11
Hardware für pfSense - erneut
Liebe Gemeinde,
in Kürze möchte ich meine Fritte (7490) in den wohlverdienten Ruhestand schicken. Gerne würde ich den Großteil der geleisteten Arbeiten durch pfSense abdecken. Hierfür suche eine geeignete Hardware.
Ich betreibe als End-User ein kleines Netzwerk in unserem Haus. Das Netzwerk besteht aus der besagten Fritzbox 7490 (davor ist ein Glasfasermodem mit 1Gbit/s), einem alten Cisco SG300 (28 Ports), mehreren Raspberries sowie vier Unifi-APs (die Raspberries laufen eh – insofern ist die Controller-Software kein wirkliches Problem für mich).
Um die 1Gbit/s mit pfSense zu gewährleisten (auch über VPN) und auch nicht zu viel Strom zu „verbraten“ würde ich gerne als CPU einen Intel N100 wählen. Eine Option wäre daher
Option I: IPU410 (https://www.ipu-system.de/produkte/ipu410.html)
Alternativ würde ich ein ähnliches System direkt aus Fernost bestellen:
Option II: https://www.amazon.de/HUNSN-Firewall-Appliance-Console-Barebone/dp/B0CP4 ...
bzw. als 6-port Router
Option III: https://www.amazon.de/HUNSN-Firewall-Appliance-HDMI2-1-Barebone-B-N100/d ...
Bzgl. der drei Option hätte ich zwei Fragen:
1.) Ist die Hardware vergleichbar? Meine Frage bezieht sich insbesondere auf etwaige Flaschenhälse aufgrund gemeinsam genutzter Controller (Ist der Durchsatz identisch?).
2,) Was ist eine zukunftssichere RAM- bzw- Festplatten-Größe (natürlich kann man nicht verlötete RAM-Bausteine auch ersetzen.
3.) Sollte man lieber direkt eine 6-Port-Hardware wählen?
Vielen Dank im Voraus und ein verspätetes frohes neues Jahr.
Jo
in Kürze möchte ich meine Fritte (7490) in den wohlverdienten Ruhestand schicken. Gerne würde ich den Großteil der geleisteten Arbeiten durch pfSense abdecken. Hierfür suche eine geeignete Hardware.
Ich betreibe als End-User ein kleines Netzwerk in unserem Haus. Das Netzwerk besteht aus der besagten Fritzbox 7490 (davor ist ein Glasfasermodem mit 1Gbit/s), einem alten Cisco SG300 (28 Ports), mehreren Raspberries sowie vier Unifi-APs (die Raspberries laufen eh – insofern ist die Controller-Software kein wirkliches Problem für mich).
Um die 1Gbit/s mit pfSense zu gewährleisten (auch über VPN) und auch nicht zu viel Strom zu „verbraten“ würde ich gerne als CPU einen Intel N100 wählen. Eine Option wäre daher
Option I: IPU410 (https://www.ipu-system.de/produkte/ipu410.html)
Alternativ würde ich ein ähnliches System direkt aus Fernost bestellen:
Option II: https://www.amazon.de/HUNSN-Firewall-Appliance-Console-Barebone/dp/B0CP4 ...
bzw. als 6-port Router
Option III: https://www.amazon.de/HUNSN-Firewall-Appliance-HDMI2-1-Barebone-B-N100/d ...
Bzgl. der drei Option hätte ich zwei Fragen:
1.) Ist die Hardware vergleichbar? Meine Frage bezieht sich insbesondere auf etwaige Flaschenhälse aufgrund gemeinsam genutzter Controller (Ist der Durchsatz identisch?).
2,) Was ist eine zukunftssichere RAM- bzw- Festplatten-Größe (natürlich kann man nicht verlötete RAM-Bausteine auch ersetzen.
3.) Sollte man lieber direkt eine 6-Port-Hardware wählen?
Vielen Dank im Voraus und ein verspätetes frohes neues Jahr.
Jo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8110270791
Url: https://administrator.de/contentid/8110270791
Printed on: May 1, 2024 at 23:05 o'clock
11 Comments
Latest comment
Moinsen,
zu 1) bin ich der Falsche, zu wenig Ahnung und keine Lust, die Specs zu studieren... ;)
zu 2) RAM und Festplattenspeicher sind idR ja abhängig davon, was du alles auf der pfsense laufen lassen willst ("nur" routing und ein paar Regeln und VPN oder auch pfblocker mit vielen Listen, IDS und IPS, alles ausführlich loggen?). "Zukunftssicher" ist also trotzdem von deinem setting abhängig...mehr als 8 GB RAM müssen vermutlich (!) nicht sein, hdd so ab 20 GB is zu 100 GB sollte für die meisten vermutlich passen.
zu 3) Warum so viele NICs an der Firewall selber? Ich denke, das meiste wird doch eher via switch gemacht. Also pfsense mit switch verbinden, da dann eher mehr Ports einplanen und mit VLANs arbeiten. Die Verbindung zwischen pfsense und switch ggf. als LAGG oder eben bei der Hardware auf (mehr als) 2,5 GBit/s achten...
Aber ich bin nur Hobbykelleradmin, da kommen sicherlich auch ganz andere Einschätzungen.
Viel Spass beim Einrichten!
zu 1) bin ich der Falsche, zu wenig Ahnung und keine Lust, die Specs zu studieren... ;)
zu 2) RAM und Festplattenspeicher sind idR ja abhängig davon, was du alles auf der pfsense laufen lassen willst ("nur" routing und ein paar Regeln und VPN oder auch pfblocker mit vielen Listen, IDS und IPS, alles ausführlich loggen?). "Zukunftssicher" ist also trotzdem von deinem setting abhängig...mehr als 8 GB RAM müssen vermutlich (!) nicht sein, hdd so ab 20 GB is zu 100 GB sollte für die meisten vermutlich passen.
zu 3) Warum so viele NICs an der Firewall selber? Ich denke, das meiste wird doch eher via switch gemacht. Also pfsense mit switch verbinden, da dann eher mehr Ports einplanen und mit VLANs arbeiten. Die Verbindung zwischen pfsense und switch ggf. als LAGG oder eben bei der Hardware auf (mehr als) 2,5 GBit/s achten...
Aber ich bin nur Hobbykelleradmin, da kommen sicherlich auch ganz andere Einschätzungen.
Viel Spass beim Einrichten!
Servus,
warum keine gebrauchte Sophos? Du kannst dort auch PFSense aufspielen.
Für 1 GBit Durchsatz via VPN musst du da selbst gebraucht ordentlich was hinlegen. Ich finde aber die Anforderung 1 GBIt via VPN etwas viel, willst Du Daten über VPN in immensen Mengen transferieren?
Für was anderes fällt mir kein use-case für 1 GBit VPN-Durchsatz ein.
Schau dich einfach mal bei den gebrauchten Sohops um, die "verknallen" idr maximal um die 40-60W. Also recht human, für Volllast-Szenarien.
Was RJ-45 Ports angeht:
Mir würden da 3 (+1) völlig ausreichen.
1x WAN
1x LAN
1x WLAN
1x DMZ (Falls von nöten, im Heimbetrieb häufig nicht benötigt)
Theoretisch kann man das aber je nach Traffic auch über zwei RJ-45 (LAN / WAN) mit virtuellen Interfaces abwickeln.
warum keine gebrauchte Sophos? Du kannst dort auch PFSense aufspielen.
Für 1 GBit Durchsatz via VPN musst du da selbst gebraucht ordentlich was hinlegen. Ich finde aber die Anforderung 1 GBIt via VPN etwas viel, willst Du Daten über VPN in immensen Mengen transferieren?
Für was anderes fällt mir kein use-case für 1 GBit VPN-Durchsatz ein.
Schau dich einfach mal bei den gebrauchten Sohops um, die "verknallen" idr maximal um die 40-60W. Also recht human, für Volllast-Szenarien.
Was RJ-45 Ports angeht:
Mir würden da 3 (+1) völlig ausreichen.
1x WAN
1x LAN
1x WLAN
1x DMZ (Falls von nöten, im Heimbetrieb häufig nicht benötigt)
Theoretisch kann man das aber je nach Traffic auch über zwei RJ-45 (LAN / WAN) mit virtuellen Interfaces abwickeln.
Hallo
Die gibt es doch auf der Herstellerseite: https://www.hunsn.com/collection/fanless-industrial-pc
Im Ernst: "HUNSN", mehrere Raspberrys - was für eine Leidensfähigkeit.
Ich würde so ein kurzes 1U-System von Supermicro aussuchen, mit SSDs und 64 GB RAM ausstatten, dann einen pfSense-Cluster und die Workloads der Raspberrys darauf virtualisieren. Danach ist immer noch etwas Platz.
Dokumentierte, stabile und ausbaufähige Hardware, kein Kabelgewirr und ausreichend Leistung. Wenn du mal einen neuen Switch hast, steckst du eine 10GbE-Karte rein, falls die nicht eh schon an Bord ist.
Grüße
Richard
Quote from @th30ther:
Moinsen,
zu 1) bin ich der Falsche, zu wenig Ahnung und keine Lust, die Specs zu studieren... ;)
Moinsen,
zu 1) bin ich der Falsche, zu wenig Ahnung und keine Lust, die Specs zu studieren... ;)
Die gibt es doch auf der Herstellerseite: https://www.hunsn.com/collection/fanless-industrial-pc
Im Ernst: "HUNSN", mehrere Raspberrys - was für eine Leidensfähigkeit.
Ich würde so ein kurzes 1U-System von Supermicro aussuchen, mit SSDs und 64 GB RAM ausstatten, dann einen pfSense-Cluster und die Workloads der Raspberrys darauf virtualisieren. Danach ist immer noch etwas Platz.
Dokumentierte, stabile und ausbaufähige Hardware, kein Kabelgewirr und ausreichend Leistung. Wenn du mal einen neuen Switch hast, steckst du eine 10GbE-Karte rein, falls die nicht eh schon an Bord ist.
Grüße
Richard
Ich würde so ein kurzes 1U-System von Supermicro aussuchen, mit SSDs und 64 GB RAM ausstatten, dann einen pfSense-Cluster und die Workloads der Raspberrys darauf virtualisieren.
Steile These, wenn man nicht weiß, was der TO mit den RPis macht:Will mal sehen, wie du die I/O-Leiste(n) der Rapid virtualisieren willst, wenn die womöglich aktuell an verschiedenen Stellen in der Wohnung/ im Haus Messdaten erfassen/ Dinge steuern…
@to
Würde da ebenfalls ne gebrauchte SG hinsetzen. Ne SG125 oder 135 sollte das Wuppen können.
Leistung wirst du aber brauchen, wenn du 1G an VPN-Durchsatz haben willst.
a) 1 Gbit/s VPN ist doch Quatsch. Der Uplink ist doch das Limit! Und symmetrische Privatkundentarife sind in D eher unüblich. Also reden wir eher von 100 Mbit?
b) Ich würde – wenn ich schon jenseits der 300 EUR ausgebe – SFP+ Ports erwarten.
c) Ne SG125 wäre mir zu wacklig. Ich meine, ich hab ne 115er und das ist schon sehr zäh. Und von 1 Gbit/s Firewalldurchsatz reden wir da auch nicht und die möchtest Du ja im LAN schon haben. Ich tendiere eher zur 135er in der 3. Generation. Hat dann aber nur SFP (ohne Plus). Interessanter mMn. die 200er Serie … hab aber keine volle Tiefe im Schrank.
d) Überlege Dir, welches VPN Du nutzen möchtest und prüfe ob Du dazu evtl. extra HW-Unterstützung benötigst (z.B. ipsec).
https://utm-shop.de/firewall/sophos/sophos-sg/sg135/hardware-appliance/1 ...
https://www.servethehome.com/?s=firewall
b) Ich würde – wenn ich schon jenseits der 300 EUR ausgebe – SFP+ Ports erwarten.
c) Ne SG125 wäre mir zu wacklig. Ich meine, ich hab ne 115er und das ist schon sehr zäh. Und von 1 Gbit/s Firewalldurchsatz reden wir da auch nicht und die möchtest Du ja im LAN schon haben. Ich tendiere eher zur 135er in der 3. Generation. Hat dann aber nur SFP (ohne Plus). Interessanter mMn. die 200er Serie … hab aber keine volle Tiefe im Schrank.
d) Überlege Dir, welches VPN Du nutzen möchtest und prüfe ob Du dazu evtl. extra HW-Unterstützung benötigst (z.B. ipsec).
https://utm-shop.de/firewall/sophos/sophos-sg/sg135/hardware-appliance/1 ...
https://www.servethehome.com/?s=firewall
Vielen Dank für euren Beiträge!
@c.r.s.: Die Raspberrys kann ich aus mehreren Gründen nicht virtualisieren. Auch wenn dies möglich wäre, so würde ich dies jedoch niemals umsetzen. Single-point-of-failue ist keine gute Idee bei wichtigen Diensten.
@Visucius: Mir sind die gegenwärtigen Randbedingungen des Internetanschlusses schon bewusst. Ich muss allerdings in Kürze meine Anbindung gerade deswegen upgraden.
Was meine Hardwarevorschläge anbelangt, so möchte ich meine Vorgehensweise kurz begründen:
1.) Unter dem Link https://teklager.se/en/openvpn-hardware/ ist die Performance für vergleichbare Hardware dargestellt (TLSense N100L4 OpenVPN router). Hier sehen die Daten für ein N100-System sehr vielversprechend aus.
2.) Benchmarks findet man auch unter https://kb.protectli.com/kb/openvpn-performance-on-the-vault
Wenn ich hier eine der N100 ähnlich leistungsstarke CPU zum Vergleich heranziehe, so bin ich ebenfalls recht optimistisch.
Daher meine Frage: Ist das von mir favorisierte Setup wirklich zu leistungsschwach. Ich würde ungerne mit "Kanonen auf Spatzen schießen"
@c.r.s.: Die Raspberrys kann ich aus mehreren Gründen nicht virtualisieren. Auch wenn dies möglich wäre, so würde ich dies jedoch niemals umsetzen. Single-point-of-failue ist keine gute Idee bei wichtigen Diensten.
@Visucius: Mir sind die gegenwärtigen Randbedingungen des Internetanschlusses schon bewusst. Ich muss allerdings in Kürze meine Anbindung gerade deswegen upgraden.
Was meine Hardwarevorschläge anbelangt, so möchte ich meine Vorgehensweise kurz begründen:
1.) Unter dem Link https://teklager.se/en/openvpn-hardware/ ist die Performance für vergleichbare Hardware dargestellt (TLSense N100L4 OpenVPN router). Hier sehen die Daten für ein N100-System sehr vielversprechend aus.
2.) Benchmarks findet man auch unter https://kb.protectli.com/kb/openvpn-performance-on-the-vault
Wenn ich hier eine der N100 ähnlich leistungsstarke CPU zum Vergleich heranziehe, so bin ich ebenfalls recht optimistisch.
Daher meine Frage: Ist das von mir favorisierte Setup wirklich zu leistungsschwach. Ich würde ungerne mit "Kanonen auf Spatzen schießen"
Was genau zwingt dich denn dazu 1 GBit/s über VPN zu schaffen?
Ist dieser Durchsatz regelmäßig zu erreichen? Wenn ja: Ein- oder/und ausgehend?
Die Tabelle sieht vielversprechend aus, aber ob das realistisch ist oder nur theoretische Werte unter Laborbedingungen wird man ausschließlich in der Praxis feststellen.
Wenn du eine symmetrische 1 GBit/s Leitung ordern solltest, welche ja einige Hunderter pro Monat kosten wird, dann ist die Ausgabe ja für eine ordentliche Firewall ja eigentlich kein Thema.
JM2C
Gruß
Marc
Ist dieser Durchsatz regelmäßig zu erreichen? Wenn ja: Ein- oder/und ausgehend?
Die Tabelle sieht vielversprechend aus, aber ob das realistisch ist oder nur theoretische Werte unter Laborbedingungen wird man ausschließlich in der Praxis feststellen.
Wenn du eine symmetrische 1 GBit/s Leitung ordern solltest, welche ja einige Hunderter pro Monat kosten wird, dann ist die Ausgabe ja für eine ordentliche Firewall ja eigentlich kein Thema.
JM2C
Gruß
Marc
1
@Frontier warum eine Bastellösung?
Warum nimmst du nicht ordentliche Hardware?
Ich bin gerade im November von einem NUK zu einer Netgate 6100 umgestiegen und kann nur sagen, es war die richtige Entscheidung (für mich Lohnt es sich so schon da die pfSense+ Lizenz schon mit inklusive ist) und wenn ich Rechner das ich jährlich ca. 130€ zahlen müsste bin ich für mich damit Fein.
Warum nimmst du nicht ordentliche Hardware?
Ich bin gerade im November von einem NUK zu einer Netgate 6100 umgestiegen und kann nur sagen, es war die richtige Entscheidung (für mich Lohnt es sich so schon da die pfSense+ Lizenz schon mit inklusive ist) und wenn ich Rechner das ich jährlich ca. 130€ zahlen müsste bin ich für mich damit Fein.
Zunächst möchte ich mich bei euch für die Kommentare und die Hilfe bedanken!
Mir ist natürlich bewusst, dass es bessere bzw. etabliertere Hardware für pfSense gibt. Ich hätte auch prinzipiell kein Problem damit, mehr Geld zu investieren. Was mich aber davon bislang abhält sind die folgenden zwei Gründe:
1.) Bislang konnte ich nicht erkennen, warum die von mir in Erwägung gezogene Hardware nicht ausreichend ist.
2.) Bislang dachte ich immer, die IPU-Systeme sind genau für meinen Anwendungsfalls gedacht. Ob ich die IPU-Systeme verwende, oder direkt vom "Zulieferer" kaufe, ist vermutlich zweitrangig.
Mir ist natürlich bewusst, dass es bessere bzw. etabliertere Hardware für pfSense gibt. Ich hätte auch prinzipiell kein Problem damit, mehr Geld zu investieren. Was mich aber davon bislang abhält sind die folgenden zwei Gründe:
1.) Bislang konnte ich nicht erkennen, warum die von mir in Erwägung gezogene Hardware nicht ausreichend ist.
2.) Bislang dachte ich immer, die IPU-Systeme sind genau für meinen Anwendungsfalls gedacht. Ob ich die IPU-Systeme verwende, oder direkt vom "Zulieferer" kaufe, ist vermutlich zweitrangig.
Ich habe jetzt einen Rechner mit Intel N100-CPU sowie mit 4 X i226 bestellt.
Es wäre interessant, ob das bestellte Gerät die 1 GBit/s via VPN stabil liefern kann oder eher nicht.
Danke im Voraus für eine kurze Wasserstandsmeldung dahingehend.
Gruß
Marc
