günstige Appliance für pfSense?

[DubZ]

moin zusammen,

da bald mein Gbit Anschluss der Deutschen Glasfaser geschaltet wird, möchte ich in meinem Heimnetzwerk von der Fritzbox weg und eine Router/Firewall Appliance mit pfSense nutzen / alternative eventuell eine ubiquiti ER-4.

Ich stelle mir die Frage: gibt es da was fertiges für <= 250€? Wer hat hier Erfahrung im LowBudget Bereich?

 

[yxman]

Unter 250Eur Gbit fähig wird schwer... sofern du auf IPS/IDS verzichten kannst, könnt es mitm APU Board gehen... https://teklager.se/en/knowledge-base/apu2-1-gigabit-throughput-pfsense/

Kostenpunkt: 120-150Eur fürs APU Board + ~20Eur Case/NT.

Besser wäre: https://www.ipu-system.de/ gibts auch als Chinesenfake

 

[nebulein]

Momentan nicht verfügbar, aber wir haben den hier schon einige male jetzt genutzt um eine pfsense zu installieren und der funktioniert tadellos, hat zuletzt 195 € gekostet:

https://www.amazon.de/gp/product/B07X92KDXP/ref=ppx_yo_dt_b_asin_title_o09_s00?ie=UTF8&psc=1

 

[Fard Dwalling]

Ansonsten wäre eine ZOTAC ZBox noch was. Ggfs gebraucht suchen.

 

[snaxilian]

Als Hinweis: Bei den meisten der günstigeren Nachbauten oder manchen ZBoxen sind die NICs von Realtek. Zumindest vor wenigen Jahren gab es damit Stabilitätsprobleme sobald man diese längere Zeit auslastete.
Keine Ahnung wie da der aktuelle Stand der Unterstützung war, müsstest selbst recherchieren ob die Probleme noch bestehen.
Ansonsten kommt es drauf an, welche Features du nutzen willst. Nur Routing/Firewall? Auch VPN? Wenn ja welche Protokolle und wie viele Clients/Verbindungen? IDS/IPS ein Thema? Reverse Proxy? Cache/Forward Proxy?
Neben pfSense auch mal einen Blick auf OPNsense werfen schadet nicht.

 

[Fard Dwalling]

War bis zuletzt immer noch so. Abhilfe schafft hier ein andere Realtek Treiber. Damit gibt's keinen Ausfälle mehr. Ist aber etwas gefummel. Sonst drauf achten das es Intel NICs sind.

 

[nosti]

Du kannst auch schauen, ob du z.B. eine Sophos SG gebraucht bekommst. Diese können zumeist mit pfSense geflashed werden. Selbst die alten Revisionen sind kein Problem. Ansonsten die angesprochenen APU Boards oder direkt einen Appliance von Netgate kaufen.

Eine APU4D4 in Rot hätte ich sogar noch unbenutzt rumliegen....

Grüße

 

[Raijin]

Protectli bietet ganz coole Hardware für pfSense. Die Geräte gibt es unter verschiedenen Namen und teilweise auch zu deutlich günstigeren Preisen, insbesondere wenn man das Risiko eingehen mag, bei den Chinesen zu kaufen wo die Dinger sowieso herkommen. Bei banggood und Co ist es dann natürlich eine Frage der Gewährleistung, Support, etc. - Zoll nicht vergessen.

Wie meine Vorred.. schreiber bereits sag... schrieben kommt es darauf an was du der Hardware abverlangst. Für übliches Routing, Standard-Firewall und 08/15 NAT reicht eine FW4B von protectli (Celeron J3160) vermutlich aus. Sobald du da aber weitere Dienste aktivierst und insbesondere CPU-lastige Dinge wie VPN, IDS/IPS aktivierst, knickt die CPU ein und dann benötigst du tendenziell eher etwas in Richtung i3/5/7 wie zB bei der FW6, die logischerweise ein größeres Loch in den Geldbeutel reißt.


Hier ein Link zur quasi-FW4B bei banggood aus dem EU-Lager: XSK NUC Celeron J3160 4GB/128GB


Ich habe von den Kisten zur Zeit zwei daheim. Eine setze ich gerade als Proxmox-Host auf, um dort diverse Dienste laufen zu lassen (im ersten Versuch pihole, Unifi controller, Home Assistant) . Die zweite Box will ich künftig mit pfSense betreiben, ob nativ oder ebenfalls über Proxmox weiß ich noch nicht. Allerdings habe ich auch nur VDSL175 und somit ist Gigabit für mich kein Thema und ich habe noch etwas "Luft" für weitere Dienste.
Bezahlt habe ich für beide in einem Sale knapp 180 und habe den RAM auf 8 GB (30€) aufgerüstet und bei dem einen noch die 128 GB mSATA SSD gegen eine 256er aus meinem Fundus getauscht. Aktuell liegt das 4GB/128GB Modell mit Lieferung aus CZ knappe 250€.
Leider kann ich noch keine Aussagen zur Performance treffen, weil ich aktuell noch mit dem Nicht-pfSense-Proxmox-Host zugange bin. Mit der zweiten Kiste wo ich dann pfSense einsetzen werde beschäftige ich mich vermutlich in ~2 Wochen, makuckn..

 

[DubZ]

Hallo zusammen,
danke für eure Unterstützung.

Ja, IPS/IDS auf Gbit Niveau. D.h. es wird schon etwas an Performance benötigt was auch einer der Gründe ist, wieso ich hier auf eure Erfahrungswerte hoffe. Denn der typische Celeron ist nicht performant und daher weiß ich nicht, ob das ausreicht.

Soweit ich weiß, schafft die Ubiquiti ER-4 Gbit. Und ist halt für um die 170€ zu haben. Aber eine "vollwertige" pfSense Appliance wäre mir lieber, auch wenn ich mich in pfSense erst reinarbeiten muss.

Funktionen, die ich gerne nutzen möchte (unabhängig davon, dass diese auch von Anfang an zum Einsatz kommen):
Router/ing, Firewall, VLAN, VPN, NAT, eventuell reverse proxy (wobei ich aktuell einen haproxy in einer VM bereits am Laufen habe und der seinen Job auch vernünftig erledigt).

Prinzipiell gibt es auch die Möglichkeit, meinen HTPC/Server der in meiner Signatur steht, zu nutzen. Hier müsste ich aber noch eine zusätzliche Netzwerkkarte kaufen. Aber das wäre halt ziemlich viel Arbeit... Haupt OS ist Windows 10 mit Hyper-V für ein paar VMs und würde da gerne Windows 10 laufen lassen... was die Sache vermutlich wieder unnötig schwer macht in Bezug auf Netzwerkkonfiguration, Routing mit virtuellem Switch etc. Daher eher eine separate Appliance.

Wie sind denn die Erfahrungen mit Standard Hardware wie diese aus meiner Signatur in Bezug zu PCIe Netzwerkkarten, fertiges pfSense Image etc. und einfacher und schneller Installation? Habe da halt viel mit Treiberproblemen etc. gelesen und ich möchte eigentlich nicht Tage verbringen, bis pfSense überhaupt bootet und die Netzwerkkarten erkennt.

Danke euch allen

 

[yxman]

Gibt 2 Punkte zu beachten in dem Szenario:

1. Hohe Singlecore Leistung
2. Intel NICs

 

[Raijin]

Soweit ich weiß, schafft die Ubiquiti ER-4 Gbit.

Mit IPS/IDS? Woher hast du die Info? Ich kann nichts dergleichen finden, habe allerdings auch nur kurz gegoggelt.

 

[DubZ]

@Raijin bin mir nicht mehr ganz sicher. Ist schon ein gutes halbes Jahr her. Hab ich irgendwo aus Foren geschnappt, die entsprechend mit den throughput, pps und CPU Werten der Edgerouter aus der Tabelle argumentiert hatten: https://www.ui.com/edgemax/comparison/

 

[Raijin]

Irgendetwas in irgendeinem Forum aufgeschnappt zu haben ist nun wirklich keine belastbare Quelle. Der ER4 hat 4x1 GHz. So sehr ich auch die EdgeRouter mag, ich hab zu Hause mehrere und nutze sie auch beruflich, aber solange ich keinen handfesten Test dazu gesehen habe, bezweifle ich ehrlich gesagt, dass der ER4 IPS/IDS mit 1 Gbit/s schafft. Gerne lasse ich mich aber eines besseren belehren.

Ich habe zwar einen ER4 im Büro, aber der ist zur Zeit fest in einem Projekt gebunden, da kann ich das leider nicht selbst testen.

 

[snaxilian]

Aber eine "vollwertige" pfSense Appliance wäre mir lieber, auch wenn ich mich in pfSense erst reinarbeiten muss.

Dann kauf dir ne fertige Appliance von Netgate oder schaue welche davon deine Anforderungen erwüllen würde und dann kannst dich an deren Hardware orientieren für einen Selbstbau.
Aber erneut die Frage: Wenn du sowieso Frischling bist und dich einarbeiten müsstest: Warum pfsense und nicht opnsense? Oder meinetwegen Sophos wenn man mit den künstlichen Limitierungen leben kann und will oder irgendeine andere kommerzielle Lösung?

die entsprechend mit den throughput, pps und CPU Werten der Edgerouter aus der Tabelle argumentiert hatten

Hast du dir die Tabelle mal selbst angesehen? Der Durchsatz und die Angaben PPS beziehen sich ausschließlich auf das Thema Routing. Daraus irgendetwas in Richtung IDS/IPS ableiten zu wollen grenzt schon an Kartenlegen.
Ist dir eigentlich bewusst, dass im Datasheet zu den ER Modellen nirgends IDS/IPS auftaucht? Die Geräte haben zwar DPI an Bord und du kannst basierend auf den Erkenntnissen (manuell) Firewallregeln anlegen aber das war's dann auch schon. Nix mit IDS oder IPS.

 

[DubZ]

@Raijin eventuell habe ich es falsch im Kopf oder verwechsel es durch ein größeres EdgeRouter Modell. Ist halt schon ziemlich lange her. Aber das was ich in Erinnerung habe waren entsprechende Beiträge mit Erklärungen, Screenshots und co. die schon plausibel waren (rein vom Lesen, ohne natürlich selbst getestet zu haben). Ich gucke später noch mal ob ich da was zu finde. Muss aber natürlich nichts heißen, da hast du schon recht und daher hab ich es hier ja auch angesprochen

Aber erneut die Frage: Wenn du sowieso Frischling bist und dich einarbeiten müsstest: Warum pfsense und nicht opnsense? Oder meinetwegen Sophos wenn man mit den künstlichen Limitierungen leben kann und will oder irgendeine andere kommerzielle Lösung?

nun, sagen wir mal, ich bin offen für alles. Ich habe mir mal eine VM für pfSense installiert gehabt und da mal 2h rum gespielt und mir gefiel einfach die Möglichkeit, mit eigener Hardware diesen Funktionsumfang zu haben. Mit openSense hab ich noch gar nichts gemacht. Ich war einfach von der Unifi Dream Machine Pro so enttäuscht, dass die "einfachsten" Dinge als Funktion nicht zur Verfügung stehen, selbst wenn man in die JSON Konfig rein geht. Ich wollte bei einem Kollegen Dual WAN einrichten, allerdings sollte ein bestimmtes VLAN über WAN 1 gehen und der rest über WAN 2 ins Internet. Nur bei einem Ausfall sollten alle VLANs über das vorhandene WAN gehen... ging nicht (Stand November 2020)

Dementsprechend bin ich etwas angehaucht gewesen von semi-profi Produkten, vor allem in meiner Budgetklasse. Aber gerne bin ich für allmögliche Vorschläge offen. Auch ein Grund, wieso ich die EdgeRouter mit einbezogen hatte. Hab mit denen noch nicht gearbeitet aber mal diverse Youtube Videos durchgeforstet und die machen, gerade fürs Geld, ja keinen schlechten Eindruck.

 

[Raijin]

OPNSense ist ein Fork von pfSense, der sich primär in der GUI unterscheidet. Deswegen ist OPNSense für wenig erfahrene Nutzer tendenziell besser, weil die GUI etwas leichter zu verstehen ist. Ganz banal zB eine Suchzeile für Einstellungen. Da gibt man einfach "NAT" ein und bekommst sofort einen Link zu den NAT-Einstellungen vorgeschlagen, ohne sich quer durch das Menü klicken zu müssen.

pfSense hat jedoch eine etwas breitere Nutzerbasis und auch einige Plugins, die OPNSense nicht hat. Andersherum gilt das in Teilen allerdings auch. Ich persönlich bevorzuge pfSense, weil es dafür ein pihole-ähnliches Plugin gibt (pfBlockerNG), das es für OPNSense derzeit nicht gibt, zumindest noch nicht. Ich hoffe ja, dass mal jemand auf die Idee kommt, das zu portieren, weil man sich dadurch pihole und Co komplett sparen kann.

 

[yxman]

Pihole ist so 1998. Adguard Home wäre ein adäquater Nachfolger, OPNsense hat Sensei, viel mächtiger ist als alles was PFsense so zu bieten hat, abgesehen davon hat OPNsense schon ewig Wireguard was ja bis Stand heute bei pfsense ein Trauerspiel ist.

Aber egal ob PFsense oder OPNsense beides ne valide Option im Gegensatz zu Ubnt Routing Kram wie USG oder UDM (Pro).

 

[DubZ]

Habe mal ein bisschen über opensense gelesen und werde diese auf jeden Fall mal antesten.
Zudem habe ich gelesen, dass man u.a. auf Checkpoint Geräten pfsense und somit vermutlich auch opensense aufspielen kann. bspw. die t-120 gibts bei ebay für 130€

da stellt sich mir die Frage ob sowas eine gute Alternative ist? Passt halt gut ins Budget

 

[snaxilian]

Das muss echt extrem schwer für dich sein, Dinge bei ihrem korrekten Namen zu nennen, oder?

Der reine Name ist irrelevant als Vergleich ohne Angabe des Inhalts denn von irgendwelchen ggf. enthaltenen Optimierungen von Checkpoints OS Gaia wirst du ja nix haben wenn du etwas anderes darauf installieren willst.

Du müsstest also herausfinden aus was die Checkpoint T-120 bzw. Modell 4200 unter der Haube besteht, also welche CPU und wie viel RAM.
Im nächsten Schritt müsstest du dann abklären, ob die verbaute Hardware für deine Anforderungen ausreichend ist.
Abschließend kannst du dann gucken was vergleichbare Hardware gebraucht kostet und weißt dann ob der aufgerufene Preis überzogen ist oder nicht.

Ich helfe dir mal bei diesem ersten Beispiel, für weitere Systeme musst selbst $Suchmaschine bedienen:
Eine Checkpoint T-120/4200 hat einen Intel Atom D525 Dual-Core @1,80GHz sowie 4 GB Ram verbaut.

 

[DubZ]

@snaxilian ohne jetzt in zu lange Diskussionen zu gehen.. ich denke, hier kommt es auf Erfahrungswerte an wenn der Hersteller oder irgendwelche Leute ihre Erfahrungen nicht ganz detailliert in einer Tabelle nieder schreiben dir mir bekannt ist.

Was hilft mir nun das Wissen über die Hardware der Checkpoint? Kann ich als unwissender von pfSense/Opensense nun darauf schließen, ob die Leistung eines Intel Atoms reicht?

Natürlich könnte ich mich jetzt in das Thema einlesen und ich werde das auch machen und mache dies stetig. Ich hatte nur die Hoffnung, dass Leute mit Erfahrung diese auf einer schnellen Art und Weise teilen können, sonst bräuchten wir kein Forum mehr bzw. nur noch für neue Erforschungen für Dinge, die noch nicht herausgefunden worden sind. Denn sonst stehen diese mit Sicherheit irgendwo niedergeschrieben.

Wie auch immer, ich probiere es nochmal für einen Erfahrungsaustausch:
Nachdem ich mich jetzt noch mal ein paar Stunden eingelesen habe, würde gibt es folgende Anforderungen und den derzeitigen Plan:

Internetanbindung:
Anbieter: Deutsche Glasfaser
Down: 1000mbit; Up: 500mbit
DSLite... ich versuche aber sobald die Leitung geschaltet wird noch Dual Stack rauszuholen mit wenig Erfolgschancen

Firewallanforderungen:

• Opensense
• IDS/IPS auf WAN
• Sensei auf LAN
• VPN
• VLAN
• ggf. NAT

Meine geplante Hardware:
CPU: Intel Pentium G6405
MB: weiß noch nicht.. vermutlich uATX oder ITX Sockel 1200 (update: ASRock H470M-HVS)
RAM: 2x 4GB
Festplatte: 1x SSD 256GB
Netzwerkkarte: Intel 82765 Dual NIC (bspw. 10Gtek® Gigabit PCIE Netzwerkkarte E1G42ET )
Gehäuse: unschlüssig (ggf. Inter-Tech Case S-301?)
Netzteil: unschlüssig (welche Netzteile passen in ein SFF Gehäuseformat? neue Baustelle für mich... SFX?)

Die Router Appliance soll dann im Keller sein, wo ein einziges Netzwerkkabel nach oben in meine Wohnung gehen wird. Dort möchte ich dann noch einen L3 Gbit Switch hinstellen, der auch VLAN fähig ist.

Ich habe gelesen, dass Sensei viel RAM nur wegen der Datenbank benötigt. Diese habe ich vor (scheint wohl möglich zu sein?!), auf meinen anderen Server (siehe Signatur) auszulagern. Somit sollte ich auch nicht mehr so viel RAM benötigen.

Was meint ihr? Könnte das klappen? für Gehäuse und Netzeil Vorschläge oder auch für alle anderen Themen bin ich offen

Danke euch!