HW Auswahl - Eigenbau

saveLAN

New member
Hallo,
ich habe jetzt viel mit einer virtuellen Sense gespielt und finde es echt super.
Heißt ich will eine hardwareseitige Stand Alone Sense haben.

An folgende Hardware hätte ich gedacht.

Was haltet ihr davon?
Ist das eine sinnvolle Basis oder eher keine gute Idee?
 

blurrrr

Well-known member
Ich würde einfach mal sagen: Kann man machen... Ist eh grundsätzlich die Frage, was Du darauf alles laufen lassen willst... Bei mir ist eine Firewall einfach nur "Firewall" + "VPN-Gateway". Kommen da noch IDS/IPS dazu, oder diverse der unzählen Addons, kann man da schnell an seine Grenzen stossen, aber das sind auch alles Erfahrungswerte... einfach machen und bei normaler Nutzung sollte das schon passen. Kommt dann noch dies, das und jenes dazu... naja, Du wirst es schon merken... 😁 Auf der anderen Seite macht es natürlich auch überhaupt keinen Sinn, Hardware-technisch total auf die K***e zu hauen, nur damit der ganze Kram dann vor sich schlummert...

Ich für mich hab einfach nur eine kleine Zotac Zbox (ZP-CI329NANO-BE) mit 2 LAN-Ports (WAN+LAN), die reichen mir vollkommen aus, vermutlich würde ich sogar einfach mit einem einzigen Port auskommen, da ich 1Gbit hier privat nie ausreize. Das Ding muss hier also auch keine Berge versetzten... Wirklich leistungsstarke Hardware liegt preislich dann sowieso ganz woanders, aber leistungstechnisch hängt es halt auch immer davon ab, was sonst noch so an Software im Einsatz ist... 🙃
 

saveLAN

New member
Ich für mich hab einfach nur eine kleine Zotac Zbox (ZP-CI329NANO-BE) mit 2 LAN-Ports (WAN+LAN), die reichen mir vollkommen aus, vermutlich würde ich sogar einfach mit einem einzigen Port auskommen, da ich 1Gbit hier privat nie ausreize.
Das heißt du nutzt den LAN Port dann wahrscheinlich als Trunk Port?

Dann ist bei dir z.B.
  • WAN-Port: 192.168.1.2
  • LAN-Port (Trunk):
    • VLAN1: 192.168.1.1
    • VLAN10: 192.168.10.1
    • VLAN20: 192.168.20.1
    • VLAN30: 192.168.30.1
    • VLAN40: 192.168.40.1
Verstehe ich das so richtig?
Und danke für die HW Empfehlung. Denke dann schaue ich auch lieber bei Zotac. :)
 

the other

Well-known member
Moinsen,
Alternativ sind auch apu2 Boards gut für sowas.
Frage ist eben: was genau willst du ggf noch alles laufen lassen? Wie schnell ist deine Internetverbindung? Wie groß das Netzwerk?
Hier zb auf nem apu2 mit 3 nics und 4 gb ram plus 64 gb mssd...nur firewall, openvpn, pfblocker, dns und dhcp...ca 30 clients. Das Ding ist weder vom RAM noch von der CPU annähernd ausgelastet. Ich mache aber auch nix mit ids/ips.
8 gb ist schon viel...
Wichtig ist eben immer ob es wirklich Intel nics sind. Die pfsense mag andere eher nicht so. Und nicht jeder schnelle Prozessor ist automatisch für Routing Aufgaben der beste...
Das hier geht auch:
https://www.amazon.de/stores/Protectli/Homepage/page/4C5D80DB-3482-4015-A822-F81C3A8DB1DA

oder die kleineren netgate router selber, zb die 2100...dann mit der pfsense plus.

Und zur anderen frage: ja, zb via trunk port. Vlan 1 als default untagged, die anderen laufen tagged darüber...
:)
 

blurrrr

Well-known member
Und danke für die HW Empfehlung
Das war definitiv keine "Empfehlung", das war ein "IST"-Zustand bei "mir" für "meine" Bedürfnisse. Das kann bei Dir schon wieder alles völlig anders aussehen. Mit einem kleinen Eigenbau bist Du natürlich deutlich flexibler (das sollte man dabei auch nicht ausser Acht lassen!) :)

Habe auf beiden Ports div. VLANs abgebildet (kannst Du hier sehen, wobei das auch nicht alles ist). pfSense ist ein Thema, VLAN nochmal ein ganz anderes, denn die sonstige Netzwerk-Hardware (z.B. Switch) muss je nach Einsatzzenario natürlich auch mitspielen.
 

saveLAN

New member
Frage ist eben: was genau willst du ggf noch alles laufen lassen? Wie schnell ist deine Internetverbindung? Wie groß das Netzwerk?
Eigentlich nur die Firewall, ein wenig Routing und ggf. einen Freeradius-Server.
Internet ist ein VDSL 250Mbit/40Mbit und das Netzwerk hat etwa 35 Teilnehmer.
Vieles aber nur Drucker und so Kram.
 

saveLAN

New member
Ich für mich hab einfach nur eine kleine Zotac Zbox (ZP-CI329NANO-BE) mit 2 LAN-Ports (WAN+LAN), die reichen mir vollkommen aus, vermutlich würde ich sogar einfach mit einem einzigen Port auskommen, da ich 1Gbit hier privat nie ausreize.
Jetzt hätte ich hier nochmals eine Frage zur Performance.
Würde die Box schon ausreichen um von einem VLAN zu einem anderen VLAN mit 1 Gbit zu routen?
Also wenn man auf ein NAS von zwei Netzten mit 1 Gbit zugreifen möchte um Daten zu verschieben?
Bei verschieben von Backups ist es nämlich schon eine Qual, wenn man dann mit 10-20 MB/s rumdümpeln würde.
 

the other

Well-known member
Moinsen,
das sollte eigentlich ausreichen...mal schauen: ups, genau das Modell ist aktuell nicht verfügbar (dem link folgend).
Ich selber kenne Zotac nicht.
Mein APU board hier ist 5 Jahre alt und hat hier mit diversen VLANs, 2 NAS, PC, WLANclients zu tun. Alles läuft auf 1 GBit LAN und ich habe die üblichen Geschwindigkeiten (bleibt ja nur ein kleiner Teil vom theoretisch Möglichen).
Die Apus findest du zB hier:
https://www.apu-board.de/
wobei da das 2E4 vermutlich passend wäre:
https://www.apu-board.de/produkte/apu2e4.html

Da findest du dann auch Gehäuse, ggf. erweiterten Speicherplatz usw.
Der Zusammenbau dauert etwa 10 Minuten, ist ungefähr so kompliziert wie bei einem Raspberry Pi. Dann die Installation der pfsense Software selber. Dafür findest du aber zB dies hier:
https://www.heimnetz.de/anleitungen/firewall/pfsense/pfsense-auf-einem-apu-board-installieren/
und weitere...
;)
Kosten sind am Ende vermutlich kaum unterschiedlich, plus/minus 10 Euro (bei vergleichbarer Hardware)...und: es gibt einige Erfahrung mit pfsense auf APU in diversen Foren und ich habe bisher nur sehr selten von Problemen und Kummer in diesem Zusammenspiel gelesen (und kann selber auch nix Negatives berichten, wie gesagt)...
:)
 

the other

Well-known member
Moinsen,
und nochmal als kleine Relativierung:
es kommt natürlich (wie immer im Leben) darauf an, was du vorhast mit dem Ding...
Wenn du nur ein paar VLANs hast, bischen VPN, nicht gleich ALLE Blacklists für pfblockerNG nutzt. nicht drillionen Aliase nutzt und dein Regelwerk duchdacht schlank hältst und kein IDS/IPS machst...
...dann reicht so ein Board aus für das heimische 1 Gbit LAN.

Wenn du aber später mal auf Multi Gbit LAN umrüsten willst oder unbedingt die obigen Sachen machen willst, dann könnte es knapp werden. Da reichen dann die 4 GB ebenso wenig wie der Prozessor und die NICs sind bei diesen günstigen Lösungen eh immer auf 1 Gbit beschränkt.

Falls du größenwahnsinnig bist, gerade etwas Kleingeld übrig haben solltest oder zukunftsorientiert kaufen willst, dann gibt es auch das:
https://shop.netgate.com/collections/desktop-appliances
Hier dann sowas wie die 4100 oder 6100, ggf. als MAX Version mit ordentlich Speicherplatz...
:)
 

blurrrr

Well-known member
Würde das ganze nämlich am Liebsten in ein 1HE-19Zoll-Gehäuse einbauen und dann im Schrank einbauen.
Da gibt es extra Gehäuse für mit Plätzen für die APU-Dinger 😉

Alternativ halt selbst etwas basteln, hat dann ggf. auch den Vorteil der Upgradefähigkeit (erstmal kleine CPU, wenig RAM, kleine SSD, kannste dann später "alles" noch upgraden). Mitunter eine Riser-Card dazu, dann kannst Du auch einfach eine Quad-Port-NIC einbauen, oder später 10GBit. Qual der Wahl und so... wünsche vorab schon mal gutes Gelingen! 😊
 

tiermutter

Well-known member
Hier dann sowas wie die 4100 oder 6100, ggf. als MAX Version mit ordentlich Speicherplatz...
Eine Frechheit, im OPNsense Unterforum in einem OPNsense Thread Hardware von dieser Verbrecherbande anzubieten! ;)

Ich würde unterm Strich jedenfalls auch nicht zu groß dimensionieren. Selbst mit meinem alten Atom D525 war Gbit durch die Firewall kein Problem, wenn ich mich recht erinnere war mit IPS bei etwa 150Mbits Feierabend, aber will man sowas unbedingt zu Hause betreiben?
Letztlich gibt es genug Appliances am Markt die den Grundbedürfnissen massig ausreichen, relativ wenig Energie verbraten und günstig sind. Ein Eigenbau lohnt mMn nur, wenn man Großes mit der Kiste vor hat.

Herzlich Willkommen übrigens, ich bin mir sehr sicher, dass ich dich im OPNsense Forum auch schon angetroffen habe, wenn auch mit etwas anderem Namen :)
 

tiermutter

Well-known member
Naja so 75/25 würde ich sagen ;)
Netgate ist und bleibt für mich eine armeselige Verbrecherbande
PFsense hat aus einem OpenSource Projekt "heimlich" ein ClosedSource (oder was auch immer) Projekt gemacht und dann auch noch versucht die Abspaltung nach OPNsense zu "sabotieren". Kein feiner Zug (gelinde ausgedrückt) wie ich finde und daher gibt es für dieses Projekt keinerlei Unterstützung oder Sympathie von mir.
Wenn man im Netz so ein bissl sucht, dann findet man tonnenweise Untaten von Netgate, darunter auch die Seite, mit der die OPNsense Domain blockiert wurde: http://web.archive.org/web/20160314132836/http:/www.opnsense.com/
 

the other

Well-known member
Moinsen,
Nach einer Trennung in zwei voneinander unabhängige Projekte gibt es ja oft etwas Nachtreten...unterschiedliche Ideen, Meinungen, Philosophie oder auch Fanatismen.
Sieht man bei old school Linux vs. modernere Ansätze auch immer wieder mal.

Allerdings finde ich hier Begriffe wie


Ein klitzekleines bisschen übertrieben...
Jm2c
 

tiermutter

Well-known member
Ich sag ja... das ist wie Dortmund und Schalke, da gibt es keine netten Worte ;)
Tonnenweise mag übertrieben sein, der Rest aber nicht :p

Aber gut jetzt, ich fange ja schon an wie @rednag mit dem QNAP-bashing...
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
1.725
Beiträge
21.436
Mitglieder
1.234
Neuestes Mitglied
Doneinei
Oben