ComputerBase Menü
Aktuelles

MiniPC für pfsense 1GB/s Inet Anschluss

C

Cooly

Cadet 4th Year
Registriert
Nov. 2003
Beiträge
103
Hallo Zusammen,

ich suche nach einen kleinen leisen MiniPC für pfSense. Leise muss er sein, weil er in der Umgebung von Menschen positioniert werden muss. Des Weiteren muss er ein 1GB/s Inet Anschluss mit einem Site-to-Site VPN gut ab können. Ich habe schon mal geschaut und ich habe folgenden PC gefunden: Minisforum x35g. Verbaut ist ein i3 1005G1 mit 8GB. Was meint ihr dazu?

Viele Grüße

 
Darf man bitte mehr zu den Hintergründen erfahren? An sich gehört die pfSense direkt an den Anschluß des Providers, und nicht in irgend ein Büro. Warum kaufst Du nicht direkt dort gleich ein kleines passendes Gerät?

https://www.pfsense.org/products/
 
  • Gefällt mir
Reaktionen: zonediver und Asghan
Ich habe aktuell ein RPi 4 mit OpenWRT im Einsatz.
1 Gigabit lastet er aus und OpenVPN Side-2-Side VPN läuft mit 60-80 Mbit/s
 
1GBit zu routen bzw zu NATen sollte mit allen halbwegs aktuellen Kisten kein Problem sein. Das schaffen problemlos auch lahmere Kisten. Ob die CPU oder der RAM schlapp macht hängt dann davon ab welche Features du sonst noch nutzen willst und welche Erwartung zu beim VPN Durchsatz hast.

Beim VPN würde ich auf Wireguard setzen. Ist relativ einfach umzusetzen, es gibt viele Tutorials auf YT und es ist ziemlich performant. Allerdings empfehle ich dann auch gerne den Schwenk von pfSense auf OPNSense.

Hardware: Persönlich nehme ich dafür gerne die Shuttle Slim PCs. Die kann man selbst aufrüsten und haben 2x Intel NICs onboard. Das ist gerade für deinen Zweck in Vorteil. Beispielweise diese Serie:

https://www.shuttle.eu/de/products/slim
https://geizhals.de/shuttle-xpc-slim-ds10u-peb-ds10u001-a2165539.html
 
  • Gefällt mir
Reaktionen: Cooly, Bob.Dig, AAS und eine weitere Person
Benutze ein Shuttle DS77U mit Dual Core Celeron, der ist passiv gekühlt, für Dauerbetrieb freigegeben, hat 2 x Intel Gbit LAN und genug Leistung für sowas sofern das AES-NI von der CPU mitgenutzt wird. Gibt auch Varianten mit i3, i5 und i7.
Ansonsten bietet auch pfSense selber passende Hardware an.
 
  • Gefällt mir
Reaktionen: AAS
Ich verkaufe derzeit alle PFSense (ältere) Sets die bei mir Eltern und Freunde hatte.
Da hat ein i3-i5 sich quasi gelangweilt. Die Hardware ist günstig zu bekommen und ein 4 Kerner reicht für deine Ansprüche locker aus.
 
Protectli empfiehlt bei 1 Gbit/s die FW6B bzw. FW6C, die mit einem i3-7100U bzw. i3-7200U daherkommen. Hab mal grob verglichen und laut diverser Benchmarkseiten soll der i3-1005G1 wohl vergleichbar sein und sogar die Nase vorn haben. Sollte also soweit in Ordnung sein. VPN-Speeds kann man zur Einordnung hier anschauen: Klick!

Mich persönlich würde an so einem MiniPC stören, dass dieser nicht wirklich für Routing/Firewall vorgesehen ist. Ja, er hat 2x LAN, aber das war's dann auch. Außer 1x WAN und 1x LAN kann man aus der Kiste also nichts rausholen, wenn man nicht anfängt, VLAN-Krücken zu bauen. Sowas wie ein Gastnetzwerk wird mit der Kiste also schon schwierig. Da würde ich tatsächlich dann eher nach Geräten schauen, die explizit für den Betrieb als Router vorgesehen sind, wie eben die oben verlinkten FWs von Protectli. Die sind zugegebenermaßen nicht unbedingt günstig, sind aber auch nur als Beispiel anzusehen. Es gibt zahlreiche vergleichbare Hardware, auch zu günstigeren Preisen.

Je nachdem wie hoch die Ansprüche an das VPN sind und welche Technologie dabei zum Einsatz kommen soll (OpenVPN/IPsec/Wireguard) muss allerdings auch die Hardware gegebenenfalls angepasst werden. OpenVPN kann beispielsweise nur einen CPU-Core nutzen und braucht dementsprechend mehr GHz als IPsec oder Wireguard. 1 Gbit/s OpenVPN sind daher vergleichsweise anspruchsvoll. Wenn ich mir den i3-1005G1 so anschaue, würde der bei ausgelastetem OpenVPN vermutlich permanent im Turbo laufen müssen und würde wohl trotzdem nicht an die 1 Gbit/s rankommen.
 
  • Gefällt mir
Reaktionen: Cooly, 0-8-15 User und Lawnmower
Was soll denn an VLAN eine Krücke sein? Wie willst du denn sonst ein vernünftiges Gästenetz aufspannen? Alles mit Hardware erschlagen?
 
die vpn Technology soll mittels IPSec umgesetzt werden. Es müssen mindestens 200mbit/s über die Leitung. Generell sollen nur 3 Client pcs angebunden werden. Sie benötigen nur zeitweise den Tunnel. Ist aber nichts kommerzielles.
 
DonConto schrieb:
Was soll denn an VLAN eine Krücke sein? Wie willst du denn sonst ein vernünftiges Gästenetz aufspannen? Alles mit Hardware erschlagen?
Zum Vergrößern anklicken....
Es geht darum, dass man bei einem Router mit 2 Interfaces nur 1 Interface für das lokale Netzwerk hat und somit dann sowohl das Haupt- als auch das Gastnetzwerk als VLAN auf dem Router anlegen muss. Der Uplink vom Router zum Netzwerk wird also zwingend doppelt genutzt werden müssen, wenn man ein Gastnetzwerk einrichten möchte.

Bei einer Hardware-Firewall, die eben für solche Zwecke vorgesehen ist, wie zB den oben verlinkten Protectli oder auch pfSense's eigener Netgate-Hardware gibt es in der Regel mindestens 3 Interfaces, 1x WAN, 1x LAN und 1x OPT/Gast/Whatever. Hier entfällt also der Zwang für VLAN-Interfaces am Router. Das ist unabhängig davon ob man die Netzwerke anschließend über VLAN-Switches weiterverteilt.
 
Raijin schrieb:
Protectli empfiehlt bei 1 Gbit/s die FW6B bzw. FW6C, die mit einem i3-7100U bzw. i3-7200U daherkommen. Hab mal grob verglichen und laut diverser Benchmarkseiten soll der i3-1005G1 wohl vergleichbar sein und sogar die Nase vorn haben. Sollte also soweit in Ordnung sein. VPN-Speeds kann man zur Einordnung hier anschauen: Klick!
Zum Vergrößern anklicken....
400$ für eine China Box istschon enorm viel...
Mit i3 8130U, 4GB RAM und 32GB kostet das ganze auf Ali quasi keine 300$.
Ergänzung ()

Raijin schrieb:
Es geht darum, dass man bei einem Router mit 2 Interfaces nur 1 Interface für das lokale Netzwerk hat und somit dann sowohl das Haupt- als auch das Gastnetzwerk als VLAN auf dem Router anlegen muss. Der Uplink vom Router zum Netzwerk wird also zwingend doppelt genutzt werden müssen, wenn man ein Gastnetzwerk einrichten möchte.

Bei einer Hardware-Firewall, die eben für solche Zwecke vorgesehen ist, wie zB den oben verlinkten Protectli oder auch pfSense's eigener Netgate-Hardware gibt es in der Regel mindestens 3 Interfaces, 1x WAN, 1x LAN und 1x OPT/Gast/Whatever. Hier entfällt also der Zwang für VLAN-Interfaces am Router. Das ist unabhängig davon ob man die Netzwerke anschließend über VLAN-Switches weiterverteilt.
Zum Vergrößern anklicken....
Bei 3 Leuten ist das quasi vernachlässigbar, quasi mit einer Kanone auf Spatzen schiessen.
 
  • Gefällt mir
Reaktionen: nkler
Cooly schrieb:
die vpn Technology soll mittels IPSec umgesetzt werden. Es müssen mindestens 200mbit/s über die Leitung.
Zum Vergrößern anklicken....
Dann sollte der von dir verlinkte MiniPC grundsätzlich ausreichen, wenn Gast-Netzwerk, o.ä. augenscheinlich keine Rolle spielt. Prinzipiell würde dann vermutlich sogar die FW4B von Protectli mit einem Celeron J3160 ausreichen, die es auch baugleich auch von anderen Anbietern günstig zu erwerben gibt. Beispielsweise hier: XSK NUC J3160 4+128GB


@AAS : Ich habe primär auf Protectli verlinkt, weil man dort die Performance gut vergleichen kann. Kaufen würde ich mir die Dinger auch nicht, zumal der gelistete Preis dort für den Barebone gilt und man da sogar sehr schnell über die 500€ geht. Es ist aber ein guter Anhaltspunkt für in Frage kommende Hardware was zB die CPU angeht.
 
  • Gefällt mir
Reaktionen: Cooly, PHuV und AAS
Raijin schrieb:
Es geht darum, dass man bei einem Router mit 2 Interfaces nur 1 Interface für das lokale Netzwerk hat und somit dann sowohl das Haupt- als auch das Gastnetzwerk als VLAN auf dem Router anlegen muss. Der Uplink vom Router zum Netzwerk wird also zwingend doppelt genutzt werden müssen, wenn man ein Gastnetzwerk einrichten möchte.
Zum Vergrößern anklicken....

Das weiß ich. Ich fragte was daran eine Krücke sein soll? Mal abgesehen von der Bandbreite, die im Falle eines Gastnetzes, deren Nutzer wahrscheinlich nur ins Internet wollen, quasi nicht relevant ist.

Raijin schrieb:
Bei einer Hardware-Firewall, die eben für solche Zwecke vorgesehen ist, wie zB den oben verlinkten Protectli oder auch pfSense's eigener Netgate-Hardware gibt es in der Regel mindestens 3 Interfaces, 1x WAN, 1x LAN und 1x OPT/Gast/Whatever. Hier entfällt also der Zwang für VLAN-Interfaces am Router. Das ist unabhängig davon ob man die Netzwerke anschließend über VLAN-Switches weiterverteilt.
Zum Vergrößern anklicken....

Und was schließt du dann an dem einen eigenen Port an? Separate Accesspoints? Separate Switche? Einen einzigen Client?

Es gibt sicherlich Szenarien wo zusätzliche Ports sinnvoll sind. Aber sicherlich nicht hier oder fürn Gastnetz. Jedenfalls nicht, wenn man eine Software nutzt, die VLANs kann.
 
  • Gefällt mir
Reaktionen: Cooly
AAS schrieb:
Bei 3 Leuten ist das quasi vernachlässigbar, quasi mit einer Kanone auf Spatzen schiessen.
Zum Vergrößern anklicken....
Die Information kam während ich meinen Beitrag schrieb.
Ergänzung ()

Leute, kommt mal runter.... :rolleyes:


WENN Gast-Netzwerk, o.ä. eingeplant wird - was zu Beginn des Threads nicht erkennbar war - und man offenbar explizit eine fortgeschrittene Firewall wie pfSense einsetzen möchte - was ja mutmaßlich Gründe haben wird -, dann ist es einfach ungünstig, von vornherein Hardware einzusetzen, bei der man bereits zu Beginn die Einschränkungen der Hardware - zu wenig LAN-Schnittstellen - mit Workarounds wie VLANs umsetzen muss. Der MiniPC, den @Cooly in #1 im Auge hat, kostet immerhin auch schon schlanke 335€ bei Banggood * und da gibt es dann deutlich sinnvollere Hardware zum selben Preis mit ausreichend Schnittstellen, die für den Einsatz als Router/Firewall vorgesehen ist, oder aber entsprechend günstigere Hardware.

Man kann doch nicht wegdiskutieren, dass ein MiniPC, der bei Banggood in der Rubrik für Unterhaltungselektronik/TVAudio gelistet wird, als Routerhardware nicht unbedingt ideal ist. Ja, es funktioniert, keine Frage, der primäre Anwendungsfall solcher MiniPCs ist aber eher ein anderer.




DonConto schrieb:
Und was schließt du dann an dem einen eigenen Port an? Separate Accesspoints? Separate Switche? Einen einzigen Client?
Zum Vergrößern anklicken....
Ja, zum Beispiel. Man benötigt keine VLAN-fähige Infrastruktur, wenn man vielleicht wirklich nur ein Gerät separieren möchte bzw. kann sonst einfach den 08/15 Switch, den man noch übrig hat, aus dem Schrank holen.



Wenn nichts dergleichen geplant ist und tatsächlich nur 3 PCs vorhanden sind, spielt das alles in der Tat keine Rolle, aber das ist erst im späteren Verlauf des Threads rausgekommen.



* War nur das erste Suchergebnis
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: razzy
Raijin schrieb:
Die Information kam während ich meinen Beitrag schrieb.
Ergänzung ()

Leute, kommt mal runter.... :rolleyes:


WENN Gast-Netzwerk, o.ä. eingeplant wird - was zu Beginn des Threads nicht erkennbar war - und man offenbar explizit eine fortgeschrittene Firewall wie pfSense einsetzen möchte - was ja mutmaßlich Gründe haben wird -, dann ist es einfach ungünstig, von vornherein Hardware einzusetzen, bei der man bereits zu Beginn die Einschränkungen der Hardware - zu wenig LAN-Schnittstellen - mit Workarounds wie VLANs umsetzen muss.
Zum Vergrößern anklicken....

Nochmal: VLANs sind weder eine Krücke noch ein Workaround. VLANs sind quasi DIE Lösung für skalierende Infrastrukturen.

Raijin schrieb:
Der MiniPC, den @Cooly in #1 im Auge hat, kostet immerhin auch schon schlanke 335€ bei Banggood * und da gibt es dann deutlich sinnvollere Hardware zum selben Preis mit ausreichend Schnittstellen, die für den Einsatz als Router/Firewall vorgesehen ist, oder aber entsprechend günstigere Hardware.

Man kann doch nicht wegdiskutieren, dass ein MiniPC, der bei Banggood in der Rubrik für Unterhaltungselektronik/TVAudio gelistet wird, als Routerhardware nicht unbedingt ideal ist. Ja, es funktioniert, keine Frage, der primäre Anwendungsfall solcher MiniPCs ist aber eher ein anderer.
Zum Vergrößern anklicken....

Das ist doch nur eine Frage der Vermarktung. Der Vorteil dieser als Router/Firewall vermarkteten Kisten ist, dass sie mit der Software getestet wurden und eben je nach Anbieter mehrere Ports haben, die an einen eigenen Netzwerkchip angeschlossen sind. Muss jeder selbst wissen ob er dafür einen Aufpreis bezahlen möchte. Aber i.d.R. können diese Büchsen nichts besser oder schlechter als andere Hardware auch, die eben nicht explizit als Router/Firewall vermarktet wird - sofern man eben passende Geräte kauft. Der hier genannte Shuttle XPC hat zB auch zwei separate Intel NICs und kann damit alles, was so ein Protectli auch kann - wenn einem 2 Ports reichen.

Raijin schrieb:
Ja, zum Beispiel. Man benötigt keine VLAN-fähige Infrastruktur, wenn man vielleicht wirklich nur ein Gerät separieren möchte bzw. kann sonst einfach den 08/15 Switch, den man noch übrig hat, aus dem Schrank holen.
Zum Vergrößern anklicken....

Nachteil: Skaliert also nicht oder man muss nen Hardwarezoo aufbauen. Vorteil ansonsten? Keinen. Und VLAN fähige Hardware bekommst du für nen Appel und ein Ei.

Es kann ja jeder aufbauen was er mag und was für seine Bedürfnisse am besten passt. Ich habe lediglich deiner Aussage widersprochen, dass VLANs eine Krücke oder ein Workaround sind. Das ist definitiv Unsinn.
 
Bei PF- oder Opnsense ist die Single Thread Performance wichtig, da pf leider noch nicht Multicorefähig ist.
Deswegen muss man bei der Definition MiniPC aufpassen. Die APUs von PCEngines schaffen deswegen kein Gigabit. Man kann es zwar bisschen optimieren, aber meine zwei APUs im OpnSense Cluster schaffen nicht mehr als 720 MBit/s zu routen.
Installiert man auf derselben Hardware ipfire, dann hat man keine Probleme.
 
DonConto schrieb:
Nachteil: Skaliert also nicht oder man muss nen Hardwarezoo aufbauen. Vorteil ansonsten? Keinen. Und VLAN fähige Hardware bekommst du für nen Appel und ein Ei.
Zum Vergrößern anklicken....
Du hast ja mit (fast) allem Recht was du sagst, aber es hat nun mal nicht jeder einen VLAN-fähigen Switch daheim. Ich möchte behaupten, dass Otto Normal, der gefühlt 98% der Käufer darstellt, stets zum billigsten Switch greift, weil er sich die für einen Laien berechtigte Frage stellt "Warum kostet dieser 8-Port-Switch 15€ und dieser dort 40€?" Dabei ist es egal ob es nur 25€ Aufpreis sind, Otto Normal kauft nur den billigen und hat davon ggfs sogar noch den einen oder anderen im Schrank liegen. Von vornherein auf VLAN setzen zu müssen, würde für Otto damit einhergehen, alle beteiligten Switches ebenfalls auszutauschen, was wieder auf's Budget geht.

Skalierbarkeit ist im übrigen kein Argument. Hardware mit 3+ LAN-Ports ist nicht weniger skalierbar als Hardware mit 2 Ports. Und vor allem: Im Laufe des Threads kam ja auch raus, dass Skalierbarkeit im vorliegenden Fall gar kein Thema ist, das wissen wir jetzt ja.


Ich habe auch das Gefühl, dass wir aneinander vorbeireden. VLANs als solche ziehe ich nicht in Zweifel, im Gegenteil. Es ist vermutlich sogar so, dass ich mehr VLANs bei mir im Netzwerk habe als die meisten hier, weil ich ein komplettes Netzwerklabor im Keller habe - Berufskrankheit. Ich habe nur kundgetan, dass ich es für wenig sinnvoll halte, wenn man von vornherein mit 3+ Netzwerken kalkuliert und dann ohne Not auf Hardware mit nur 2 Schnittstellen setzt. Damit baut man von Anfang an zumindest nach meiner Definition einen workaround, weil man den Mangel der Hardware durch die VLAN-Funktion ausgleichen muss. Hat der Router 3 Ports, kann man sich aussuchen ob man das dritte Netz physisch oder virtuell anlegt. Aber wie gesagt, das scheint hier ja nicht der Fall zu sein und dann ist ein 2-Port-Router natürlich sowieso vollkommen in Ordnung.

Es ist ja nicht so, dass die Alternativen plötzlich pro zusätzlichem Port 100€ mehr kosten, sondern in der Regel im selben Preisbereich liegen. Protectli mal etwas außen vor, die halte ich selbst für überteuert und meine baugleiche FW4B hat mich weniger als die Hälfte gekostet. Deshalb dienen meine obigen Links auch nur der Einordnung der Leistung, weil man sehen kann bei welchem Modell mit welcher CPU welche Routing- und IPsec- bzw. OpenVPN-Performance zu erwarten ist. MiniPCs gibt es nämlich mit soooo vielen verschiedenen CPUs und da fällt zumindest mir der Vergleich teilweise schwer.



*edit
@v3nom hat zum Beispiel gerade eine preislich identische Alternative zu dem in #1 genannten PC verlinkt, die aber explizit auf Router-/Firewallaufgaben ausgelegt ist. Ob man nun ganze 6 Ports braucht sei mal dahingestellt, aber es verdeutlich worauf ich hinauswollte :schluck:

*edit2
Ok, sehe gerade der Preis gilt nur für den Barebone und das 8/64 GB Modell liegt dann schon wieder bei 400 + 38€ Versand. Naja, sei's drum, gibt auch günstigere Modelle, die zB 4 Ports bieten.
 
"Nicht geeignet bei Anforderungen mit mehr als ca. 500Mbit/s"
steht da im Link, scheidet also für OP aus
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
TP Link 600 AV mit weiterer Fritzbox verbinden für separaten Inet Anschluss
Antworten
10
Aufrufe
565
Engaged
Engaged
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz