• ComputerBase erhält eine Provision für Käufe über eBay-Links.

Günstige gebrauchte Firewall für OPNsense

Malaclypse17

Lt. Commander
Registriert
Nov. 2017
Beiträge
1.325
Hallo liebe CB-Community,

ich betreibe aktuell noch eine OPNsense virtualisiert über Proxmox mit einer durchgereichten Netzwerkkarte (4 Ports, drei davon genutzt), das funktioniert auch ohne Probleme, das unschöne daran ist natürlich, dass mein komplettes Netzwerk nun von dem Proxmox Host abhängt, sprich ist der mal down, geht gar nichts mehr.
Nun habe ich in der Vergangenheit schon öfters alte Cyberoam Firewalls umgerüstet auf OPNsense, das hat in der Regel problemlos geklappt und mehrere Modelle laufen schon seit Monaten problemlos.

Meine konkrete Frage wäre, gibt es eine gute Empfehlung für eine ältere Firewall welche sich auf OPNsense umrüsten lässt?
Ich hatte schon mit diversen SFF PCs von Lenovo, HP oder Dell geliebäugelt, allerdings wäre das nur als Firewall etwas Overkill für mich.
Die Firewall sollte mindestens 4 1 Gbit Ports haben (inkl. WAN), mit einer 250 Mbit Internetleitung klarkommen und am besten passiv gekühlt sein.
Gebrauchtpreis wäre idealerweise so im 100-150€ Bereich.

Schon mal danke für eure Anregungen :)
 
Dir ist bewusst, dass wenn du einen managebaren Switch hast dir ein einziges Interface reicht? Die zusätzlichen Netze werden dann per VLAN getagged zum Switch gebracht. Das geht auch mit WAN, ist ja einfach nur ein weiteres Netz ...
D.h. du kannst einen alten Intel NUC, Gigabyte Brix, Zotac zBox, usw. dafür benutzen.
Ergänzung ()

Sowas z.B. würde ich nehmen: https://www.ebay.de/itm/144624985766?hash=item21ac5226a6:g:t0oAAOSw8xRiQdsV&LH_BIN=1
Entweder eine SSD rein oder auf einen 8GB USB Stick installieren, reicht ja bei OpenSense.
 
  • Gefällt mir
Reaktionen: Malaclypse17
d2boxSteve schrieb:
Dir ist bewusst, dass wenn du einen managebaren Switch hast dir ein einziges Interface reicht?
Da würde jeder Network Security Engineer die Hände über dem Kopf zusammenschlagen ;)
Hast allgemein schon recht, allerdings möchte ich DMZ/WLAN auch phsysisch vom restlichen Netzwerk trennen, ist in meinem Fall zwar eigentlich nicht nötig, aber wenn schon denn schon.
 
  • Gefällt mir
Reaktionen: LuxSkywalker
Ich selbst hab einen 1HE FSC Server mit "stromspar-Prozessor" Xeon E-1230L (nur 28W) und benutze eine 2-Port 10G Karte. Auf einem Anschluß sind 2 Internetzugänge getaggt und die andere hat die internen Netze. DMZ liegt auf dem externen Interface mit.
Als Software benutze ich allerdings die kostenlose Home-Lizenz von Sophos, eine XG.
 
Malaclypse17 schrieb:
Da würde jeder Network Security Engineer die Hände über dem Kopf zusammenschlagen ;)
Warum sollte er (m/w/d)? Bei 1Gbit ist eher der Flaschenhals das Problem.
 
Bob.Dig schrieb:
Warum sollte er (m/w/d)? Bei 1Gbit ist eher der Flaschenhals das Problem.
Weil man interne und externe Netze nicht über den gleichen Port schickt. Bandbreite ist sicherlich auch ein Problem, aber ich würde eher Bandbreite opfern als die WAN-Anbindung per VLAN über einen "LAN"-Switch zu jagen.

Insofern würde ich mir einen beliebigen PC mit mind. 2 LAN-Schnittstellen besorgen und darauf die Firewall betreiben. Oder generell gebrauchte FW-HW nehmen...
 
  • Gefällt mir
Reaktionen: LuxSkywalker
Masamune2 schrieb:
Nein, warum?
Wenn er VLANs nicht "traut" hat er in seinem Job aber ein großes Problem.
Er muss VLANs nicht trauen und er tut gut daran, es nicht zu tun. Schau Dir mal den Cisco Bug CSCvt34738 an: Das Problem ist nicht das VLAN-Tagging an sich, sondern das Handling der Pakete in den L2/L3-Switches.

Ich diskutiere gerade in einem PoC mit einem Kunden, wie sich DMZ und LAN in einer (mandantenfähigen) Fabric sauber trennen lassen - ohne zwei Fabrics aufbauen zu müssen.
 
  • Gefällt mir
Reaktionen: Mr.Highping
schau dir die devices von pcengines an: https://www.pcengines.ch/apu2.htm ... für 250 mbit sollten die vollkommen ausreichen.

für die zukunft würde ich aber eher sowas kaufen: https://de.aliexpress.com/item/1005003990581434.html ... 4x 2.5G ports sollten ausreichen. es gibt ähnliche mit 1G ports, evtl. kriegt man die etwas günstiger.

ich hab opnsense auf einem Qotom Q355G4 laufen, aber das ding ist schon etwa 4 jahre alt.
 
Na dann muss der TE in seinem HEIMnetzwerk auch erst mal nen PoC machen und mit dem eigenen Datenschutzbeauftragten abklären ob es zulässig ist den EIGENEN Internettraffic über die selbe physische Schnittstelle zu schicken. Vielleicht hat einer der Kunden in seiner Wohnung ja ein Problem damit...
Den Bug den du beschreibst tritt bei Cisco Catalyst 9500 auf, die kosten 10.000 EUR aufwärts. Mal ganz davon abgesehen das der Fehler nur indirekt mit VLANs ansich zu tun hat, hier gibts eher einen Bug im DHCP Relay.

Mal im Ernst, wir sind doch hier ganz klar im Heimnetzwerkforum. Warum muss man die Fragesteller immer mit sowas verunsichern nur weil das in DAX Konzernen und Behörden so gehandhabt wird.
Alle mal etwas auf dem Teppich bleiben.

Back to Topic:
Ich selbst hab als Firewall seit vier Jahren auch einen kleinen Mini PC von Qotom laufen, darauf aber Sophos SG Home statt OpnSense.
Die gibts fertig mit vier Ports, kleinem Intel Atom und damit passiver Kühlung und geringem Energieverbrauch. Genug Firewall für ein Heimnetzwerk.
 
  • Gefällt mir
Reaktionen: Bob.Dig, Nilson und Towatai
Masamune2 schrieb:
Den Bug den du beschreibst tritt bei Cisco Catalyst 9500 auf, die kosten 10.000 EUR aufwärts. Mal ganz davon abgesehen das der Fehler nur indirekt mit VLANs ansich zu tun hat, hier gibts eher einen Bug im DHCP Relay.
Es geht nicht um die HW oder die Kosten, sondern um die Nutzung von VLANs. Daher habe ich Dir ein Beispiel genannt, warum eine VLAN-Trennung manchmal nicht reicht bzw. man sich vorher überlegen sollte, was damit treibt. Der Fehler muss nicht im VLAN selbst liegen, sondern kann auch bei den Geräten/Protokollen liegen, die damit angeschlossen sind - hatte ich aber auch schon geschrieben.

Masamune2 schrieb:
Mal im Ernst, wir sind doch hier ganz klar im Heimnetzwerkforum. Warum muss man die Fragesteller immer mit sowas verunsichern nur weil das in DAX Konzernen und Behörden so gehandhabt wird.
Alle mal etwas auf dem Teppich bleiben.
Die grundlegenden Fragen sind die gleichen: Bestimmte Bereiche sollten per se getrennt werden - egal wo.
Nur weil in der Firma zentral gepatched wird, verzichtet privat auch keiner auf Updates, oder?

Masamune2 schrieb:
Back to Topic:
Ich selbst hab als Firewall seit vier Jahren auch einen kleinen Mini PC von Qotom laufen, darauf aber Sophos SG Home statt OpnSense.
Die gibts fertig mit vier Ports, kleinem Intel Atom und damit passiver Kühlung und geringem Energieverbrauch. Genug Firewall für ein Heimnetzwerk.
Welche CPU hast Du bei Dir drin? Hast Du IPsec oder IPS aktiv und kannst was zur CPU-Auslastung sagen?

Die "besseren" Qotom finde ich recht teuer, aber sie bringen immerhin gleich genügend Ports mit.


Grüße,
Christian
 
Fehler in der Software kann es immer geben, dafür gibt es dann Patches. Deshalb auf Features wie VLANs zu verzichten finde ich schwierig, besonders halt wenn es hier nur um den Heimbereich geht. Den Bug hätte es ja genauso gut mit physischer Trennung geben können.

Nur weil in der Firma zentral gepatched wird, verzichtet privat auch keiner auf Updates, oder?
Nein aber auf die zentrale Komponente. Ich habe zuhause keinen WSUS, genauso keine physische Netztrennung. Was in Unternehmen Sinn machen kann ist zuhause vielleicht komplett übertrieben.

Welche CPU hast Du bei Dir drin? Hast Du IPsec oder IPS aktiv und kannst was zur CPU-Auslastung sagen?
Ich habe einen SSL VPN (OpenVPN) Tunnel und eine RED Verbindung. IPS ist an, allerdings auf die Regeln beschränkt für die ich auch Dienste nach außen veröffentlicht habe, das ist nicht viel.
Auslastung sieht so aus:
1657380632617.png

Verbaut ist da ein Intel J1900
 
Zurück
Oben