt mit Shipping 42,xx€

Ich hätte Dir auch noch ne FW4B für ~100€ anbieten können. Liegt bei mir nur noch rum.

Living and Learning. Oder Learning by Burning :D

Viel Spass && Erfolg

[viragomann]

Warum dieses kollektive Abwinken? Wisst ihr, wofür die Hardware nun genau gedacht ist?

Für mich ist das aus dem Thread nicht klar hervorgegangen. Es stand auch eine mögliche Virtualisierung im Raum, weil auch andere Services neben OPNsense betrieben werden sollen. Die Hardware ist dafür jedenfalls performant genug und hat ausreichend RAM. Und wenn sich der Hypervisor (wohl Linux) um die Realtek NICs kümmert, hat OPNsense nichts mit denen zu tun, sondern sieht nur virtiO NICs, die sie ganz toll unterstützt.

Und je nach Einsatzzweck können zwei Hardware NICs auch ausreichend sein. Die übrigen virtualisierten Services werden an virtuelle Netzwerke angebunden. So erreicht kann man auch eine gute Segmentierung des Netzwerks erreichen, ohne außen viele Anschlüsse zu benötigen.

Um die weiteren Details über den Einsatzzweck in Erfahrung zu bringen, müssten wir wohl in einem andern Forum weiter lesen.
Für Interessierte wäre ein Link dahin nett.

[meyergru]

Weil es irgendwie unlogisch ist, sich eine Kaufberatung mit Rahmenvorgaben zu holen, sich dann alles anzuhören um dann alles in den Wind zu schlagen und eine Entscheidung zu treffen, die nicht die größtmögliche Flexibilität ermöglicht.

Der Minix Z100 Aero hat aus meiner Sicht diverse Nachteile beim Einsatz als Firewall-Box (und darum geht es doch wohl immer noch laut OP):

1. Aktiv gekühlt - diese Lüfter gehen über kurz oder lang kaputt und man bekommt kaum passende als Ersatz.
2. Nur zwei Realtek-NICs (und dann sogar noch einer mit 1 Gbps) mit geringer Kompatibilität zu pfSense und OpnSense.
3. Die aktuell angebotenen Versionen haben nur 8 GByte RAM - für die Ausweichlösung mit Proxmox ist das arg wenig, 256 GByte SSD ist auch mau dafür, ganz abgesehen davon, dass ich für Proxmox immer eine SSD mit hohem TBW-Wert nehmen würde, die hier garantiert nicht drin ist.

Mit Flexibilität meine ich: Für beide Varianten - Bare-Metal oder virtualisiert - sind die üblichen China-Modelle mit 4x I226V eine super Basis. Und die gibt es auch in Deutschland mit Garantie zu kaufen.

[kruemelmonster]

[...]
Mit Flexibilität meine ich: Für beide Varianten - Bare-Metal oder virtualisiert - sind die üblichen China-Modelle mit 4x I226V eine super Basis. Und die gibt es auch in Deutschland mit Garantie zu kaufen.

Ein Anbieter für die Dinger ist u. a. die Fa. nrg-systems.de. Die verkaufen sie als IPU-Systeme.  Geht preislich ohne RAM und SSD mit einem N5105 in 4x i226 bei 320,- los. Habe selbst so eine China-Box. Allerdings gekauft dann doch etwas günstiger als reinen Barbone bei Ali. Habe es bisher nicht bereut. 

[iani]

Es war mir schon klar, dass meine Wahl hier keine Begeisterungsstürme hervorrufen würde und es auch nicht die optimale Hardware für OPNsense ist.

Für mich waren die ganzen Alternativen aber eben auch nicht optimal und wenn, dann über meinem Budget von 300,00€. Mein Minix hat 16GB RAM und die 512GB NVME verbaut. Sonst hätte ich ihn nicht genommen. Man sollte auch nicht vegressen, dass es für mich der Einstieg in die ganze Materie ist. Vielleicht denke ich in einem Jahr, Frau was hast da für einen Mist gekauft. Wer weiss das schon.

Obwohl die aktuell verfügbaren Treiber für die 2 Realtek ja zu funktionieren scheinen, habe ich sie jetzt trotzdem umgangen und Proxmox installiert. Aber das nicht wegen der Netzwerkchips, sondern weil ich, wie oben schon geschrieben, auch andere Sachen drauf haben möchte. Pihole sowieso und Vaultwarden werden dann die nächsten beiden Kandidaten sein. Proxmox und OPNsense laufen schon mal. Wie ihr euch sicher denken könnt, hatte ich einige Problemchen zu umschiffen, auch wegen der Fritzbox, bei der ja kein Bridge Modus möglich ist. Regel hier, Regel da, wo finde ich was in diesem wirklich reichhaltigen Menü?
Gestern hatte ich eine gute Stunde Hilfe eines guten Bekannten, der Ahnung hat. Das war sehr erhellend. Habe ihn auch heute noch 2 Mal via Messenger belästigen müssen.weil ich mit dem Erstellen der Regeln nicht klarkam, weil man da überall 1000 Sachen eintragen kann. Aber nun ist der Anfang gemacht und ich brauche erstmal 1-2 Tage Pause. Mein Kopf raucht.

Nehmt es mir nicht übel, wenn ich einigen eurer Ratschläge nicht nachgekommen bin. Die Zeit wird zeigen wie gut oder schlecht meine Entscheidung war.

Habt einen schönen Abend

Caro

[viragomann]

Du hattest uns zuwenig über deine Anforderungen verraten, bzw. bist du zwischen verschiedenen Anforderungsprofilen (Bare Metal, Virtualisierung) hin und her geschwenkt. Da ist es natürlich schwierig, passende Empfehlungen zu geben. Und anscheinend gehen dann manche Leute in dieser Ungewissheit auch von den eigenen Vorzügen aus.

Ich hatte schon, ich glaub in meinen ersten Post, erwähnt, dass ich mir eine 2 NIC Hardware vorstellen kann, wenn es zu deinen Anforderungen passt. Das "wenn" eben auch, weil die nicht klar waren.
Und wie vorhin erwähnt, zusammen mit Virtualisierung sind Realtek NICs in meinen Augen auch okay, wenngleich ich die selbst doch meide, soweit möglich. Und dass die lediglich 1 GB/s Durchsatz machen, wird dir ja wohl auch vor dem Kauf bewusst gewesen sein. Dann spricht für mich nichts dagegen.

Grüße