OPNSense Neuling sucht Hardware

[HC]

Moin zusammen,

kurz zu mir. Ich bin im besten Alter und schon eine Gefühlte Ewigkeit in den Bereichen Linux und Co Anwender. Ich habe schon einige IP(Cop/Fire)-Installationen aufgesetzt und bin als Sysadmin tätig. Wie wahrscheinlich fast alle Syadmins nutze ich meine private IT als Spielwiese und da ich im beruflichen Alltag wenig Berührungspunkte mit Security und Hardware habe, ist hier wahrscheinlich die bessere Anlaufstelle

Als neues Projekt möchte ich meine FB ablösen und eine OPNSenseinstanz intigrieren. Für diese suche ich nun passende Hardware die auch ein wenig zukunftsorientiert sein soll. Die generellen Anforderungen sind ja nicht all zu hoch, doch die letzten Tage bin ich auf das Sensai Plugin gestoßen welches ich gerne ebenfalls testen möchte. Damit steigen die empfohlenen Ressourcen auf 8GB Ram und damit fallen APUs leider schon einmal weg. Außerdem möchte ich nach und nach Squid und Surricata implemetieren.

Wie es mit VPN aussieht werde ich schauen. Momentan habe ich auf einem Raspbi meinen DNS Server mit PiHole und OpenVPN integriert. Da ich nur hin und wieder eine VPN Einwahl nutze ohne riesige Bandbreiten zu benötigen sind hier meine Voraussetzungen eher gering.

Nun wäre die Frage, welche Hardware? mein Preisrahmen bewegt sich bei ~300€, wobei es mir nicht auf 20-30€ ankommt, nur sollten es halt keine 200-300€ mehr sein. Decisos A10 GEN2 (Modell E oder G) hören sich zwar interessant an, jedoch habe ich keine Preisangaben und Händler gefunden. Die Komplettsätze bei Deciso bewegen sich dann doch eher in der 500-600€ Region und das ist mir als Freizeitprojekt doch ein wenig zu viel.

Intel NUCs haben leider, soweit ich gesehen habe, nur ein Ethernetanschluss. Als nächstes bin ich auf Pondesk Pico PCs gestoßen. Diese hören sich zwar sehr gut an, nur finde ich nirgendwo Erfahrungsberichte. Ein System aus China, welches einer Heizung ähnelt und nach zwei Wochen den Hitzetod stirbt möchte ich auch nicht haben.

Gibt es weitere Empfehlungen von euch? Bei supermicro.com scheint es diverse Sets zu geben, nur finde ich keine Händler / Preise. Es kann doch nicht so unmöglich sein? 2-3 (Intel)-Ethernet  ports, >8GB, QuadCore >1,5 GHz mit 10-15 Watt Energieverbrauch, höher sind meine Ansprüche gar nicht 

Viele Grüße
HC

[Evil_Sense]

Wie wäre es mit einem QOTOM Gerät?

Die G4er haben 4 ports, bei Aliexpress kann von i3 bis i7 und verschiedenen RAM & SSD Kombinationen ausgewählt werden.

[monstermania]

Es kann doch nicht so unmöglich sein? 2-3 (Intel)-Ethernet  ports, >8GB, QuadCore >1,5 GHz mit 10-15 Watt Energieverbrauch, höher sind meine Ansprüche gar nicht 

Unmöglich ist es evtl. nicht, aber eben teuer! 
Du willst mehr als 8 GB RAM nutzen können. Das ist für einen typischen SBC (SingleBoardComputer) eben alles Andere als üblich. Hier ist eigentlich immer bei 4 max. 8 GB Schluss.
Dann soll das Ganze auch noch mit 10-15Watt auskommen. Bedeutet auch wieder eine eher sparsame CPU. Da braucht man aber eben kaum 8 GB RAM oder mehr.
Qotom wäre eine Möglichkeit, ich weiß aber nicht, ob es da überhaupt ein Modell mit min. 3xLAN und max. 16 GB RAM gibt! Normalerweis ist bei Qotom auch bei 8 GB Ram Schluss.
Ich befürchte daher fast, dass Du kaum um einen Eigenbau herumkommen wirst und auch Dein Budget dürfte kaum ausreichen.
Schau Dir mal einen HP Microserver an. Die haben zumindest 2 x LAN und lassen sich auf bis zu 32GB RAM aufrüsten. Habe kürzlich ein Angebot für 249€ gesehen. Energietechnisch liegen die aber auch eher bei > 30 Watt. Aber eine Kröte wirst Du wohl schlucken müssen!
Grad gesehen, dass die aktuellen HP Microserver wohl nicht unter FreeBSD 11.x laufen!

Gruß
Dirk

[HC]

Moin,

okay mir ist schon klar dass meine Ansprüche zu hoch und der Geldbeutel zu klein ist ^^ Mit Kompromissen habe ich gerechnet, doch vielleicht findet sich ja noch etwas. Hat hier jemand Erfahrungen mit den Qotom Geräten? 1-2 Modelle würden mir da schon zusagen. Nur habe ich zu anderen chinesischen Günstiganbietern gelesen, dass sie nach 10 Tagen im Dauerbetrieb unter etwas Last den Hitzetod gestorben sind.

Einen anderen Hersteller den ich gefunden habe ist Spo-Comm, allerdings haben die auf ihrer Seite keine Preise. Besonders das "Windbox II" sieht smart aus. Fällt raus, da der kein AES-NI unterstützt. Und beim
Rugged GTX 1050Ti gibt Intel schon für den Prozessor rund 200€ als empfohlenen Preis an.

ich weiß aber nicht, ob es da überhaupt ein Modell mit min. 3xLAN und max. 16 GB RAM gibt!

Haben sie Nur Merkwürdig, dass sie bei Aliexpress so etwas anbieten, auf Ihrer Homepage davon aber nichts zu finden ist.

Schau Dir mal einen HP Microserver an.

Habe ich, der (oder ein Äquivalent) kommt für meine zukünftige Proxmox Umgebung.

Ich habe jetzt dutzende hunderte Angebote bei Aliexpress angeschaut und davon verbleiben die QOtom als die seriösesten. Und da vielleicht noch Andere Interesse haben, hier mal meine Ergebnisse. Noch sind sie nicht in Stein gemeißelt, aber andere Alternativen mit einem solchen Preis- Leistungsverhältnis habe ich bis jetzt nicht gefunden. Dabei sind 400-460€ eigentlich weit über meinem angesetzten Budget.

Noch etwas, sollte es eines der werden, würde ich die 60€ auch noch ausgeben und gleich zum i7 greifen. Nun möchte ich auch etwas in die Zukunft schauen, so dass das System mit steigenden Anforderungen auch mit einer, sagen wir 100Mbit Leitung klar kommt. Gerade wenn es um Suricata geht, steigt ja die Prozessorlast, dann noch das Sensai Addon... reicht da ein Dual Core mit 4 Threads und 2,50 GHz? Wäre es ggf. nicht sogar sinnvoller einen Quad Core mit weniger Leistung Pro Kern zu haben?

Aber hier erst einmal meine aktuellen Fundstücke, über Alternativen wäre ich sehr dankbar.

• Qotom Q550G6 (1) (16GB, Gen Core i5-6200U Skylake Dual Core, 6 (Intel) NICs, ca. 15W) Preis: ca. 400€
• Qotom Q550G6 (2) (16GB, Gen Core i5-6200U Skylake Dual Core, 6 (Intel) NICs, ca. 15W) Preis: ca. 390€
• Qotom Q500G6 (16GB, Intel Celeron 3865U Dual Core, 6 (Intel) NICs) Preis: ca. 286€
• Qotom Q570G6 (16GB, Intel Core i7-6500U Dual Core, 6 (Intel) NICs) Preis: ca. 459€

Viele Grüße
HC

[monstermania]

Moin,
den Thread kennst Du:
https://forum.opnsense.org/index.php?topic=8598.0

Evtl. da nochmal konkret nachfragen. International ist da bestimmt deutlich mehr Resonanz zu erwarten als nur im deutschen Bereich.

Gruß
Dirk

PS: Wußte echt nicht, das Qotom auch Geräte mit 16GB und soagr 6xLAN anbietet. Auf Ihrer Webseite sind die Teile nicht zu finden.

[noob]

N3150/N3700 fressen auch 16GB. Sollte nahezu immer zutreffen.

Hab seit einer Weile nen N3700 von Supermicro im Antec ISK 110 Vesa und 16GB RAM. Ich brauchte ein ILO. Internet 100/40. Der N3700 war bereits ein Rückbau vom i7 an dieser Stelle. Reserven sind genug da. Auch das N3700 Mainboard kann 16GB RAM. Ich kann auch die N3700 CPU nicht wirklich sinnvoll ans Limit fahren. Nur in Tests...  ...brauchte aber 16GB RAM aufgrund der Blocklisten. Klassische IDS können verschlüsselten Traffic eh nicht handeln. Mein Proxy kann auch den verschlüsselten Traffic nicht händeln. Ich nutze mehrere aktive VPN-Tunnel. Für VPN braucht man net oberhalb von 200Mbit pro Connection zu planen. Das Netz wird sehr sehr sehr sehr gemütlich ausgebaut. Im Sommer kocht meine Hardware, da sie passiv ist.

Hab den https://www.minipc.de/catalog/il/1276 selbst nicht, aber sogar diese Kiste erfüllte alle meine Anforderungen. Seltsamerweise bleibt die Kiste auch im Sommer kalt, trotz Last. Ich konnte keinen Unterschied zu stärkerer Hardware finden, auch nicht in Latenzen. Jetway bietet auch günstige Hardware an und bietet bei einigen Kisten sogar long term support. Recht umfangreiches Sortiment und die Preise sind ganz ok.

Supermicro findest Du z.B. bei Sona.de. Die Denverton (Atom) sind auch recht gut. Für den N3700 habe ich glaube ca. 330 Euro mit RAM und SSD bezahlt. Heute würde ich aber nur noch Atom oder Xeon einsetzen (nahezu gleicher Preis). Schon weil ECC nur 20 Euro mehr kostet. Das N3700 Board braucht z.B. aus der Wand 13-15 Watt, da IPMI und co dran sind.

paar Möglichkeiten:

Mainboards:
X11SBA-LN4F (€230)
X11SBA-F (€220)
A2SDi-2C-HLN4F(€230)
A2SDi-4C-HLN4F (€310)
X10SDV-2C-TP4F (€350)
Jetway (€200-600)

Falls Du selbst bauensolltest:

Case:
QBX Mini-ITX-Gehäuse (€50)
https://www.alternate.de/Scythe/Slip-Stream-120-DB-Geh%C3%A4usel%C3%BCfter/html/product/1206534? (€10)


Falls Du WLAN via AP umsetzen willst, kannst Du mal bei Mikrotik schauen. Geht kaum günstiger und die aktualisieren jede alte Möre.

[bringha]

Hallo,

ich kann noob nur zustimmen, Preis Leistung und vor allem auch Betriebskosten sind mit dem X11SBA-LN4F sehr brauchbar. Das Board kann sowohl in Microrechnergehäusen als auch Rackmounted prima eingesetzt werden.

Sollte ggf auch ein gebrauchtes System in Frage kommen, würde ich dringend empfehlen darauf zu achten, die HW Revision 1.02 oder später einzusetzen (siehe https://forum.opnsense.org/index.php?topic=5869.msg25622#msg25622).

Bei mir laufen jetzt 2 der Systeme seit 2 Jahren ohne jede Probleme und haben jedes Upgrade problemlos mitgemacht; nach den anfänglichen Hickups (s.o.) bin ich sehr zufrieden!

Sehr effektiv bei ausschließlicher Nutzung als OPNsense hat sich auch der Einsatz von SuperDOMs als SSD Disks erwiesen (32 GB) ist klein, sparsam und völlig ausreichend. Mit 16GB Memory habe ich allerdings keine Erfahrung, Supermicro selbst empfiehlt lediglich max. 8 GB RAM)

Br br

[noob]

@bringha: Werden die SuperDOMs warm oder heiss?

https://www.amazon.de/Hardware-Barebone-Mi4610YL-Aluminium-Gigabit-Nic/dp/B07CHX5Y6H/ref=sr_1_2?s=computers&ie=UTF8&qid=1537710294&sr=1-2&keywords=I7-4610Y
Das ist doch so ne "Qotom" Kiste? Jedenfalls die Hardware ist identisch auf den Bildern.

Der Qotom Q355G4 (i5-5250U) lässt aber den N3700 bzgl. Performance echt arm aussehen. Hier mal ein guter Test:
https://forum.netgate.com/topic/113841/i5-5250u-4-lan-home-computer-q355g4-install-question#710030

Die Q5xxGx-Serie kennt der Hersteller nicht. Modelle mit 6 NIC'S auch net. Qotom scheint auch an Update-Problemen zu leiden. Klicke ich beim Q355G4 auf Drivers, ist da genau nix? Öhm in den FAQ finde ich Treiber auf anderen Websites. Wow ganze 4 FAQ Einträge. Downloads führen zu Softpedia, lol. Damit ist es auch Wumpe, ob die Dinger beim Ali Originale sind. Für Security Hardware eher nicht geeignet.

Supermicro liefert z.B. für Denverton und Xeon regelmässige Updates. Der N3700 ist seltener dran, aber auch dort liefert der Hersteller Updates.

[bringha]

Nö, die Superdoms dümpeln bei mir bei 32 Grad rum

Was treibt Dich in die Frage nach viel Rechenleistung?

Der N3700 stoffwechselt bei mir mit durchschnittlich 3% CPU Last und in der Spitze 26% trotz zahlreicher Plugins (sipproxd, igmpproxy, Telegraf ...).Memory bei 4% avg, 11% Spitze (bei 8G)

Auf dem WAN habe ich 21 MBit Durchschnittstraffic (SIC!) wenn Entertain läuft

Mir reicht das also völlig aus

Br br

[noob]

32 Grad sind super. m.2 und mSATA haben sich aufgrund der Hitzeentwicklung nicht bewrt.

War neugierig und da ich die Qotom Dinger echt preiswert fand, hab ich auch mal wieder rumgeschaut. Ist ja irgendwie nen Hobby.

[verdi]

hi
hast du dich am Ende jetzt für ein Qotom System entschieden? Wenn ja: wie sind deiner Erfahrungen damit?

Überlege mir eine Qotom Q570G6 zuzulegen um genug Leistung für OpenVPN zu haben

Gruß

Marcel

[theq86]

Der neue odroid h2 wäre auch noch ne Überlegung wert

[monstermania]

Der neue odroid h2 wäre auch noch ne Überlegung wert

Moin,
auf den 1. Blick fand ich das Teil auch sehr interessant. Im Detail sind dann aber schon ein paar Haken. Die odroid H2 ist ja leider recht beschränkt (nur 2 x NIC) und keine Möglichkeit der Erweiterung z.B. per m-pcie slot. Dazu leider nur Realtek-Chipsatz für die NIC.
Dann braucht es noch ein Gehäuse (Lüfterlos!?) und passendes Netzteil. Leider ist 15V auch etwas abseits vom Bastel-Standard (5V oder 12V). 
Klar, kann man Alles kaufen, dann liegt man aber preislich auch gleich wieder im Bereich der Qotom-Teile.

Gruß
Dirk

[8ulletproof]

Moin erstmal,
die APUs von PcEngines wären erwähnenswert. Habe selbst die APU2C4 (AMD GX-412TC, 4 cores) die mit einer Auslastung von 25% noch nie Probleme verursacht hat bisher. Außerdem sind noch 3 GigE / 2 miniPCI express / mSATA / USB onboard. Allerdings läuft kein sensei plugin bisher. Erfahrungen diesbezüglich mal posten, es gibt noch kein deutschen Thread bisher.

[Meditux]

Moin,

hier mal meine Erfahrung mit Qotom. Ich habe privat seit ein paar Monaten ein Qotom Q350G4Y (Intel Core i5-4200Y Haswell Dual Core,3M Cache, 1.4GHz, Up to 1.9GHz) im Einsatz. Die Kiste bedient einen VDSL-Anschluss mit 35b Profil (240/38 MBit real) ohne Drosselung des Durchsatz mit folgenden Diensten:

- diverse Firewall Aliases URL-Table-IP-Listen (z.B. GeoIP)
- Suricata mit nicht zaghaft konfigurierten ID Rules
- Web Proxy mit aktivierten ClamAV

Die Kiste erreicht bei 240 MBit/s Datendurchsatz ca. 50-60% der CPU Leistung und wird dabei nicht wärmer als ca. 45 °C.

Die APUs von PcEngines sind nicht schlecht, ich habe beruflich ca. 15 bei Kunden im Einsatz, allerdings müssen die dort auch nur VDSL 50/10 MBit bedienen. Da müssen die Suricata ID Rules schon sehr mit bedacht ausgewählt werden um die 50 MBit down noch nutzen zu können.

Gruß Meditux