OPNSense Neuling sucht Hardware

Started by HC, September 18, 2018, 09:15:26 AM

Previous topic - Next topic
Print
Go Down Pages 1 2 3 4
User actions
January 24, 2019, 01:40:42 PM #15
Moin,

seit gestern is der Qotom Q575G6 endlich wieder lieferbar und ich hab direkt meinen einen bestellt.

Q575G6 mit Intel I7-7500U ohne RAM / SSD für 330€ incl DHL Express Versand

... dazu 16GB RAM und noch eine mSata SSD die ich selbst kaufe.

Ich berichte dann was die Kiste an OpenVPN Performance wirklich schafft.

Gruß

Marcel
March 04, 2019, 08:49:09 PM #16
Quote from: verdi on January 24, 2019, 01:40:42 PM
Moin,

seit gestern is der Qotom Q575G6 endlich wieder lieferbar und ich hab direkt meinen einen bestellt.

Q575G6 mit Intel I7-7500U ohne RAM / SSD für 330€ incl DHL Express Versand

... dazu 16GB RAM und noch eine mSata SSD die ich selbst kaufe.

Ich berichte dann was die Kiste an OpenVPN Performance wirklich schafft.

Gruß

Marcel

hallo verdi,

kannst du schon etwas bzgl. der openvpn performance mit q575g6 sagen? Mir würde daa ergebnis von folgenden Befehlen als Vergleichswert reichen:


  • openvpn --genkey --secret /tmp/secret
  • time openvpn --test-crypto --secret /tmp/secret --verb 0 --tun-mtu 20000 --cipher aes-256-cbc

schöne Grüße
Evgenij
March 04, 2019, 09:24:41 PM #17
Hallo zusammen

Da ich diesen Beitrag recht interessant möchte ich auch meinen Senf dazu geben... Ichfinde es etwas "krass" was ihr hier für Geschütze auffährt...
Also ich habe als Hardware für meine Spielweise zuhause einen "alten Ausrangierten" Laptop mit bildschirmschaden...

Der hat einen i3-4030U CPU mit integrierter Grafik und 8 GB RAM und ist mit 2 SSDs ausgestattet...

Hier habe ich ProxMox drauf und dann meine OPnsense als VM.
Die einzelnen Netzwerke sind dabei als VLANs getrennt. Für zuhause meiner Meinung nach vollkommen in Ordnung und ausreichend.

Im Geschäftlichen Umfeld muss man hier natürlich anderst denken... Aber zuhause zum spielen und um dafür zu sorgen und zu kontrollieren was wohin geht absolut in Ordnung.
Meiner OPNsense VM habe ich 2 Kerne gegeben und 1 GB RAM.
Hiermit habe ich bisher keine Leistungsverluste festgestellt. Wohlgemerkt möchte ich dazu sagen das ich aktuell eine 60/3 Internet Leitung habe welche ich nun auf 400/12 gewechselt habe... Zudem findet bei mir alle 2 Minuten ein speedtest über iperf3 statt welche die Leitung komplett auslastet. Dies schon seit 3 Firewalls und 9 Monaten. Ohne Unterbrechung ausser der Anbieter hat eine Störung.

Daher finde ich es schon fraglich ob man hier auf einen i7 zurück greifen muss oder nicht...
Wenn es um virtualisierung geht kann man da gerne drüber reden... Aber wenn HC es direkt aufs Blech installiert finde ich es echt heftig...

Was ich ebenfalls gelesen habe: HC möchte seine Fritzbox ablösen... Falls du dies noch immer vor hast, bitte beachte dass die Fritzbox sehr sehr oft nicht nur als Router sondern auch als Modem genutzt wird. Hier wird dann noch die passende "Schnittstelle" bzw Erweiterungskarte gebraucht... Wenn du DSL/VDSL hast kannst du noch von Glück reden dass es hier was gibt... Bei Kabelanschluss oder gar Glasfaser (FTTH) wird es sehr sehr schwer was zu finden... Habe einen Kollegen der aktuell das gleiche versucht...

Möchte mit meinen post niemanden verärgern und hoffe dies wird nicht falsch aufgefasst.

Grüße

Gesendet von meinem LG-H815 mit Tapatalk

Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
March 05, 2019, 10:31:50 AM #18
@superwinni2
Jeder hat andere Anforderungen! Wer z.B. darauf angewiesen ist OpenVPN bei entsprechenden Bandbreite auch performant zu betreiben braucht eine entsprechend leistungsfähige CPU. Auch IDS/IPS frist richtig Leistung.
Klar, wer eh nur eine 50'er DSL-Leitung hat, kommt auch problemlos mit einer leistungsschwachen HW klar. Ich nutze z.B. eine gut abgehangene FW-Hardware von Securepoint/Lexcom (Atom D525) die ich für ~ 30€ per ebay geschossen hab. Reicht vollkommen problemlos für meine 100/20 Leitung, da mir OpenVPN nicht wirklich wichtig und ich kein IDS/IPS nutze.
Aber deswegen kann ich trotzdem Jeden verstehen, der seine Gbit-Leitung mit allen OPNsense-Features auch voll ausreizen will!
March 05, 2019, 11:09:31 AM #19
Hi monstermania, falls ich dich verärgert habe bitte ich dies zu entschuldigen....

Das jeder andere Anforderungen hat, kann ich natürlich verstehen  :)
Aber das Beispiel wegen der OVPN braucht man keine "hohe" Hardware... Habe hier nen Celeron M 1.5 Ghz (1 Core) der eine bestehende 100/100 Leitung problemlos mitmacht. Getestet mit iperf3. Klar da läuft nun kein anderer schnickschnack wie  proxy, IDS/IPS etc...
Ich glaube das große Problem (und dies wird der Genickbruch an dem Projekt) sind die >8 GB RAM mit einem guten CPU mit mehreren Netzwerkschnittstellen und das alles bei gleichzeitig wenigstem verbrauch...
Hier muss man meiner Meinung nach einen Tod sterben...
Proxmox VE
i3-4030U | 16 GB RAM | 512 GB SSD | 500 GB HDD
i3-2350M | 16 GB RAM | 120 GB SSD | 500 GB HDD

FW VMs:
2 Cores | 1 GB RAM | 20 GB SSD
March 05, 2019, 11:30:14 AM #20
Hi,

Leistungsanforderungen in Punkto CPU sind aber - leider - nicht linear. Was vielleicht mit knapp 100Mbps mit einem kleinen Celeron noch ganz fluffig funktioniert, wir bei 200, 300, 500Mbps dann recht schnell böse. Zudem verändert sich das Spektrum auch noch ein wenig je nachdem wir von reinem Durchsatz reden (also bspw. 500Mbps durch fette Dateitransfers und große TCP Pakete) oder ob wir von MPPS reden (also Paketen Pro Sekunde mit sehr sehr vielen kleinen Paketen und Verbindungen). Unterschiedliche Szenarien bringen unterschiedliche Probleme aufs Parkett, deshalb ist auch eine Durchsatzangabe immer nur ein Richtwert und hängt im Einzelfall stark vom UseCase ab.

Anyway, gerade ab den genannten 100Mbps habe ich in der Vergangenheit den Eindruck bekommen, dass generell BSD und die Toolchain wie IPSEC und OVPN dann unterschiedlich skalieren und bspw. CPU schlucken. Bei 200-300Mbps wirds dann oftmals bei kleineren oder älteren CPUs schonmal eng. Und man will sich ja auch nicht immer 200W Desktop CPUs zu Hause irgendwo reinhängen, wenn es sich vermeiden lässt (außer man betreibt da eh noch mehr drauf).

BTW: Der Use Case mit recht guter CPU, 8 oder mehr GB RAM und mehreren NICs ist machbar. Auch die 10-15W treffe ich da ganz gut. Aber der OP hat eben an der Stelle ein völlig unrealistisches Ziel vom Budget angegeben. Wenn man alle Traumwerte haben möchte, dann kostet das eben nunmal auch gutes Geld :) Denn bei ~300€ sind wir dann eben bei Weitem nicht mehr. Und bei den Qotom i7 sind m.W. die 15W schon lange überschritten (ansonsten würde der i7 sehr wahrscheinlich runtertakten oder undervolten um das hin zu bekommen).

Wer aber genau das sucht: Kisten mit Atom C3000 Denverton können genau das. Aber nicht für schmalen Geldbeutel. Irgendwas im Dreieck Performance-Stromverbrauch-Preis muss eben ausschlagen. Wer sich aber sowas wie die scope7-1510 (6 NICs, C3558, 8GB RAM kann aber mehr, 250er SSD) anschaut, wird genau das finden. In unseren Performance Tests bislang hatte die Kiste bei OVPN und IPSEC bei rund 460-500Mbps erst aufgeben müssen (weil eine CPU ausgenuckelt), allerdings mit modernen Settings (aes256-gcm-sha256/sha384). Kostet aber eben keine 300€ :D
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
March 05, 2019, 01:15:59 PM #21
Quote from: superwinni2 on March 05, 2019, 11:09:31 AM
Hi monstermania, falls ich dich verärgert habe bitte ich dies zu entschuldigen....
Nö,
Du hast mich keineswegs verärgert. ;)
Ich wollte nur darauf hinweisen, dass es schlichtweg von den Anforderungen abhängt, welche HW wofür 'passend' ist.
Ansonsten ja JeGr ja eigentlich Alles weitere dazu geschrieben.  ;D

BTW: Ich hab ne Zeitlang Testweise ipfire mal auf einem Raspi3 laufen lassen. Damit hab ich ~ 60Mbit geschafft. Für lahmen  DSL Anschluss reicht so was auch, sofern es um reinen Firewall Einsatz geht.
March 15, 2019, 07:24:54 PM #22
Hallo,

die Qotom-Geräte mit i5 oder sogar i7, 16 GB RAM und 250er SSD finde ich super, vor allem auch dass sie lüfterlos sind finde ich gut.

Die Preise gehen auch in Ordnung – aber kann man die auch bei einem deutschen Händler beziehen?

Aliexpress wirkt auf mich eher nach 'ner Menge Ärger (Zoll etc.) – könnt ihr einen zuverlässigen Händler in der EU oder im Idealfall in Dtl. empfehlen?

Danke und Gruß
The fact that we live at the bottom of a deep gravity well, on the surface of a gas covered planet going around a nuclear fireball 90 million miles away and think this to be normal is obviously some indication of how skewed our perspective tends to be. (Douglas Adams)
March 15, 2019, 07:39:10 PM #23
Moin, ich habe meinen bei Aliexpress gekauft, lief alles super, habe das Core i7 Model (siehe Footer)
ich habe für die Hardware ohne Ram und Platte mit Zoll / Versand ca. 430€ gezahlt.
Das bekommst du nicht in Deutschland für den Preis.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 15, 2019, 08:34:55 PM #24
Falls jemand Bedarf hat, ich hätte noch eine jungfräuliche APU2C4 abzugeben, bei Interesse bitte PN schicken. Kann auf Wunsch auch mit OPNsense/PFsense (ja nach Wunsch) vorinstalliert werden.
April 06, 2019, 04:56:39 PM #25
Ich habe seit 3 Jahren einen Qotom mit 4 LANs am laufen incl proxy, site-site VPN + OpenVPN für remote access. Das system ist extrem stabil.
Im Ferienhaus habe ich eine APU laufen.

System1: Qotom Q310G4
System2: APU2C4
April 08, 2019, 03:37:11 PM #26
Hallo :)

Wundert mich, dass bisher niemand die Zotac ZBOX vorgeschlagen hat? (Intel Celeron bis i5, ab 185€ brutto ohne SSD und RAM)

Wir haben alle opensense auf der Zbox CI327 laufen, der Openvpn server mit aktuell 13 angeschlossenen Clients. Darüber wird Voip, Datenbankabfragen und Filesync vermittelt. Der Upload der VDSL50 Leitung wird dabei oftmals voll ausgelastet. Habe die CPU Last aber bisher nie über 10% gesehen. Anbei ein Screenshot.

Die neuste opnsense Version 19.1 lässt sich auch ohne irgendwelche Anpassungen sofort installieren, früher war das immer nervig, dauerte lange und diverse BIOS Einstellungen.
April 09, 2019, 09:03:09 PM #27
Das hatte ich mich eigentlich auch schon gefragt...würde aber aufgrund der Kühlung zu ner Pro greifen...

https://www.zotac.com/de/product/mini_pcs/zbox-pro-ci329-nano

Fragt sich bloß ob ne normale 2,5" SSD oder ne m.2 SSD die bessere Wahl für den Dauerbetrieb ist....

https://www.transcend-info.com/Products/No-766
https://docs.wixstatic.com/ugd/20c502_ce17dc39cbe14c21867c6c4ead81723a.pdf
April 22, 2019, 10:45:36 PM #28 Last Edit: April 22, 2019, 10:47:37 PM by opnboi
Frage selbst beantwortet 8)

OPNSense ließ sich wunderbar via 15 Jahre alten USB-Stick ;D auf der ZBOX Pro CI329 nano nebst Crucial 4GB DDR4 Riegel und ner M.2 420S mit 120GB installieren:

April 23, 2019, 07:54:02 PM #29
Hallo,

ich habe mir das IPU440 geholt, 4xLAN mit 4GB RAM und i3-4005U Haswell-Prozessor mit 120 GB Kingston SSD, die SSD ist zwar viel zu groß, aber ich mit er Marke gute Erfahrungen gemacht.

Der RAM lässt sich noch erweitern. Es gibt auch noch eine Version mit 6xLAN, falls du soetwas benötigst.

Aber ich denke ein APU-Board tut es genauso, wenn man persönlich keine Präferenzen zu Intel hat.

Schau mal unter:
https://www.ipu-system.de
Print
Go Up Pages 1 2 3 4
User actions