Ubuntu-Firewall mit Mini-PC (Raspberry Pi?)

Juleru

Lt. Junior Grade
Registriert
Juni 2006
Beiträge
293
Hallo zusammen,

ich hoffe, ich bin hier im Subforum richtig!
Wir möchten bei uns eine Ubuntu-Firewall auf einem Mini-PC anlegen, die Frage ist, was man dafür am besten nimmt (mit zwei Gigabit-Lan-Ports, womöglich sogar 2.5G):

Sowohl der Raspberry Pi 4B als auch der 5B haben einen Gigabit-LAN-Port und Ubuntu bietet ein Image für Raspberry Pi an, das ist schon mal gut, aber wie füge ich einen zweiten hinzu? Der 5B hat einen PCIe 2.0 x1 Port, der schafft aber angeblich nur 500Mbit. Beide Modelle haben aber zwei USB 3.0 Ports und angeblich teilen die sich 4Gbit/s - stimmt das und könnte man somit einfach einen USB 3.0 -> Gigabit LAN Adapter benutzen + den bestehenden LAN-Port?

Es gibt außerdem diese "dual gigabit carrier board"s (z.B. das von Waveshare), benutzt jemand hier so etwas?

Die andere Frage ist, wie stabil eine Firewall überhaupt auf einem Raspberry Pi läuft. Sollte man lieber etwas anderes benutzen, z.B. einen MSI Cubi (es gibt auch Versionen mit 2x 2.5G - aber gibt es dafür Ubuntu-Treiber?) oder überhaupt einen selbst gebauten Mini-PC (soll halt auch nicht gleich 800€ kosten)?
 
Finde den Ansatz falsch. Für Firewalls nimmt man inzwischen opnsense oder pfsense. Als Hardware würde ich eher einen Mini PC mit mindestens 2 Gigabit Lan Ports und X64 CPU nehmen.

Man kann natürlich auch Lan Ports per USB Adapter benutzen, musste ich weil der am Mini PC kaputt gegangen ist, auch machen, aber gibt da fertige Lösungen für nicht mal 200 €, die definitiv ausreichend sind.

Sowas hier z.B:

https://www.amazon.de/Firewall-Appl...lpcontext&ref_=fplfs&psc=1&smid=AM18XA8VB8PI8
 
  • Gefällt mir
Reaktionen: Der Lord und azereus
Statt Ubuntu würde ich eher auf eine spezialisierte Distro mit entsprechenden Interface setzen (pfSense/OpenWRT?), oder gibt es einen Grund für Ubuntu?
 
  • Gefällt mir
Reaktionen: JackForceOne und azereus
@Tornhoof
Danke, schaue ich mir durch. Wurden die auch mit Ubuntu getestet? Die Frage ist auch, was von der Leistung her ausreicht. Habe schon gesehen, dass es auch Mini-PCs um 500+ Euro gibt (sogar 1000+), aber das ist dann natürlich zu teuer und dann könnten wir uns gleich einen normal-großen hinstellen.
Edit: Haben die Liste schnell durchgeschaut: Die Modelle von ASUS und ASRock mit zwei LAN-Ports kosten halt 500+ Euro und ich frage mich, ob das dann nicht Overkill ist, wenn man damit nur eine Firewall betreiben möchte.

@kartoffelpü
Das ist das, was die Person, die die Firewall dann einrichtet und wartet, schon kennt und von der wir wissen, dass es gut funktioniert. Ich kümmere mich um die Recherche und den "Einkauf". Der Vorteil bei einem Mini-PC ist, dass man ihn dann auch andersweitig benutzen kann.

@nebulein
Das ist der Wunsch der Person, die das dann zu warten hat (siehe ^).
Wir wollten halt auch nicht irgendein Ding eines unbekannten Herstellers bestellen, sondern es muss etwas einer bekannten Firma sein, auf das man sich somit auch verlassen kann.
 
Zuletzt bearbeitet:
Juleru schrieb:
Das ist das, was die Person, die die Firewall dann einrichtet und wartet, schon kennt und von der wir wissen, dass es gut funktioniert
Lass mich raten: Es wird Ubuntu mit Desktop installiert werden...
Juleru schrieb:
Der Vorteil bei einem Mini-PC ist, dass man ihn dann auch andersweitig benutzen kann.
Das will man aber mit einer Firewall nicht...
 
  • Gefällt mir
Reaktionen: JackForceOne, Der Lord und BFF
@Sykehouse
Das weiß ich nicht. Wäre das ein Problem?
Ich meinte statt der Firewall. Das ist aktuell mal die Lösung, die benutzt wird, wenn wir aber in 2 Jahren draufkommen, dass wir das doch anders machen wollen, könnte man einen Mini-PC zumindest auch z.B. als Medienserver benutzen (gerade bei einen Raspberry Pi gibt es viele Möglichkeiten).
 
Zuletzt bearbeitet:
Naja du schreibst hier halt in die Heimnetzwerkgruppe, jetzt liest sich das eher nach etwas auf Unternehmensebene.

Eine Firewall ist nichts wo ein "Laie" dran herumstricken sollte, vor allem wenn man schon eine etwas vorsichtig gesagt, interessante Basis, dafür nutzt, ist das halt vielleicht etwas das man lieber outsourcen sollte und in die Betreuung eines Systemhauses gibt.

Bei der Firewall ist halt die Einrichtung und Betreuung das A & O. Das geht schon los mit, dass man überhaupt erkennen sollte, wenn ein Angriff statt findet.

Zum Thema Hardware am Beispiel der opnsense reicht es aus ein Backup der Config zu haben, um das Teil innerhalb von Minuten wieder aufzubauen. Wenn man da eine hohe Ausfallsicherheit möchte, kann man auch entweder 2 Firewalls als Cluster einsetzen oder eben einen 2. Mini PC kaufen und diesen als Ersatz nebendran legen.

Das wird trotzdem günstiger sein als ein Markengerät und mal ehrlich, oben schreibst du als Basis im Eingangspost einen Raspberry Pi inkl. Waveshare Board, schreibst jetzt aber kein unbekanntes Ding irgendeines Herstellers. Diese Platinen in den Mini PCs werden genauso wie der Raspberry Pi in China gefertigt.

Würde mich nicht wundern wenn die Teile aus der gleichen Fabrik bzw. ähnlichem Band laufen. Waveshare z.B. sitzt in Shenzhen in China.

Wenn es dabei um zuverlässige Partner geht, gibt es mit z.B. Thomas-Krenn oder Netgate auch Unternehmen die darauf spezialisiert sind.

Edit:

opsense verkauf übrigens eigene Hardware:

https://shop.opnsense.com/product-categorie/hardware-appliances/
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: JackForceOne
Zu Ubuntu: Man kann auch mit nem Panzer Brötchen holen statt zu Fuß zu gehen. Ob das sinnvoll ist, ist ne andere Sache :)
Aber wenn der Wunsch Ubuntu ist, ist es halt so...

Juleru schrieb:
Die Frage ist auch, was von der Leistung her ausreicht
Kommt letztendlich auf viele Faktoren drauf an, daher kann man das nicht so einfach sagen.
u.a. Durchsatz, Komplexität des Regelwerks, wie viele Geräte, wie viel VPNs werden parallel genutzt (wenn überhaupt),...
 
@nebulein
Die Person, die sich dann um die Firewall kümmert, hat schon Erfahrung mit Ubuntu-Firewalls (und Ubuntu), deswegen soll auch hier wieder Ubuntu benutzt werden.
Ein Raspberry Pi ist eine bekannte Sache (wir benutzen mehrere, u.a. für den 3D-Drucker), denen vertraue ich. Das Waveshare-Board ist ein Beispiel und ich habe nur diese Firma gewählt, weil wir schon einen CSI-Adapter von denen benutzen (für piKVM) - falls es eine andere, bessere Firma gibt, nehmen wir natürlich die bzw. wenn der USB->RJ45 Adapter eher zu empfehlen ist, den.
Es geht eher um Komplettlösungen von unbekannten Herstellern, denn falls es Probleme gibt, bekommt man von z.B. Asus vermutlich eher Support als von irgendeinem China-Anbieter auf Amazon, den es dort vielleicht in einem Jahr nicht mehr gibt.
Bieten Thomas-Krenn und Netgate auch Mini-PCs an oder geht's bei denen eher um größere Komplett-Lösungen samt vorinstallierter Firewall?

@kartoffelpü
Ubuntu läuft auf dem Raspberry Pi, das weiß ich schon, aber sagen wir mal so: Kann man auf einem davon (4B oder 5B) überhaupt eine kleine Firewall (kein VPN) verlässlich betreiben? Denn wenn es darauf schon läuft, sollte auch der billigste z.B. MSI Cubi kein Problem machen (falls sich denn Ubuntu darauf installieren lässt). Die genauen Anforderungen kann ich erfragen.
 
Statt auf Support zu achten würde ich bei einer Firma eher auf Ausfallsicherheit achten, also z.B. Redundanz aufbauen. Was bringt es dir, wenn Asus dir bei einem Comsumergerät zwar Support bietet (z.B. Austausch innerhalb von undefinierter Zeit), die Firma währenddessen aber offline ist?
Wenn schon Gebastel und günstig, würde ich mir einfach ein zweites Gerät daneben stellen, welches genau so eingerichtet ist und im Notfall nur 1:1 ausgetauscht werden muss.
 
  • Gefällt mir
Reaktionen: nebulein und JackForceOne
Dass das Ding stabil läuft, setze ich natürlich voraus. Den Vorschlag mit einem zweiten, identen Modell werde ich der Person weitergeben, daran habe ich gar nicht gedacht, danke für den Tipp. Bei einem normalgroßen PC kann man ja einfach Hardware austauschen, bei einem Mini-PC schaut das aber vermutlich anders aus wegen des Formfaktors, oder? Zuerst müssen wir aber erst einmal ein passendes Gerät finden.
 
Netgate & opnsense selbst bieten auch Mini PCs an, Thomas-Krenn geht dann schon eher in die Richtung einer Enterprise Lösung. Wir hatten aber gerade z.B. bei einem unserer Kunden ein Mainboard defekt und das war innerhalb von 24 Stunden vor Ort.

Dein Beispiel mit Asus hinkt halt etwas, weil die Consumer Hardware verkaufen, sprich ja die bieten Support, aber wenn du 4 - 6 Wochen warten musst, mal überspitzt gesagt, dann bringt dir der Support des Herstellers einfach wenig.

Bei allem kommt es immer auch darauf an, wie systemkritisch das ist. Wie stark seid Ihr eingeschränkt, wenn die Firewall nicht funktioniert? Wie viel Bandbreite bzw. Traffic geht durch?

Ich hatte privat bis vor kurzem einen N95 als Firewall und wenn meine Glasfaserleitung mit voller Bandbreite gezogen hat, ist da schon mal kurzfristig ein Kern auf 100% Auslastung gegangen, aber die Leitung und Datenrate blieb stabil. Ein Pi wäre da mit Sicherheit in die Knie gegangen.

Hier gibt es einige Performance Tests:

https://www.thomas-krenn.com/de/wiki/Thomas-Krenn_OPNsense_Firewall_Performance

Bei den Mini PCs kann man auch die SSD, RAM etc. tauschen, CPU ist meistens fest verbaut. Trotzdem muss ich sagen die gemachten Erfahrungen sind eher, dass die Dinger wegen zu alt ausgetauscht werden, als dass da was anderes als der Lüfter mal kaputtgeht.

Es ist natürlich auch ein Unterschied, ob so ein Teil gefordert wird und eine hohe Last dauerhaft hat oder der quasi nur herum idled. Wenn kein VPN genutzt wird, da wenig traffic durch geht, keine features wie ids, ips oder zenarmor laufen, wird sich das in Grenzen halten.
 
Alle gut gemeinten Hinweise werden wohl an

Juleru schrieb:
Die Person, die sich dann um die Firewall kümmert, hat schon Erfahrung mit Ubuntu-Firewalls (und Ubuntu), deswegen soll auch hier wieder Ubuntu benutzt werden.

scheitern. Egal welche HW / Lösung vorgeschlagen wird.

Ich persönlich hätte da ein etabliertes Produkt als FW eingesetzt anstatt einer Bastellösung aka Pi/Mini mit Ubuntu Desktop.
 
@nebulein
Ich denke mal, der schnelle Thomas Krenn Support bezieht sich nur auf Deutschland, oder?
Wir wollen Probleme selbst beheben können (soweit möglich), damit wir nicht auf irgendeinen Termin warten müssen. Klar, wenn das Motherboard oder die CPU kaputt ist, wird es etwas länger dauern, aber wenn die SSD, etc. kaputt wird, muss das innerhalb von ein paar Stunden lösbar sein. Beim Raspberry Pi besteht der Vorteil darin, dass wir einfach die microSD in einen anderen einsetzen (oder eine neue microSD flashen) könnten. Bei unserem PC, auf dem die Firewall aktuell läuft, geht das auch recht schnell, weil es ein normaler Midi Tower ist, aber diesen PC wollen wir umfunktionieren und der Firewall stattdessen ihren eigenen kleinen Rechner geben.
Ich hatte privat bis vor kurzem einen N95 als Firewall und wenn meine Glasfaserleitung mit voller Bandbreite gezogen hat, ist da schon mal kurzfristig ein Kern auf 100% Auslastung gegangen, aber die Leitung und Datenrate blieb stabil. Ein Pi wäre da mit Sicherheit in die Knie gegangen.
N95?
Das war eben die Frage. Demnächst kommt (hoffentlich endlich) Glasfaser auch zu uns und das kleine Teil soll dann auch einer 1000/500-Leitung standhalten können (zwar keine Dauerbelastung mit dieser Geschwindigkeit, wird aber oft genug vorkommen, kein VPN). Daher wären Erfahrungsberichte von Leuten, die einen Raspberry Pi für ihre Firewall benutzen (egal, ob mit Ubuntu oder welchem OS auch immer), interessant.

Eine Alternative wäre ein kleines Gehäuse mit Mini-ITX oder mATX und z.B. einem i3. Vorteil: Leichter reparierbar. Nachteil: Um einiges teurer, größer (noch ein großes Ding, das herumsteht...) und ev. auch mit externem Netzteil (keine Ahnung, wie das genau funktioniert). :/

Ich persönlich hätte da ein etabliertes Produkt als FW eingesetzt anstatt einer Bastellösung aka Pi/Mini mit Ubuntu Desktop.
Zum Beispiel? Bei kompletten Fertiglösungen ist man bei Problemen normalerweise auf den Support von dieser Firma angewiesen (der wird bei den rein-chinesischen Lösungen eher nicht-existent sein), hat oft nicht mal Zugriff auf das komplette System und dann gibt's vielleicht irgendwann keine Updates mehr (bei Ubuntu eher unwahrscheinlich). Das wollen wir alles, so gut wie möglich, vermeiden. Z.B. ein MSI Cubi ist einfach ein kleiner PC, die Frage ist, wie wartbar die Hardware ist (wenn man das Ding überhaupt selbst aufschrauben kann, ohne es komplett zu zerstören).
 
Zurück
Oben