Zero_Official
Lieutenant
- Registriert
- Sep. 2012
- Beiträge
- 833
OPNsense-Server für Heimnetzwerk mit 10Gbit
- Ersteller eqqtro
- Erstellt am
@Zero_Official
Warum bist du dann nicht in der Lage die Fragen zu beantworten?
Warum bist du dann nicht in der Lage die Fragen zu beantworten?
- Registriert
- Feb. 2008
- Beiträge
- 1.920
Es kommt am Ende eben auch drauf an, was genau der TE braucht.
Ich werfe mal sowas in der Art in den Ring. Ich hab kürzlich erst n Optiplex 3050 mit nem i7 7700 getestet. Mit installiertem Proxmox im Idle (kein LXC aktiv, keine VM aktiv) und der onboard GBit NIC verbunden lag ich bei ca. 8 bis 9 Watt. Betriebssystem lag auf ner SATA-SSD.
Die Dinger könnten potenziell auch noch in naher Zukunft günstiger werden, da die Generation gerade so nicht (offiziell) von M$ für Windows 11 unterstützt wird.
L2+ Switch kann eventuell eine Option sein aber i.d.R. fragt man nach sowas ja, weil man nur bestimmte Ports in bestimmte Netze routen möchte. Dann brauchts eben schon sowas oder n L3 Switch.
Ich werfe mal sowas in der Art in den Ring. Ich hab kürzlich erst n Optiplex 3050 mit nem i7 7700 getestet. Mit installiertem Proxmox im Idle (kein LXC aktiv, keine VM aktiv) und der onboard GBit NIC verbunden lag ich bei ca. 8 bis 9 Watt. Betriebssystem lag auf ner SATA-SSD.
Die Dinger könnten potenziell auch noch in naher Zukunft günstiger werden, da die Generation gerade so nicht (offiziell) von M$ für Windows 11 unterstützt wird.
L2+ Switch kann eventuell eine Option sein aber i.d.R. fragt man nach sowas ja, weil man nur bestimmte Ports in bestimmte Netze routen möchte. Dann brauchts eben schon sowas oder n L3 Switch.
Hallo zusammen,
danke für die bisherigen Hinweise! Hier nochmal eine kurze Skizze, wie ich mir die VLAN-Struktur und das Setup vorstelle:
Ich möchte mein Heimnetz in mehrere VLANs segmentieren – für Server (Unraid, Proxmox, NAS), IoT/Smart Home inkl. Kameras, normale Clients und ein Gästenetz. Ziel ist eine sichere Isolation der Bereiche (bspw. IoT-Geräte nur ins Internet, aber nicht ins Server- oder Clients-VLAN). Über Firewall-Regeln möchte ich Zugriffe gezielt erlauben oder blockieren, z.B. Updates für IoT und Zugriff über WireGuard VPN für 1–2 mobile Nutzer. Außerdem DNS-Overrides, um interne Anwendungen über Nginx Proxy Manager per FQDN erreichbar zu machen.
Ich habe einen Zyxel XGS1930-28HP Switch, der sollte die VLAN-Aufteilung und interne 10Gbit-Verbindung zwischen Servern und Clients erfüllen. Die Firewall macht dann Routing, Sicherheit, VPN. Die VLANs führe ich über einen getaggten 10Gbit-Trunk-Port am OPNsense-Server zusammen.
Ich bin mir noch unsicher, welche Hardware für OPNsense in meinem Rack am besten passt. Ich habe jetzt nochmal viel über PCIe-Lanes und die Anzahl der 10Gbit NICs gelesen, aber bei meinem Szenario mit sehr überschaubarer Last und wenigen VPN-Nutzern frage ich mich, ob die geplante Hardware (ASRock N100DC-ITX Board, eine 10Gbit NIC, 16GB RAM) passt oder ob ich etwas anpassen sollte; ich möchte ungerne nächstes Jahr wieder alles austauschen. Die Anforderungen werden sich vsl. in den nächsten Jahren nicht wesentlich ändern und ja, mir geht es tatsächlich auch darum, einfach mal wieder zu basteln.
Da ich gerne eine möglichst leise und stromsparende Lösung für mein Serverrack möchte, würde ich mich nochmal über eine Einschätzung freuen, ob diese Hardware für mein beschriebenes Setup passen kann und ob noch etwas zu beachten ist.
Falls nicht, gerne konkrete Alternativvorschläge, ich bin zu wenig im Thema.
# Edit: Als Ergänzung noch:
danke für die bisherigen Hinweise! Hier nochmal eine kurze Skizze, wie ich mir die VLAN-Struktur und das Setup vorstelle:
Ich möchte mein Heimnetz in mehrere VLANs segmentieren – für Server (Unraid, Proxmox, NAS), IoT/Smart Home inkl. Kameras, normale Clients und ein Gästenetz. Ziel ist eine sichere Isolation der Bereiche (bspw. IoT-Geräte nur ins Internet, aber nicht ins Server- oder Clients-VLAN). Über Firewall-Regeln möchte ich Zugriffe gezielt erlauben oder blockieren, z.B. Updates für IoT und Zugriff über WireGuard VPN für 1–2 mobile Nutzer. Außerdem DNS-Overrides, um interne Anwendungen über Nginx Proxy Manager per FQDN erreichbar zu machen.
Ich habe einen Zyxel XGS1930-28HP Switch, der sollte die VLAN-Aufteilung und interne 10Gbit-Verbindung zwischen Servern und Clients erfüllen. Die Firewall macht dann Routing, Sicherheit, VPN. Die VLANs führe ich über einen getaggten 10Gbit-Trunk-Port am OPNsense-Server zusammen.
Ich bin mir noch unsicher, welche Hardware für OPNsense in meinem Rack am besten passt. Ich habe jetzt nochmal viel über PCIe-Lanes und die Anzahl der 10Gbit NICs gelesen, aber bei meinem Szenario mit sehr überschaubarer Last und wenigen VPN-Nutzern frage ich mich, ob die geplante Hardware (ASRock N100DC-ITX Board, eine 10Gbit NIC, 16GB RAM) passt oder ob ich etwas anpassen sollte; ich möchte ungerne nächstes Jahr wieder alles austauschen. Die Anforderungen werden sich vsl. in den nächsten Jahren nicht wesentlich ändern und ja, mir geht es tatsächlich auch darum, einfach mal wieder zu basteln.
Da ich gerne eine möglichst leise und stromsparende Lösung für mein Serverrack möchte, würde ich mich nochmal über eine Einschätzung freuen, ob diese Hardware für mein beschriebenes Setup passen kann und ob noch etwas zu beachten ist.
Falls nicht, gerne konkrete Alternativvorschläge, ich bin zu wenig im Thema.
# Edit: Als Ergänzung noch:
Mein Budget ist bis zu 1000 € (was ich aber wohl nicht brauche)Mac_Leod schrieb:
Zuletzt bearbeitet:
Renegade334
Lt. Commander
- Registriert
- Okt. 2016
- Beiträge
- 1.611
Hört sich erst einmal stimmig an.
Wenn der meiste Traffic innerhalb deiner VLANs fliest, muss die Firewall auch nicht viel arbeiten.
Erst wenn du z.B. von Client Netz auf Server Netz jeweils mit 10G zugreifst wird es eng.
Bei typischen 2,5G oder 5G Clients sollte die Performance von geteiltem Port und CPU locker ausreichen, vermutlich auch bei mehreren Clients gleichzeitig.
Wenn der meiste Traffic innerhalb deiner VLANs fliest, muss die Firewall auch nicht viel arbeiten.
Erst wenn du z.B. von Client Netz auf Server Netz jeweils mit 10G zugreifst wird es eng.
Bei typischen 2,5G oder 5G Clients sollte die Performance von geteiltem Port und CPU locker ausreichen, vermutlich auch bei mehreren Clients gleichzeitig.
