OPNsense Firewall: Hardwareberatung

[Der Trost]

Ich habe vor 1,5 Jahren diese Box mit dem 5105 gekauft, dazu 8gb Ram, eine 128gb Samsung 950NVME hatte ich noch. Proxmox läuft als Virtualisierungshost, dazu 2x Pihole, 1x Opensense und ein Unifi Container. Nach ca 40 Tagen Laufzeit hatte der Unifi Container mit 512mb bis 1gb Ram immer ca 1gb Swap. Weil ich die SSD nicht tot schreiben wollte, habe ich den RAM mit 2x 8gb geupgradet. Jetzt hat der Container 2gb RAM und "swapt" nicht mehr. Debian 12 für die Piholes haben jeweils 1gb Ram. Mit 512mb startet der low ram Modus und das System läuft viel träger, Debian 11 startete noch mit 265mb Ram. Opensense hat 8gb zugeteilt bekommen, wie in der Doku empfohlen.

 

[nutrix]

Nachdem RAM ja nicht mehr so viel kostet, würde hier heute für jeden Server, der VMs hostet, min. 32GB, besser 64GB RAM vorsehen. RAMs können VMs nie genug bekommen, mit dem Swapping hattest Du ja schon erwähnt. Aber wie bereits vorher gesagt, ich würde zu keinem Zeitpunkt eine FW wie OpenSense als VM betreiben.

Ergänzung (9. Februar 2024)

Ich habe vor 1,5 Jahren diese Box mit dem 5105 gekauft

Mit welcher CPU bitte genau? Leistungsmäßig kommst Du damit gut hin?

 

[Drago_r]

Ich nutze seit über 1 Jahr diese Box und die läuft absolut reibungslos. Ist jetzt keine 19 Zoll aber evtl. auf einem Fachboden befestigt denke mal 1,5 HE preislich im Rahmen

 

[Weynford]

Ja, gut. Ich verstehe den Reiz dieser ausgemusterten Mini-PCs als günstige Homeserver, da sie sofort einsatzbereit sind. Wenn ich nun den Umbau zur Firewall bedenke, mit RAM-Upgrade, PCIe-Adapter, NIC, (im Zweifel selbstgedrucktem) Gehäusedeckel und 19" Fachboden, dann landet man wieder in Sphären, in denen ein kompletter Eigenbau auch kaum aufwändiger oder teurer ist. Aber danke, ich habs jetzt auf dem Schirm und werde auf Angebote achten.

@norKoeri Okay. Die 7580 bleibt dann erstmal als DECT-Basis erhalten. Eventuell später gegen 7520 oder andere Fritzbox mit längerem Supportrahmen austauschen. 👍

@Der Trost Danke für die Info. Du hast auf deiner Kiste aber vermutlich keine ressourcenintensive Dinge wie OpenVPN, Suricata oder Zenarmor betrieben?

 

[-=Azrael=-]

Kannst ja über sowas wie einen Ryzen 5600 auf einem Gigabyte Mainboard MC12-LE0 Re1.0 AMD B550 nachdenken.
Allerdings wird das Board/CPU wohl deine Anforderungen im Idle Power Draw nicht erfüllen.
Dafür hast du IPMI, 2x Gigabit NIC, 1x16er PCIe4, 1x4er PCIe4, 1x M.2 1er PCIe3 + 6xSATA.

Damit hast du Leistung satt für alles, selbst wenn du mal auf 10G oder 25G willst oder in deinen VMs irgendwas mit einer GPU machen möchtest.

Ich hab das Board mit einem 3900x, 1x M.2, 1x 4er 1G NIC, 1x LSI HBA, 4x SSD und 5 HDD(16&18TB), Verbrauch liegt bei 100W.

Messung zum Verbrauch und weitere Infos findest du hier: Gigabyte Mainboard MC12-LE0 AM4, IPMI, Dual Intel GB Lan ECC fähig

 

[Comadevil]

@Der Trost Danke für die Info. Du hast auf deiner Kiste aber vermutlich keine ressourcenintensive Dinge wie OpenVPN, Suricata oder Zenarmor betrieben?

Das sind alles mehr oder weniger China Boxen, die du ja ausgeschlossen hast. Diese Chinaboxen gibt es auch als N100. Im großen und ganzen sind das meist umgelabelte Boxen von https://cwwk.net/
Die werden auf www.servethehome.com und deren YouTube Kanal häufig getestet
Und viele Erfahrungen gibt es dort auch im Forum unter https://forums.servethehome.com/index.php?forums/networking.20/ nachzulesen. Auch bei den ganzen europäischen Händlern wirst du eher das Problem mit dem BIOS haben, weil das eben auch dieselben Boxen aus China sind
Wie gesagt wenn Chinaboxen ein NoGo sind, dann wird dir nur Eigenbau übrig bleiben

 

[Der Trost]

Mit welcher CPU bitte genau? Leistungsmäßig kommst Du damit gut hin?

Es handelt sich um einen Intel(R) Celeron(R) N5105 @ 2.00GHz (4 cores, 4 threads)

Danke für die Info. Du hast auf deiner Kiste aber vermutlich keine ressourcenintensive Dinge wie OpenVPN, Suricata oder Zenarmor betrieben?

Suricata und Zenarmor nutze ich nicht. Maximaler Durchsatz über OpnVPN waren bisher etwas über 300mbit. Eine schnellere Leitung hat keiner in meinem Bekanntenkreis. Ich bin der einzige mit 1gbit up / down. Mit der Performance bin ich sehr zu frieden.

Edit: Der Stromverbrauch liegt bei ca 10 Watt.

Ja ich weiß Proxmox 7.4 ist veraltet, dass wird dieses Wochenende geändert.

 

[Weynford]

@-=Azrael=- Danke. Nutze einen 5700G im Homeserver (reiner VM Host, kein NAS). Durchschnittsverbrauch an der Dose liegt bei etwa 35W im Alltag, IIRC. Das wäre überdimensioniert als reine Firewall denke ich. Obwohl die Specs des Gigabyte-Boards toll sind, insbesondere unter Berücksichtigung des Preises. Wäre vielleicht in Kombination mit einem Athlon 3000G eine Überlegung wert, falls der auf B550 läuft. Müsste mich dann mal nach einem 1HE-Gehäuse mit max 35cm Tiefe umsehen, wo das µATX-Board rein passt und mal durchrechnen.

@Comadevil Ja, richtig. Ich wollte lediglich einen Vergleich ziehen zwischen dem von ihm eingesetzten N5105 und dem N100 aus meiner vorläufigen Konfiguration. Ich hatte inzwischen aber Zeit etwas mehr in den diversen Foren zu stöbern, die auch ihr hier u.a. verlinkt habt, und bin der Ansicht, dass eine CPU vergleichbar mit dem N100 für meine Zwecke, nicht nur heute, sondern auf absehbare Zeit, ausreichend ist.

Für den N100 spricht vor allem die hohe Single Core Performance aufgrund der modernen Architektur und des relativ hohen Takts, sowie die hohe Energieeffizienz. Nachteilig, dass er noch relativ neu ist, sodass man ggf selbst noch Microcode Updates nachinstallieren muss, etc.

@Der Trost Danke für das Update!

 

[-=Azrael=-]

@Weynford
Wenn das nur als Firewall laufen soll, ist ggf. das Gigabyte MJ11-EC1 interessant.
Gigabyte MJ11-EC1 EPYC 3151

 

[h00bi]

Würde ich so nicht betreiben, weil Du das Netzwerk immer nur über ein Interface briged. Eine solche Firewall sollte immer separat und dediziert verwendet werden.

Man könnte auch eine zusätzliche Dual Port NIC einbauen und diese per passthrough an die Firewall-VM durchreichen.
Die Verbindung ins Heimnetz läuft dann erst über einen Switch und dann erst wieder über die dritte Netzwerkschnittstelle in den Proxmox Host.

Sicher auch nicht best practice aber nah dran.

 

[Jeffus]

Verstehe leider nicht wieso hier so oft diese APU Board empfohlen werden. Die Teile sind im Preis exorbitant überzogen dafür das teils die Hardware besser ist in jedem refurbished 0815 Thinkcenter.

 

[Weynford]

@-=Azrael=- 70 Euro für das Board?! Okay, Gebrauchtware, aber das schaut auf den ersten Blick echt attraktiv aus. Vergleichbare Epyc Embedded habe ich sonst nur für 600+ Euro gesehen.

Bei der Gelegenheit möchte ich noch mal eine Frage aus dem Eingangspost wiederholen: Wo sucht ihr nach solcher Hardware? Bzw. Server- und Netzwerkkomponenten im Allgemeinen? Vergleichsportale wie Geizhals erscheinen mir da, wie gesagt, nicht sonderlich hilfreich.

@h00bi Das war mein Plan, genau. WAN/LAN wird über die NIC-Karte an OPNsense durchgereicht. Proxmox selbst, sowie ggf. UniFi Controller und Reverse Proxy als eigenständige Gäste via onboard NIC an den Switch.

So hätte ich den Proxy noch ein wenig isoliert und könnte mit Proxmox vollständige Backups automatisieren und bei Bedarf schnell zurückrollen.

Oder übersehe ich da gravierende Nachteile?

 

[nutrix]

Man könnte auch eine zusätzliche Dual Port NIC einbauen und diese per passthrough an die Firewall-VM durchreichen.

Kann man so machen, ist aber eben ein passthrough, der immer mehr Leistung kostet als direkt.

 

[mrhanky01]

@Weynford
Hier ein interessanter Kanal passend zu diesem Hardwaresizing Thread:
https://www.youtube.com/@ServeTheHomeVideo

Habe ich gestern entdeckt, er prüft diverse Hardware mit Benchmarks, ich denke das könnte dir gefallen.

 

[Rassnahr]

Ich habe hier noch offizielle Opnsense Hardware (DEC695) herumstehen (Ich bin zu einer DEC750 gewechselt).
https://shop.opnsense.com/product/dec695-opnsense-desktop-security-appliance/

Bei interesse könnte ich es wieder bei Ebay einstellen.