ComputerBase Menü
Aktuelles

Günstige gebrauchte Firewall für OPNsense

Malaclypse17

Malaclypse17

Lt. Commander
Registriert
Nov. 2017
Beiträge
1.156
Hallo liebe CB-Community,

ich betreibe aktuell noch eine OPNsense virtualisiert über Proxmox mit einer durchgereichten Netzwerkkarte (4 Ports, drei davon genutzt), das funktioniert auch ohne Probleme, das unschöne daran ist natürlich, dass mein komplettes Netzwerk nun von dem Proxmox Host abhängt, sprich ist der mal down, geht gar nichts mehr.
Nun habe ich in der Vergangenheit schon öfters alte Cyberoam Firewalls umgerüstet auf OPNsense, das hat in der Regel problemlos geklappt und mehrere Modelle laufen schon seit Monaten problemlos.

Meine konkrete Frage wäre, gibt es eine gute Empfehlung für eine ältere Firewall welche sich auf OPNsense umrüsten lässt?
Ich hatte schon mit diversen SFF PCs von Lenovo, HP oder Dell geliebäugelt, allerdings wäre das nur als Firewall etwas Overkill für mich.
Die Firewall sollte mindestens 4 1 Gbit Ports haben (inkl. WAN), mit einer 250 Mbit Internetleitung klarkommen und am besten passiv gekühlt sein.
Gebrauchtpreis wäre idealerweise so im 100-150€ Bereich.

Schon mal danke für eure Anregungen :)
 
Dir ist bewusst, dass wenn du einen managebaren Switch hast dir ein einziges Interface reicht? Die zusätzlichen Netze werden dann per VLAN getagged zum Switch gebracht. Das geht auch mit WAN, ist ja einfach nur ein weiteres Netz ...
D.h. du kannst einen alten Intel NUC, Gigabyte Brix, Zotac zBox, usw. dafür benutzen.
Ergänzung ()

Sowas z.B. würde ich nehmen: https://www.ebay.de/itm/144624985766?hash=item21ac5226a6:g:t0oAAOSw8xRiQdsV&LH_BIN=1
Entweder eine SSD rein oder auf einen 8GB USB Stick installieren, reicht ja bei OpenSense.
 
  • Gefällt mir
Reaktionen: Malaclypse17
d2boxSteve schrieb:
Dir ist bewusst, dass wenn du einen managebaren Switch hast dir ein einziges Interface reicht?
Zum Vergrößern anklicken....
Da würde jeder Network Security Engineer die Hände über dem Kopf zusammenschlagen ;)
Hast allgemein schon recht, allerdings möchte ich DMZ/WLAN auch phsysisch vom restlichen Netzwerk trennen, ist in meinem Fall zwar eigentlich nicht nötig, aber wenn schon denn schon.
 
  • Gefällt mir
Reaktionen: LuxSkywalker
Ich selbst hab einen 1HE FSC Server mit "stromspar-Prozessor" Xeon E-1230L (nur 28W) und benutze eine 2-Port 10G Karte. Auf einem Anschluß sind 2 Internetzugänge getaggt und die andere hat die internen Netze. DMZ liegt auf dem externen Interface mit.
Als Software benutze ich allerdings die kostenlose Home-Lizenz von Sophos, eine XG.
 
Bob.Dig schrieb:
Warum sollte er (m/w/d)? Bei 1Gbit ist eher der Flaschenhals das Problem.
Zum Vergrößern anklicken....
Weil man interne und externe Netze nicht über den gleichen Port schickt. Bandbreite ist sicherlich auch ein Problem, aber ich würde eher Bandbreite opfern als die WAN-Anbindung per VLAN über einen "LAN"-Switch zu jagen.

Insofern würde ich mir einen beliebigen PC mit mind. 2 LAN-Schnittstellen besorgen und darauf die Firewall betreiben. Oder generell gebrauchte FW-HW nehmen...
 
  • Gefällt mir
Reaktionen: LuxSkywalker
Masamune2 schrieb:
Nein, warum?
Wenn er VLANs nicht "traut" hat er in seinem Job aber ein großes Problem.
Zum Vergrößern anklicken....
Er muss VLANs nicht trauen und er tut gut daran, es nicht zu tun. Schau Dir mal den Cisco Bug CSCvt34738 an: Das Problem ist nicht das VLAN-Tagging an sich, sondern das Handling der Pakete in den L2/L3-Switches.

Ich diskutiere gerade in einem PoC mit einem Kunden, wie sich DMZ und LAN in einer (mandantenfähigen) Fabric sauber trennen lassen - ohne zwei Fabrics aufbauen zu müssen.
 
  • Gefällt mir
Reaktionen: Mr.Highping
schau dir die devices von pcengines an: https://www.pcengines.ch/apu2.htm ... für 250 mbit sollten die vollkommen ausreichen.

für die zukunft würde ich aber eher sowas kaufen: https://de.aliexpress.com/item/1005003990581434.html ... 4x 2.5G ports sollten ausreichen. es gibt ähnliche mit 1G ports, evtl. kriegt man die etwas günstiger.

ich hab opnsense auf einem Qotom Q355G4 laufen, aber das ding ist schon etwa 4 jahre alt.
 
Na dann muss der TE in seinem HEIMnetzwerk auch erst mal nen PoC machen und mit dem eigenen Datenschutzbeauftragten abklären ob es zulässig ist den EIGENEN Internettraffic über die selbe physische Schnittstelle zu schicken. Vielleicht hat einer der Kunden in seiner Wohnung ja ein Problem damit...
Den Bug den du beschreibst tritt bei Cisco Catalyst 9500 auf, die kosten 10.000 EUR aufwärts. Mal ganz davon abgesehen das der Fehler nur indirekt mit VLANs ansich zu tun hat, hier gibts eher einen Bug im DHCP Relay.

Mal im Ernst, wir sind doch hier ganz klar im Heimnetzwerkforum. Warum muss man die Fragesteller immer mit sowas verunsichern nur weil das in DAX Konzernen und Behörden so gehandhabt wird.
Alle mal etwas auf dem Teppich bleiben.

Back to Topic:
Ich selbst hab als Firewall seit vier Jahren auch einen kleinen Mini PC von Qotom laufen, darauf aber Sophos SG Home statt OpnSense.
Die gibts fertig mit vier Ports, kleinem Intel Atom und damit passiver Kühlung und geringem Energieverbrauch. Genug Firewall für ein Heimnetzwerk.
 
  • Gefällt mir
Reaktionen: Bob.Dig, Nilson und Towatai
Masamune2 schrieb:
Den Bug den du beschreibst tritt bei Cisco Catalyst 9500 auf, die kosten 10.000 EUR aufwärts. Mal ganz davon abgesehen das der Fehler nur indirekt mit VLANs ansich zu tun hat, hier gibts eher einen Bug im DHCP Relay.
Zum Vergrößern anklicken....
Es geht nicht um die HW oder die Kosten, sondern um die Nutzung von VLANs. Daher habe ich Dir ein Beispiel genannt, warum eine VLAN-Trennung manchmal nicht reicht bzw. man sich vorher überlegen sollte, was damit treibt. Der Fehler muss nicht im VLAN selbst liegen, sondern kann auch bei den Geräten/Protokollen liegen, die damit angeschlossen sind - hatte ich aber auch schon geschrieben.

Masamune2 schrieb:
Mal im Ernst, wir sind doch hier ganz klar im Heimnetzwerkforum. Warum muss man die Fragesteller immer mit sowas verunsichern nur weil das in DAX Konzernen und Behörden so gehandhabt wird.
Alle mal etwas auf dem Teppich bleiben.
Zum Vergrößern anklicken....
Die grundlegenden Fragen sind die gleichen: Bestimmte Bereiche sollten per se getrennt werden - egal wo.
Nur weil in der Firma zentral gepatched wird, verzichtet privat auch keiner auf Updates, oder?

Masamune2 schrieb:
Back to Topic:
Ich selbst hab als Firewall seit vier Jahren auch einen kleinen Mini PC von Qotom laufen, darauf aber Sophos SG Home statt OpnSense.
Die gibts fertig mit vier Ports, kleinem Intel Atom und damit passiver Kühlung und geringem Energieverbrauch. Genug Firewall für ein Heimnetzwerk.
Zum Vergrößern anklicken....
Welche CPU hast Du bei Dir drin? Hast Du IPsec oder IPS aktiv und kannst was zur CPU-Auslastung sagen?

Die "besseren" Qotom finde ich recht teuer, aber sie bringen immerhin gleich genügend Ports mit.


Grüße,
Christian
 
Fehler in der Software kann es immer geben, dafür gibt es dann Patches. Deshalb auf Features wie VLANs zu verzichten finde ich schwierig, besonders halt wenn es hier nur um den Heimbereich geht. Den Bug hätte es ja genauso gut mit physischer Trennung geben können.

Nur weil in der Firma zentral gepatched wird, verzichtet privat auch keiner auf Updates, oder?
Zum Vergrößern anklicken....
Nein aber auf die zentrale Komponente. Ich habe zuhause keinen WSUS, genauso keine physische Netztrennung. Was in Unternehmen Sinn machen kann ist zuhause vielleicht komplett übertrieben.

Welche CPU hast Du bei Dir drin? Hast Du IPsec oder IPS aktiv und kannst was zur CPU-Auslastung sagen?
Zum Vergrößern anklicken....
Ich habe einen SSL VPN (OpenVPN) Tunnel und eine RED Verbindung. IPS ist an, allerdings auf die Regeln beschränkt für die ich auch Dienste nach außen veröffentlicht habe, das ist nicht viel.
Auslastung sieht so aus:
1657380632617.png

Verbaut ist da ein Intel J1900
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

W
OPNsense Firewall: Hardwareberatung
2
Antworten
34
Aufrufe
2.320
Rassnahr
Rassnahr
D
OpnSense virtualisiert für abgeschottetes Netzwerk
Antworten
18
Aufrufe
4.355
Raijin
Raijin
Bob.Dig
  • Artikel
Leserartikel pfSense & OPNsense (Firewall- und Routing-Appliance)
2
Antworten
26
Aufrufe
12.143
Bob.Dig
Bob.Dig
D
Hardware für pfSense oder OPNsense
2
Antworten
39
Aufrufe
8.278
scooter010
scooter010
P
Firewall: Mikrotik oder OPNsense?
Antworten
14
Aufrufe
8.929
Bob.Dig
Bob.Dig
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz