ComputerBase Menü
Aktuelles

Hardware für Firewall + Hardware für VM-Host

S

steppi

Commander
Registriert
Apr. 2012
Beiträge
2.158
Hallo Zusammen,

ich habe eine kleine Frage zu SOC bzw. Embedded-Systemen, da man bei Idealo oder Geizhals nicht so recht was suchen kann.

Ich möchte mein ganzen Kram etwas neu organisieren und dafür 2 MINI-PCs einbringen, am Liebsten würde ich die Platinen einzeln holen und in ein 1HE 19" Gehäuse packen.

Rechner 1 - Firewall für OpnSense/ IPFire
Eigentlich wäre da dieser hier inklusive WIFI-Modul schon ganz interessant:
https://eu.protectli.com/product/fw4b/, allerdings lande ich konfiguriert bei ~410€ für eine recht "alte"/ schwache CPU.

Schöner wäre hier eine Platine, die auch Coreboot unterstützt, mindestens 2 NICs oder eine NIC + Erweiterungsslot bietet. Optional auch hier mit WLAN-Modul/ Karte mit 2-4 Anschlüssen für externe Antennen. Hier könnte halt ein aktueller Celeron J oder ein Pentium Silver N6000 oder so zum Einsatz kommen, welcher schon völlig über dem J3060 liegt den Protectil da verbaut.
Anschluss 1 "Rot" - Internet Zone
Anschluss 2 "Grün" - Intern >> Verwendung von VLANS (Switch ist bereits VLANfähig)
Anschluss 3 "Blau" >> WLAN via zusätzlichen AP oder Wifi >> internes WLAN

Rechner 2 - VM Host für ESXi oder Promox
Hier sollen dann sowas wie PiHole, FHEM, Rapberrymatic, Linux Mint usw. laufen.
Hier würde ich dann auf einen N6005 setzen wollen mit mindestens 16GB RAM.

Kann man die Boards/ Prozessoren irgendwo einzeln kaufen?
Kennt Ihr gute Bezugsquellen?
Werden die aktuellen Generation von Intel von Coreboot supported. So richtig finde ich da keine Aussage.

P.S.:
Aktuell läuft alles auf nem QNAP-NAS virtuell, aber auch nur rudimentär.
Die Firewall möchte ich nicht mehr virtualisieren und auch nicht alles über eine Port mit tagged-Vlans machen. (vlt. im ersten Schritt, wenn es doch komplizierter wird die Hardware als "Bastellösung" zu kaufen).
Also wäre vlt. als Erstes ne Platine mit Pentium Silver N6005 interessant und mindest 16GB Ram, wobei theoretisch auch der N6000 reichen könnte für die paar VMs. (wenn Ihr noch Alternativen mit besserem Passmark, AES-NI und ner TDP von max. 10W habt, dann bin ich auch dafür offen)
 
steppi schrieb:
Die Firewall möchte ich nicht mehr virtualisieren und auch nicht alles über eine Port mit tagged-Vlans machen.
Zum Vergrößern anklicken....

Einfach so eine 08/15 4 Port 1GbE Karte auf Ebay nehmen und dann kannst du auch eine physikalische Trennung machen, wenn du keine Lust auf VLANs hast.
Im ESXi dann einen oder mehrere vSwitch's anlegen und mit Portgruppen aufteilen, das Ding ist dann auf einem Level getrennt wie wenn du es physikalisch trennst.

Würde mir das daher nochmal gut überlegen, wenn ich eh einen ESXi Host hätte kann man sich den Rest sparen.
Auch für Backups, Snapshots und Updates ein Traum im Gegensatz zu Bare Metal MiniPCs.

Ausfall Sicherheit könnte man dann eher mit einem zweiten ESXi Host + Replikation lösen, das dürfte immer noch deutlich günstiger sein als 400€ MiniPCs. :)
 
  • Gefällt mir
Reaktionen: steppi
Mir gings weniger um die physikalischen Trennung, als um separierte Hardware. Mal blöd gesprochen wird wahrscheinlich eher eine "Lücke" im VM-Host ausgenutzt, als eine auf der Firewall. Deshalb wäre mir für die FW eine dedizierte Hardware, am liebsten eben mit Coreboot "wichtig".

Aber klar du hast schon recht. Wirtschaftlich wäre mit Redundanz zwei Asus PN41 mit P.S. N6000 wahrscheinlich um Einiges sinnvoller.
 
steppi schrieb:
Hier sollen dann sowas wie PiHole, FHEM, Rapberrymatic, Linux Mint usw. laufen.
Hier würde ich dann auf einen N6005 setzen wollen mit mindestens 16GB RAM.
Zum Vergrößern anklicken....
Würde ich nicht machen. Diese Atoms sind nicht so der Burner bezüglich Rechenleistung. Sobald du da mehr machen willst, geht das in die Knie. Da würde ich lieber direkt in irgendeinen Mini-PC mit Laptop-CPU investieren (Intel NUC und Konsorten). Stromverbrauch ist quasi identisch im Idle, aber dank vollem Core-i (oder Ryzen) kommt da doch wesentlich mehr Leistung bei Bedarf raus.

steppi schrieb:
Anschluss 2 "Grün" - Intern >> Verwendung von VLANS (Switch ist bereits VLANfähig)
Anschluss 3 "Blau" >> WLAN via zusätzlichen AP oder Wifi >> internes WLAN
Zum Vergrößern anklicken....
Müssen die beiden unbedingt getrennt sein? Mit zwei Ports lassen sich wesentlich leichter kleine PCs finden. Die Appliances mit >2 Ports sind durch die Bank weg recht teuer für die Hardware. Ich habe den Shuttle XPC nano NC10U (der hat nur einen Port), aber der "Bruder" Shuttle XPC slim DS10U kommt mit zwei Ports. Ist wie das Zeug von Protectli für Dauerbetrieb ausgelegt und mit Intel NICs ausgestattet. Nur auf Coreboot müsstest du an der Stelle verzichten - dafür deutlich Geld sparen. Der Celeron kann AES-NI und insbesondere die Single-Core-Performance ist um Welten besser als der N6005. pfSense hat es ja nicht so mit Multicore-Support.
 
  • Gefällt mir
Reaktionen: steppi
Achja bezüglich Hardware für den ESXi Servern bin ich die letzten 10 Jahre immer super mit Intel Plattformen und vor allem Intel Netzwerkkarten (auch onboard) gefahren.
Die Treiber von anderen NICs (meist ja Realtek) und auch AMD Chipsätze können recht zickig sein.

Liegt einfach daran das Realtek und auch AMD im Server Segment nie eine große Rolle gespielt haben die letzen Jahre, daher laufen die Intel Sachen meist problemloser.
Trotzdem lohnt es sich vorher mal, wenn man sich für Hardware entschieden hat danach zu Googlen ob man jemanden findet der das schonmal genau so getestet hat.
Es gibt einfach Boards die wirst du mit ESXi nicht ans laufen bekommen bzw. deren Chips und Controller.
 
  • Gefällt mir
Reaktionen: steppi
steppi schrieb:
Mal blöd gesprochen wird wahrscheinlich eher eine "Lücke" im VM-Host ausgenutzt, als eine auf der Firewall.
Zum Vergrößern anklicken....

Naja wir reden bei ESXi auch über eine gehärtete Linux Appliance, warum sollte die jetzt so super heftiger anfällig sein als ein Linux auf einer separaten Hardware.

Und jetzt komm bitte nicht mit den Intel CPU Problemen wo es unter den skurrilsten Bedingungen möglich ist die Mem Pages auszulesen... dagegen hat ESXi sich übrigens schon länger abgesichert, da wird mittlerweile alles in eine Art Sandbox gepackt dass das nicht mehr möglich ist.

Notfalls wenn man auf Nummer super sicher gehen will dann HT noch deaktivieren falls überhaupt vorhanden bei deiner CPU Auswahl.
 
@ElecEng
Über Core-I hatte ich auch nachgedacht, aber mir fehlt gerade die Phantasie, was mal wirklich noch rechenintensiv bei mir kommen könnte, dass ich das je ausnutze. Deshalb schaue ich hier nach Preis und TDP, zumal Kollegen und Bekannte schon auf den 5000er Silver unterwegs sind und meist noch etwas unter der TDP liegen.

Die Auftrennung muss nicht unbedingt sein, hier würde und könnte ich mit VLANs arbeiten. Also zwei Ports "rot" und "grün" würde auch reichen.
Ergänzung ()

eRacoon schrieb:
Naja wir reden bei ESXi auch über eine gehärtete Linux Appliance, warum sollte die jetzt so super heftiger anfällig sein als ein Linux auf einer separaten Hardware.
...
Zum Vergrößern anklicken....
Hast du natürlich recht. Ist irgendwie so drin, dass da ne "rote Box" in den Netzwerkschrank gehört. ^^
Ursprünglich sollte einen PCEngines mit IPFire kommen, dann bin ich irgendwann bei Protectil gelandet und fand OpenSource-Bios extrem gut und jetzt kam halt dazu, dass es mich schon etwas stört, dass das Haupt-NAS (QNAP-4-Bay mit 4x3,5") ständig läuft und nicht "runterschaltet" weil da nen PiHole Docker und ne kleine VM (Linux) und sowas läuft. Ziel ist eigentlich das ganze effizienter zu machen.
 
Zuletzt bearbeitet:
Ich habe tatsächlich noch eine Firewall mit einer AMD APU im Einsatz, verrichtet bei sieben getrennten Subnetzen klaglos und gut ihren Dienst, gibt's auch mit 19"-Gehäuse für 2 APUs.

Wenn Du einen Atömer nehmen willst, solltest Du schon eher zu C3558 oder anderen Denvertons greifen. Allerdings liegst Du preislich dann schon recht hoch, wenn Du sie vernünftig einsetzen willst.
 
Twostone schrieb:
Ich habe tatsächlich noch eine Firewall mit einer AMD APU im Einsatz, verrichtet bei sieben getrennten Subnetzen klaglos und gut ihren Dienst, gibt's auch mit 19"-Gehäuse für 2 APUs.

Wenn Du einen Atömer nehmen willst, solltest Du schon eher zu C3558 oder anderen Denvertons greifen. Allerdings liegst Du preislich dann schon recht hoch, wenn Du sie vernünftig einsetzen willst.
Zum Vergrößern anklicken....
Wenn ich wüsste, dass ich bei IPFire bleibe hätte ich wahrscheinlich eine PCEngines gekauft.
 
pfsense und opnsense laufen auch gut darauf.
 
  • Gefällt mir
Reaktionen: steppi
ElecEng schrieb:
Würde ich nicht machen. Diese Atoms sind nicht so der Burner bezüglich Rechenleistung. Sobald du da mehr machen willst, geht das in die Knie. Da würde ich lieber direkt in irgendeinen Mini-PC mit Laptop-CPU investieren (Intel NUC und Konsorten). Stromverbrauch ist quasi identisch im Idle, aber dank vollem Core-i (oder Ryzen) kommt da doch wesentlich mehr Leistung bei Bedarf raus.
Zum Vergrößern anklicken....
Hast du da eine Empfehlung zwecks Core-I CPU oder Ryzen mit Intel-NIC?
TDP wäre mir natürlich trotzdem so niedrig wie möglich ganz lieb.
 
Wie hoch ist Dein Budget für dieses Projekt bzw. gar pro Rechner?
 
steppi schrieb:
Hast du da eine Empfehlung zwecks Core-I CPU oder Ryzen mit Intel-NIC?
Zum Vergrößern anklicken....
Leider nein. Bzw. den erwähnten Shuttle PC mit Celeron 4205U - aber für VMs ist ein Dualcore ohne HT natürlich auch nicht so das Wahre. Die haben aber auch durchaus Geräte mit größeren Prozessoren, aber die sind tendenziell eher etwas teurer. Ich selbst nutze Proxmox für Virtualisierung, kann deswegen auch gut mit Realtek NICs leben, wie z.B. im ASRock 4x4-V1000M. Den würde ich aber definitiv nur empfehlen, wenn ECC nötig/gewünscht ist, ansonsten ist der bezüglich Kühlung, Idle-Verbrauch und Festplattenkompatibilität nicht ganz optimal.
Am ehesten bei den Intel NUCs schauen, aber aufpassen, manche haben da auch inzwischen Realtek.
 
Ich habe eben mal geschaut, mein NAS hat ein Celeron J3455 da macht ein Ubuntu z.B. nur bedingt Spaß.
1635710679557.png


Die ganzen Celeron und Pentium Silver sind jetzt auch nicht extrem viel besser.

Vergleicht man mit der "kleinen" 4-Port Protecil, die Coreboot hat siehts aber immer noch gut aus:
1635710790851.png


Für die VM mal noch ein Vergleich mit aktuellen 15W TDP Core-I7 (hier sind dann die Unterschiede deutlich)
1635711539196.png




Edit:
Den 10710U finde ich eigentlich ganz gut:
1635712256047.png


15W TDP und geht runter bis 1,1GHz bzw. im Zweifel auf bis 4,7Ghz, auch wenn die IPC der 11xxx im Single-Score nochmal besser scheint. Nur der Preis allein für die CPU ist halt nicht mehr so attraktiv im ersten Moment. Jetzt gilt es eventuell eher Core I3 oder Core I5 zu finden, die sich mittig zwischen Pentium Silver und den drei Core I7 hier befinden.

Ich glaub den bestelle ich mal vor, dazu dann ne Erweiterungskarte mit weiteren NIC.
https://geizhals.de/intel-nuc-11-pr...bnuc11tnhi50002-a2461112.html?hloc=at&hloc=de

Die kommen aber scheinbar ohne RAM und ohne SSD?

EDIT:
Bestellt, gibt zwar kein Liefertermin aber ich hab Zeit. :-) Ob RAM und Speicher dabei ist mal schauen, ich denk fast nicht.
 
Zuletzt bearbeitet:
Muss es denn zwangsweise so klein sein?
Ansonsten würde ich mich nicht an der TDP so extrem aufhalten, der Verbrauchsunterschied im idle ist bei den ganzen Intel Plattformen so gering dass es sich kaum lohnt danach zu schauen.
Das ist das gleiche wie mit den T CPUs mit geringerer TDP, die haben auch fast keine Berechtigungen mehr seitdem man die TDP selbst setzen kann.

Mehr Power als beim NUC bekommst du halt schon für die Hälfte vom Geld, musst nur noch ein kleines Case dabei kaufen. RAM und SSD kommen ja auch beim NUC noch extra.

https://www.computerbase.de/preisve...cm8070104282718-a2283968.html?hloc=at&hloc=de

https://www.computerbase.de/preisve...90mb1a70-m0eay0-a2610945.html?hloc=at&hloc=de

Direkt auch mit Intel NIC und kannst im BIOS ja die TDP auf 35W begrenzen, dann boostet er Multicore eben nicht so weit.
Alternativ mit 11Gen auch für nur paar Euro mehr zu haben, musst nur beim Board schauen das 11Gen supportet ist.
 
@eRacoon
Wenn ich eherlich bin nicht unbedingt bzw. begrenzt mich mein 19" Schrank.
Das Ideal wäre ein 19" 1HE Blech, wo alles drin ist.

Über Eigenbau habe ich tatsächlich noch nicht nachgedacht, da es am Anfang nur eine APU als Firewall werden sollte. Danach ein VM-Host mit Pentium Silver und mittlerweile liegen wir eben bei den CORE I (AMD ist natürlich nicht ausgeschlossen)

Was die TDP angeht, hatte ich da nochmal einen schönen Vergleich gelesen wo es um die T-Prozessoren ging. Ist also angekommen, dass eine niedrige TDP nicht unbedingt viel aussagt.
Was mich trotzdem interessiert, was dann so ein Aufbau an IDLE-Leistung zieht. Das wäre halt ein Gerät was 24/7 läuft und ob dann 3W, 10W oder 25W anliegen wäre schon interessant auf die Jahre.


EDIT:
Hier im CB-TEST macht der i5-10400 (F?) schon 45W im Leerlauf (okay W10), was mich doch wieder ins grübeln bringt. Also irgendwo knapp unter 10W sollte das System idle schon bleiben im Dauerbetrieb.

https://www.computerbase.de/2020-05/intel-core-i5-10400f-test/3/


Ich sehe schon, dass da auch nicht Alles eindeutig ist. Im Hardwareluxx gibt es mehrere Threads auch zu Alltags-PCs <6W Idle, <30W und einen "Was verbaucht euer Setup im IDLE. Da schau ich gerade mal durch.
 
Zuletzt bearbeitet:
steppi schrieb:
Hier im CB-TEST macht der i5-10400 (F?) schon 45W im Leerlauf (okay W10), was mich doch wieder ins grübeln bringt.
Zum Vergrößern anklicken....
Mit 2080 Ti und an einem ATX-Netzteil. Mit einer picoPSU (oder vergleichbarem) und ohne diskrete Grafikkarte kommt man da auch in den Bereich um die 10W. Die Laptop-Prozessor-Systeme sind meist etwas sparsamer, weil die keinen zusätzlichen Chipsatz mehr benötigen. Ansonsten gibt es noch das ASRock A300/X300, das besitzt ebenfalls keinen Chipsatz, weil die AMD-APUs auch ohne laufen. Damit kommt man auch deutlich unter 10W Idle. Der A300/X300 hat aber natürlich wieder Realtek-NICs.

Wenn es wirklich um das letzte Quäntchen Stromverbrauch geht, ist eine Laptop-CPU die beste Option. Aber ob sich das dann überhaupt rechnet für die <5W muss man dann natürlich individuell durchrechnen.


Zu den Atoms vs. Celeron 4205U: Da bin ich jetzt etwas überrascht, ich hatte das deutlich abweichend in Erinnerung (Also dass der 4205U da wesentlich stärker ist). Aber es ist auch schon ein bisschen her, dass ich meine Firewall gekauft habe, vermutlich hatte ich dann irgendeinen anderen Grund, den 4205U zu bevorzugen. Was genau es war, weiß ich aber leider nicht mehr.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: steppi
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

TheHille
Downsizing Home-VM-Server
Antworten
17
Aufrufe
747
M-X
M-X
M
Grafikkarte für Sunshine Host
Antworten
5
Aufrufe
891
jlnprssnr
jlnprssnr
T
Netzwerk Setup, um Internetanschluss zu teilen
Antworten
16
Aufrufe
1.106
h00bi
h00bi
T
Server für VMs mit wenig Stromverbrauch (u.a. File, Plex, Firewall, Admin VMs, ...)
Antworten
12
Aufrufe
1.127
thixo
T
S
Firewall für "Self-made-Router" mit Linux, nftables-Firewall
Antworten
4
Aufrufe
1.069
SvenjaW
S

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz