PCEngines APU Firewall

[steppi]

Hallo Zusammen,

ich möchte im neuen Haus, auf Grund der gestiegenen Geräteanzahl, besserer Internetanbindung und damit vlt. einer erweiterten Nutzung des vorhandenen NAS endlich wieder eine Firewall aufsetzen und mein Netz etwas restriktiver gestalten als es mit Standardhardware möglich ist.

Plan wäre jetzt eine APU4D2 + Wlan-Modul + Gehäuse zu kaufen und dann mit OpenSense, PFsense oder IP-Fire das Netz auszugestalten. Gibt es mittlerweile gute Alternativen dazu oder ist das immer noch eine sehr empfehlenswerte Kombination?

Reichen im Heimnetz und mit 100Mbit-Anschluss die 2GB-RAM des Board aus?
Als Modem würde ich akuell den alten Speedport Smart verwenden (hat einen Modus für den reinen Betrieb als DSL-Modem) und perspektivisch auf das Drytek Vigor 130 Upgraden.

Aktuell hätte ich ein gebrauchtes Bundle mit der genannter APU, 16GB mSata SSD und einem Wlan-Modul mit Atheros XB92 im Blick für ~180€.

 

[Lawnmower]

Ja das reicht dicke, hatte ich so auch ne Weile lang. Falls VPN ein Thema wird, ist die CPU aber schnell mal zu lahm, da kaufst dann lieber ein Mini PC mit 2 x LAN wo eine CPU mit AES-NI Support verbaut ist.
WLAN würde ich nicht in die Firewall stecken sondern mit einem (oder mehreren) dedizierten AP lösen der/die entsprechend für gute Abdeckung an Wand und Decke positioniert wird.

 

[steppi]

VPN wäre ein Thema für die APU ja. (aber nur mit 1-2 Clients)
Mit den LAN-Ports bin ich mir noch nicht sicher, da ich das Heimnetz in ein paar Zonen mehr einteilen möchte. (daher auch die APU4)

Wlan hätte ich gerne in der FW, um hier eigene Regeln aufs Interface zu konfigurieren. Vom Empfang dürfte es keine Probleme geben, der aktuelle Speedsport Smart läuft auf Sendeleistung "Niedrig" und reicht durchs gesamte Haus. Zumal ich die externen Antennen vom Modul durch die Wand vom Netzwerkschrank nach Außen führen würde. ( hängt unter der Decke im HWR)

 

[TheCadillacMan]

Die Hardware reicht locker.

Zu WLAN solltest du noch beachten:
Für Dual Band (2,4 und 5 GHz) brauchst du zwei Module. Die APU4-Boards haben aber nur einen PCIe-Slot für WLAN-Module, sodass du nur eins verbauen kannst.
Bei den BSD-basierten Distros (pfSense und OPNsense) ist aktuell noch kein 802.11ac-Support vorhanden, sodass die Module nur mit 802.11n laufen.

Falls VPN ein Thema wird, ist die CPU aber schnell mal zu lahm, da kaufst dann lieber ein Mini PC mit 2 x LAN wo eine CPU mit AES-NI Support verbaut ist.

Die CPU der APU-Boards hat AES-NI. Das würde ich mir keine Sorgen machen.

 

[SlaterTh90]

Ich hab einen Futro Thin Client mit fast der selben CPU und OPNsense im Einsatz, kommt mit meiner 165/35 Mbits DSL Leitung problemlos zurecht. Bei mir werden keine 2GB RAM belegt. WiFi ist allerdings wie schon erwähnt problematisch. Da kann man besser nen eigenständigen AP dazu kaufen.

 

[steppi]

Danke für die Rückmeldungen, mit dem WLAN werde ich mir dann tatsächlich nochmal überlegen. Wobei ich der Ansicht war, dass Dualband im Falle der WiFi-Karte mit erwähnt war.
Da muss ich nochmal genau schauen.

Mit noch einem AP wirds langsam eng im Schrank, auch thermisch.

 

[snaxilian]

Der AP soll auch in keinen Schrank sondern zentral bei den meisten Clients platziert und im besten Fall unter der Decke montiert werden.

Beim VPN kannst auch wireguard nehmen, dann ist die Performance bei CPU und AES-NI nicht mehr ganz so relevant. Zumindest opnsense hat das bereits integiert soweit ich weiß, pfsense afaik (noch) nicht.

 

[TheCadillacMan]

Wobei ich der Ansicht war, dass Dualband im Falle der WiFi-Karte mit erwähnt war.

Die Karte ist schon Dual Band aber eben nicht simultan. Sie kann nur mit entweder 2,4 oder 5 GHz betrieben werden aber nicht beides gleichzeitig.

 

[steppi]

Ah danke. Dann spar ich das WiFi-Modul, setze den Drytek als Modem und nehme erstmal den Speedport als AP.