18.09.2022, aktualisiert am 19.09.2022

14179

OPNsense Hardware für Eigenbau

Hallo Leute,

ich möchte von meiner UDM PRO weg hin zu OPNsense, da es einfach zu viele Firmwaremacken gibt und es nicht besser wird. Sonst habe ich APs und Switche von UniFi.
PCs habe ich früher gerne zusammengebaut aber schon länger nur wage den Markt beobachtet.

Ich suche schon einige Zeit nach vernünftiger Hardware. Ich hatte mir schon die IPUs angeschaut und finde sie an sich nicht schlecht, nur fehlen mir die SFP Ports für die Zukunft. Die OPNsense Hardware von Deciso finde ich "ok", aber etwas zu teuer für das gebotene.
Wenn ich schon jetzt umsteige, dann möchte ich gleich so zukunftssicher unterwegs sein wie möglich.

Ich möchte das Ganze gerne in 2HE bauen, da 1HE schwer leise zu kühlen ist und mein Netzwerkschrank aktuell in der Wohnung steht.
Finde Rackgeräte einfach schicker und aufgeräumter.

Ich hatte an folgendes gedacht:

- i3/5 10xxx oder Ryzen 3/5 (jeweils mit hohem Singlecore Takt)
- (m)ATX Board
- 16 GB RAM
- SSD ist klar
- Intel NIC mit 4x1GBit
- Platz für zusätzliche SFP+ Karten (1-2 SFP+ Ports würde ich von Anfang an nutzen) 10GBit möchte ich später mal nutzen. SFP Switch wird dann besorgt.
- 1GBit IPS und falls nötig auch Reserve nach oben. Die UDM Pro macht da 3.5 GBit max.

LTE Failover wird genutzt.
Ich möchte gerne IPS laufen lassen mit GeoIP und diversen Filtern. Zenarmor muss nicht sein, aber da möchte ich halt genug Reserve für die Zukunft haben.

Sollte nicht ganz so viel Strom fressen und da 2HE recht leise sein.

Was haltet ihr von meinem Vorhaben bzw, kann jemand etwas vernünftiges an Hardware empfehlen?
_____________________________________
Info am Rande:
Ich nutze aktuell für Proxmox:

ASRock X300 | Ryzen 5 4650G | 64 GB RAM | 2 x 250 GB SSD + 2 x 1 TB NVMe jeweils RADI1

und bin bei ca. 10-12W idle (1-2% CPU max) mit 8 LXC und 2 VMs. Daher bin ich recht angetan von den Ryzens.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 3979900291

Url: https://administrator.de/contentid/3979900291

Ausgedruckt am: 19.11.2024 um 19:11 Uhr

27 Kommentare

Neuester Kommentar

OPNSense benutzt als Betriebssystem FreeBSD.

Die ultimative Hardware-Liste, die FreeBSD unterstützt, gibt es hier:
https://www.freebsd.org/releases/13.0R/hardware/#support

Ansonsten: "nicht ganz so viel Strom fressen" bedeutet maximal wieviel W genau für dich?

Danke, den Link schaue ich mir morgen mal genauer an.

Würde sagen idle so 10-15 Watt. Unter Last steigt der Verbrauch eh. Ist aktuell ja auch so.

CPU ist halt ne schwere Wahl, übertreibt man hat man halt Geld verplempert. Ist es zu knapp, läuft das Teil dauernd unter Volllast und verbraucht unnötig viel.

Der Ryzen aus meinem Proxmox System ist recht sparsam. Da gibt es aber wohl besseres/neueres.

Intel NICs sind klar, SSD auch. RAM wohl ECC.

Budget dachte ich an 800€ +/-

N’Abend,

sieh dir mal die 1HE Server von Supermicro an. Da gibt es auch Chassis mit Front I/O.

Ich habe diese mit 10-Core Atom Prozessoren bei mir laufen. Vorn jeweils einen 4-Port 10Gbit Intel NIC. Die Performance ist optimal.

@admins wenn nicht erlaubt bitte rausnehmen

Ich habe mir das hier bestellt:
https://www.1he-server.com/1_4.html

LG
Theo

Also die Mindestanforderungen von Zenarmor gibt es hier: https://www.sunnyvalley.io/docs/introduction/hardware-requirements

Mit anderen Worten: es ist egal, welche moderne CPU man nimmt, die werden sich alle mächtig langweiligen.

Die Anforderungen kenne ich. Man muss ja keinen Xeon nehmen, wenn ein Atom theoretisch reicht.

Da ich IPS nutzen möchte (bald 500MBit FTTH anstatt 250MBit VDSL). Soll er min 1GBit packen.
Da sind die Atoms mit 2GHz max evtl etwas schwach.

Hallo,

HSIPC Intel N5105 oder N6005 (225€ - 380 €)
Kein 10 GB, aber Modem (SIM) oder WiFi und M.2, leise spart Strom

Snort
ClamAV
pfBlockerNG
Squid & SquidGuard

Supermicro Xeon E3-12xxv5/v6 (damit geht alles!)
Mit unter gleich mit 10 GB Ports oder mittels Karte nachzurüsten.

Snort
ClamAV
pfBlockerNG
Squid & SquidGuard & LightSquid

___

Supermicro C3758, C3858 oder C3958 (800 € bis 1500 €)
M.2 und mini PCIe für mSATA, WiFi 8, 12 oder 16 CPU Cores, AES-NI, Intel QAT
Je nach Board (12C/16C) sind 2x 10 GBe und 2x SFP+ Ports gleich mit an Board!
Modem und SIM können auf eine PCIe Karte nachgerüstet werden

Snort
ClamAV
pfBlockerNG
Squid & SquidGuard & LightSquid

Supercmicro (Xeon D-2100 - D-2700)
Hat Slot für SSD (M.2/mASTA), Modem und SIM Slot und einen weiteren für WiFi
Es sind 4x 10 GBit/s Ports (RJ45/SFP+) mit an Board und ein oder zwei weitere PCie Slots

Snort

ClamAV
pfBlockerNG
Squid & SquidGuard & LightSquid

- i3/5 10xxx oder Ryzen 3/5 (jeweils mit hohem Singlecore Takt)

Warum nicht mit Intel Atom C3000, Xeon-D oder gleich Xeon E3-12xxv5/6?

- (m)ATX Board

Bei 1 U oder 2 U kann man auch gleich zu einem FlexBoard greifen und hat dann mitunter zwei
PCIe Slots für 10 GB und/oder Modem mit SIM zum Nachrüsten.

- 16 GB RAM

Was willst Du denn noch alles installieren und mit wie vielen Listen, Rules oder Signaturen?

- SSD ist klar

Nimm mSATA oder wenn Du kannst NVMe`s die verbrauchen nicht so viel Energie und werden nicht so heiß.
Achte drauf das Trimm können.

- Intel NIC mit 4x1GBit

Intel i340/i350 sind richtig gut und hinsichtlich der Zukunftsfähigkeit würde ich lieber gleich auf
Intel i225 oder i226 setzen wollen oder aber zusätzlich. MiniITX hat meist nur ein Board, aber die
FlexBoards von Supermicro haben alle mitunter zwei PCIe Slots.

- Platz für zusätzliche SFP+ Karten (1-2 SFP+ Ports würde ich von Anfang an nutzen) 10GBit möchte
ich später mal nutzen. SFP Switch wird dann besorgt.

Bringen die meisten Supermicro Boards gleich alle mit!

LTE Failover wird genutzt.

Muss das Modem dafür intern sein? Wenn ja schau Dir die

Ich möchte gerne IPS laufen lassen mit GeoIP und diversen Filtern.

Snort Suricata benutzen Rule sets und pfBlockerNG Filterlisten.

Zenarmor muss nicht sein, aber da möchte ich halt genug Reserve für die Zukunft haben.

250 bis 1000 Mbps - 32 GB - Intel Quad-Core i7 3.4 GHz (4 Cores, 8 Threads) or equivalent

Sollte nicht ganz so viel Strom fressen und da 2HE recht leise sein.

1 GB am WAN routen, VPN, IDS/IPS, Squid, Spam und Werbefilter pfBlockerNG (GeoIP Blocking)
plus Reserve sollte schon ganz schlecht aussehen mit dem Strom sparen.

Was haltet ihr von meinem Vorhaben bzw, kann jemand etwas vernünftiges an Hardware empfehlen?

Erst einmal sollten wir wissen, was Du da alles installieren willst VPN ja oder nein und so weiter!?
Wie viel muss am WAN geroutet werden?

Dobby

APU4D4 Bundle im 1HE Gehäuse ist lüfterlos und deckt alle Anforderungen ab:
https://www.varia-store.com/de/produkt/394443-19-quot-rack-system-konfig ...
Board rechts: APU4D4 (344639)
Speicher: 64 GB mSATA SSD (351320)
Strom: Single Slot Netzteil (326746)
Fertisch!
Siehe auch HIER.
Deine Hardware ist für eine FW in dem Umfeld vollkommen überdimensioniert.

Danke für deine Arbeit

Warum nicht mit Intel Atom C3000, Xeon-D oder gleich Xeon E3-12xxv5/6?

Braucht man für IPS nicht einen möglichst hohen Basistakt bzw Boost anstatt viele Kerne?

Bei 1 U oder 2 U kann man auch gleich zu einem FlexBoard greifen und hat dann mitunter zwei
PCIe Slots für 10 GB und/oder Modem mit SIM zum Nachrüsten.

Das Modem liegt extern in einem anderen Raum und geht per LAN ins WAN2, daher benötige ich da nur RJ45/SFP Karte(n).

- 16 GB RAM

Was willst Du denn noch alles installieren und mit wie vielen Listen, Rules oder Signaturen?

16GB kosten unwesentlich mehr als 8GB. Daher haben ist besser als brauchen.

Nimm mSATA oder wenn Du kannst NVMe`s die verbrauchen nicht so viel Energie und werden nicht so heiß.
Achte drauf das Trimm können.

NVMe meinte ich mit SSD, aber danke für den Hinweis.

Gute Info, da evtl 2 PCIe Slots, könnte man ja wie gewünscht erweitern.

LTE Failover wird genutzt.

Muss das Modem dafür intern sein?

Nein, da extern.

1 GB am WAN routen, VPN, IDS/IPS, Squid, Spam und Werbefilter pfBlockerNG (GeoIP Blocking)
plus Reserve sollte schon ganz schlecht aussehen mit dem Strom sparen.

Stromsparend war auf den Idle Betrieb bezogen, wird viel geladen braucht man mehr Leistung, da ist klar.
Ist bei der UDM-PRO aktuell genau so.

Erst einmal sollten wir wissen, was Du da alles installieren willst VPN ja oder nein und so weiter!?

Suricata, "VPN Läuft aktuell als Wireguard LXC auf Proxmox und bleibt da wohl auch", GeoIP und Blocklisten für den Anfang. Wenn es gut läuft und mehr Wissen da ist, kommt bestimmt noch mehr dazu aber so wäre es meine Grundkonfig. Werbeblocker sind 2 Piholes als LXC und da bleiben sie auch.

Wie viel muss am WAN geroutet werden?

Aktuell 250 MBits bzw. bald 500MBits. Innerhalb der VLANs route ich eigentlich nichts von einem zum anderen VLAN. Da trenne ich strickt.

Zitat von @aqui:

APU4D4 Bundle im 1HE Gehäuse ist lüfterlos und deckt alle Anforderungen ab:
https://www.varia-store.com/de/produkt/394443-19-quot-rack-system-konfig ...
Board rechts: APU4D4 (344639)
Speicher: 64 GB mSATA SSD (351320)
Strom: Single Slot Netzteil (326746)
Fertisch!
Siehe auch HIER.
Deine Hardware ist für eine FW in dem Umfeld vollkommen überdimensioniert.

Die Dinger sind glaube ich weniger für Gigabit IPS ausgelegt, SFP kann ich auch nicht nachrüsten bzw. nutzen.
Nur als Router sind die Dinge top, was ich so gelesen hatte aber für mehr wird es eng.

Trotzdem danke.

Moin, warum nicht sowas?
https://shop.opnsense.com/product/dec850-opnsense-desktop-security-appli ...

Hallo,

Die Dinger sind glaube ich weniger für Gigabit IPS ausgelegt, SFP kann ich auch nicht nachrüsten bzw. nutzen.

Bei der APU6B4 ist ein 1 GBit/s SFP Slot mit dabei. Ich habe zur Zeit auf einer APU4C4 zwar eine pfSense am laufen und dort ist Snort, pfBlocker-NG, IPSec, Squid & SquidGuard und ClamAV installiert. Das läuft flüssig auf 64 C° (CPU) aber leider mit 80 % - 90 % RAM Auslastung und ich habe schon eine 4 GB Swap Partition eingerichtet, die ist aber auch die wird immer schon zur Hälfte genutzt, das reicht mir auch nicht mehr, da ich zur Zeit zwar "nur" 50 MBit/s
am WAN anliegen habe reicht es doch wieder! Und vor der pfSense ist eine AVM FB und von daher brauche ich auch kein PPPoE und alles läuft etwas flüssiger. Also so unrecht hat @aqui da nicht, aber ich kann nicht alle Snort Rules, ClamAV Signaturen und pfBlocker Listen auf einmal ziehen, das funktioniert nicht!

Nur als Router sind die Dinge top, was ich so gelesen hatte aber für mehr wird es eng.

Die routen auch 500 MBit/s am WAN nur mit allem anderen dazu eben nicht so flüssig, wären Deine 10 GBit/s nicht
wären würde es der HSIPC voll bringen, mit M.2, WLAN und 16 GB RAM, 2,5 GB LAN Ports und 2,90GHz würde der
Intel N5105 voll und ganz ausreichen.

Bei Deinen Anforderungen ist das auch nicht so einfach, alles unter einen Hut zu bekommen! So wie ich das wirklich
(meine Meinung dazu) sehe wäre ein kleiner gebrauchter Xeon E3-1230 mit 16 GB RAM und 3 NIC (SFP+, 4 GB Ports und 1x 2,5 GB Port) das beste was Du machen kannst, in ein zwei HE Gehäuse rein und die Karten können dann
auch glich ohne Rizer Karte eingebaut werden, genug Power für alles ist am Start und den E3-1230v3 bekommst
Du für ca. 50 € gebraucht be eBay! Das board sollte drei PCIe Steckplätze haben und dann wärst Du mit einem
IPC Gehäuse und Netzteil am Ziel. Kann man auch alles gebraucht in der Bucht kaufen und dann passen die ca.
800 € wieder voll und ganz dazu.

Dobby

Moin, warum nicht sowas?

Bei 500 € plus würde ich dann aber eher zu folgendem tendieren;
- A2SDi-TP8F ca.~936 €
- SuperChassis 300 ca.~150 €
Plus:
- Intel Ethernet Network Adapter I225-T1 ~80 €
- 16 GB RAM ca.~150 €
- M.2 ca. ~80 €

Dobby

10GBit ist mir zumindest intern wichtig, da ich dies später weiter ausbauen möchte. Wenn ich jetzt schon neu kaufe, dann möchte ich nicht wieder nach 3 Jahren umrüsten müssen.
Am WAN sind 10GBit wohl in Deutschland utopisch und auch nicht realistisch.

Bei Deinen Anforderungen ist das auch nicht so einfach, alles unter einen Hut zu bekommen!

Ich weiß, daher meine Anfrage hier. 10GBit kann ich ja mit PCIe Karten nachrüsten, daher die Reserveslots.

@108012
IPS ist doch Singlecore oder irre ich mich?

IPS ist doch Singlecore oder irre ich mich?

IDS macht man eigentlich im am WAN und/oder Netzwerk selber und IPS direkt vor den Servern.
Im Netzwerk will man etwas "finden" und/oder aufspüren und vor oder an den Servern etwas verhindern.
Die Grenzen sind hier aber fließend, denn im Netzwerk will man auch nach dem Finden Ports sperren
und oder Kontakt (Connect) verhindern, gar kein Frage.

Snort ist in der Version 2.9 vorhanden (pfSense) und erst mit Version 3.0 kann es Muti-Threading und an

der Verison 4.0 wird offiziell derzeit gearbeitet. Seit Cisco das so übernommen hat würde ich sagen dass
denen der OpenSource Zweig nicht soooo wichtig ist wie das vorher einmal war.

Suricata ist Multi-Threaded und demzufolge etwas agiler, wir d als OpenSource kontinuierlich weiter

entwickelt, bekam aber auch mit der Homeland Security der USA einen sehr mächtigen und potenten
Partner mit ins Boot, das darf man auch nicht vergessen! Also da sind dann eben auch schon einmal
"andere Leute" dran interessiert was, wer, wie, wo und wann weitergeht oder eben nicht bzw. sich in
eine Richtung entwickelt.

Snort im Inline Mode ist auch noch einmal derzeit limitiert auf nur einige Treiber!

em, igb, ixgb, ixl, lem, re or cxgbe

Dann kommt es auch immer darauf an welcher forward Teil (Mechanismus) zum Einsatz kommt,
try-fwd, fast-fwd oder netmap-fwd. Wenn man DPDK nimmt nemap-fwd implementiert kann man
auch so schon auf ein bis dreifaches an Durchsatz kommen und das auf ein und der selben Hardware!

Die Intel i210 und i211 Switchchips sind DPDK fähig und ab Xeon D-16xx alle CPUs mit einem N
im Namen! Als Beispiel, Xeon D-1658N oder Xeon D-2146NT, die haben AES-NI, Intel QAT und
sind noch DPDK fähig. Kann man auch testen wenn man will mit DanOS oder aber Ubuntu mit einem
nachinstalliertem VPP. Da steigert sich der Durchsatz dann auch noch einmal richtig. Also da geht
denke ich mir in Zukunft hier oder da noch mehr als "nur" CPU Multi-Core Benutzung.

Dobby

Moin,

du hättest zwar gerne ein Board mit SFP Slot und 2HE aber die restlichen Anforderungen decke ich bei mir hier mit einem IPU882 gut ab:
https://www.ipu-system.de/produkte/ipu882.html

Das ganze ist zwar ein Klotz, aber dafür passiv gekühlt und Gbit schaffe ich hier komplett ohne Probleme.
Die Anbindung nach unten auf den Switch habe mit nem LACP Trunk realisiert, nur weil die FW auch das Routing zwischen allen Netzen übernimmt.
Momentan stecken da nur 8GB RAM drin. Ist allerdings ohne Probleme aufrüstbar.
Die beiden Mini-PCIe Slots reichen für etwaige Erweiterungen aus.

Ich habe mittlerweile alles darauf laufen. Unter anderem folgendes mit einer PfSense:

Snort
PfBlockerNG
ntopNG
Wireguard für eine RZ Anbindung

Die WAN Anbindung mit Gbit Internet selbst konnte ich noch nicht testen. Aber Traffic läuft ohne Probleme durch. Einziges Nadelöhr Problem kann eine PPPoE Anbindung am WAN Interface sein.
Dieses Problem wird die allerdings auch bei einer OSense begegnen. Keine Ahnung ob dies bereits gelöst ist. (Soweit ich es in Erinnerung habe betrifft dies ein Setup mit IDS wie Snort. Ggf. bei Surricata anders.)

Bei Frage melde dich gerne.

Gruß
Spirit

@Spirit-of-Eli

Das Teil hatte ich auch schon im Blick, aber nicht wirklich erweiterbar. Der IPU 602 wäre nicht schlecht aber...
An sich sind die Teile super, da fehlt mir halt die SFP Möglichkeit.

2HE wäre halt gut aber wenn es nichts gibt, muss halt was passives rein.

Ich muss mir das noch mal durch den Kopf gehen lassen. 1HE gibts auch vieles aber die sind meist recht laut.

Das neue APU6 hat einen SFP Slot:
https://www.pcengines.ch/apu6b4.htm

Wenns das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!

Ich hab leider noch keine Zeit dafür gefunden weiter zu suchen.

Das Thema ist noch aktuell.

Wieso noch suchen wenn du mit dem APU6 alles hast was du brauchst?!: 😉
https://www.varia-store.com/de/produkt/453548-apu6b4-bundle-board-netzte ...
Oder auch als 19 Zoll Variante fürs Rack:
https://www.varia-store.com/de/produkt/427226-19-quot-rack-system-konfig ...

Hallo,

Kommt auch immer darauf an was man alles damit machen möchte.

APU4d4
Firewall, mit Snort oder Suricata und pfBlocker-NG
AES-NI, wenig Stromverbrauch

APU6B4
AES-NI, wenig Strom SFP Port zusätzlich

Gigabyte Intel J1900 4x 2,4 GHz
max. 8 GB RAM
2 miniPCIe für mSATA und WLAN Karte oder Modem
1 PCIe 2.0 x1 Steckplatz
2 Intel i211AT Ports
Kein AES-NI, aber mit 4 COM Ports für GPS RTC, Serial Console, als Consolen Server für andere Geräte
und andere Anwendungen, wenn der Haupfokus auf den Serial Ports liegt dann ist das hier Dein Gerät

Gigabyte Intel N3160 4x 2,4GHz
max. 8 GB RAM
2 Intel i211AT Ports
1 M.2 SSD
1 miniPCIe WLAN Karte oder Modem
1 PCIe 2.0 x1 Steckplatz
Firewall, mit reverse-Proxy zur DMZ, Caching-Proxy mit ClamAV zum LAN, IDS, und pgBlocker-NG

Alles in allem kann man auch ein miniITX Mainboard mit einem Intel Xeon E3-1230v3 kaufen und
dann 32 GB einbauen und kann alles machen was das Herz begehrt, kostet aber dann eben auch
mehr Strom, ist aber so potent dass man alles installieren und anschalten kann, damit man eine
vollwertige UTM in Betrieb hat. IPSec, OPNVPN oder WireGuard ist damit auch egal weil die kräftig
genug für alles ist!

CPU ~50 € (gebraucht)
RAM je nach Größe
mSATA oder M.2 auf je nach Größe
Gehäuse so um die 100 € - bis 150 € mit Netzteil

Egal was Du Dir zulegst, kaufe zuerst folgendes, falls nicht schon vorhanden
Allgemein: (egal welche Hardware)
- Kabel für jeden Port
- Switch für jedes Netzwerkteil (DMZ, LAN) (5 Port oder 8 Port)
- USB 3.0 Stick zum installieren und oder retten ~15 €
- USB zu Serial Adapter und Nullmodemkabel ~3 €

Speziell (PC Engines Hardware):
- PC Engines SP1a ~ 5€
Falls das Biosupdate mal schiefläuft
- Einen Satz Wärmeableiter (APU) ~10 €
Zwei kleine Klebepads und ein Metallkühler falls man einmal das Gehäuse wechselt
- Consolenkabel für APU6B4 mit RS232 Aufsatz kann dann für alle APUs benutz werden) ~12 €
Wenn man via Console an die Hardware/Software ran muss

Software:
- PuTTy oder KiTTy
- WireShark

Dobby

Dein Vorschlag mit den 16 Kernboars von Supermicro ist super, nur leider aktuell extrem teuer. Der Preis hat sich verdoppelt.

Ich hab schon viel Krams zuhause, hoffe ich finde die Tage mal Zeit.

An sich sind die UniFi Sachen gut aber die Firmware vom Router ist mies.
Beim WAN Failover hängt sich das ganze Internet auf. Manchmal gehen Dienste nicht mehr. Zb Xbox live, da sucht man ewig und ein Reboot löst alles…

nur leider aktuell extrem teuer.

und auch völlig überkandidelt. Ein APU6 reicht völlig.
Oder nimm einfach einen Mikrotik CRS-305 mit 4 mal 10G SFP+. Da hast du alles in einem SPI, Firewall, Router usw. alles in einem.