• ComputerBase erhält eine Provision für Käufe über eBay-Links.

pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen

OsiMosi

Ensign
Registriert
Sep. 2024
Beiträge
130
Hallo zusammen:)

Ich bin wirklich sehr dankbar für den tollen Support in meinem ersten Thread!

An dieser Stelle habe ich mich nochmals dazu entschiedenen, einen neuen und eigenen Thread bzgl. passender, leistungsstarker pfSense Hardware zu eröffnen. Ich hoffe ich werde dafür nicht gesteinigt:D
Ursprünglich war ich mir in meinem ersten Thread nicht sicher, welches System (ala Fortinet, Sophos und co) ich zukünftig einsetze möchte oder ob ich bei meiner pfSense / OPNsense bleibe. Das Thema driftete dann vermehrt in die Hardware, weshalb mir die Idee kam hier in einem gesonderten, neuen Thread nochmal explizit und nur auf die Hardware einzugehen. Dies macht es denen, die den gleichen Pfad beschreiten wie ich, auch nochmals deutlich leichter. Nun aber zum eigentlichen Thema.

Bevor ich in die weitere Auflistung gehe, hier nochmals die Anforderungen ans Netzwerk (auch etwas genauer):

  • Nicht mehr als 5 Nutzer
  • Bandbreite des Anschlusses soll voll ausgereizt werden (Down: 500 Mbit/s, Up: 100 Mbit/s), mit Luft nach oben für eine 1Gbit-Leitung
  • Minimum 4 Ports
  • IPSec & OpenVPN mit hoher Geschwindigkeit (>= 100Mbit, AES-NI erforderlich)
  • IPS/IDS (Snort oder Suricata) zur Überwachung und Absicherung des Netzwerks, primär auf dem WAN-Interface
  • 19-Zoll Gehäuse (1U-2U) -> Das Gerät muss diesen Faktor nicht haben! Ich baue mir ein System gerne in ein passendes Rack um! Deshalb kommt so gut wie jedes System grundsätzlich in Frage
  • Leistungsreserven und gute Performance für ggf. zukünftige Anforderungen
  • VLAN / Subnetting (ggf. auch Firewall-Regeln pro VLAN)
  • Physische Installation von pfSense, keine virtuelle Instanz wie Proxmox
  • Nur pfSense läuft auf dem Gerät (keine weiteren Dienste oder VMs)

Ich habe mich meiner Auffassung nach nun relativ intensiv mit der ganzen Thematik befasst und bin mir leider nach wie vor nicht so richtig schlüssig, auf was für einen Build es bei mir rauslaufen soll. Durch viele Empfehlungen bin ich vorerst auf eine IPU455 gekommen, welche ich zufälligerweise für einen guten Kurs bei Ebay schießen konnte (als Neu Gerät, 14 Tage Rückgaberecht:D). Bei Bekanntgabe kam mir dann heftiger Beschuss entgegen, wie ich auf die Idee komme so alte Hardware zu kaufen und wieso ich keine Ali Kiste nehme. Folglich werde ich dazu für eine bessere Übersicht eine Auflistung anführen, die auch anderen meine Ideen einfacher näher bringt und eine Übersicht schafft:


1.) Ali N100 Kisten & co.: In meinem vorrigen Thread wurde ich entsprechend darauf aufmerksam gemacht, das meine Anforderungen die Ressourcen dieser Kisten schnell ans Limit bringen. Da ich selbst mit der CPU als auch mit den Ali Kisten keine Erfahrungen habe, hat mich das von dem Gedanken abgebracht. Bei Youtube und co findet man auch viele Protectli Kisten sowie den Vergleich zu Ali Kisten. Da käme für mich generell nur Ali in Frage, servethehome empfiehlt:

2.) Sophos XG 106 / XG 115 & FWs: Bei Sophos würde es wohl auf eine Rev3 hinauslaufen, wobei ich auch hier an der Power / Reserve zweifle. Laut einigen Tutorials und Berichten ist das Setup Problemlos möglich, andere berichten ziemlichen Struggle. Bei Ebay und Co bekommt man ja sämtliche FWs von sämtlichen Herstellern nachgeschmissen und es gibt auch oft entsprechende Tutorials. Jedoch wäre es gerade für mich interessant zu erfahren, wer entsprechende Hardware im Einsatz hat und welche Erfahrungen er / sie weitergeben kann. Preislich alles sehr moderat, also auf jeden Fall eine Überlegung wert.


3.) Eigenbau & alte Hardware: Alte Dell, HP und Fujitsu Kisten gibt es für den schmalen Taler ja wie Sand am Meer, Killer ist da meistens nur leider der Stromverbrauch. Da die Geschichte 24/7 läuft und auch "nur" pfSense / OPNsense werkelt, ist der Verbrauch einfach zu hoch. Allerdings habe ich auch hier einige Builds finden können, die in den 20W Bereich gehen bzw Schnittmengen mit Homeservern haben (der bei mir ja auch noch kommen soll). Je nach BIOS Settings, Bastelei und Optimierung ist da auf jeden Fall etwas machbar.
Darüber hinaus gibt es dann natürlich auch wieder die Homeserver Builds, die man dann wiederum auch hier nutzen könnte, mit passender NIC. Hier kann man natürlich die üblichen OptiPlex, ThinkCentre und co ebenfalls nutzen.
Hier kann man natürlich allerhand Konfigurationen rauslesen und antesten, bis das richtige dabei ist. Jedoch sind Erfahrungswerte anderer CB Nutzer hier ebenfalls Gold wert.

Zum Thema Energie: Bei einem 20W Idle System ala 175,2kWh (pro Jahr) × 0,30€/kWh = 52,56€ -> Damit kann ich noch leben. Netgates und co ziehen natürlich deutlich weniger.


4.) Netgate 2100 / 4100 & co: Bin einfach nicht bereit die Preise zu zahlen für die verbaute Hardware. Hatte in der Vergangenheit eine 4100 im Einsatz, war soweit zufrieden. Preislich aber auch sehr ordentlich.


Wie man sieht, eine Menge Kram der mir da durch den Kopf geht. Allgemein sei gesagt, das ich absolut kein Problem damit habe was passendes zu basteln. Da kann ich für den Homeserver gleich mal üben:D Ich persönlich bin der Meinung das man nicht an jedem Euro sparen sollte, bin aber zeitgleich eben auch der Meinung "so teuer wie nötig, so günstig wie möglich". Kapazitäten für eventuelle Erweiterungen sind mir ebenfalls wichtig, damit ich nicht bei minimaler Änderung nur noch über die vorhandene Hardware fluche. Das entsprechende Rack-Format spielt keine Rolle, da ich jegliche Systeme in passende Gehäuse umbauen werde. Es ist also grundlegend alles an Hardware möglich. Auch Cases zurecht flexen, why not.

Ich hoffe das der ein oder andere von euch Erfahrungswerte parat hat und freue mich auf den tollen Austausch hier im Forum!
 
  • Gefällt mir
Reaktionen: Redundanz
OsiMosi schrieb:
Hatte ich ja schon im anderen Thread gesagt, für mich der klare Favorit einfach nen halbwegs aktuellen Intel i3 4-Kerner als Basis zu nehmen. Die haben ordentlich Leistung für Proxy, IDS, VPN bis Gigabit-Anschlüsse. Den Rest (RAM, MB, Formfaktor, Gehäuse, Rackmount, NT etc.) kann man dann je nach eigenen Wünschen zusammenbasteln. Einzige was man halt noch braucht, wenn man normale Desktop-Hardware verwendet, ist halt ne 4x 1Gb-NIC.
 
  • Gefällt mir
Reaktionen: OsiMosi
OsiMosi schrieb:
Anforderung.

Edit: Also ich würd wahrscheinlich auch erstmal auf die Suche nach nem kleinen Sockel1700-MB mit schon entsprechend vorhandener Anzahl an NICs gehen. Aber da ich das schonmal für ne ältere Plattform erfolglos hinter mir hatte, ist halt 4xGb NIC immer möglich.
 
  • Gefällt mir
Reaktionen: OsiMosi
Schön zu sehen, dass es noch andere gibt, die so bekloppt sind wie ich, bzw. vor den gleichen Problemem stehen wie ich. Ich nehme es gleich vorweg, ich hab auch nicht die perfekte Lösung gefunden, weil irgendwas ist immer. Etwas ähnlich zur Sache bei HomeBuilds, Du kannst nur zwei von drei haben (Leistung, klein, leise).

Die Alikisten sind auf den ersten Blick die beste Wahl. Gute Leistung, schmaler Taler. Es gibt aber auch Probleme: a) keine Gewährleistung b) keine BIOS Updates c) Sicherheit. Was meine ich mit Sicherheit? Gibt einige MiniPCs die mit installierter Malware ausgeliefert wurden. Ja ich weiß, Barebone, eigene Festplatte. Aber gibt ja auch andere Arten von Backdoors (BIOS). Da fühle ich mich nicht 100% optimal aufgehoben, weil ich hab die Firewall für mehr Sicherheit. d) Sicherheit physikalsich: Ich weiß immer nicht wie weit man so einem Ding trauen kann, dass nicht die Bude abbrennt.

Selber bauen: Sky is the limit, aber in den meisten Fällen wirds dann doch teurer, bzw. der Stromverbrauch. Hab das YT Video nicht gesehen, aber mit nem 10100 komm ich in meinem Haupserver auf minimum 25 Watt.

Momentaner Favorit und schon vorbereit ein Lenovo M720q mit Riser card von Ali und Intel 350. Ist nen Kompromiss und sollte auch genügend Lesitungsreserven haben mit nem G5400. Zur Not kommt halt ein i3 / i5 rein. Alternative, ein Impulskauf eines i3 NUC mit 1115, der hat zwei 2,5 Gigabit Ports... weil der aber 400 EUR gekostet hat, ist es eigtl zu Schade den nur als FW zu missbrauchen, andererseits so viel anderes kann er auch nicht (war mal als Kodi Player geplant, aber Plex und Shield / Apple TV funktionieren auch ganz gut).

----

Auch wenn es hier primär um die Hardware gehen soll, lässt sich das ja nicht isoliert von der Software bzw. der Anwendung sehen. Deine Anwendungen schreien natürlich eher nach N100 / i3. Und damit muss man dann halt auch sagen, kost mehr Strom. Ich für mich hab aber verschiedene Gedanken zu dem Thema, die mich das ganze auch nicht mehr mit Prio 1 verfolgen lassen.

OPNSense/pfsense. Theoretisch tolle Produkte, aber die Features die Spaß machen, kosten normalerweise, bzw. es gibt Freeversionen (sensei, und irgendwas mit Maxmind Geolocation). Das bin ich dann auf deren Goodwill angewiesen. Das lässt mich eigtl Sophos bevorzugen, weil da einfach mehr drinnen ist, was mir Sicherheit gibt (AV, Geoblocking etc.).

Hatte dann auch Sophos im Einsatz aber irgendwas war immer. Sodass ich sie irgendwann wieder offline genommen hab. Dazu kommt, traust Du Deinen eigenen Fähigkeiten genügend, dass Du sie dem Internet aussetzen willst, und was wäre das Risiko wenn jeman einbricht?

IPS ist gut, hat bei mir aber nie angeschlagen, wenn Du den Server dauerhaft exposed, wäre das natürlich interessant.

DPI - ist ja eh alles verschlüsselt, also eigtl auch sinnlos. Eigener Man in the middle ist zwar gut, aber für Banking nicht so ideal, musst Du also hädnisch alles rausnehmen.

Bin also im Ergebnis für Home und ohne dauerhate Exposure eine Servers erstmal wieder abgekommen. EInes Tages ggf den Lenovo in Betrieb nehmen ;-)
 
  • Gefällt mir
Reaktionen: OsiMosi
Ganz lieben Dank für deinen tollen Beitrag! :)

DFFVB schrieb:
die mit installierter Malware ausgeliefert wurden
Das hatte ich lustigerweise mal bei HardwareDeals auf YT gesehen. Habe ich tatsächlich nichtmal dran gedacht.

DFFVB schrieb:
aber mit nem 10100 komm ich in meinem Haupserver auf minimum 25 Watt.
Gibt in einigen anderen Quellen Systemkonfigurationen wo die User den entsprechenden Verbrauch angeben sowie die einzelnen Komponenten. Bspw.:

Fujitsu 550 Workstation
  • Mainboard: Fujitsu D3417-A12
  • RAM: 64GB DDR4 ECC
  • CPU: Intel Xeon 1225v5
  • Netzteil: Streacom Nano 160W (ähnlich Pico PSU)
  • Adapter: Bojiadafast 24pin->16pin Adapter (aliexpress)
  • SSD: WD SN850x 2TB
angegeben mit 6,7W. Keine Ahnung in wie weit das realistisch ist oder stimmt, aber da gibt es zu Hauf solche Configs.

Bzgl. i3:

HP Pro Desk 400 G6
  • 4,5W - 40W
  • Intel Core i3-10100T
  • HP Pro Desk 400 G6 Mainboard
  • HP 65W Default Netzteil
  • iGPU
  • 256gb HP NVME
  • 1 x 8GB DDR4-2666Mhz SO-DIMM
  • 1x CPU Kühler Default.

DFFVB schrieb:
Lenovo M720q mit Riser card von Ali und Intel 350
Schaue ich mir gleich mal direkt an. Der M720q war mir bei YT auch schonmal untergekommen.

Edit: Der M920 und der M920q sind preislich auch durchaus vertretbar. Da gibts dann auch nochmal nen netten i5. Dazu auch der Artikel.

DFFVB schrieb:
Hatte dann auch Sophos im Einsatz
Da habe ich bislang nur relativ viel Struggle bzgl Lizenzen und co gehört. Zudem wurde Sophos in einigen Berichten und Forumsbeiträgen (auch hier) richtig zerissen. Deswegen hatte ich den Gedanken gleich mal wieder verworfen.

DFFVB schrieb:
DPI - ist ja eh alles verschlüsselt, also eigtl auch sinnlos
Gebe ich dir auch wieder tendenziell recht.
 
Zuletzt bearbeitet:
OsiMosi schrieb:
aber da gibt es zu Hauf solche Configs.
Ja, man braucht da ne gute MB/NT-Kombi und im UEFI stellst du halt erstmal alles ab, was eh nicht gebracht wird. Und zusätzlich könnte man auch noch bisschen UV machen. Also 25W ist da definitiv komplett ungetuned.
 
  • Gefällt mir
Reaktionen: OsiMosi
Für Bastel- und Tüfteleien wäre ich mir da nicht zu schade, zumal ich ja im Prinzip auch nur nachkaufen & nachbauen müsste.
 
OsiMosi schrieb:
Quellen Systemkonfigurationen

Ja da hab ich auch schon die beeindruckendsten Werte gelesen, was dann letztlich auf den Kisten läuft frag ich mich auch immer. Zumal auch auf MyDealz immer gerne sehr niedrige Werte angegeben werden, wo dann auch Leute mit Ahnung darlegen dasss sie da nicht hinkommen. Ich denke mal mit sehr viel Geduld und ausprobieren, was man im BIOS abschaltet, kann man niedrige Werte erreichen. Wie gut das dann mit dem Rest des Systems harmonisiert ist eine andere Frage... (bspw. mit einer PCI Karte) und zieht wahrscheinlich nochmal den gleichen Aufwand nach sich. Also ja im idle schaffen die Leute wenig, in dem Moment, in dem Du Deine FW forderst kann Du die Werte vergessen. Der NUC fing mit der Sophos auch immer an zu pusten.

OsiMosi schrieb:
Gelten generell als sehr sehr stromsparend.

OsiMosi schrieb:
  • HP Pro Desk 400 G6 Mainboard
  • HP 65W Default Netzteil

Gut möglich, dass mit OEM Komponenten auch gute Werte erreichbar sind.

Zu den Pico PSUs, mit denen kann man tatsächlich sehr gute Werte erreichen. Der CB Netzteiltester früher (Hibble) hat mir davon aber mal abgeraten, weil unsicher und wollte HDPlex noch testen. Hat er leider nie, dafür haben Heise ein anderes Netzteil davon getestet, und das schnitt auch sooo gut ab. Wem man da jetzt was glauben soll, keine Ahnung. Zumal man davon ausgehen sollte, dass man ja auch davon hören würde, wenn die Dinger unsicher sind...

OsiMosi schrieb:
viel Struggle bzgl Lizenzen und co gehört.

Hm, also einmal wurde das Lizenzportal umgestellt, ansonsten hat das gut geklappt. Zur Leistungsfähigkeit, kann ich mangels Ahnung nichts sagen. Lief immer durch, und hatte zwei Mal was geblockt. Die Clients hatten öfter Probleme, aber auch als ich OPNsense genutzt hab. Ist halt Profi-Software, und gibt ja nicht umsonst Leute die sich dmait beruflich beschäftigen ;-) Hab mal mit einem Typen gesprochen der nach dem Bundestaghack das Netzwerk dort neu eingerichtet hat, der betrieb Zuhause auch eine OPNsense und meinte Sophos wäre zwar gut, aber viel zu mächtig.
 
  • Gefällt mir
Reaktionen: OsiMosi
DFFVB schrieb:
Die Alikisten sind auf den ersten Blick die beste Wahl. Gute Leistung, schmaler Taler. Es gibt aber auch Probleme: a) keine Gewährleistung b) keine BIOS Updates c) Sicherheit. Was meine ich mit Sicherheit? Gibt einige MiniPCs die mit installierter Malware ausgeliefert wurden. Ja ich weiß, Barebone, eigene Festplatte. Aber gibt ja auch andere Arten von Backdoors (BIOS). Da fühle ich mich nicht 100% optimal aufgehoben, weil ich hab die Firewall für mehr Sicherheit. d) Sicherheit physikalsich: Ich weiß immer nicht wie weit man so einem Ding trauen kann, dass nicht die Bude abbrennt.

Das ist meiner Meinung nach ein wichtiger Punkt der viel zu oft unter geht in den Diskussionen zu dem Thema. Die Sicherheit im Sinn der IT-Security macht mir weniger Sorgen. Ja, es gibt Hintertüren in UEFI und BIOS, aber in der breiten Masse sind sie mir bis jetzt noch nicht untergekommen. Und die Angreifer:innen, die über die Kapazitäten und das Know-How verfügen mir sowas gezielt unterzuschieben .. die sind dann ziemlich sicher auch in der Lage mich mit Drogen und Schraubenschlüssel daheim zu besuchen. :D

Aber so Dinge wie die Abwicklung von Garantie- und / oder Gewährleistungsfällen sind gegebenenfalls massiv schwerer als mit Markenherstellern oder dem Einkauf bei europäischen Händler:innen. Sollte man Support brauchen könnte der extrem schwer zu bekommen sein. Und so ganz traue ich der Elektronik in Komponenten wie dem Netzteil dann auch nicht. Auch wenn ich keinen greifbaren Grund dafür habe.
 
  • Gefällt mir
Reaktionen: OsiMosi
@schrht Naja man muss glaub ich schon unterscheiden:

Es ist via default da, so wie es Bloomberg vor Jahren mal bei Supermicro behauptet hat (für mich bis heute sehr spannend, was dahinter gestekct hat, einerseits haben es alle dementiert, andererseits, ziehen die sich das ja auch nicht aus dem Arsch, und als Journalsit verbrennst Du Deinen Namen nicht so mir nichts dir nichts), das ist meine Sorge hier.

Dass Dienste vorbeikommen, klar dagegen kannst Du nix machen
 
  • Gefällt mir
Reaktionen: OsiMosi
DFFVB schrieb:
Es ist via default da, so wie es Bloomberg vor Jahren mal bei Supermicro behauptet hat (für mich bis heute sehr spannend, was dahinter gestekct hat, einerseits haben es alle dementiert, andererseits, ziehen die sich das ja auch nicht aus dem Arsch, und als Journalsit verbrennst Du Deinen Namen nicht so mir nichts dir nichts), das ist meine Sorge hier.

Das würde ich differenziert sehen. Ich kenne die Supermicro-Geschichte (die nicht die einzigen Betroffenen waren, zumindest in einem Fall ging es um Hardware von Lenovo). Die genauen Umstände sind nie öffentlich bekannt geworden und man weiß als Ottonormalbürger bis heute nicht so ganz, ob Supermicro Komplize, Opfer oder Beides war. Aber egal was das Unternehmen selbst jetzt war, die eigentlichen Verursacher:innen waren chinesische Nachrichtendienste.

Da sind wir wieder bei dem Punkt mit Schraubenschlüssel und lustigen Substanzen. Wenn eine Organisationen mit solchen Ressourcen und solchem politischen Gewicht beschließt die Hardware zu kompromittieren, dann hast du verloren. Dagegen kannst du dich quasi nicht wehren. Wie man sieht ja nicht einmal wenn man zu bekannten Marken wie Supermicro oder Lenovo greift.

Aber ich mache mir keine Sorgen, dass ein "stinknormaler" Bösewicht BIOS- oder UEFI-Malware platziert. Und nachdem's in den meisten Fällen Barebones sind mache ich mir auch wenig Gedanken über irgendwas, was auf der Festplatte vorinstalliert kommen könnte. Das meinte ich mit der Aussage, dass ich mir in Bezug auf Sicherheit keine Sorgen mache.

Manchmal ärgere ich mich, dass es im Deutschen keine sprachliche Unterscheidungen gibt. Auf Englisch wäre das einfacher: "Security" bereitet mir weniger Kopfschmerzen bei den Aliexpress-Kisten, "Safety" ist das was mich etwas sorgt.
 
DFFVB schrieb:
Gelten generell als sehr sehr stromsparend.
Stand jetzt wird es wohl auch auf so eine Kiste mit passender Nic rauslaufen. Entweder Fujitsu, Dell, Lenovo oder HP. Eben die typischen Kandidaten auf dem Markt. Ich werde mal die ganzen Configs durchstöbern, zumindestens das aktuelle, da wird was passendes dabei sein. Finde die M720, M920, EliteDesks, Fujitsu Workstations und Pro Desks auf jeden Fall recht interessant. Denke da tut sich bei allen nicht viel.


Weitere Vorschläge zu den sonstigen Optionen nehme ich natürlich weiterhin sehr gerne an :D
 
Vorschlag meinerseits wäre noch:
HP EliteDesk Mini 800 G4
  • Core i5-8500 (65W TDP)
  • 16GB RAM 2.666 Mhz / CL 16
  • 256GB SSD NVME
  • Intel i350
SSD kann kleiner, RAM ebenfalls. Bekommt man allerdings so zum schmalen Taler bei Ebay. Zieht im Idle wohl 9-12W (laut servethehome). Da müsste dann noch ein gescheites Netzteil dran, dann sollte das für meine Anforderungen auch genügen.
 
Prinzipiell gut, aber wie kriegst Du die PCIe Karte da rein? M.2 auf PCIe Adapter?
 
  • Gefällt mir
Reaktionen: OsiMosi und qiller
DFFVB schrieb:
aber wie kriegst Du die PCIe Karte da rein?
qiller schrieb:
aber wie willst du da ne 4xGb NIC einbaun?

In mehreren Beiträgen (auch servethehome) war vom A+E M.2 Adapter die Rede. Damit soll es wohl relativ gut funktionieren. Platz ist bei mir ja nicht das Problem, wird ja sowieso ins Servercase umgebaut.

Ich könnte auch das WLAN Modul ausbauen und die NIC dort anbinden bzw den Steckplatz der M2 nutzen.

EDIT: Den habe ich auch noch gefunden. Ist aus dem Beitrag hier. Müsste dann nur entsprechend der Ports sein.

Ob das die beste / einzige Lösung ist kann ich aber noch nicht sagen :D Der G5 mit dem i5-9500 käme auch noch in Frage. Gleicher Preis, gleicher Verbrauch (laut Test).

Ansonsten wäre der M720s mit dem i5-9500 auch wieder interessant. Dort wäre entsprechend genug Platz / genug Steckplätze vorhanden.
 
Zuletzt bearbeitet:
Habe mich jetzt für diesen M920s mit dieser Karte entschieden. Im Idle liegt er mit dem EliteDesk gleich auf, CPU kann im Fall der Fill bis i9-9900 aufgewertet werden, PCIe ist da und mit weiteren Tweaks im Bios bekommt man Ihn unter Last wohl auch in den gewünschten Bereich. Netzteilmäßig muss ich nochmal schauen, was ich da ins Servercase passendes packe.
 
  • Gefällt mir
Reaktionen: DFFVB
Zurück
Oben