OPNsense Firewall: Hardwareberatung

[Weynford]

Tag zusammen,

ich bekomme in ein paar Monaten endlich Glasfaser und möchte mich bei der Gelegenheit aus AVMs zugenageltem System befreien. Dafür ist neben ein paar UniFi Mesh APs auch eine OPNsense-Firewall eingeplant. Zu letzterer hätte ich gerne euren Input.

Budget​

Idealerweise unter 500 Euro, gerne weniger. Da auch noch ein paar UniFi APs hinzu kommen, zählt jeder Euro für den Segen der besseren Hälfte. ;-)

Anforderungen​

• Idealerweise rackmountable, 1HE, max 35cm tief.
• Gute Energieeffizienz. Unter 10W Gesamtverbrauch bei Leerlauf / geringer Last, unter 40W bei Spitzenlast wären toll.
• Intel NIC mit 2 Ports für WAN (zum ONT) und LAN. 1 Gbit genügt eigentlich schon.
• In der Regel unter 5 Nutzer simultan, selten bis zu 15 (z.B. LAN-Party)
• Internetanschluss: Vorerst 250 Mbit up, 100 Mbit down.
• VPN (OpenVPN / WireGuard)
• Idealerweise stark genug für IDS/IPS (Suricata)
• Mehrere VLANs
• Kleinkram, den bisher der Proxmox-Homeserver übernommen hat, wie Netzwerkfilter-/blocker, Reverse Proxy, DNS
• OPNsense sollte virtualisiert auf Proxmox laufen, so kann ich Snapshots auf dem NAS vorhalten und bei Problemen innerhalb von Minuten zurückspielen
• UniFi Controller für mehrere UniFi 6 Mesh APs

​

Nice to have​

• I/O und Ethernet-Ports in der Front des Gehäuses, für leichteren Zugang am Netzwerkschrank
• Möglichkeit der Fernwartung, z.B. via IPMI
• LTE-Failover nachrüstbar
• DECT, wobei die alte Fritte auch als reine Basisstation im Betrieb bleiben könnte

​

Vorläufige Konfiguration​

• Mainboard: ASUS Prime N100I-D D4 (100 Euro)
  Mit sparsamen Intel N100 SoC, 4 Threads bis 3.4 GHz. Kein IPMI und da nur ein PCIe 3x1 Slot verfügbar ist, beschränkt sich der Erweiterungsspielraum auf USB.
• RAM: 8GB beliebiger DDR4-3200 SO-DIMM (20 Euro)
  Dürfte nicht sonderlich performance-relevant sein.
• Speicher: 256GB Patriot P300 (20 Euro)
  Kleiner lohnt einfach nicht, bei den Preisen.
• NIC: Intel I340-T2 (~30 Euro)
  Zwei Ports für WAN/LAN. Zwar "nur" einfaches Gbit, aber hey. Vielleicht lieber direkt 4-Port-Modell für LTE-Modem.
• PCIe-Riser: Gen3 1x zu 4x/16x für Netzwerkkarte (~10 Euro)
• Gehäuse: Inter-Tech 1U-K-125L, 1HE (55 Euro)
  Nur 29cm tief, ohne viel Schnickschnack, 3 vorinstallierte Lüfter, rear I/O.
• Netzteil: 100W Fortron FSP100-50FAB Flex-ATX (60 Euro)

Macht in Summe etwa 300 Euro.

Wie ist eure Einschätzung dazu? Dürfte für meine Anforderungen ausreichend sein?

Gibts fertige OPNsense-fähige 19" Geräte (außerhalb Chinas) in der Preisklasse?

Allgemeine Vorschläge für kompatible LTE/5G-Modems?

Dann noch die Frage: Wo sucht ihr nach Server- oder Netzwerkkomponenten? Geizhals deckt hier offenbar den Markt nicht ordentlich ab. Ob 19"-Gehäuse Front I/O haben, lässt sich zum Beispiel bestenfalls an den Produktfotos ausmachen. Server-Netzteile unter 250 Watt findet man praktisch nicht. Also googeln und alle Hersteller, sowie Händler einzeln abklappern?

Mir ist übrigens bekannt, dass chinesische Buchstabensalat-Händler den Markt mit kleinen, günstigen Firewalls fluten, aber ich hab da so meine Bedenken bezüglich Sicherheit (z.B. BIOS), Qualität und Garantieabwicklung, also möchte ich die lieber meiden.

 

[till69]

Wo sucht ihr nach Server- oder Netzwerkkomponenten?

https://www.ipu-system.de/

 

[Bob.Dig]

möchte mich bei der Gelegenheit aus AVMs zugenageltem System befreien.

🤨

 

[DLMttH]

Hört sich für einen 250/100-Tarif nach einem ziemlich sinnlosen und teuren Vorhaben an. Eine gebrauchte Fritz!Box 7520 routet dir auch dein Gigabit samt Unterstützung sämtlicher Provider, kostet gebraucht unter 40 Euro, wenn man ein wenig die Augen offen hält und verbraucht unter 6 Watt.

 

[Helge01]

@DLMttH Du hast aber schon seine Anforderungen durchgelesen?

• VPN (OpenVPN / WireGuard)
• Idealerweise stark genug für IDS/IPS (Suricata)
• Mehrere VLANs
• Kleinkram, den bisher der Proxmox-Homeserver übernommen hat, wie Netzwerkfilter-/blocker, Reverse Proxy, DNS (Resolver?)

 

[Weynford]

Ich will weg von der FritzBox und bekomme FritzBox-Produkte vorgeschlagen. Klasse! :-D

Danke, dass ihr euch beteiligt, Jungs, aber ich habe oben aufgeführt warum die FritzBox ersetzt werden soll. Das sind tolle Router, keine Frage , aber sie können nicht, was ich mir wünsche. Davon abgesehen, was sind denn so eure Hobbies? Kauft ihr nicht auch mal "sinnlose" Sachen, die ihr eigentlich nicht braucht? Sich damit auseinander zu setzen, neues zu lernen, usw, ist doch der halbe Spaß.

@till69 Danke für den Link. Kannte ich noch nicht. Der N100-Quader kostet dort doppelt so viel wie beim Chinesen, aber dafür gibts dann sicher ordentliche Firmware und, denke ich mal, guten Support. Die günstigeren 19"er wirken leider recht veraltet und sind wesentlich langsamer als meine Konfiguration. Der IPU651 wäre vielleicht was. Morgen mal genauer drüber schauen!

 

[mrhanky01]

Ich hatte mir vor zwei Wochen:
https://www.amazon.de/dp/B08D6KP3F8?psc=1&ref=ppx_yo2ov_dt_b_product_details

gekauft.

Damit ein wenig rumgespielt und kann dir sagen mit 8GB Ram wird es eng wenn du beispielweise "Sensei" laufen lässt. Ich hatte damals mir dieses Video angeschaut und war ganz angetan:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

von OPNSense.

Ich habe OPNSense Baremetal darauf laufen lassen, hatte für Proxmox keine sonstige Verwendung gesehen.

 

[nutrix]

[*]OPNsense sollte virtualisiert auf Proxmox laufen, so kann ich Snapshots auf dem NAS vorhalten und bei Problemen innerhalb von Minuten zurückspielen

Würde ich so nicht betreiben, weil Du das Netzwerk immer nur über ein Interface briged. Eine solche Firewall sollte immer separat und dediziert verwendet werden.

Wie ist eure Einschätzung dazu? Dürfte für meine Anforderungen ausreichend sein?

Trotz Deiner Angaben wissen wir das nicht, da wir nicht extakt Dein Netzwerk kennen.

Mir ist übrigens bekannt, dass chinesische Buchstabensalat-Händler den Markt mit kleinen, günstigen Firewalls fluten, aber ich hab da so meine Bedenken bezüglich Sicherheit (z.B. BIOS), Qualität und Garantieabwicklung, also möchte ich die lieber meiden.

Dann kauf Dir einen namhaften Hersteller. Die Preise sind eben dafür deutlich höher.

Ergänzung (8. Februar 2024)

Davon abgesehen, was sind denn so eure Hobbies? Kauft ihr nicht auch mal "sinnlose" Sachen, die ihr eigentlich nicht braucht? Sich damit auseinander zu setzen, neues zu lernen, usw, ist doch der halbe Spaß.

Na ja, wenn man das dauernd beruflich macht, ist das halb so spannend. Für zu Hause würde ich mir das, ohne große Notwendigkeit, eher sparen. Oder mußt Du so viel NATen und Routen und sonstwas? Bei einem wirklich größeren Netzwerk wie in Unternehmen ist so eine ausführlich konfigurierbare HW-FW durchaus sinnvoll, für privat sehe ich den Nutzen marginal, außer Du machst viel Hosting mit einigen Services nach außen. Für ein bißchen DNS, Mailing und 2-3 Routen zu einigen VMs ist es eher vollkommen überdimensioniert.

 

[F31v3l]

https://www.ipu-system.de/

Gerade die Kisten sehen sehr verdächtig nach Hunsn, Topton und Co aus.

 

[Weynford]

@nutrix Ja, es ist sicherlich überdimensioniert. Ich brauche vieles nicht notwendigerweise, was ich aufgelistet habe. Ich komme nicht aus der IT-Welt, habe also auch nicht beruflich täglich damit zu tun, sodass mich das nerven könnte. Ich möchte einfach Neues ausprobieren, mehr Möglichkeiten haben, als die Fritzbox bietet, dem Proxmoxserver Netzwerkaufgaben entziehen, und sowas. Ich baue auch meine eigenen IoT-Sensoren auf nRF5-Basis, inkl. Platinenlayout, obwohl ich mir die fertig von HomeMatic, Aqara und Co kaufen könnte. Jedem Tierchen sein Pläsierchen.

Meine 7580 ist EoL, die muss eh bald weg. Ich kann mir nun einen neuen Plaste-Router holen und alles belassen, wie es ist, oder ein wenig mehr Geld in die Hand nehmen und die Dinge umsetzen, die mich interessieren.

Ich hoffe, ich habe mich nun ausreichend für meine Wünsche gerechtfertigt.

Aber danke dir. Ich werd mir das mit der Virtualisierung noch mal überlegen. Die Firewall baremetal zu betreiben, scheint schon sinnvoll.

Achso, ich vergas: Auf dem Homeserver laufen einige von außen erreichbare Dienste. Darunter Home-Assistant, Bitwarden, Gameserver für die Kids, Dokumentenverwaltung, ... und mit mehr Bandbreite durch den neuen Anschluss könnte da noch mehr dazu kommen. Ansonsten sind eben einige TVs, Streamingsticks, Smartphones, Tablets ein paar PCs und Notebooks, Intercom und IP-Kameras im Netz. Zwei kommerzielle IoT-Gateways und ein Haufen anderer WLAN-fähiger Geräte, wie Schaltaktoren, Internetradios, Dimmer, smarte Lautsprecher, Lampen, Drucker, Saugroboter, Solar-Inverter,... Für gewöhnlich wird das Netzwerk von fünf Familienmitgliedern benutzt, u.a. im Home-Office. Besucher bekommen natürlich den Gastzugang. Etwa alle zwei Monate finden noch klassische, kleine LAN-Partys (bis zu 10) bei uns statt. Sind das ausreichende Informationen für eine grobe Einschätzung, ob die Hardware ausreichend ist?

@mrhanky01 Danke für den Input. Ich könnte dann auch gleich auf 16GB aufstocken - an den 15 Euro solls nicht scheitern. Der i5-8260U ist ja grob in der gleichen Leistungsklasse wie der N100. Wie ist denn dein Eindruck von der Performance her?

 

[mrhanky01]

Die CPU Performance war bei dem i5 kein Problem. Nur am RAM mit Sensei hing ich bei 8-9GB herum deshalb bloß 16GB+nehmen. Ich habe das Ding nach 3 Tagen rumspielerei a 10-12h pro Tag wieder eingeschickt. Werde nun eine Nummer größer kaufen. Mit N305 und 32GB RAM. Dafür baue ich aber derzeit noch ein paar sinnvolle Projekte damit sich der ganze FW Spaß auch lohnt.
Man muss dazu sagen ich habe den Telekomrouter in Modemmodus betrieben und die OPNsense halt auch als Einwahlrouter per PPPoE.
Damit hatte ich die volle Kontrolle war recht witzig.

 

[DLMttH]

Meine 7580 ist EoL, die muss eh bald weg

Ist das Fakt oder "EoL" die Begründung dafür, dass das Ding weg muss? Als Router funktioniert sie ja weiterhin ohne Probleme.

Der i5-8260u ist auch EOL

 

[Weynford]

@DLMttH Das ist Fakt, die 7580 sollte laut AVM bereits seit 2021 nicht mehr mit Updates versorgt werden. Sie hat aber glücklicherweise doch lange Zeit noch welche bekommen, wie auch das kritische Sicherheitsupdate vom Oktober. Man kann sich aber nicht drauf verlassen, dass das auch in Zukunft so bleibt.

 

[DLMttH]

Sicherheits- und Featureupdates sind hier strikt zu unterscheiden. Ich habe hier derzeit eine 7582 am Netz, bekommt schon länger als die 7580 keine Updates außer Sicherheitsupdates mehr, performt am Netz aber besser als eine 7590 AX, für die jemand gestern noch 200€ hingeblättert hätte. Auf den Status des Lebenszyklus würde ich bei Fritz!Boxen rein gar nichts geben, da keinerlei Sinn dahintersteckt.

 

[Comadevil]

@DLMttH Der Mann will eine OPNSense haben, fertig aus. Da brauchst du nicht noch eine Diskussion über Sinn und Unsinn oder EOL einer Fritzbox zu führen, wenn der TE nochmals bekräftigt hat, eine OPNSense haben zu wollen.
Wenn er selber Mist damit bauen sollte oder sinnlos Geld verpulvert, sein Problem. Genauso ist es sein Spaß, wenn alles klappt.
Fehlt nur noch deine Standardempfehlung dass er sich eine 7520 gebraucht bei Ebay oder Kleinanzeigen holen soll.

 

[norKoeri]

300 €

Warum keinen gebrauchtes Lenovo ThinkCentre M720q Tiny? Bekommst Du vom Refurbisher schon ab 170 € und gebraucht von privat (Kleinanzeigen.de oder eBay.de) nochmal billiger. Musst nur den zweiten LAN-Port nachrüsten … das Schöne: Wenn Du das Projekt doch irgendwann aufgibst, hast Du einen (offiziellen) Rechner für Windows 11; so ist das Investment vielleicht nicht ganz sinnlos. Wenn Dir das mit offiziellen Support für Windows 11 egal ist, sparst Du nochmal rund 100 € und nimmst was Älteres.

Patriot P300

Ich weiß nicht … Wenn Du was vom Refurbisher nimmst, ist ja schon was dabei. Aber wenn Du NVMe ausstatten möchtest mein Tipp: Auch hier was Gebrauchtes nehmen … also Glücksspiel mitmachen und vielleicht ≈ Samsung 970 Evo (ohne Plus) als OEM-Variante bekommen (schlechtere Firmware-Versorgung und kein Microsoft eDrive; das nur wenn Du Windows 11 installieren wolltest). Dell, HP und Lenovo verbauen ja keinen Mist – und aus solchen Kisten stammen die Speicher normal. Die Total-Bytes-Written (TBW) wirst Du auch mit Gebrauchtware in einem Heimserver kaum erreichen, auch nicht die Mean-Time-Before-Failure (MTBF).

Angebot zwar aktuell abgelaufen, kam aber jede Woche wieder Nachschub. Bieten auch ab und zu 10er-Packs … Dann kann man schnell verschiedene Systeme ausprobieren. Wenn es dringend ist, würde ich eine PM981 (≈ Samsung 970 Evo) oder PM981a (≈ Samsung 970 Evo Plus) irgendwo kaufen. Hast Du nicht noch irgendwo eine alte SATA-SSD? Einen Unterschied in der Geschwindigkeit wirst Du wohl seltenst merken.

DECT, wobei die alte Fritte auch als reine Basisstation im Betrieb bleiben könnte

Genauso bitte. Wobei ich bei Telefonie eine FRITZ!Box empfehle, die auch noch Feature-Updates erhält, weil dann auch Kompatibilitäts-Fixes für die Telefonie sicher kommen, also tada, die erwähnte FRITZ!Box 7520 über Kleinanzeigen.de; öfters mal Reload im Web-Browser drücken. Ansonsten Gigaset GO-Box 100, keine 15 € bei Stichwort „gigaset go“ als eBay-Auktion.

in ein paar Monaten endlich Glasfaser

Wie mrhanky01 schon ansprach, bis dahin ein externes DSL-Modem … also Digitalisierungsbox Basic.

 

[Weynford]

@DLMttH Es ist löblich, dass AVM die eigenen Produkte so lange unterstützt - da kann sich mancher Konzern 'ne Scheibe von abschneiden - und mit ein Grund, warum ich ihnen seit der "FRITZ!Box Fon WLAN", also seit knapp zwei Dekaden, treu geblieben bin. Ich kann nur hoffen, dass AVM künftig auch mit möglichen neuen Eigentümern auf diesem Kurs bleibt.

Aber jetzt ist mal Zeit für was Neues. Bitte versteh das.

@norKoeri Oh, ja. Ich kenne diese Mini-PCs, die oft refurbished verkauft werden, aber mir war nicht klar, dass man da noch eine Netzwerkkarte nachrüsten könnte. Entspräche zwar nicht meinem (grundlosen) Wunsch eines 19"-Formfaktors, aber kann man ja mal im Auge behalten. Im Zweifel betreibt man darauf noch eine zusätzliche Proxmox-Node.

Windows-Support interessiert mich nicht sonderlich - das läuft hier nur noch auf einem dedizierten Gaming-PC. Wichtiger ist, dass die Hardware flott genug und trotzdem möglichst sparsam ist. Ich schaue daher primär auf embedded / mobile CPUs, aber vielleicht ist mein Fokus darauf auch falsch.

Wenn die Patriot P300 eine Wundertüte ist, nehme ich auch gerne etwas anderes. NVMe muss nicht sein. Und ja, zwei ungenutzte MX500 SATAs (250 und 500GB) mit guten SMART-Werten habe ich auch noch rumliegen, die ich hier verbauen könnte.

Bezüglich DECT: Klingt gut. Die FritzBox schickt mir aktuell auch das Kamerabild der Sprechanlage auf die Mobilteile (FritzFon), wenn jemand an der Tür klingelt. Ich bin nicht sicher, ob das mit einer anderen Basisstation noch funktionieren würde.

Danke dir.

 

[norKoeri]

flott genug und trotzdem möglichst sparsam

In den Angeboten bei MyDealz wird auch das angeschaut. Daher mein Tipp mit jenen Mini-PCs. Großer Vorteil bei diesen „alten“ Kisten ist auch, dass die in Linux wirklich hervorragend unterstützt werden, selbst schon in Long-Term-Varianten. Man muss also nicht auch noch wegen irgendeinem Fliegenschiss im Linux-Kernel rumfummeln. Und BIOS-Updates gibt es auch schön lange, auf jeden Fall lieg die Vermutung nahe, dass die besser getestet sind. Aber das mit dem extra Netzwerk kann leider nicht jeder Mini-PC. Dell Optiplex Micro nicht. HP müsste ich schauen.

eines 19"-Formfaktors

Habe es nicht gemessen, aber wirklich hoch sind die nicht. Würde die auf eine Einlegeplatte im Schrank legen. Fertig. Der Dauer-Lüfter ist halt blöd, aber im Schrank sollte das egal sein.

zwei ungenutzte MX500

Na, dann hast Du doch das schon geklärt.

Ich bin nicht sicher, ob das mit einer anderen Basisstation noch funktionieren würde.

Das ginge nicht, sowohl die FRITZ!Fons – müsstest auf Mobilteile von Gigaset wechseln – als auch das Kamera-Bild. Aber die 7580 ist wegen ihrem WLAN beliebt. Also 7580 verkaufen und 7520 holen, wären mein Tipp.

 

[M-X]

https://www.ipu-system.de/

Kann ich nur empfehlen läuft mehrfach mit OPNsense problemlos. Natürlich sind das umgelabelte China Kisten also kannst du es auch direkt bei Ali bestellen, musst aber dann Zoll etc selber regeln und Garantie und Gewährleistung wird schwierig.

Ansonsten würde ich auch davon abraten das auf Proxmox zu schmeißen. Ist ein ziemliches anti-pattern auch wenn es viele tun.

 

[Da4force]

Überlege momentan auch die Lösung mit einem M720q zu nehmen. Musst nur schauen wenn du eine extra Netzwerkkarte einbaust, geht keine 2,5" SSD mehr rein. Man muss also auf eine NVMe ausweichen.

Bei den HP elitedesk/prodesk gibt es die Möglichkeit einen flex IO Netzwerk Port nachzurüsten. Diese ist dann aber eigentlich über USB angebunden.