einigermaßen guten Firewall
Da gibt es eine handvoll Zeugs... Die wohl bekanntesten Vetreter (in der heutigen Zeit) für lau dürften wohl folgende sein:
- pfSense
- OPNsense (war mal ein Fork von pfSense, ist aber schon länger eigenständig (meine ich))
- div. andere Lösungen, welche aber nicht wirklich den Funktionsumfang der beiden o.g. bieten
Ich privat nutze die Sophos UTM Home (die ist aber EOL in 2026), da gibt es aber auch noch einen Nachfolger (
XG). Kriegste quasi eine Enterprise-Firewall für lau. Allerdings... weisste halt auch nicht, wie die ticken. Ein "EOL" á la "Produkt wird nicht mehr unterstützt/weitergepflegt" gab es da halt schon (UTM -> XG, kein wirklich vernünftiger Migrationspfad...). Sowas hab ich bei pfSense/OPNsense nicht erlebt, das einzige wo irgendwann mal "Schluss" war... der 32-Bit-Support
All diese Lösungen sind "Software"-basiert. Heisst: Du suchst Dir irgendwas an "Hardware" raus und darauf installierst Du dann halt die gewünschte Software. Eines haben sie aber alle gemeinsam: Es ist kein Software, die irgendwo "zusätzlich" installiert wird, heisst: Du installierst mit dem Installationsmedium schon ein komplettes OS. Also Hardware hin, Software drauf, einrichten, fertig.
und ich halte Ausschau nach einem Switch welcher VLAN unterstützt und mehr als 6 Ports zum WAN/LAN- Anschluße bietet.
Was Du definitiv willst/benötigst, ist ein "managed" Switch. Ob dieser nun noch PoE-Support hat, oder nicht, ist erstmal von Deinen Vorstellungen abhängig (mit PoE kostet normalerweise halt auch mehr). "Mehr als 6" ist halt auch so eine Sache... Könntest einen 8er nehmen (Uplink zur Firewall nicht vergessen, ist direkt 1 Port weg) und - falls noch WLAN-APs zum Einsatz kommen, usw. kann sich das mit den Ports ziemlich schnell erledigt haben. Einen 16er könnte man auch durchaus in Erwägung ziehen, aber so riesig sind die preislichen Unterschiede zu einem normalen Switch mit 24-Port in 19" dann auch nicht mehr. Wenn Du sowas in Erwägung ziehst - je nachdem, wo das ganze Zeugs dann untergebracht wird - solltest Du ggf. auch bedenken, dass die 19"-Geräte 40mm-Lüfter haben (sofern nicht passiv gekühlt) und die kleinen Dinger können schon etwas Lärm verursachen. Sowas sollte man dann also z.B. nicht unbedingt im Wohn-/Schlafzimmer stehen haben.
Was mir nicht in den Kopf geht ist folgendes die ganzen Lenovo Thinkpads die in EBay mit 4-8 GB verkauft werden haben zwar keine zwei LAN Ports(dies könnte durch die entsprechnede PCI Steckkarte gelöst werden) werden so in der range 40 -80 Euro verkauft.
Kannste machen, für "mal gucken", dauerhaft... vermutlich eher nicht. Dabei liegt es jetzt nicht an der Hardware, aber der Support für die PCI-Steckkarten ist eher fraglich (wird halt auch nicht "alles" supported). Gut fährt man i.d.R. eigentlich immer mit Intel-NICs.
Ich hab z.B. so eine
Zotac Zbox, das Ding hat auch nur 2 Ports, was für mich und meine Ansprüche aber völlig reicht (WAN + LAN (darüber div. VLANs)). Grade was die pfSense/OPNsense angeht, da sind die APU/IPU-Dinger wohl ganz groß im Rennen (hab ich bisher nie gehabt/nie genutzt).
jetzt aber das ABER oder besser gesagt das WIESO.... Wieso werden NETGEAR; DRYTECK, ZYXEL e.t.c. mit eben auch eigenen z.T. abgewanden Forks auch betrieben und es funzt mit weniger Prozessorlast die gleiche Fuktionalität, VLAN, VPN, Routing und sogar DSL??
Wer sagt denn, dass die 2 Cores (ggf. 4 Threads) sofort am Anschlag laufen? Denke, da hast Du wohl etwas falsch verstanden... Der o.g. Barebone hat aktuell eine CPU-Auslastung von "4%" und 30% RAM-Auslastung (von 4GB), allerdings laufen auch ein paar VPN-Tunnel und anderes Zeugs.
PS. Ausserdem ist ja nach dem Kauf einer ThinkClient Maschine und deren OPNSense Konfiguration ja immer noch der Swicht dran mit den VLAN, MAC-Tabellen und Routing Richtilinien - Einstellung zu machen.
Um MAC-Tabellen musst Du Dich da erstmal nicht groß kümmern, die Sache mit den VLANs wird schneller erledigt sein, als Du denkst. Am einfachsten für den Start wird die "untagged"-Konfiguration sein (Switch-Port = VLAN X), falls noch was in Richtung WLAN-AP/Hypervisor kommt, werden es prinzipiell eher "tagged"-Ports (heisst, da kommen schon bereits markierte (mit VLAN-Tag bestückte) Pakete an).
An dieser Stelle ggf. noch ein kleiner Vermerk auf diesen Thread: 
Kannst aber auch einfach grösseren mit PoE nehmen, kannst nach Lust und Laune halt (und ggf. auch etwas langfristiger planen, Switche laufen i.d.R. doch recht lange).
