pfSense / Fortinet / Sophos und co. Eure Empfehlung für Heimnetz?

[M-X]

Bei IDS/IPS kommt es ganz auf den Traffic und die Regeln an. N100 kann klappen muss aber nicht. Ich würde zu einem iX system greifen. Habe meine von NRG Systems aber die bekommt man auch billiger bei Aliexpress, kommen eh alles aus der gleichen Fabrik in CN.

Viele Hosten ihre *sense auf einem VM host, davon würde ich aber abraten weil mit dem Tot des hosts dann im zweifel auch das ganze Netz stillsteht. Auch reboots des Servers etc sind dam lästig. Kann aber natürlich helfen die vorhandene Hardware eines "dicken" servers besser zu nutzen.

 

[OsiMosi]

N100 kann klappen muss aber nicht.

Genau das möchte ich eben nicht riskieren, denn wenn es dann auf der letzten Rille scheitert, ägert man sich am Ende nur. Dann gehts für mich auf jeden Fall in die Richtung X86er ala i3 und co. Gibt mir einfach mehr Freiheit.

Ich persönlich hab in der Vergangenheit (in einem anderen Zusammenhang) mal den ein oder anderen Schnapper bei Ebay gemacht. Ging sich da aber mehr um Zweitsystem als um Netzwerkhardware oder Homeserver (was ja trotzdem gewisse Schnittmengen hat). Habt ihr da ggf Empfehlungen für bestimmte Modelle?

Viele Hosten ihre *sense auf einem VM host, davon würde ich aber abraten

Sehe ich ähnlich, wäre mir physisch auch lieber.

 

[M-X]

https://www.servethehome.com/ testet immer wieder verschiedene kleinst PCs für genau diesen Einsatz. Zum teil auch mit sehr interessanten Anschlüssen.

 

[qiller]

Bin auch kein Fan von virtualisierten Firewalls, hab das lieber Bare Metal. So ein i3-12100 wär für mich aktuell wohl meine Wahl, der sollte auch für Gigabit-Anschlüsse reichen.

 

[OsiMosi]

https://www.servethehome.com/

Ich werde mich jetzt mal durch die Berichte sowie Ebay wühlen, um mal zu schauen was genau ich da nehmen kann. Die ganzen Dell PowerEdge Kisten gibt es ja zu Hauf, ggf. ist auch da was bei.

Laut der Meinung in diversen Foren und Threats, absoluter Overkill, aber eben deutlich günstiger als gefühlt alles andere: Dell PowerEdge R630

Was die Kompatibilität angeht bin ich mir da gerade nicht so sicher, konnte aber unter den bekannten Keywoards erstmal nichts finden. Belehrt mich aber gerne eines besseren

Alternativ konnte ich noch den Supermicro SYS-5018A-FTN4 rauslesen, der ist seitens Ebay etwas teurer.

 

[M-X]

Das Problem bei solchen Server Kisten ist halt oft der Stromverbrauch. Wenn das kein Thema ist können die eine günstige alternative sein.

 

[OsiMosi]

Das Problem ist halt oft der Stromverbrauch

Die Frage ist eben inwieweit man das gegenrechnen kann bzw. inwieweit die Kisten "optimierbar" sind. Gebe dir da natürlich recht, das ich da nicht unbedingt ein kleines Kraftwerk laufen lassen will.

Wenn ich es mal durchrechne ist der Verbrauch bzw. der Strompreis für "nur pfsense" deutlich zu hoch (zumindestens für das verlinkte Modell)

Alternativ wäre mir noch eingefallen einen OptiPlex für nen Hunni zu ordern und per Netzwerkkarte aufzustocken. Ist aber zwecks Verbrauch wahrscheinlich auch nicht so das wahre.

Bzgl. i3 bin ich über servethehome noch auf die üblichen Ali Express Kisten gestoßen: Klick sowie Klick

 

[schrht]

Die Frage ist eben inwieweit man das gegenrechnen kann bzw. inwieweit die Kisten "optimierbar" sind. Gebe dir da natürlich recht, das ich da nicht unbedingt ein kleines Kraftwerk laufen lassen will.

Die Kisten sind so gut wie nicht ernsthaft optimierbar ohne signifikante Eingriffe bzw. Umbauten. Mein primäres Problem, noch vor dem Stromverbrauch, wäre die Lautstärke. Es mag Leute geben die auf diese Art von Lärmkulisse stehen, wenn so kreischende Kleinlüfter Vollgas geben .. aber ich gehe mal davon aus, dass du nicht dazu gehörst.

Alternativ wäre mir noch eingefallen einen OptiPlex für nen Hunni zu ordern und per Netzwerkkarte aufzustocken. Ist aber zwecks Verbrauch wahrscheinlich auch nicht so das wahre.

Definitiv besser als die Rackmounted Kiste.

 

[OsiMosi]

wäre die Lautstärke

Wäre bei mir tatsächlich nicht das Problem, da der Raum in dem sich alles abspielt, isoliert ist. Daneben steht quasi noch ein älterer Kühlschrank und außerhalb des Raumes hört man nichts.

 

[schrht]

Wenn das in einem (vermutlich) relativ kleinen und eher isolierten Raum steht hast du dafür aber wieder das Thema mit der Abwärme.

Ich hab vor einem Jahr einen HP Z2 Mini G4 um 200 Euronen erstanden. Mittels USB3 eine Ethernet-Karte drangepappt. Die meiste Zeit ist das Ding bei so 20 Watt. Wahrscheinlich geht's auch mit schwächerer Hardware und weniger Stromverbrauch. Aber das war vollkommen schmerzfrei und funktioniert einfach, bei auf's Jahr gerechnet ungefähr 30 Euro Stromkosten.

Wenn du wirklich auf pfSense setzen möchtest ist der Hunni-Plex wahrscheinlich absolut in Ordnung für deine Einsatzzwecke.

 

[OsiMosi]

Führe mir gerade mal die ganzen Videos seitens servethehome zu Gemüte (Danke vielmals an @M-X ) für den Tipp. Ali Express hat da scheinbar wirklich eine riesen Auswahl und die Geräte sollen laut diverser Tests wirklich richtig was taugen. Tatsächlich konnte ich des öfteren lesen, das die jeweiligen Amazon Versionen nicht nur teurer (ist ja das gleiche Geräte), sondern wohl auch schlechter sind.

Passend wäre dann ggf. auch einer mit Intel Atom: Klick

Außer denen und den jeweiligen OptiPlex Kisten habe ich bislang erstmal nicht groß was auf dem Zettel (immer her mit den Empfehlungen)

HP Z2 Mini G4

Auch nicht verkehrt

Sophos XG 106 wäre auch was, wobei ich mir da nicht bzgl. Kompatibilitätsproblem im klaren bin.

 

[holdes]

Sophos XG 106 wäre auch was, wobei ich mir da nicht bzgl. Kompatibilitätsproblem im klaren bin.

Ich weiß nicht wie weit dein Plan schon fortgeschritten ist, aber diese Sophos ist ne absolute Oberkrücke.

Sophos XG 106 Rev.1:
Intel Atom E3930
1x 4 GB 1600MHz-DDR3
64 GB SATA SSD

Selbst meine XG230 ist von Haus aus schon ein absoluter Witz, aber die kleinen Dinger sind jenseits von gut und böse . Die sind allesamt schon seit erscheinen lächerlich schwach, deshalb gabs dann schnell EOL und die XGS wobei selbst diese wieder (je nach Modell) hart unterdimensioniert sind.

 

[OsiMosi]

Ich weiß nicht wie weit dein Plan schon fortgeschritten ist, aber diese Sophos ist ne absolute Oberkrücke.

Keine Sorge, die ist bei mir schon lange raus Konnte einen M720q sehr günstig schießen, den habe ich dann in ein Intertech 1HE umgebaut und ne i350 NIC reingehauen. Wird dann bei mir mit pfsense laufen.

 

[qiller]

Werd demnächst mal das Teil hier mit IPFire testen: https://www.amazon.de/Glovary-Firewall-N100-Ethernet-Appliance/dp/B0CJ5L6CQL

 

[Muffknutscher]

@qiller Ich habe davon den größeren Bruder: https://www.amazon.de/dp/B0CPJD8BHQ?ref=emc_s_m_5_i_atc&th=1
Hab mir die Barebone Verion gekauft und dazu entsprechend 64GB RAM und eine 4TB NVME. Da läuft unter anderem auch eine opnsense unter Proxmox drauf. Kann mich von der Performance her nicht beschweren. Die 2.5 GbE Anschlüsse sind bei meinem Kabelinternet total praktisch, da bei mir mehr als 1.25 Gbit durch die Leitung kommen.
Man hat eben viele Optionen. Der Proxmox ist am Switch mit 10 Gbit SFP+ angebunden und die Fritte kommt auf den WAN der opnsense an. Genau wie das LAN und WLAN kann man die Ports schön Durchschleifen. Bin zwar auch nicht unbedingt ein Freund von einer virtualisierten FW, aber mit der Hardware läuft das überraschend gut. Hab der FW vier CPUs und 8GB RAM zugewiesen. Falls es nicht mehr langen sollte, kann man ja recht entspannt ein bisschen mehr zuweisen.

 

[qiller]

Wär für den Anwendungsbereich, wo ich die einsetzen werde totaler Overkill^^. Ist zwar auch hinter einem Glasfaseranschluss, aber der wird nur mit 100-200Mbit/s laufen. Von daher wird der N100 da vollkommen ausreichen.

Das größere Problem sehe ich eigentlich eher im Vertrauen ins UEFI, denn soweit ich das überblicke ist Glovary ne chinesische Marke. Auch was Updates angeht seh ich da eher schwarz. Aber dafür ist der Preis einfach unschlagbar und bisher hab ich auch noch nirgends eine ähnliche Ausstattung gesehen. Wenn mir das Teil gefällt, bin ich sogar am überlegen meine alte FW auf Intel Atom-Basis damit abzulösen. Da merkt man schon, dass die IPC der CPU ordentlich zurückliegt.

 

[Muffknutscher]

Gebe ich dir natürlich Recht. Das es für das UEFI Updates geben wird, glaube ich auch nicht, aber das ist für mich als Privatperson vollkommen ok. In einer Firmenumgebung würde ich das nicht einsetzen wollen. Für Zuhause sehe ich da kein Problem.
Wenn man ins BIOS geht bei der Kiste ist alles frei zugänglich... Da ist einfach das Default BIOS drauf ohne das etwas angepasst wurde. Also wenn man Lust hat, kann man da sicher noch so einige Einstellungen vornehmen.
Mir war aber nur wichtig, das ich die Kiste an den Strom anklemme, anschalte, mein BS installiert bekomme und damit was machen kann.

 

[qiller]

So, meine Glovary FW mit dem N100 ist auch angekommen. Ist schonmal nen ziemlich massiver Ziegelstein. Also Kühlungsprobleme sehe ich da schonmal keine. Mit 235€ für die 8GB RAM/ 256GB NVMe-SSD Variante kannste jedenfalls nicht meckern. Bin ich echt mal gespannt, ob der N100 taugt.

 

[Chocobo]

Interessant, Ich habe die Tage in etwa ähnliches vor.
Setze diesmal auch auf den N100, allerdings habe Ich von Asrock das N100M Mainboard als Unterbau.

Zur Performance kann Ich nur sagen, dass es vollkommen ausreichend sein wird.
Hatte schonmal einen Mini PC mit Celeron J3455 produktiv laufen für knapp ein halbes Jahr und der hatte auch mehr als genug Dampf.

Allerdings habe Ich PFsense laufen gehabt, das ist etwas schlanker was den RAM angeht.
Da der N100 um einiges mehr auf dem Kessel haben soll, als der o.g. Celeron, mache Ich mir keine Sorgen um die Performance.

 

[qiller]

Asrock das N100M

Das hatte ich mal für nen Office-PC zusammengebastelt. Den N100 fand ich dafür aber bisschen zu träge. Also für supereinfache Sachen, wo auch die Schwuppdizität keine Rolle spielt, reicht der natürlich, aber für mich wär der nix. Vlt. lag es auch am DDR4-Speicher (nur 1x64bit Datenbus) anstatt DDR5-Speicher (Aufteilung in 2x32bit). Das Asrock-Board gibts ja nicht mit DDR5.

Hatte schonmal einen Mini PC mit Celeron J3455 produktiv laufen für knapp ein halbes Jahr und der hatte auch mehr als genug Dampf.

Kommt halt drauf an, wie schnell der Internetanschluss ist und was du auf der FW noch so alles laufen lassen willst. Ich hatte hier ja schon ein Vergleich der Auslastung gepostet. Wenn du ein IDS o. Proxy drauf lassen hast, sind die Anforderungen nunmal anders als wenn die FW nur Routing, FW-Regeln abarbeitet oder NATing macht.