pfSense Hardware Empfehlung

[the other]

Moinsen,
je nach Verwendung sollten 4 GB locker reichen. Hast du eine rasend schnelle Internetanbindung und intern auch mehr als die üblichen 1 GB LAN laufen PLUS viele lustige Pakete zusätzlich installiert, dann kann über 8 GB RAM nachgedacht werden.
Ich habe mich da auch ewig mit rumgeschlagen, aber bisher habe ich nicht mal bei 4 GB RAM 50% Auslastung.
Hier sind einige Pakete installiert, allerdings kein IPS/IDS System dabei (was ja ziemlichen Bedarf haben soll).
Wichtiger finde ich da auch eine gute und ausreichende SDD, damit du deine Logs auch speichern kannst.
Also: bei Standardgeschwindigkeit (Internet 60/10, intern 1 GBLAN), nur Einsatz von VLANs, VPN, Radius, Firewall mit einigen Regeln, Aliasen, pfblocker Listen und dem üblichen Gerümpel wie DNS, DHCP usw. reichen (mir) 4 GB locker aus. Vermutlich auch
in ein paar Jahren noch...

 

[blurrrr]

allerdings kein IPS/IDS System dabei (was ja ziemlichen Bedarf haben soll)

Sowas ist vor allem recht CPU-intensiv

Wichtiger finde ich da auch eine gute und ausreichende SDD, damit du deine Logs auch speichern kannst.

Hier wäre ggf. noch die TBW ausschlaggebend (und je nachdem noch die Schreibperformance), grade bei einem höheren Protokollierungsgrad, aber normalerweise läuft sowas dann auch eher auf Log-Servern. Schraubt man allerdings überall das Log-Level auf's Maximum und hat nur eine kleine günstige SSD drin (die sowieso schon nicht viel ab kann), kann es auch gut sein, dass man die Dinger im Jahresturnus austauschen darf

 

[Howcountry]

Als Hardware für meine PFsense @home nutze ich momentan einen futro S920 mit 4 port 1g netzwerkkarte. Das ganze läuft mit ca 10w komplett Passiv. Das Board ist mini-itx kompatibel und kann daher problemlos in anderen Gehäuse umgebaut werden.

AMD GX-415GA SOC with Radeon(tm) HD Graphics
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)
QAT Crypto: No

 

[Tommes]

Ich habe es endlich geschafft, den Igel in meiner Tasche kurzzeitig abzulenken, um mir ein neues Stück Hardware für meine pfSense zu kaufen. Wichtig war mir dabei u.a. die Unterstützung von 4 LAN Ports mit 2.5 Gigabit Anbindung und etwas mehr Druck auf dem Kessel was die CPU-Leistung angeht. 8 GB RAM sowie eine 120 GB SSD hätte es jetzt nicht zwingend sein müssen, da für die pfSense m.M.n. auch 4 GB RAM und 32 GB SSD ausreicht, jedoch hat mich das am Ende "nur" 40 Euro mehr gekostet. . Nicht zu vergessen ist ein angemessener Stromverbrauch sowie eine gute passive Kühlung.

Am Ende war die Sache dann auch nicht ganz billig, aber Qualität kostet halt, denn kaufst du billig, kaufst du zweimal. Auch sage ich mir immer - Besser haben als brauchen - weshalb ich mich letztendlich für eine Protectli Vault FW4C ( https://eu.protectli.com/product/fw4c/ ) entschieden habe.

Und was soll ich sagen... ich bin sehr zufrieden. Zwar kann ich noch keine Langzeiterfahrungen vorweisen, da das Gerät gestern erst in Betrieb genommen wurde, aber die Konfiguration und Einrichtung war, u.a. dank der vorbildlichen Online "Knowledge Base"von Protectli, ziemlich unkompliziert. Selbst die Umstellung des Systems von BIOS auf Coreboot war sehr gut beschrieben und konnte recht unspektakulär durchgeführt werden. Nachdem pfSense installiert war und ich die Konfiguration meiner alten pfSense auf dem PC Engines APU.2E4 Board eingespielt hatte, konnte ich gleich weiterarbeiten, als wäre nichts gewesen. Fast schon ein bisschen langweilig. Einzig meine OpenVPN Konfiguration hakelt ein wenig, daher werde ich das wohl nochmal neu einrichten müssen. Egal...

Aktuell dümpelt das System im Leerlauf bei ca. 6,5 Watt und ca. 45 Grad vor sich hin. Dabei habe ich die kleine Protectli Kiste diekt hinter meine DS220+ an die Wand genagelt. So kühlt der Lüfter der DS automatisch das passiv gekühlte Gehäuse gleich mit.

Tommes

 

[the other]

Moinsen,
sag mal @Tommes:
wie sind die weiteren Erfahrungswerte so mit dem Protectli?
Hast du dort eigentlich weiter die CE von pfsense laufen oder hast du den Umstieg auf pfsense+ gewagt?

Ich frage, weil ich mich auch immer wieder mal mit ner Idee zu einer Neuanschaffung für die pfsense rumschlage.
AFAIK läuft die pfsense+ ja ebenfalls mittlerweile auch auf 3rd party Geräten, eben und gerade auch Protectli.
Mich würde dahingehend die Nutzung der Snapshots interessieren und das wäre auch der Hauptgrund für einen Umstieg.

Und die 4 2,5 Gbit/s Ports hören sich ja auch gut an (intel NICs).
Dazu dann mehr RAM und mSSD kostet es trotzdem noch deutlich weniger als zB eine 4100er von Netgate.
Also, gerne mal ein kurzes Update zu deinem Vault hier lassen...bedankt!

 

[Tommes]

Hm, naja… um ehrlich zu sein, sooooo viel zu berichten habe ich aktuell noch garnicht, da ich beruflich momentan sehr eingespannt bin. Die freie Zeit, die ich grade habe, nutze ich eher dazu, mein 2,5 Gigabit Netzwerk ein wenig auszubauen. Inzwischen habe ich eine saubere 2,5 Gigabit Verbindung zwischen meiner Fritzbox 5590, der Protectli Vault FW4C, einem 5 Port sowie einem 8 Port Switch bis hin zu einem FritzBox Repeater 6000 aufbauen können. Aber das nur am Rande.

Aufmerksam auf Protectli bin ich u.a. durch mehrere YouTube Videos von Dennis Schröder, wie z.B. diesem hier geworden, denn eigentlich hatte ich mich schon auf die IPUs von NRG-Systems eingeschossen gehabt. Ich liebäugel also schon länger mit neuer Hardware für meine pfSense. Wo wir auch gleich bei einem Punkt deiner Frage angekommen wären…

Hast du dort eigentlich weiter die CE von pfsense laufen oder hast du den Umstieg auf pfsense+ gewagt?

Nun, eigentlich habe ich mit dem Gedanken gespielt, zu OPNSense überzulaufen, einfach um mal zu schauen, wie die das Ganze so umgesetzt haben. Am Ende bin ich dann aber doch bei pfSense geblieben, nicht zuletzt aus oben bereits mangelnder Zeit. Ein Umstieg auf pfSense+ habe ich bisher nicht in Betracht gezogen.

Am Ende war die Migration von meinem APU Board zur Protectli Vault, abgesehen von ein paar Verständnisschwierigkeiten ein klacks. Nachdem ich in der Sicherungsdatei aber die Namen der Interfaces von igb nach igc umbenannt hatte, lief alles wie am Schnürchen.

Was mir besonders gut an der Protectli Vault gefällt ist, das man zwischen BIOS und Coreboot auswählen kann, auch wenn Protectli hier keine Garantie auf das Gelingen gibt. Die Anleitungen sind aber so gut beschrieben, man das ohne große Probleme hinbekommt.
Was am Anfang für mich ein wenig verwirrend war, war die Tatsache, das man das Setup zwar per Serial Verbindung durchführen kann, Protectli aber den Weg mittels Monitor, Tastatur und Maus vorzuziehen scheint. Zu allem Überfluss wollte Windows 11 mein Serielles Kabel auf USB nicht mehr unterstützen, was mich kurzzeitig in große Verzweiflung gestürzt hat. Man tut also gut daran, einen Monitor, Tastatur und Maus am Start zu haben.

So weit, so gut. Nachdem die pfSense dann lief und ich noch ein paar Kleinigkeiten nach z.B. dieser Anleitung von Protectli nachjustiert hatte (Temperatursensoren anpassen etc.) habe ich nicht mehr viel verändert. Einzig die Schwuppdizität ist im Vergleich zum APU Board um Lichtjahre besser geworden. Am Anfang dachte ich so… meine Güte, wie lange braucht der denn zum speichern der Änderungen… dabei ging das Speichern so schnell, das ich es garnicht mitbekommen hatte. Aliase anzulegen oder Regel zu erstellen macht auf einmal richtig Spaß. Ich habe langsam auch das Gefühl, das beim Aufbau einer OpenVPN Verbindung mein iPhone 11 einfach zu langsam ist, da der Verbindungsaufbau i.d.R. erst beim zweiten Mal funktioniert. Auf dem Nothing Phone meines Sohnes klappt der Verbindungsaufbau dagegen sofort.

Zum Thema Snapshots kann ich nichts sagen, aber würde ich nochmal vor der Wahl stehen, mir ein Barebone System zu kaufen, ich würde zu Protectli greifen. Ich finde das Konzept sehr stimmig. Angefangen von der wirklich vorbildlichen Knowledge Base auf deren Website, aber auch der Haptik und Optik der Hardware bis hin zu den Verbrauchs- und Temperaturwerten. Letztere sagen mir grade, das ich bei ca. 51 Grad liege. In meinem Technikraum sind es heute locker 32 - 35 Grad und mein APU Board läg hier schon bei ca. 60 Grad, wobei ich hier noch einen dicken Kühlkörpern auf das Gehäuse geklebt hatte. Sonst läg die Temperatur sicherlich bei 65 bis 70 Grad.

Von den Stromverbrauchswerten tun sich APU undProtectli Vault wohl nicht viel, auch wenn man beide Systeme eigentlich nicht miteinander vergleichen kann. 6,5 Watt im Leerlauf sind aber schon eine Ansage. Meine Synology DS220+ verbraucht im Ruhemodus 4,4 Watt. Für mich sind das Top Werte und da werden die ganzen Billo Barebonesysteme wohl auch nicht dran kommen.

Hui, jetzt habe ich aber wirklich viel gequatscht und ich hoffe, das etwas nützliches für dich dabei war. Ansonsten… stell weiter deine Fragen.

Tommes

 

[the other]

Moinsen,
Ganz herzlichen Dank!
Aktuell keine weiteren Fragen, Euer Ehren...

Obwohl...doch!
Welche switches nutzt du für 2,5 Gbit und hast du dein NAS schon umgerüstet?

 

[Stationary]

Ist protectli eigentlich ein weiterer Anbieter für diese hier: https://www.ipu-system.de/ (hatte @Tommes oben erwähnt) oder unterscheiden sich die Systeme grundlegend?

 

[Tommes]

Ich habe mir erlaubt, mir einen TP-Link TL-SG105-M2 (5-Port Switch) sowie einen TP-Link TL-SG108-M2 (8-Port Switch) zuzulegen. Leider sind diese Unmanaged, was ich bei den Preisen eigentlich erwartet hätte, aber für mein Setup ist das auch nicht relevant, da ich hier keine VLANs verwende. Was mich aber ärgert ist die Tatsache, das ich bei den Switchen jeweils die Version 1 erhalten haben. Die Version 2 soll aber in beiden Fällen nur halb so viel Strom verbrauchen, als die Version 1. Das ärgert mich schon ein wenig.

Meine DS220+ kann man, soweit ich weiß, nicht auf 2,5 Gbit umrüsten. Aber das ist aktuell nicht weiter schlimm. Der Weg ist bekanntlich das Ziel und irgendwann muss man auch mal aufhören, Geld in die Sache zu pumpen. Die Aktion sprengt aktuell jetzt schon alles und hat mit Vernunft auch nicht viel gemein

 

[Tommes]

Ist protectli eigentlich ein weiterer Anbieter für diese hier:

Genauso ist es. Ebenso zählen Barebones von AliExpress, Hunsn und wie sie alle heißen dazu. Im Prinzip machen alle das Gleiche, oftmals kommt es aber auf die Details an

 

[Stationary]

Installiert man da auch vom USB-Stick drauf? Auf der NRG-Seite wird immer das Nullmodemkabel angeboten. Mit Monitor und USB-Stick wäre mir sympathischer. Ich denke ja nun auch schon eine Weile darüber nach, das mal in Angriff zu nehmen.

 

[Tommes]

Theoretisch sollte man so ein Barebone System über einen Seriellen COM Port einrichten können. Bei Protectli liegt solch ein Kabel i.d.R. auch bei. Blöd ist nur, das heute so gut wie niemand mehr eine 9 poligem D-Sub Stecker am seinem Laptop oder PC hat. Daher benötigt man i.d.R. einem Serial to USB Adapter. In meinem Fall war es so, das Windows 11 den Adapter nicht mehr unterstützen wollte, unter Windows 10 ging der gleiche Adapter sehr wohl. Oder man erledigt das über Monitor, Tastatur und Maus.

Einen USB Stick sollte man im übrigen immer parat haben um das gewünschte System installieren zu können.

 

[Tommes]

@Stationary Am Ende ist es nämlich auch eine Frage des Geldes. So eine Vault ist im Vergleich zu vielen anderen Barebone Systemen preislich schon nicht ohne, dessen war ich mir aber bewusst. Neben den Leistungsdaten kommt es mir halt auch auf den Stromverbrauch und die Wärmeentwicklung an, zumal das Gerät in meinem berühmt berüchtigten Technikraum werkelt, indem es im Sommer gut und gerne 40 Grad und wärmer wird.

Daher ärgert es mich grade auch ziemlich, das meine beiden oben genannten 5- bzw. 8-Port Switche in der Version 1 mit 12,11 Watt bzw. 15,65 Watt maximale Leistungsaufnahme doch ziemlich warm werden. Wohingegen die Version 2 mit Werten von 5,16 Watt bzw. 8,45 Watt auskommen und daher auch eine geringere "maximale Wärmeabgabe" vorweisen. Das ist schon hart.

Tommes

 

[the other]

Moinsen,
...und Danke für deine Antwort(en).
Tja, umanaged switche kommen für mich nicht in Frage...dann schaue ich mal weiter, was der Markt so bietet. Die bisher von mir durchaus geliebten cisco Switche sind einfach zu teuer. Alternativ kommt dann noch Zyxel in Frage...aber es eilt auch nicht und mal schauen wie sich die Preise entwickeln.
Für die Router Hardware hab ich jetzt Protectli und das Original von Netgate auf der Liste...die APU boards scheinen ja ersteinmal etwas aus dem Rennen zu sein, wie es gemunkelt wird.
Naja, kommt Zeit kommt Idee.

 

[life2387]

Als absolut stromsparende Hardwareempfehlung (rund 5 Watt, Stromkosten etwa 15 € im Jahr) für das Heim werfe ich mal diese Hardware in den Raum: Sucht mal nach "U7-130". Diese Geräte bekommt man bei eBay. Es muss die Variante mit Intel Celeron N2807 1,58 GHz sein. 32GB SSD (Aufrüstbar) und 4GB (Nicht aufrüstbar) sind onboard. Hat keinen Krypto-Chip, reicht mir aber locker mit der Leistung der CPU. Habe Suricata und HaProxy darauf laufen. Squid würde auch noch parallel gehen. Ich denke bis 100mBit reicht das kleine feuerrote Kistchen. Kann es mangels Glasfaser leider nicht testen. Habe pfSense hinter der Fritzbox als Exposed Host und mit statischer Route. NAT auf der pfSense abgeschaltet. Läuft absolut smooth. Für Hardcore-Anwender wohl eher nix, für Stromsparer absolut klasse.

 

[the other]

Moinsen,
danke für die Ergänzung @life2387!
Das Gerät hatte ich bisher noch nie in Foren oder eigenen Händen...hört sich aber in der Tat ganz nett an.
Der Cryptochip...tja, kommt meines Wissens ja vor allem bei VPN zum Einsatz, wenn das nur selten oder für Kleinigkeiten genutzt wird, sicherlich auch ohne zu machen.
Beachtlich finde ich, dass du bei so wenig RAM und überschaubarem Speicher problemlos Suricata laufen hast. Es wird ja oft gemunkelt, dass das doch recht ressourcenhungrig sei. Dazu dann sogar noch Potential für squid...hui!

Mir wäre es (Stand heute) von einem einfachen APU2 Board kommend zu wenig bzgl der NICs. Sowohl was die Anzahl angeht als auch die Übertragung. Das nächste Gerät soll da doch etwas mehr leisten. Trotzdem: super Tipp!

 

[life2387]

Hallo, ich habe sogar noch pfBlockerNG darauflaufen, hatte ich in der Aufzählung vergessen. Das belegt zusammen etwa 20% des 4GB RAM. Nur wenn man Squid nutzt, ist möglichst viel RAM von Vorteil. Bei Suricata wiederum ist die Performance der CPU von Vorteil. Aber hier bin ich ja in einem kleinen Haushalt. Da reicht das gebotene locker. Ich habe jahrelang problemlos mit einem APU Board ein mittelgrosses Hotel betrieben ... Nur im Hochbetrieb erreichte das Gerät seine Grenzen, dann war das WebGUI etwas zäh, aber immer noch stabil. Erst als Glasfaser kam, bin ich dort auf ein Protectli FW4C mit 8GB umgestiegen. Wird nicht mal annähernd ausgereizt. Aber hier bei mir muss es einfach etwas stromsparendes, günstiges sein. Und ein APU Board wollte ich nicht - wegen des fehlenden HDMI. Seriell wollte ich mich nicht mehr quälen.

 

[Tommes]

Ich habe jahrelang problemlos mit einem APU Board ein mittelgrosses Hotel betrieben ... Nur im Hochbetrieb erreichte das Gerät seine Grenzen, dann war das WebGUI etwas zäh

Mal davon abgesehen, das sie WebGUI der pfSense eher eine von der gemütlichen Sorte ist, so fand ich die Arbeit auf meinem alten APU Board immer ziemlich lästig, vor allem aber ziemlich zäh. Unter anderen deshalb habe ich mir die von dir erwähnte Protectli Vault FW4C zugelegt. Wichtiger war mir aber eine 2,5 GBit Anbindung und 4 NICs. Der Stromverbrauch hält sich mit ca. 6,5 Watt im Leerlauf ebenfalls in Grenzen und liegt somit auch nicht höher als bei einem APU Board.

 

[life2387]

Die FW4C ist schon toll und mit 2.5GBit und Kryptochip auch zukunftssicher. Und es sind zwei zusätzliche LAN Schnittstellen für z.B. LTE und ein zusätzliches Subnetz möglich. Kostet aber auch das doppelte. Die U7-130 hat mich 160,- gekostet und der Stromverbrauch der FW4C liegt eher bei 10 Watt. Aber wenn Geld keine Rolle spielt, ist eine Protectli eindeutig die bessere Wahl ...

 

[Tommes]

Gemessen habe ich den Verbrauch mit einem FRITZ!DECT 200. Im Leerlauf lag der Verbrauch bei ca. 6 Watt. Unter Last nimmt sich der kleine Bursche aber auch gerne mal 12 - 14 Watt. Aktuell läuft WAN, LAN und OPT1 auf 2,5 GBit. OPT2 ist zur Zeit noch nicht in Benutzung. Von daher könnte sich der aktuelle Verbrauch im Leerlauf ein wenig erhöht haben, sollte aber überschaubar sein.

Klar, wer Strom sparen will um jeden Preis, der sollte nicht unbedingt auf 2,5, 5 oder gar 10 GBit bauen. Allein die Preise für die entsprechende Hardware ist schon nicht ohne.

Aber wenn Geld keine Rolle spielt

Ist halt Hobby und Hobby definiert sich bekanntlich so: Mit einem Maximum an Ressourcen, ein Minimum an Nutzen erzielen. Von daher… Geld spielt hier keine so große Rolle, eher das „haben will“ und die innere Zufriedenheit, die sich einstellt, wenn am Ende alles so läuft, wie man es sich vorgestellt hat.

Aber im Ernst. Ich habe oft einen Igel in der Tasche, der furchtbar piekst, wenn ich versuche, nach meinem Portemonnaie zu greifen. Aber manchmal kann ich ihn geschickt ablenken.