OPNSense Neuling sucht Hardware

[opnboi]

Die Teile von NRG-Systems sehen genauso aus wie die Qotomdinger - vermutlich sind sie sogar baugleich...
Und dafür finde ich sie dann einfach zu teuer..

[MathiasJ]

Ich habe mich nun auch entschieden, mir eine OPNsense-Firewall zuzulegen.
da ich ein totaler Newbie bin, weiß ich natürlich auch nicht, was man so braucht.
Nun zu meinen Daten:
internet 1000MB/s

Die Firewall soll in den Serverschrank 19" Platz finden.
Es werden etliche Überwachungskameras, meine Smarthome-Installation, ein (LAN/WLAN) Gastnetz und für mich zusätzlich ein WLAN-Netz benötigt.  8)
OpenVPN ist für mich natürlich auch ein must to have, damit ich sehen kann, was zuhause los ist.
Für VLAN habe ich noch einen netgear smart managed Switch mit 12xPoE für die Kameras und 12 x LAN Anschlüsse, was als erstes reichen dürfte.
Mein neues OPNsense sollte mindestens 2 LAN-Anschlüsse haben, damit man evtl noch einen 2. Switch dran hängen kann, DMZ soll er natürlich auch können.

[micneu]

moin, du hast eine 1gbit/s leitung (up/down)?
ich habe das ding https://de.aliexpress.com/item/32958622649.html?spm=a2g0s.9042311.0.0.19ed4c4dkhtz4F
und bin noch nicht enttäuscht worden. macht was es soll und hat genug potenzial


Gesendet von iPad mit Tapatalk Pro

[mike69]

Würde  gerne wissen, was sich der Threadersteller zugelegt hat. ::)

Ist seit Sep. '18 raus aus seinem Thread.  :D :D

[MathiasJ]

@micneu
Schaut schon mal sehr gut aus das Teil.
Es sieht aber so aus, als ob es kein rack mount Gerät ist.
Ich wollte meine Sachen in einen Netzwerkschrank 19" 42HE einbauen, damit alles zentral im Keller steht.
Eine Kleinigkeit habe ich aber vergessen. Es soll auch ein SAT2IPTV Server eingebunden werden. Dann spare ich mir auch das ziehen der gefühlten 1000 Strippen für die SAT Receiver.

[micneu]

Moin MathiasJ, was hat dein SAT2IPTV mit der OPNsense zu tun, ist doch nur ein weiteres gerät im schrank oder nicht?

für 1 HE Server wird es nicht günstig, habe mal hier geschaut:

https://www.thomas-krenn.com/de/produkte/rack-server/1he-server/intel-single-cpu/intel-single-ri1101h.html

ist nur ein beispiel die konfiguration muss natürlich angepasst werden (z.b. 4x NIC extra)



Gesendet von iPad mit Tapatalk Pro

[MathiasJ]

Was haltet Ihr von dem Gerät:
https://www.amazon.de/dp/B07DFS1SKK/ref=cm_sw_r_cp_apa_i_CIsSDbX50M7QC
Bitte Eure EHRLICHE Meinung dazu.
Ja, der SAT2IP ist auch im Schrank, war aber OT.
Gruß
Mathias

[micneu]

Meiner Meinung nach eine zu alte CPU.
Diese hardware hat noch keine AES Hardware beschleunigung. Spätestens wenn du anfängst mit VPN wirst du es brauchen.
Die CPU ist ca. 9 Jahre alt.

Übrigens du hast immer noch nicht meine Frage beantwortet was du genau für eine 1Gbit/s Leitung du hast (up/down symmetrisch?)

Bei einer 1 Gbit/s wird dein Hardware Auswahl schnell an die grenzen kommen. Selbst eine moderne APU4C/D oder wie die auch sich nennen kommt bei so einer Leitung an ihre grenzen. Da brauchst du schon was Leistungsfähigeres.



Gesendet von iPad mit Tapatalk Pro

[monstermania]

Was haltet Ihr von dem Gerät:
https://www.amazon.de/dp/B07DFS1SKK/ref=cm_sw_r_cp_apa_i_CIsSDbX50M7QC
Bitte Eure EHRLICHE Meinung dazu.

Wie MIC bereits geschrieben hat. Lass die Finger davon! Ich nutze zu Hause ein Lex 3I525-Barebone (Securepoint RC 100 UTM G2) mit einer solchen CPU.
Die CPU ist noch ein Atom der 1. Generation und entsprechend lahm. Dazu kommt dann noch, dass die CPU/Chipsatz die Gbit NIC nicht auslasten kann. Mehr wir 350 Mbit wirst Du als Durchsatz kaum erreichen.
Für mich zu Hause langt es (100/20 Mbit DSL).
Dann fehlt auch noch AES-NI...
Die Lexcom Teile bekommt man für etwa 30€ bei ebay und mehr würde ich dafür auch nicht mehr ausgeben wollen.

Gruß
Dirk

[MathiasJ]

Vielen Dank!
Dann werde ich mir doch das
https://de.aliexpress.com/item/32958622649.html?spm=a2g0s.9042311.0.0.19ed4c4dkhtz4F
holen. Der Router ist ja auch im Schrank. Dann stehen da eben 2 Geräte dumm rum.
@micneu sagte ja, das er gut sein soll.
Wieviel RAM hat den Deinerß Ich denke 4GB würden reichen und eine SSD mit 128GB.
Ich habe da lieber zuviele Reserven.
Ach ja, das soll der ohne WIFI werden.
Gruß,
Mathias

[donald24]

Also meine Q570G6 läuft noch an einem 25/5 VDSL (bald hoffentlich 250/40) und läuft auf locker auf den ersten GB Ram. Dabei läuft noch ntopng und redis-db. Mit surricata habe ich noch keine Erfahrung gemacht, was die zieht, sollte aber sich nicht wesentlich auf dem RAM-Verbrauch auswirken.

Leider muss man sich die Optimierungen, was die HW angeht, ein bischen querlesen und ausprobieren. Am DSL habe ich die besten Erfahrungen gemacht, wenn man die PPPOE tunables nimmt, die man relativ häufig in Zusammenhang mit pf/Opnsense und FreeBSD findet.

Ich hab bei der HW folgende tunables eingerichtet:

dev.igb.0.eee_disabled   EEE deakt.   1   
dev.igb.1.eee_disabled   EEE deakt.   1   
dev.igb.2.eee_disabled   EEE deakt.   1   
dev.igb.3.eee_disabled   EEE deakt.   1   
dev.igb.4.eee_disabled   EEE deakt.   1   
dev.igb.5.eee_disabled   EEE deakt.   1   
net.isr.dispatch              deferred   
kern.ipc.nmbclusters      1000000   
net.isr.maxthreads      -1   
machdep.hyperthreading_allowed      0

Wobei eigentlich nur net.isr.dispatch einen Workaround darstellt, der PPPOE und FreeBSDs-Schwäche mit der Prozessor-Affinität mit sich bringt. Dieser sorgt für einen wesentlich fluffigeren Aufbau der Webseiten und gefühlt für eine gleichmässigere Auslastung der Kerne.
Die Queue-Depth der I211 habe ich mit net.isr.maxthreads -1 noch angepasst auf die tatsächlich vorhandenen Kerne und das HT abgestellt, da sich virtuelle Kerne in Verbindung mit NICs eher behindern und für 20% Einbussen sorgen können.
Der Block mit EEE deakt. habe ich von ThomasKrenns-Seiten, die NICs sollen sich mit aktiviertem EEE disconnected haben, konnte ich aber nicht feststellen in meiner kurzen Zeit, bevor ich es mal sicherheitshalber aktiviert habe.

Ach und ja, powerd würde ich in den Einstellungen auf 'hiadaptive' stellen, damit die CPU Nutzen der Turbofrequenz auch ausleben kann.

Viel Spass mit dem Qotom - die Schattenseite der Firma ist wohl die nicht vorhandene Produktpflege.. das Produkt ist noch nicht mal gelistet auf der HP und Firmware leider Fehlanzeige. Aber es läuft ja zuverlässig - was soll man sich also beschweren.

[micneu]

@Mathias3 hier meine Konfig, 16GB Ram, 250GB SSD

[MathiasJ]

@micneu
Dankeschön!  8)
Dann gehe ich mal auf Shoppingtour........  :)
Gruß,
Mathias

[JBBERLIN]

Also ich habe super Erfahrungen mit fitlet2 gemacht, 4x Intel ETH, CPU, RAM und SSD mehr als genug für eine OPNsense und das beste die Dinger sind so groß wie eine Zigaretten Schachtel und Lautlos.

Viele Grüße

[micneu]

Also ich habe super Erfahrungen mit fitlet2 gemacht, 4x Intel ETH, CPU, RAM und SSD mehr als genug für eine OPNsense und das beste die Dinger sind so groß wie eine Zigaretten Schachtel und Lautlos.

Viele Grüße

Wie ist den die aes Performance für OpenVPN?
Kannst du da mal werte liefern wenn du das Ding hast, hat das Ding denn wie gefordert genug Leistung um an einer 1 gibt/s Leitung zu hängen. Mein kleinstes System (Lanner NCA-1010B) schafft es nicht an einer Gigabit Leitung die voll auszuschöpfen

Konnte per scp nur um die 300 - 400 Mbit/s schaffen


Gesendet von iPhone mit Tapatalk Pro