ComputerBase Menü
Aktuelles

Hardware für pfSense oder OPNsense

Ich bin momentan an der gleichen Stelle Zugange und kann mich zwecks pfSense / OPNsense Hardware nicht so wirklich entscheiden. Alte Sophos XG 106, doch lieber ne IPU445, Netgate 4100 möchte ich nicht zahlen, Fujitsu S920 umbauen oder doch ne Ali Kiste :D Ich werde heute nicht schlafen....
 
https://www.amazon.de/dp/B0C8J2RT96/

Nimm so etwas... statte dir das Teil entsprechend aus und dann hättest du eine grundsolide Basis. Wobei es jetzt drauf ankommt, was du dahinter hast. Reden wir hier von einem Firmennetz oder privat. Dementsprechend könnte man das ganze skalieren etc.

Viele Wege führen halt nach Rom ;)
 
  • Gefällt mir
Reaktionen: Hammelkoppter
Domi83 schrieb:
privat.
Zum Vergrößern anklicken....
Habe nur bislang relativ unterschiedliches zur verlinkten Kiste gelesen, weshalb ich mir noch nicht so ganz schlüssig bin. Anforderungstechnisch gesehen soll das wohl etwas schwach auf der Brust sein, insofern man die Antworten aus meinem Thread sieht :D
 
OsiMosi schrieb:
Anforderungstechnisch gesehen soll das wohl etwas schwach auf der Brust sein
Zum Vergrößern anklicken....
Schwach auf der Brust? Kommt jetzt drauf an, was man alles damit vor hat und was man als "schwach" interpretiert.

Einfach eine OPNsense installieren, Zugangsdaten für den WAN Port hinterlegen, ein paar VLAN erstellen, in der Firewall ein paar Regeln erstellen, DHCP und DNS zur Verfügung stellen, fertig ist.

Bei diesen Anforderungen schläft mein N5105...

Ich habe zwei WAN Anschlüsse dran (im Failover) und in meinem LAN sind vier VLAN hinterlegt, die auch noch durch die Firewall segmentiert sind. Endgeräte sind ein paar vorhanden, bestehend aus Notebooks, PCs, IoT Geräte etc.

Bisher kann ich mich nicht beschweren.
 
  • Gefällt mir
Reaktionen: DFFVB und OsiMosi
Bei mir wäre es:

  • pfSense/OPNsense
  • Meistens nicht mehr als 5 Nutzer
  • Bandbreite des Anschlusses soll voll ausgereizt werden (Down:500 Mbit/s Up:100 Mbit/s) mit Luft nach oben für eine 1Gbit-Leitung
  • IPSec & OpenVPN gerne schnell ( >= 100Mbit, AES-NI)
  • IPS/IDS
  • VLAN
 
OK, IPS und IDS sind schon ordentlich Hungrig, was die Leistung angeht.

Das hat auch meiner UDM-Pro ordentlich den "Hals" gebrochen und kam nicht so gut rüber. Dann müsste man doch schauen, was man da nimmt. Thomas Krenn hat auch gute Hardware im Portfolio, aber diese kostet dann schon etwas mehr.

Da macht es eventuell Sinn, sich mal den "LES network 6L" anzuschauen. Dort dürfte dann ausreichend Potential vorhanden sein. Den gibt es mit einem Core i3 und auch einem Core i5, wenn man noch mehr Leistung haben möchte :)
 
  • Gefällt mir
Reaktionen: OsiMosi
Würde mir ansonsten auch in einem passenden Gehäuse selbst was zusammenbauen, frage ist da immer nur der Stromverbrauch....
 
Domi83 schrieb:
OK, IPS und IDS sind schon ordentlich Hungrig, was die Leistung angeht.
Zum Vergrößern anklicken....
Kommt drauf an wie man sein IPS/IDS konfiguriert. Wenn man es natürlich zwischen alle Netze hängt und jeglicher Traffic inspiziert wird dann ist klar. Wenn man jedoch vielleicht nur seine Nextcloud Instanz (oder was auch immer) absichert dann hält es sich in Grenzen.

Bin auch mit so einer Kiste unterwegs (mit OpnSense), wie von dir verlinkt. Hab auch etliche Dienste drauf laufen (7 VLANs mit entsprechendem Regelwerk, DHCP, DNS, AdguardHome, IPS, FreeRadius, Wireguard etc). Hatte dann irgendwann mal noch ne NTOP Instanz laufen und damit hatte ich dann Probleme. Keine Ahnung ob das dann zu viel Last war oder ob die NTOP Implementierung einfach schlecht war (CPU und RAM sahen auf den ersten Blick gut aus). Hab es seitdem nicht mehr probiert.

Das Wichtigste jedoch - das Ding läuft absolut stabil und zuverlässig.
 
Mir kam an der Stelle noch die Idee, mich mal nach den ganzen Low Power Homeserver Builds zu erkundigen. Da gibt es bei YT einiges und dann entsprechend selbst zu bauen. Denn preislich ist das mehr oder weniger alles ähnlich. Und da bekommt man fürs Geld einfach mehr. Ich lasse mich aber gerne eines besseren belehren.

Der Dell R230 ll fliegt mir auch immer wieder entgegen. Soll vom Stromverbrauch wohl um die 30 Watt liegen.

Ich habe so eben eine neue IPU445 (19-Zoll-Rack Version) von Ebay für knapp 200€ ersteigert. Damit wäre die Frage nach der Hardware wohl geklärt :)
 
Zuletzt bearbeitet:
Hammelkoppter schrieb:
Kommt drauf an wie man sein IPS/IDS konfiguriert.
Zum Vergrößern anklicken....
Ja, dass stimmt natürlich.

OsiMosi schrieb:
Mir kam an der Stelle noch die Idee, mich mal nach den ganzen Low Power Homeserver Builds zu erkundigen. Da gibt es bei YT einiges und dann entsprechend selbst zu bauen.
Zum Vergrößern anklicken....
Ja, da muss man dann selbst schauen, was man sich wünscht und was man haben möchte. Mir hat so ein Mini PC von Amazon von der Leistung her, ausgereicht. IPS und IDS habe ich bei mir privat nicht aktiviert, in der OPNsense.

Primär ging es mir aber auch darum, dass ich eine Firewall haben wollte, die per default alles blockt. In der UDM-Pro hätte ich dafür eine Regel erstellen müssen, da diese per default, ausgehend alles erlaubt.

Das fand ich dann nicht so schön. Und da ich beruflich mit Fortigate zutun habe, hatte ich dann irgendwann gelernt wie toll es ist, wenn erst einmal alles "dicht" ist und man sagt was auf sein soll. Und nicht umgekehrt :)
 
@Domi83 Mal praktisch gefragt, wenn im Default alles dicht ist, wie hast es dann aufgemacht? Per client? Per software? Per Port? Ich stell mir das mega aufwendig vor am Anfang...
 
Ich verstehe die Frager gerade nicht so ganz, versuche aber dennoch mal eine Info zu geben :)

Also per default ist das Webinterface zur Steuerung des ganzen, natürlich erreichbar, aber sonst ist alles gesperrt.

Die OPNsense oder auch die PFsense haben per default zwei Regeln drin, die man aber löschen kann (lass alles raus ins Internet via IPv4 und IPv6) und dann gibt es noch in den Optionen so eine "anti lock out" Regel, mit dieser wird verhindert, das man sich vom Webinterface aussperrt :)

Hilft dir das weiter?

Natürlich nur, wenn ich deine Frage korrekt verstanden habe.

Und "aufwendig" ist es am Ende schon, da hast du recht. Je nachdem, was alles gewünscht ist, wird es ein riesiges Regelwerk.

In dem VLAN für "Gäste", habe ich grob 15 Regeln drin, damit sie z.B. HTTP, HTTPs, SMTP, IMAP oder sonstige Dinge tun können. In dem VLAN für meine IoT Geräte sind weit weniger Regeln drin, NTP ist dort erlaubt, damit sie sich die Uhrzeit holen können. Aber das werde ich wohl auch noch mal anpassen und optimieren :D
 
  • Gefällt mir
Reaktionen: DFFVB
Okay und dein Haupt LAN per default auch alles zu? Für Göste und IOT gute Ideen, aber Firmware Updates?
 
Korrekt, wenn ich alle Regeln deaktivier, ist zu und nichts kommt mehr raus. Und so soll es ja auch bei einer Firewall sein :)

Wenn man aber schon mal DNS, HTTPS, HTTP, SMTP (25), Submission (587), IMAP und IMAPS auf macht, sind gefühlt 80% aller Abfragen schon erschlagen und wieder geöffnet.

Wobei ich das in allen Netzen angepasst habe. Mein PiHole ist mit einer eigenen IP Adresse in allen Netzen unterwegs. Mein PiHole selbst darf DNS Abfragen durchführen, sonst niemand. Alle anderen Geräte im Netz müssen DNS Abfragen über den PiHole durchführen, sonst gibt es keine Namensauflösung.

Von meinem Haupt-LAN komme ich in die anderen Netze (VLAN), aber die VLAN sind an sich isoliert und kommen nur da hin, was ich denen erlaubt habe.

Am schlimmsten war eigentlich das Regelwerk für die IP Adresse vom PC von jemandem aus der Familie, da dort Games drauf laufen, Discord etc., da habe ich oft überlegt, einfach "any" zu erlauben :)

Wenn man aber mit Alias arbeitet, wird das Regelwerk wieder etwas "überschaubarer", so wie für einen Amazon Echo, der im IoT Netz steht.
 
  • Gefällt mir
Reaktionen: DFFVB
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Gamienator
kleine Appliance für pfSense
Antworten
7
Aufrufe
1.991
DFFVB
DFFVB
D
günstige Appliance für pfSense?
2
Antworten
30
Aufrufe
14.477
rv112
R
DFFVB
Synology Q&A 2021 Unterstützung für pfsense / OPNsense
Antworten
1
Aufrufe
1.666
Synology_2
Synology_2
Homura
pfSense oder OPNsense?
Antworten
2
Aufrufe
2.752
Homura
Homura
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz