18
PfSense (neue) Hardware beschaffen
Hallo Zusammen,
aktuell betreibe ich in meinem Netzwerk als zentrales Routing eine APU4 mit pfSense.
Am WAN-Port und OPT-Port betreibe ich ein Failover des Internetzugangs
Der LAN-Port versorgt derzeit mein komplettes Intranet mit diversen VLANs.
Soweit, sogut.
Da es häufiger vorkommt, das Clients zeitgleich aus verschiedenen VLANs mit dem (File-)Server VLAN kommunizieren, entsteht hier ein Bandbreitenengpass, da alles über ein Ethernetport an der pfSense hin/her geroutet wird.
Sicherlich wäre ein interVLAN-routing auf dem Switch denkbar, aber ich hätte es aber lieber zentral.
Daher nun die Frage nach einem neuen Zuhause für meine pfSense.
Hier im Forum gibt es ja diverse Empfehlungen (überwiegend von @aqui), die aber teilweise schon recht "betagt" sind.
Bisher habe folgende ins Auge gefasst:
HUNSN RS03k AES-NI:Ja
HUNSN RS06 AES-NI:Nein
HUNSN RS36 AES-NI:Ja
HS-N4505F AES-NI:Ja
Mein persönlicher Favorit wäre ja die RS03k, aber vielleicht hat ja einer von Euch noch Argumente für oder gegen eines der Anderen Modelle oder gar etwas ganz Anderes ?
Gruß,
JudgeDredd
aktuell betreibe ich in meinem Netzwerk als zentrales Routing eine APU4 mit pfSense.
Am WAN-Port und OPT-Port betreibe ich ein Failover des Internetzugangs
Der LAN-Port versorgt derzeit mein komplettes Intranet mit diversen VLANs.
Soweit, sogut.
Da es häufiger vorkommt, das Clients zeitgleich aus verschiedenen VLANs mit dem (File-)Server VLAN kommunizieren, entsteht hier ein Bandbreitenengpass, da alles über ein Ethernetport an der pfSense hin/her geroutet wird.
Sicherlich wäre ein interVLAN-routing auf dem Switch denkbar, aber ich hätte es aber lieber zentral.
Daher nun die Frage nach einem neuen Zuhause für meine pfSense.
Hier im Forum gibt es ja diverse Empfehlungen (überwiegend von @aqui), die aber teilweise schon recht "betagt" sind.
Bisher habe folgende ins Auge gefasst:
HUNSN RS03k AES-NI:Ja
HUNSN RS06 AES-NI:Nein
HUNSN RS36 AES-NI:Ja
HS-N4505F AES-NI:Ja
Mein persönlicher Favorit wäre ja die RS03k, aber vielleicht hat ja einer von Euch noch Argumente für oder gegen eines der Anderen Modelle oder gar etwas ganz Anderes ?
Gruß,
JudgeDredd
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6359898069
Url: https://administrator.de/contentid/6359898069
Printed on: April 26, 2024 at 23:04 o'clock
18 Comments
Latest comment
Moin,
eine Möglichkeit wäre deine (interne) FW als VM laufen zu lassen, z.B. auf dem gleichen Host, wo deine anderen Server Gäste sind. Den WAN Traffic schiebst du dann an deine jetzige FW mit dem Failover WAN. Damit erledigt sich das Performanceproblem wahrscheinlich sehr kostenneutral.
Alternativ kann ich die Geräte von Landitec sehr empfehlen: https://www.landitec.com/
Genug LAN Ports, entsprechend CPU und RAM verbauen und los gehts. Wahlweise auch mit Garantieerweiterung etc.
VG
eine Möglichkeit wäre deine (interne) FW als VM laufen zu lassen, z.B. auf dem gleichen Host, wo deine anderen Server Gäste sind. Den WAN Traffic schiebst du dann an deine jetzige FW mit dem Failover WAN. Damit erledigt sich das Performanceproblem wahrscheinlich sehr kostenneutral.
Alternativ kann ich die Geräte von Landitec sehr empfehlen: https://www.landitec.com/
Genug LAN Ports, entsprechend CPU und RAM verbauen und los gehts. Wahlweise auch mit Garantieerweiterung etc.
VG
Hi,
wie @Tezzla schon schrieb: Landitec bzw. deren Scope7-Appliances kann ich auch nur empfehlen.
https://www.scope7.de/hardware
cu,
ipzipzap
wie @Tezzla schon schrieb: Landitec bzw. deren Scope7-Appliances kann ich auch nur empfehlen.
https://www.scope7.de/hardware
cu,
ipzipzap
Moin,
Gruß,
Dani
Mein persönlicher Favorit wäre ja die RS03k
Aus welchen Gründen, etwa wegen 2.5Gbit Interfaces? Abgesehen davon ist es auch die teuerste Variante, von deinen genannten Optionen. Ist es dir das Geld auch wert?HUNSN RS36 AES-NI:Ja
Hab ich zu Hause im Einsatz. Tut was es soll. Mehrere VLANs für IoT, Management für Switches/DECT/APs, Testlab, private/berufliche Geräte sowie für Gäste.Gruß,
Dani
1
Wenn 19 Zoll keine Vorgabe ist ist alles was Celeron (oder höher) basierend ist immer eine richige Wahl. Kompakte 3 oder 4 Port Modelle gibt es zuhauf.
https://www.amazon.de/Industrial-Firewall-OPNsense-Security-Appliance/dp ...
Schafft dann mit einem 2,5 Gig LAN Port auch entsprechend Bandbreitenpower für zentralles VLAN Firewalling!
Sehr empfehlenswert sind auch die NRG Systeme:
https://www.ipu-system.de
https://www.amazon.de/Industrial-Firewall-OPNsense-Security-Appliance/dp ...
Schafft dann mit einem 2,5 Gig LAN Port auch entsprechend Bandbreitenpower für zentralles VLAN Firewalling!
Sehr empfehlenswert sind auch die NRG Systeme:
https://www.ipu-system.de
1
alle varianten scheinen io zu sein die frage ist halt was du ungefähr ausgeben möchtest.
ansonsten: pfsense AES-NI in amazon suche eingeben nach preis sortieren und passendes modell aussuchen
ansonsten: pfsense AES-NI in amazon suche eingeben nach preis sortieren und passendes modell aussuchen
2
@JudgeDredd schau dir doch mal die Netgate 6100/8200 an, die sind richtig nett und hat mehr als genug Leistung für dein vorhaben
@alle
vielen Dank für die konstruktiven Vorschläge. Die werde ich die Tage mal durcharbeiten und mich dann entscheiden.
Naja, bisher steht die APU ja auch auf einem Rackboden in meinem 19" Schrank. Nicht perfekt, aber damit könnte ich leben.
Aber Deine "WEIDIAN" Empfehlung scheint ja vom Preis/Leistungsverhältnis deutlich ggü. dem Rest herauszustechen. Ich hoffe nur, die wird nicht zum Toaster unter Vollast.
Nein Spass, aber wenn ich mit der Investition wieder für ein paar Jahre (bis 10GBit im privaten Sektor etabliert ist) gut aufgestellt bin, dann ist Geiz immer der falsche Weg.
Gruß,
JudgeDredd
vielen Dank für die konstruktiven Vorschläge. Die werde ich die Tage mal durcharbeiten und mich dann entscheiden.
Naja, bisher steht die APU ja auch auf einem Rackboden in meinem 19" Schrank. Nicht perfekt, aber damit könnte ich leben.
Aber Deine "WEIDIAN" Empfehlung scheint ja vom Preis/Leistungsverhältnis deutlich ggü. dem Rest herauszustechen. Ich hoffe nur, die wird nicht zum Toaster unter Vollast.
Zitat von @Dani:
... Abgesehen davon ist es auch die teuerste Variante, von deinen genannten Optionen. Ist es dir das Geld auch wert?
Ich bin sehr reich, da spielt das keine Rolle 🤣... Abgesehen davon ist es auch die teuerste Variante, von deinen genannten Optionen. Ist es dir das Geld auch wert?
Nein Spass, aber wenn ich mit der Investition wieder für ein paar Jahre (bis 10GBit im privaten Sektor etabliert ist) gut aufgestellt bin, dann ist Geiz immer der falsche Weg.
Zitat von @micneu:
... schau dir doch mal die Netgate 6100/8200 an, die sind richtig nett und hat mehr als genug Leistung für dein vorhaben
Da gebe ich Dir recht, aber die offiziellen Teile sind vom Preis her schon oberer Sektor und auf dem Papier ist die Leistung ähnlich den vorgeschlagenen Alternativen.... schau dir doch mal die Netgate 6100/8200 an, die sind richtig nett und hat mehr als genug Leistung für dein vorhaben
Zitat von @Tezzla:
eine Möglichkeit wäre deine (interne) FW als VM laufen zu lassen, z.B. auf dem gleichen Host, wo deine anderen Server Gäste sind. Den WAN Traffic schiebst du dann an deine jetzige FW mit dem Failover WAN. Damit erledigt sich das Performanceproblem wahrscheinlich sehr kostenneutral.
Da ist auf jeden Fall was dran, allerdings habe ich ein paar Services in der DMZ und da würde ich ungern den gleichen Host für die Firewall hernehmen.eine Möglichkeit wäre deine (interne) FW als VM laufen zu lassen, z.B. auf dem gleichen Host, wo deine anderen Server Gäste sind. Den WAN Traffic schiebst du dann an deine jetzige FW mit dem Failover WAN. Damit erledigt sich das Performanceproblem wahrscheinlich sehr kostenneutral.
Gruß,
JudgeDredd
1
Der Thread ist zwar schon gelöst, aber manchmal muss ich auch arbeiten 
Ich hatte dieses Thema kürzlich auch und habe mich Testweise für den Odroid H3+ entschieden und mal zwei Stück bestellt. Heise hat das Ding kürzlich vorgestellt und für tauglich befunden. Die sind gerade heute gekommen und noch im Karton, ich kann also noch nichts dazu sagen (aber gern nachreichen). Von den Specs sind sie aber deutlich stärker als die chinesische Billigkiste mit J4125 und vor allem deutlich flexibler, da man auch einen Miniserver draus machen kann, wenn man die Sense nicht mehr mag/braucht, etc. Zudem ist die Bauteiltransparenz bei Hardkernel ausgezeichnet. Ein ARM-Gerät von denen hätte ich nicht genommen, da geht von der Systemunterstützung her nichts über den Raspi, aber als x64 ist das ja kein Thema. Hübsch sind die Gehäuse nicht gerade, aber optisch erträglich, funktional und mal was anderes. Die "inneren Werte" haben mich überzeugt.
Ist jetzt nicht gaaanz billig, da auf die Hardkernel-Preise noch USt draufkommt, die Liefergebühr (DHL-Express) üppig ist (rund 70 EUR bei 500 EUR Umsatz) und DHL auch noch eine Gebühr von 14 EUR für die Verwaltung erhebt, insgesamt aber immer noch gut im Bereich der preiswerten Geräte. Und in gerade mal einer Woche aus Südkorea... Da muss ich gleich co2 kompensieren... Vielleicht ist das Gerät was für Dich.
Viele Grüße, commodity
Ich hatte dieses Thema kürzlich auch und habe mich Testweise für den Odroid H3+ entschieden und mal zwei Stück bestellt. Heise hat das Ding kürzlich vorgestellt und für tauglich befunden. Die sind gerade heute gekommen und noch im Karton, ich kann also noch nichts dazu sagen (aber gern nachreichen). Von den Specs sind sie aber deutlich stärker als die chinesische Billigkiste mit J4125 und vor allem deutlich flexibler, da man auch einen Miniserver draus machen kann, wenn man die Sense nicht mehr mag/braucht, etc. Zudem ist die Bauteiltransparenz bei Hardkernel ausgezeichnet. Ein ARM-Gerät von denen hätte ich nicht genommen, da geht von der Systemunterstützung her nichts über den Raspi, aber als x64 ist das ja kein Thema. Hübsch sind die Gehäuse nicht gerade, aber optisch erträglich, funktional und mal was anderes. Die "inneren Werte" haben mich überzeugt.
Ist jetzt nicht gaaanz billig, da auf die Hardkernel-Preise noch USt draufkommt, die Liefergebühr (DHL-Express) üppig ist (rund 70 EUR bei 500 EUR Umsatz) und DHL auch noch eine Gebühr von 14 EUR für die Verwaltung erhebt, insgesamt aber immer noch gut im Bereich der preiswerten Geräte. Und in gerade mal einer Woche aus Südkorea... Da muss ich gleich co2 kompensieren... Vielleicht ist das Gerät was für Dich.
Viele Grüße, commodity
2Zitat von @commodity:
Der Thread ist zwar schon gelöst, aber manchmal muss ich auch arbeiten
Ich hatte dieses Thema kürzlich auch und habe mich Testweise für den Odroid H3+ entschieden und mal zwei Stück bestellt. Heise hat das Ding kürzlich vorgestellt und für tauglich befunden. Die sind gerade heute gekommen und noch im Karton, ich kann also noch nichts dazu sagen (aber gern nachreichen). Von den Specs sind sie aber deutlich stärker als die chinesische Billigkiste mit J4125 und vor allem deutlich flexibler, da man auch einen Miniserver draus machen kann, wenn man die Sense nicht mehr mag/braucht, etc. Zudem ist die Bauteiltransparenz bei Hardkernel ausgezeichnet. Ein ARM-Gerät von denen hätte ich nicht genommen, da geht von der Systemunterstützung her nichts über den Raspi, aber als x64 ist das ja kein Thema. Hübsch sind die Gehäuse nicht gerade, aber optisch erträglich, funktional und mal was anderes. Die "inneren Werte" haben mich überzeugt.
Ist jetzt nicht gaaanz billig, da auf die Hardkernel-Preise noch USt draufkommt, die Liefergebühr (DHL-Express) üppig ist (rund 70 EUR bei 500 EUR Umsatz) und DHL auch noch eine Gebühr von 14 EUR für die Verwaltung erhebt, insgesamt aber immer noch gut im Bereich der preiswerten Geräte. Und in gerade mal einer Woche aus Südkorea... Da muss ich gleich co2 kompensieren... Vielleicht ist das Gerät was für Dich.
Viele Grüße, commodity
Der Thread ist zwar schon gelöst, aber manchmal muss ich auch arbeiten
Ich hatte dieses Thema kürzlich auch und habe mich Testweise für den Odroid H3+ entschieden und mal zwei Stück bestellt. Heise hat das Ding kürzlich vorgestellt und für tauglich befunden. Die sind gerade heute gekommen und noch im Karton, ich kann also noch nichts dazu sagen (aber gern nachreichen). Von den Specs sind sie aber deutlich stärker als die chinesische Billigkiste mit J4125 und vor allem deutlich flexibler, da man auch einen Miniserver draus machen kann, wenn man die Sense nicht mehr mag/braucht, etc. Zudem ist die Bauteiltransparenz bei Hardkernel ausgezeichnet. Ein ARM-Gerät von denen hätte ich nicht genommen, da geht von der Systemunterstützung her nichts über den Raspi, aber als x64 ist das ja kein Thema. Hübsch sind die Gehäuse nicht gerade, aber optisch erträglich, funktional und mal was anderes. Die "inneren Werte" haben mich überzeugt.
Ist jetzt nicht gaaanz billig, da auf die Hardkernel-Preise noch USt draufkommt, die Liefergebühr (DHL-Express) üppig ist (rund 70 EUR bei 500 EUR Umsatz) und DHL auch noch eine Gebühr von 14 EUR für die Verwaltung erhebt, insgesamt aber immer noch gut im Bereich der preiswerten Geräte. Und in gerade mal einer Woche aus Südkorea... Da muss ich gleich co2 kompensieren... Vielleicht ist das Gerät was für Dich.
Viele Grüße, commodity
Die preise in deutschland sind halt jenseits von gut und böse deswegen ist es ratsam etwas anderes zu suchen, odroid h3 war auch mein erster gedanke unter 170€ unschlagbares angebot
Die preise in deutschland sind halt jenseits von gut und böse
Ja, hier wird der "Geheimtipp"-Status und der recht schwierige Lieferweg ausgenutzt. Bzw. die Händler haben die gleichen umständlichen Wege und Risiken und lassen sich das vergüten. Man braucht also ein bisschen Sportsgeist. Wenn der Versand schon > 50 EUR kostet, möchte man nicht an evtl. Rückversand denken. Oder ein vergessenes Teil Da ich aber überall Leute sehe, die ihre "alten" Firewalls entsorgen fand ich den Weg über den Odroid einfach nachhaltiger. Der kann ggf. auch in einigen Jahren noch irgendwo als Miniserver, Telefonanlage oder VPN-Gateway sein Dasein fristen. Das war mir den Aufwand wert.
Viele Grüße, commodity
1
Oder man recycelt einen Thin Client... 
https://www.heise.de/ratgeber/Thin-Firewall-Stromsparende-Firewall-mit-T ...
https://www.heise.de/ratgeber/Thin-Firewall-Stromsparende-Firewall-mit-T ...
Du priorisierst Deine Arbeit über das beantworten meiner Frage 😮
Also Sachen gibts ... 😉
Auch eine nette Idee, noch habe ich ja nix entschieden, danke für die Anregung.
Also Sachen gibts ... 😉
Ich hatte dieses Thema kürzlich auch und habe mich Testweise für den ...Odroid H3+ ... entschieden
Danke für den Tipp, aber ein erster Blick zeigt mir, das der Gute ja nur 2 Ethernet Ports hat, davon wollte ich ja gerade weg, zumal ich ja schon 2 für das Internet-Failover brauche.... noch im Karton, ich kann also noch nichts dazu sagen (aber gern nachreichen).
Ja, gerne. Feedback zu dem Thema würde mich freuen.Auch eine nette Idee, noch habe ich ja nix entschieden, danke für die Anregung.
aber ein erster Blick...
Der schnelle erste Blick ist eine sehr verbreitete Vorgehensweise in der IT. Leider. Gründlichkeit, lesen, verstehen führen hingegen zum Erfolg Guck Dich auf der Seite gern nochmal um, dann wirst Du verstehen (wenn Dir 6x 2,5er Ports reichen)
Allerdings werden die vielen Ports meist überbewertet. Der Flaschenhals beim Routing ist fast immer die CPU (oder die Fehlkonfiguration des Users). Der Fall, dass Du auch nur einen der 2,5er Ports im HomeLAN annähernd auslastest dürfte eine seltene Ausnahme sein. Auch hier solltest Du Dein Konzept in Ruhe und gründlich überdenken (und vielleicht auch mal das Bestehende vorab monitoren). Auch 1 Gbit/s wollen erstmal ausgelastet sein.
Viele Grüße, commodity
Zitat von @commodity:
Der schnelle erste Blick ist eine sehr verbreitete Vorgehensweise in der IT. Leider. Gründlichkeit, lesen, verstehen führen hingegen zum Erfolg
Guck Dich auf der Seite gern nochmal um, dann wirst Du verstehen (wenn Dir 6x 2,5er Ports reichen)
Na das ist ja ein Ding 😲Der schnelle erste Blick ist eine sehr verbreitete Vorgehensweise in der IT. Leider. Gründlichkeit, lesen, verstehen führen hingegen zum Erfolg
Guck Dich auf der Seite gern nochmal um, dann wirst Du verstehen (wenn Dir 6x 2,5er Ports reichen)
Da habe ich mich doch tatsächlich von den hübschen bunten Bildern täuschen lassen und ganz übersehen, das es da noch 4er Zusatzkarten gibt.
Vielen Dank nochmal fürs "Augen öffnen".
So wird das "Ding" ja wirklich sehr interessant. Sieht dann hinterher zwar mehr nach GameCube aus, aber meinem Serverschrank wird's egal sein.
Also freue ich mich gerne auf Feedback wenn das Ding bei Dir produktiv rennt.
- ja, posen ist damit wohl nicht. Wenn man nicht gern am 3D-Drucker spielt, jedenfalls.Braucht noch etwas, im Moment ist gut zu tun. Ich lasse von mir hören. Sonst schick mir gern eine PM zur Erinnerung oder wenn Du Fragen hast.
Du kannst ja zwischenzeitlich mal den Durchsatz auf Deinen Ports messen. Und vielleicht auch das Konzept überdenken:
(File-)Server VLAN
Ich bin ja ein großer Freund der Netzwerktrennung - aber der Server gehört imo dahin, wo der Bedarf ist. Bei Files also zu den Clients (die diesen Server nutzen). Welche Gründe gibt es für dieses VLAN?Viele Grüße, commodity
2
Hallo Forum,
ich hänge mich mal hier mit rein.....ich suche auch Hardware, die zunächst für die SOPHOS UTM Software und in 2 Jahren dann auch mit OPSNSense läuft.
Welche Lösung schlagt ihr da vor?
Leider erkennt der SOPHOS Installer beim HS-N4505F z.B keine NIC....
Dannke und Grüße
DC
ich hänge mich mal hier mit rein.....ich suche auch Hardware, die zunächst für die SOPHOS UTM Software und in 2 Jahren dann auch mit OPSNSense läuft.
Welche Lösung schlagt ihr da vor?
Leider erkennt der SOPHOS Installer beim HS-N4505F z.B keine NIC....
Dannke und Grüße
DC
Sophos UTM rennt problemlos auf einem APU Board:
https://www.medic-daniel.de/netzwerkfirewall/2019/07/sophos-utm-home-edi ...
pfSense und OPNsense sowieso.
Die Boards gibt es preiswert als Kits bei den üblichen Versendern oder direkt.
https://www.varia-store.com/de/produkt/546360-apu2e5-bundle-board-netzte ...
https://www.varia-store.com/de/produkt/546357-opnsense-ready-system-apu2 ...
Oder eine fertige Appliance mit Intel NICs
https://www.amazon.de/Sharevdi-Lüfterloser-Gigabit-Ethernet-Anschl& ...
https://www.ipu-system.de
https://www.medic-daniel.de/netzwerkfirewall/2019/07/sophos-utm-home-edi ...
pfSense und OPNsense sowieso.
Die Boards gibt es preiswert als Kits bei den üblichen Versendern oder direkt.
https://www.varia-store.com/de/produkt/546360-apu2e5-bundle-board-netzte ...
https://www.varia-store.com/de/produkt/546357-opnsense-ready-system-apu2 ...
Oder eine fertige Appliance mit Intel NICs
https://www.amazon.de/Sharevdi-Lüfterloser-Gigabit-Ethernet-Anschl& ...
https://www.ipu-system.de