Umstieg von Unifi. Hardware-und Softwareempfehlung gesucht

ags101
Goto Top
Hallo zusammen,

ich habe aktuell ein Setup von Unifi, möchte aber die Sicherheit sowie die Konfigurierbarkeit erhöhen und deshalb meinen Router/Firewall tauschen.
Ich habe mir hinsichtlich Firewall schon viele wertvolle Beiträge in diesem Forum durchgelesen, allerdings bin ich noch immer unsicher und hoffe nun, dass Ihr auch mir mit Eurer Expertise zur Seite steht.

Mein Setup (Semiprofessionell):
- 1Gbit Leitung (Kabel)
- Modem (Fritzbox), Router/Firewall (unifi), Mainswitch (L2, unifi), 3AP, etc.

Meine Anforderungen an neue Hardware/Software:
- Firewall mit IPS (Suricata/snort), Virenscanner (auch email), adblocker (sowas wie unbound), VPN (max 4 Verbindungen (idR 1-2) 50-60 Mbit wäre absolut ok)
- Routing: 6 Teilnehmer, 7 VLAN, ca 50 Clients. Gerne würde ich RADIUS und squid/squidguard betreiben.

back-to-topLeistung der Leitung(en) soll ausgenutzt werden (=Firewall/ Routing mit 1Gbit oder mehr)


Als Software schwanke ich zwischen pfsense und opnsense.
Ich bin kein Profi, sondern eher fortgeschrittener Anfänger und frage mich, bei welcher Software der Zugang leichter und mehr Tutorien/ Dokumentationen für Anfänger existieren. Zudem -ja ich weiß, IT ist Englisch- wäre es schön, wenn hinsichtlich dem leichteren Verständnis, deutsche Tutorien/Dokumentation bestehen.
Habt Ihr hier und in Bezug auf pf-/opn sense eine Empfehlung?

Bei der Hardware lese ich hier oft von den IPUs (insb. IPU885), doch habe ich irgendwie bedenken, dass die reichen?
Vom Bauchgefühl habe ich mir mal folgendes überlegt:
- CPU: AMD Epyc embedded 3151 (quad core, 8threads, 2,7-2,9GHz, 64bit, AES)
- Board: Supermicro M11SDV-4C-LN4F (Das Board hat 4 NICs I350-AM4 verbaut)
- RAM: 16GB ECC
- Speicher: 256GB M2

Was haltet Ihr davon? Ist das total übertrieben für meine Anforderungen? Habt Ihr Alternativen? Reicht eine IPU?
Wie sieht es bei OPNSense mit Multithreading aus. Geht das mittlerweile?

Ich weiß, diese Fragen werden oft an Euch gestellt, aber mir fällt die Entscheidung schwer und deshalb bedanke ich mich bereits Vorab vielmals für Euren Input.

Content-Key: 1852955467

Url: https://administrator.de/contentid/1852955467

Ausgedruckt am: 01.07.2022 um 16:07 Uhr

Mitglied: LeReseau
LeReseau 07.02.2022 um 12:39:05 Uhr
Goto Top
Eine FritzBox ist kein Modem sondern immer ein Router !
Du machst also doppeltes NAT und doppeltes Firewalling in einer Kaskade.
Deinen gewählte HW ist ideal und hat Reserven für noch erheblich mehr.
https://docs.opnsense.org/manual/hardware.html
Multithreading ist Standard bei pfSense und OPNsense.
Mitglied: adminst
Lösung adminst 07.02.2022 um 13:52:57 Uhr
Goto Top
Hallo AGS101
Ich würde auf Opnsense in Kombination mit ihrer Hardware gehen. Z.B. DEC850 resp. DEC3850.
Da hast du genügend Power und nicht zuviel Komponenten drin wie bei deiner vorgeschlagenen Hardware welche
es für eine Firewall nicht benötigt.

Gruss
adminst
Mitglied: ChriBo
Lösung ChriBo 07.02.2022 um 16:40:16 Uhr
Goto Top
Hi,
my 2 cents, speziell auf pfSense und OPNsense bezogen:
Firewall mit IPS (Suricata/snort)
machen Beide, Hardware sollte schon leistungsfähiger als ein APU sein.
>Virenscanner (auch email)
können Beide nicht vernünftig; ClamAV in den SQUID einzubinden ist naja.
adblocker
für pfSense: pfBlockerNG
für OPNsense: soll mit unbound und DNSCrypt auf der OPNsense einzurichten sein.
VPN (max 4 Verbindungen (idR 1-2) 50-60 Mbit wäre absolut ok)
machen Beide nebenbei
Routing: 6 Teilnehmer, 7 VLAN, ca 50 Clients
nichts Besonderes
Gerne würde ich RADIUS und squid/squidguard betreiben
können Beide
Leistung der Leitung(en) soll ausgenutzt werden (=Firewall/ Routing mit 1Gbit oder mehr)
oha, oben schriebst du: 7 VLANs (+WAN?), d.h du benötigst 8 physikalische Ports auf der FW, bei "Firewall/ Routing mit 1Gbit" zwischen allen Ports, bei tagged VLANs wirst du den Durchsatz nicht erreichen.

Als Software schwanke ich zwischen pfsense und opnsense

Meine Meinung (und Erfahrung):
- pfSense:
plus: (in Version 2.5.2) stabiler als OPNsense,
minus: ob und wie pfSense weiterentwickelt wird ist nicht klar.
- OPNsense:
plus: wird weiterentwickelt, aktuelleres Betriebsystem als pfSense.
minus: instabiler als pfSense, in der Vergangenheit ist nur 1 Person (Franco Fichtner) als Entwickler aufgetreten.

Hier kann natürlich noch viel mehr aufgezählt werden.
Ich persönlich würde pfSense nehmen.

WG. Hardware: schau mal bei Landitec nach und laß dich dort beraten.

Gruß
CH
Mitglied: AGS101
AGS101 07.02.2022 um 20:40:39 Uhr
Goto Top
Hallo @ all,

Ich bedanke mich für Eure Meinungen.

Was die Hardware angeht bin ich jetzt beruhigter, vielen Dank.

Was die Software angeht leider nicht. Ja, pfsense scheint stabiler, aber opnsense wird maßgeblich in NL und D weiterentwickelt und hat viele deutsche business angels. Auch Suricata soll angeblich stabiler laufen
Da werde ich mir wohl noch länger den Kopf zerbrechen müssen…

@LeReseau
Danke für den Hinweis, das ist mir bewußt. Aktuell behelfe ich mir da etwas mit einer „Gewaltlösung“, aber solange keine vernünftigen Docsis 3.1 Modem für Kabel auf dem Markt sind, muss das eben so sein. btw. Ich kenn das TC4400, scheidet wegen den fehlenden ota updates aber aus.

Nochmals vielen Dank an alle
Mitglied: magicteddy
magicteddy 07.02.2022 um 21:06:42 Uhr
Goto Top
Moin,

ich fahre hier so ein Setup noch mit einer APU und pfSense 2.5.2, absolut stabil und unauffällig,
Sehe daher momentan keinen Grund OPNsense auszuprobieren.
Mitglied: LeReseau
LeReseau 08.02.2022 um 09:45:24 Uhr
Goto Top
aber solange keine vernünftigen Docsis 3.1 Modem für Kabel auf dem Markt sind
Da bist du dann scheinbar nicht mehr auf dem neuesten Stand. Sowas gibts schon lange !
https://administrator.de/knowledge/endlich-reines-kabel-tv-modem-in-d-er ...
Mitglied: AGS101
AGS101 09.02.2022 um 23:05:21 Uhr
Goto Top
@LeReseau,
Hallo und danke für Deinen Kommentar.

Jetzt hast Du mich kurz in Euphorie versetzt….

Ja Du hast recht, es gibt mit dem TC4400 EU ein super duper reines Docsis 3.1. Modem. ABER Du solltest meinen Kommentar zu Ende lesen:

…btw. Ich kenn das TC4400, scheidet wegen den fehlenden ota updates aber aus….

Dass ich bei jedem Update das Modem einschicken muss, schreckt mich einfach ab. Da nehme ich lieber zähneknirschend die Nat Variante mit Exposed host in kauf.

Gruß
Mitglied: LeReseau
LeReseau 10.02.2022 um 19:44:50 Uhr
Goto Top
In der Regel muss man reine Modems niemals updaten. Der Firmware ändert sich so gut wie nie.
Aber musst du wissen...deine Entscheidung ! ;-) face-wink
Mitglied: AGS101
AGS101 10.02.2022 um 21:33:00 Uhr
Goto Top
@LeReseau
Da hast Du nicht ganz unrecht.
Ich bin am TC4400 schon eine ganze Weile interessiert und es gab in der Tat einige Probleme (auch durch Vodafone/Kabeldeutschland forciert), die ein update erforderten.

Solange bei den Firmen noch so viel Zwist ist (insbesondere Vodafone), ist mir das zu heiß. Meine Familie/ Geschäftspartner steinigen mich, wenn ich das Modem einschicken muss 😖

ich bin mit meinem Thema denke ich erstmal durch.

Falls es Euch interessiert, ich habe mich für ein Supermicro board (2 Intel Nicˋs, Atom C3558) mit 16GB Ram, 128GB M2 und pfsense entschieden. Das Ist vom Stromverbrauch ein gutes Setup und sollte meinen usecase (FW,Pfblocker, evtl. clamAV, bischenVPN, Vlan routing (untagged)) mehr als decken.

Ich bedanke mich vielmals für Eure Zeit und Mühe.
Mitglied: smartie72
smartie72 29.06.2022 um 09:59:19 Uhr
Goto Top
Zitat von @LeReseau:

Eine FritzBox ist kein Modem sondern immer ein Router !
Du machst also doppeltes NAT und doppeltes Firewalling in einer

Das stimmt bei den KabelFritzboxen NICHT. Die haben auch einen Modus um als Modem zu agieren.
Mitglied: LeReseau
LeReseau 29.06.2022 um 12:08:34 Uhr
Goto Top
Das wäre dann neu, da AVM das in den neueren FritzOS seit Längerem entfernt hatte.
Möglich aber das sie es wieder aktiviert haben was ja sehr gut wäre da man so dann die FritzBoxen als reine Kabel TV Modems einsetzen kann mit Breitband Endgeräten die nur einen Ethernet Port haben wie Firewalls (pfSense, OPNsense usw.).
Im Kabel TV Bereich ist die Auswahl ja eher schmal:
https://administrator.de/knowledge/endlich-reines-kabel-tv-modem-in-d-er ...
Aber gut zu wissen. Danke für den Hinweis!