MiniPC für pfsense 1GB/s Inet Anschluss

[0-8-15 User]

Günstiger geht kein Mini-PC.

Die Preise auf Aliexpress haben in den letzten Monaten massiv angezogen. Anfang des Jahres hat man dort noch Geräte aus der Klasse des Protectli FW6A für 180 EUR inkl. Versand bekommen.

Bei Aliexpress gibt es gute passive Rechner die perfekt dafür geeignet sind: https://de.aliexpress.com/item/32920921042.html

Alternative: https://de.aliexpress.com/item/1005003131373299.html

 

[v3nom]

@v3nom hat zum Beispiel gerade eine preislich identische Alternative zu dem in #1 genannten PC verlinkt, die aber explizit auf Router-/Firewallaufgaben ausgelegt ist. Ob man nun ganze 6 Ports braucht sei mal dahingestellt, aber es verdeutlich worauf ich hinauswollte

Mit mehr Ports kann man halt auch portbasiert was machen, braucht man oft aber nicht. Zwei Ports sollten es halt schon mindestens sein. Kannst auch mal schauen, da gibt es viele andere miniPCs. Den verlinkten habe ich auch mit dem i5-7500 und die CPU langweilt sich fast nur

 

[0-8-15 User]

Das kleinste Gerät Netgate 1100 kostet 185 €.
https://www.voleatech.de/de/produkt/sg-1100/

Der kleinste Qotom dürfte inkl. Versand und Steuern ähnlich teuer kommen, hat aber dreimal so viel Bums: https://de.aliexpress.com/item/32790297331.html

 

[Joe Dalton]

Skalierbarkeit ist im übrigen kein Argument. Hardware mit 3+ LAN-Ports ist nicht weniger skalierbar als Hardware mit 2 Ports. Und vor allem: Im Laufe des Threads kam ja auch raus, dass Skalierbarkeit im vorliegenden Fall gar kein Thema ist, das wissen wir jetzt ja.

Um die Diskussion noch ein wenig zu befeuern: Er könnte auch zusätzliche Schnittstellen per USB "nachrüsten".

Grundsätzlich bin ich jedoch auch ein Freund davon, Dinge wie Gast-/DMZ-Netze über getrennte Ports laufen zu lassen, wenn diese verfügbar sind. Die Trennung in Hardware gewinnt auch dann wieder an Bedeutung, wenn man einen Cisco-Bug bedenkt, der DHCP-Pakete von einem VLAN in ein anderes VLAN schiebt. Nein, damit ist kein fancy DHCP Relay o.ä. gemeint, falls da Fragen aufkommen sollten.

 

[Cooly]

Vielen Dank für die Tipps. Das Shuttle-System sieht interessant aus. Ich hatte an ein MiniPC, weil ich nur zwei NICs brauche. Aber die Router Hardware finde ich auch spannend. Aus Asien kommen viele. Gibt es ein Richtkonfiguration an dem man sich orientieren kann?

 

[Raijin]

Gibt es ein Richtkonfiguration an dem man sich orientieren kann?

Deswegen hatte ich die Performance-Tabelle von Protectli verlinkt. Schau dir an welche CPU im jeweiligen Modell verbaut ist und dann kannst du das mit anderen PCs vergleichen.

 

[Raijin]

Bei PF- oder Opnsense ist die Single Thread Performance wichtig, da pf leider noch nicht Multicorefähig ist.

Hm.. Hast du dafür eine Quelle? Wenn ich Onkel Google dazu bemühe, finde ich zB im offiziellen Forum eine Aussage eines Mitarbeiters, die das Gegenteil behauptet:

pfSense is not single threaded. pf is no longer single threaded so there are certainly advantages to use multiple CPU cores.
Some things are still single threaded. OpenVPN and PPPoE are two we most commonly see. Some NIC drivers cannot use more than one queue but most now do.
There's no significant difference between multiple cpus and multiple cores in a single CPU as far as I know.

Quelle: forum.netgate.com

 

[DonConto]

Du hast ja mit (fast) allem Recht was du sagst, aber es hat nun mal nicht jeder einen VLAN-fähigen Switch daheim. Ich möchte behaupten, dass Otto Normal, der gefühlt 98% der Käufer darstellt, stets zum billigsten Switch greift, weil er sich die für einen Laien berechtigte Frage stellt "Warum kostet dieser 8-Port-Switch 15€ und dieser dort 40€?" Dabei ist es egal ob es nur 25€ Aufpreis sind, Otto Normal kauft nur den billigen

Ottonormal kauft auch keine angepasste pfSense Hardware. Nochmal: Mir ging es nur um deine Aussage zu VLANs.

Skalierbarkeit ist im übrigen kein Argument. Hardware mit 3+ LAN-Ports ist nicht weniger skalierbar als Hardware mit 2 Ports. Und vor allem: Im Laufe des Threads kam ja auch raus, dass Skalierbarkeit im vorliegenden Fall gar kein Thema ist, das wissen wir jetzt ja.

Du unterschlägst hier etwas. Hardware mit 3 Ports ohne VLANs ist natürlich schlechter skalierend als Hardware mit 2 Ports + VLANs.

Ich habe auch das Gefühl, dass wir aneinander vorbeireden. VLANs als solche ziehe ich nicht in Zweifel, im Gegenteil. Es ist vermutlich sogar so, dass ich mehr VLANs bei mir im Netzwerk habe als die meisten hier, weil ich ein komplettes Netzwerklabor im Keller habe - Berufskrankheit. Ich habe nur kundgetan, dass ich es für wenig sinnvoll halte, wenn man von vornherein mit 3+ Netzwerken kalkuliert und dann ohne Not auf Hardware mit nur 2 Schnittstellen setzt. Damit baut man von Anfang an zumindest nach meiner Definition einen workaround, weil man den Mangel der Hardware durch die VLAN-Funktion ausgleichen muss. Hat der Router 3 Ports, kann man sich aussuchen ob man das dritte Netz physisch oder virtuell anlegt. Aber wie gesagt, das scheint hier ja nicht der Fall zu sein und dann ist ein 2-Port-Router natürlich sowieso vollkommen in Ordnung.

Anhand dieser Argumentation müsstest du doch merken, dass du dir selbst den Ast absägst, auf dem du sitzt. Was wenn ich einen 3 Port Router kaufe, aber dann irgendwann feststelle, dass ich vielleicht doch einen vierten Port brauche? Ich sag dir die Antwort: Baue es direkt richtig wenn auch nur die geringe Chance besteht, dass du da noch etwas dran basteln willst. Der Workaround oder die Krücke ist also der zusätzliche Port weil die Skalierung mit zusätzlichen Ports quasi endlich ist.

Es gibt sicherlich Anwendungsfälle wo mehr Ports sinnvoll sind. Zum Beispiel dann, wenn die Bandbreite eine Rolle spielt. Aber nochmal: VLANs als Workaround oder Krücke zu sehen ist halt einfach falsch. Sie sind der einzige Weg zu einer ökonomisch sinnvollen Skalierung. Und damit war's das dann hier auch für mich.

 

[b1nb4sh]

@Raijin

pfSense is not single threaded. pf is no longer single threaded so there are certainly advantages to use multiple CPU cores.
Some things are still single threaded. OpenVPN and PPPoE are two we most commonly see. Some NIC drivers cannot use more than one queue but most now do.
There's no significant difference between multiple cpus and multiple cores in a single CPU as far as I know.

Du hast im pf --> Nic die Möglichkeit die Send und Empfangs Queues zu verwenden, diese verteilen sich dann über die Cores. Das funktioniert aber nur bedingt und setzt vorraus, dass das Protokoll mehrere Verbindungen aufbaut.
Am Ende erreicht man das Multithreading so:
Core 1 <> Queue 1
Core 2 <> Queue 2
...

APU Bios Vergleich
APU Tuning Guide

Du kannst es auch einfach mit dem iperf3 testen, dann siehst du recht schnell (Achtung viele Tests sind ohne FW Regeln), dass du mit einem Single Stream 720 - 800 Mbit/s schaffst. Mit mehrere Streams kommst du auf Gigabit.
Jedoch verteilt sich die Last nicht korrekt, wodurch ständig Retries auftreten beim Test.

APU2, APU3 and APU4 motherboards have four 1Ghz CPU cores, pfSense by default uses only 1 core per connection. This limitation still exists, however, a single-core performance has considerably improved.

Es ist mittlerweile bei den APUs besser geworden mit dem letzten Coreboot Update. Soweit ich mitbekommen habe setzt pfsense viele Tweaks bereits selber, wodurch der Durchsatz erhöht werden kann.
Leider, bringen die Tweaks bei opnsense nur bedingt etwas, weil Sensei (L7 Filtering und ein Must have für opnsense Benutzer) viele der Tweaks deaktiviert.

Ich habe zuhause einen APU4 Cluster mit Opnsense und kenne das Problem. Hatte auch bereits ipFire installiert und dort ging es ohne Probleme.

 

[Raijin]

Du unterschlägst hier etwas. Hardware mit 3 Ports ohne VLANs ist natürlich schlechter skalierend als Hardware mit 2 Ports + VLANs.

Jetzt legst du mir Worte in den Mund, die ich so nie gesagt/geschrieben habe, was soll das?
Ein 3-Port-Router ist wenn überhaupt besser skalierbar als ein 2-Port-Router. VLANs kann man doch auf beiden einrichten, wenn die Hardware-Ports zur Neige gehen. Ich habe nie gesagt, dass man auf einem 3-Port-Router nicht trotzdem VLANs nutzen kann, aber man ist eben nicht gezwungen, dies sofort zu tun, sobald man sich vom 08/15 Pfad mit 1x WAN + 1x LAN wegbewegt, zB für ein 2. LAN als Gast/Büro was jetzt kein soooo ungewöhnlicher Anwendungsfall ist.

Klar, wenn noch ein 4. Netzwerk dazukommt, also 1x WAN + 3x LAN, braucht man auch am 3-Port-Router zwingend VLANs, aber das führt jetzt zu weit und ist im privaten Umfeld auch weitestgehend Nebensache, weil 1x WAN + 3x LANs dann schon deutlich in Richtung der Netzwerkenthusiasten geht (zB für IoT, o.ä.).

Was wenn ich einen 3 Port Router kaufe, aber dann irgendwann feststelle, dass ich vielleicht doch einen vierten Port brauche? Ich sag dir die Antwort: Baue es direkt richtig wenn auch nur die geringe Chance besteht, dass du da noch etwas dran basteln willst.

Davon rede ich doch die ganze Zeit. Wenn absehbar ist, dass man 3 Netzwerke (zB WAN+LAN+Gast) benötigt, schränkt man sich unnötig ein, wenn man explizit nur einen 2-Port-Router kauft, wenn es zu vergleichbaren Preisen auch Hardware mit 3 Ports gibt. Ob man die nun physisch tatsächlich von Anfang nutzt oder trotzdem mit 2 Ports + VLANs arbeitet, ist dabei doch erstmal unerheblich, weil man mit dem 3. Port einfach noch einen Joker in der Hinterhand hat, wenn man merkt, dass der doppelt genutzte VLAN-Port doch mal zum Flaschenhals wird - vielleicht nicht unbedingt bei einem Gast-Netzwerk, aber ggfs bei einem separaten Büro-Netzwerk, das schnellen Zugriff auf ein NAS benötigt, während im Hauptnetz munter im Internet gesurft, gestreamt und runtergeladen wird.

Der Workaround oder die Krücke ist also der zusätzliche Port weil die Skalierung mit zusätzlichen Ports quasi endlich ist.

Nochmal: Ich habe nie ausgeschlossen, dass man auch an einem 3-Port-Router VLANs einsetzt. Der 3-Port-Router wird also in jedem Fall mindestens so gut skalieren wie ein 2-Port-Modell, quasi Skalierbarkeit+1.


Whatever, die Diskussion führt jetzt zu weit und ist für den TE auch schon längst nicht mehr relevant. Du legst mir Worte in den Mund und verstehst mich bewusst falsch, weil ich nie VLANs per se in Zweifel gezogen habe, sondern mich lediglich auf die unnötige, künstliche Einschränkung auf 2 Ports + VLANs beziehe.

 

[0-8-15 User]

@b1nb4sh, für OpenVPN mit 200 Mbit/s ist so eine APU eh nicht geeignet:

OpenVPN throughput is a little above 100-145 Mbit/s, because it's using only 1 CPU core. Wireguard thoughput is about 600Mbit/s, because it's using all 4 cores.

Quelle: https://www.ipu-system.de/index.html

 

[b1nb4sh]

@0-8-15 User
Ich weiß, aber wer setzt openvpn bei Opnsense ein? Da bietet sich doch WG an, da die Integration sehr gut ist.

 

[DonConto]

, sondern mich lediglich auf die unnötige, künstliche Einschränkung auf 2 Ports + VLANs beziehe.

Die Aussage, dass es eine unnötige, künstliche Einschränkung ist, ist halt einfach Unsinn. Aber das willst du ja nicht verstehen. Hab ich jetzt 5x versucht zu erklären. Scheint nicht zu helfen. Von daher, alles gut, weiter machen. Wir müssen hier keinen Konsens finden.

 

[0-8-15 User]

@DonConto, natürlich ist es eine unnötige, künstliche Einschränkung, wenn man ohne VLAN fähigen Switch kein Gastnetz einrichten kann.

aber wer setzt openvpn bei Opnsense ein?

In diesem Thread geht es um pfSense und um OpenVPN IPsec.

 

[DonConto]

@DonConto, natürlich ist es eine unnötige, künstliche Einschränkung, wenn man ohne VLAN fähigen Switch kein Gastnetz einrichten kann.

Au man, really? Was könnte man dann da machen? Moment, ich habs gleich...für 30 Euro einen kaufen. Bitte, danke.

 

[whispet]

Was nimmt man denn jetzt für ein aktuelles OPNsense System?

Bin auch am überlegen und mag nicht zu viel ausgeben. Die Protectli's sind ja nicht gerade günstig.

 

[F31v3l]

Du kannst ja mal auf aliexpress und Konsorten schauen. Bedenk aber, dass da noch Steuern draufkommen. So viel günstiger als eine MiniPC in einem deutschen Shop sind die dann auch nicht mehr.

Es kommt darauf an, was du damit machen willst. Soll es eine reine HW-Firewall sein oder OPNsense als VM neben anderen VM/Containern laufen?
Und was soll OPNsense machen? Einfache Firewall? IPS/IDS? VPN über Glasfaser auslasten?

 

[whispet]

Hi,
danke für die schnelle Antwort.
Bin schon bereit ein paar Euro mehr zu Zahlen und aus einem Dt. Shop usw. (aber halt nicht zu viel überprovisionieren).

Anwendung:

• Zu Hause
• Leitung: 1000/200 (Glasfaser)
• soll reine HW Firewall sein (nicht als VM, kein Proxmox o.ä.)
• soll auch IPS/IDS können
• VPN ja

 

[ModellbahnerTT]

Sofern es auch ipfire sein darf reicht möglicherweise auch ein NanoPi4S. Die USB3 Ports sind per USB Netzwerkadapter aufrüstbar.

 

[b1nb4sh]

• Zu Hause
• Leitung: 1000/200 (Glasfaser)
• soll reine HW Firewall sein (nicht als VM, kein Proxmox o.ä.)
• soll auch IPS/IDS können
• VPN ja

Für bis zu 200 Euronen kannst du zu Thin Clients greifen.
Letztens einen HP T730 günstig bekommen dazu eine Quad Port NIC, am besten eine i350 und das Ding schnurrt.
Habe dieses Setup in der Familie an einem Standort laufen und dort ist eine 500/100 Mbit/s Leitung. Bei einem Speedtest kommen die 500 Mbit/s an bei ca. 30-40% Auslastung.
IPS/IDS bei pfSense erfolgt das noch über Snort oder schon Suricata? Wieso nicht gleich die FW erweitern auf Zenarmor in opnSense? Es gibt auch eine freie Version, damit kannst 90% der Heimprobleme lösen.