11
Umstieg von Unifi. Hardware-und Softwareempfehlung gesucht
Hallo zusammen,
ich habe aktuell ein Setup von Unifi, möchte aber die Sicherheit sowie die Konfigurierbarkeit erhöhen und deshalb meinen Router/Firewall tauschen.
Ich habe mir hinsichtlich Firewall schon viele wertvolle Beiträge in diesem Forum durchgelesen, allerdings bin ich noch immer unsicher und hoffe nun, dass Ihr auch mir mit Eurer Expertise zur Seite steht.
Mein Setup (Semiprofessionell):
- 1Gbit Leitung (Kabel)
- Modem (Fritzbox), Router/Firewall (unifi), Mainswitch (L2, unifi), 3AP, etc.
Meine Anforderungen an neue Hardware/Software:
- Firewall mit IPS (Suricata/snort), Virenscanner (auch email), adblocker (sowas wie unbound), VPN (max 4 Verbindungen (idR 1-2) 50-60 Mbit wäre absolut ok)
- Routing: 6 Teilnehmer, 7 VLAN, ca 50 Clients. Gerne würde ich RADIUS und squid/squidguard betreiben.
Als Software schwanke ich zwischen pfsense und opnsense.
Ich bin kein Profi, sondern eher fortgeschrittener Anfänger und frage mich, bei welcher Software der Zugang leichter und mehr Tutorien/ Dokumentationen für Anfänger existieren. Zudem -ja ich weiß, IT ist Englisch- wäre es schön, wenn hinsichtlich dem leichteren Verständnis, deutsche Tutorien/Dokumentation bestehen.
Habt Ihr hier und in Bezug auf pf-/opn sense eine Empfehlung?
Bei der Hardware lese ich hier oft von den IPUs (insb. IPU885), doch habe ich irgendwie bedenken, dass die reichen?
Vom Bauchgefühl habe ich mir mal folgendes überlegt:
- CPU: AMD Epyc embedded 3151 (quad core, 8threads, 2,7-2,9GHz, 64bit, AES)
- Board: Supermicro M11SDV-4C-LN4F (Das Board hat 4 NICs I350-AM4 verbaut)
- RAM: 16GB ECC
- Speicher: 256GB M2
Was haltet Ihr davon? Ist das total übertrieben für meine Anforderungen? Habt Ihr Alternativen? Reicht eine IPU?
Wie sieht es bei OPNSense mit Multithreading aus. Geht das mittlerweile?
Ich weiß, diese Fragen werden oft an Euch gestellt, aber mir fällt die Entscheidung schwer und deshalb bedanke ich mich bereits Vorab vielmals für Euren Input.
ich habe aktuell ein Setup von Unifi, möchte aber die Sicherheit sowie die Konfigurierbarkeit erhöhen und deshalb meinen Router/Firewall tauschen.
Ich habe mir hinsichtlich Firewall schon viele wertvolle Beiträge in diesem Forum durchgelesen, allerdings bin ich noch immer unsicher und hoffe nun, dass Ihr auch mir mit Eurer Expertise zur Seite steht.
Mein Setup (Semiprofessionell):
- 1Gbit Leitung (Kabel)
- Modem (Fritzbox), Router/Firewall (unifi), Mainswitch (L2, unifi), 3AP, etc.
Meine Anforderungen an neue Hardware/Software:
- Firewall mit IPS (Suricata/snort), Virenscanner (auch email), adblocker (sowas wie unbound), VPN (max 4 Verbindungen (idR 1-2) 50-60 Mbit wäre absolut ok)
- Routing: 6 Teilnehmer, 7 VLAN, ca 50 Clients. Gerne würde ich RADIUS und squid/squidguard betreiben.
Leistung der Leitung(en) soll ausgenutzt werden (=Firewall/ Routing mit 1Gbit oder mehr)
Als Software schwanke ich zwischen pfsense und opnsense.
Ich bin kein Profi, sondern eher fortgeschrittener Anfänger und frage mich, bei welcher Software der Zugang leichter und mehr Tutorien/ Dokumentationen für Anfänger existieren. Zudem -ja ich weiß, IT ist Englisch- wäre es schön, wenn hinsichtlich dem leichteren Verständnis, deutsche Tutorien/Dokumentation bestehen.
Habt Ihr hier und in Bezug auf pf-/opn sense eine Empfehlung?
Bei der Hardware lese ich hier oft von den IPUs (insb. IPU885), doch habe ich irgendwie bedenken, dass die reichen?
Vom Bauchgefühl habe ich mir mal folgendes überlegt:
- CPU: AMD Epyc embedded 3151 (quad core, 8threads, 2,7-2,9GHz, 64bit, AES)
- Board: Supermicro M11SDV-4C-LN4F (Das Board hat 4 NICs I350-AM4 verbaut)
- RAM: 16GB ECC
- Speicher: 256GB M2
Was haltet Ihr davon? Ist das total übertrieben für meine Anforderungen? Habt Ihr Alternativen? Reicht eine IPU?
Wie sieht es bei OPNSense mit Multithreading aus. Geht das mittlerweile?
Ich weiß, diese Fragen werden oft an Euch gestellt, aber mir fällt die Entscheidung schwer und deshalb bedanke ich mich bereits Vorab vielmals für Euren Input.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1852955467
Url: https://administrator.de/contentid/1852955467
Printed on: April 19, 2024 at 11:04 o'clock
11 Comments
Latest comment
Eine FritzBox ist kein Modem sondern immer ein Router !
Du machst also doppeltes NAT und doppeltes Firewalling in einer Kaskade.
Deinen gewählte HW ist ideal und hat Reserven für noch erheblich mehr.
https://docs.opnsense.org/manual/hardware.html
Multithreading ist Standard bei pfSense und OPNsense.
Du machst also doppeltes NAT und doppeltes Firewalling in einer Kaskade.
Deinen gewählte HW ist ideal und hat Reserven für noch erheblich mehr.
https://docs.opnsense.org/manual/hardware.html
Multithreading ist Standard bei pfSense und OPNsense.
Hallo AGS101
Ich würde auf Opnsense in Kombination mit ihrer Hardware gehen. Z.B. DEC850 resp. DEC3850.
Da hast du genügend Power und nicht zuviel Komponenten drin wie bei deiner vorgeschlagenen Hardware welche
es für eine Firewall nicht benötigt.
Gruss
adminst
Ich würde auf Opnsense in Kombination mit ihrer Hardware gehen. Z.B. DEC850 resp. DEC3850.
Da hast du genügend Power und nicht zuviel Komponenten drin wie bei deiner vorgeschlagenen Hardware welche
es für eine Firewall nicht benötigt.
Gruss
adminst
Hi,
my 2 cents, speziell auf pfSense und OPNsense bezogen:
für OPNsense: soll mit unbound und DNSCrypt auf der OPNsense einzurichten sein.
Meine Meinung (und Erfahrung):
- pfSense:
plus: (in Version 2.5.2) stabiler als OPNsense,
minus: ob und wie pfSense weiterentwickelt wird ist nicht klar.
- OPNsense:
plus: wird weiterentwickelt, aktuelleres Betriebsystem als pfSense.
minus: instabiler als pfSense, in der Vergangenheit ist nur 1 Person (Franco Fichtner) als Entwickler aufgetreten.
Hier kann natürlich noch viel mehr aufgezählt werden.
Ich persönlich würde pfSense nehmen.
WG. Hardware: schau mal bei Landitec nach und laß dich dort beraten.
Gruß
CH
my 2 cents, speziell auf pfSense und OPNsense bezogen:
Firewall mit IPS (Suricata/snort)
machen Beide, Hardware sollte schon leistungsfähiger als ein APU sein.Virenscanner (auch email)
können Beide nicht vernünftig; ClamAV in den SQUID einzubinden ist naja.adblocker
für pfSense: pfBlockerNGfür OPNsense: soll mit unbound und DNSCrypt auf der OPNsense einzurichten sein.
VPN (max 4 Verbindungen (idR 1-2) 50-60 Mbit wäre absolut ok)
machen Beide nebenbeiRouting: 6 Teilnehmer, 7 VLAN, ca 50 Clients
nichts BesonderesGerne würde ich RADIUS und squid/squidguard betreiben
können BeideLeistung der Leitung(en) soll ausgenutzt werden (=Firewall/ Routing mit 1Gbit oder mehr)
oha, oben schriebst du: 7 VLANs (+WAN?), d.h du benötigst 8 physikalische Ports auf der FW, bei "Firewall/ Routing mit 1Gbit" zwischen allen Ports, bei tagged VLANs wirst du den Durchsatz nicht erreichen.Als Software schwanke ich zwischen pfsense und opnsense
Meine Meinung (und Erfahrung):
- pfSense:
plus: (in Version 2.5.2) stabiler als OPNsense,
minus: ob und wie pfSense weiterentwickelt wird ist nicht klar.
- OPNsense:
plus: wird weiterentwickelt, aktuelleres Betriebsystem als pfSense.
minus: instabiler als pfSense, in der Vergangenheit ist nur 1 Person (Franco Fichtner) als Entwickler aufgetreten.
Hier kann natürlich noch viel mehr aufgezählt werden.
Ich persönlich würde pfSense nehmen.
WG. Hardware: schau mal bei Landitec nach und laß dich dort beraten.
Gruß
CH
Hallo @ all,
Ich bedanke mich für Eure Meinungen.
Was die Hardware angeht bin ich jetzt beruhigter, vielen Dank.
Was die Software angeht leider nicht. Ja, pfsense scheint stabiler, aber opnsense wird maßgeblich in NL und D weiterentwickelt und hat viele deutsche business angels. Auch Suricata soll angeblich stabiler laufen
Da werde ich mir wohl noch länger den Kopf zerbrechen müssen…
@148523
Danke für den Hinweis, das ist mir bewußt. Aktuell behelfe ich mir da etwas mit einer „Gewaltlösung“, aber solange keine vernünftigen Docsis 3.1 Modem für Kabel auf dem Markt sind, muss das eben so sein. btw. Ich kenn das TC4400, scheidet wegen den fehlenden ota updates aber aus.
Nochmals vielen Dank an alle
Ich bedanke mich für Eure Meinungen.
Was die Hardware angeht bin ich jetzt beruhigter, vielen Dank.
Was die Software angeht leider nicht. Ja, pfsense scheint stabiler, aber opnsense wird maßgeblich in NL und D weiterentwickelt und hat viele deutsche business angels. Auch Suricata soll angeblich stabiler laufen
Da werde ich mir wohl noch länger den Kopf zerbrechen müssen…
@148523
Danke für den Hinweis, das ist mir bewußt. Aktuell behelfe ich mir da etwas mit einer „Gewaltlösung“, aber solange keine vernünftigen Docsis 3.1 Modem für Kabel auf dem Markt sind, muss das eben so sein. btw. Ich kenn das TC4400, scheidet wegen den fehlenden ota updates aber aus.
Nochmals vielen Dank an alle
Moin,
ich fahre hier so ein Setup noch mit einer APU und pfSense 2.5.2, absolut stabil und unauffällig,
Sehe daher momentan keinen Grund OPNsense auszuprobieren.
ich fahre hier so ein Setup noch mit einer APU und pfSense 2.5.2, absolut stabil und unauffällig,
Sehe daher momentan keinen Grund OPNsense auszuprobieren.
aber solange keine vernünftigen Docsis 3.1 Modem für Kabel auf dem Markt sind
Da bist du dann scheinbar nicht mehr auf dem neuesten Stand. Sowas gibts schon lange !Endlich: Reines Kabel-TV Modem in D erhältlich !
@148523,
Hallo und danke für Deinen Kommentar.
Jetzt hast Du mich kurz in Euphorie versetzt….
Ja Du hast recht, es gibt mit dem TC4400 EU ein super duper reines Docsis 3.1. Modem. ABER Du solltest meinen Kommentar zu Ende lesen:
Dass ich bei jedem Update das Modem einschicken muss, schreckt mich einfach ab. Da nehme ich lieber zähneknirschend die Nat Variante mit Exposed host in kauf.
Gruß
Hallo und danke für Deinen Kommentar.
Jetzt hast Du mich kurz in Euphorie versetzt….
Ja Du hast recht, es gibt mit dem TC4400 EU ein super duper reines Docsis 3.1. Modem. ABER Du solltest meinen Kommentar zu Ende lesen:
…btw. Ich kenn das TC4400, scheidet wegen den fehlenden ota updates aber aus….
Dass ich bei jedem Update das Modem einschicken muss, schreckt mich einfach ab. Da nehme ich lieber zähneknirschend die Nat Variante mit Exposed host in kauf.
Gruß
In der Regel muss man reine Modems niemals updaten. Der Firmware ändert sich so gut wie nie.
Aber musst du wissen...deine Entscheidung !
Aber musst du wissen...deine Entscheidung !
@148523
Da hast Du nicht ganz unrecht.
Ich bin am TC4400 schon eine ganze Weile interessiert und es gab in der Tat einige Probleme (auch durch Vodafone/Kabeldeutschland forciert), die ein update erforderten.
Solange bei den Firmen noch so viel Zwist ist (insbesondere Vodafone), ist mir das zu heiß. Meine Familie/ Geschäftspartner steinigen mich, wenn ich das Modem einschicken muss 😖
ich bin mit meinem Thema denke ich erstmal durch.
Falls es Euch interessiert, ich habe mich für ein Supermicro board (2 Intel Nicˋs, Atom C3558) mit 16GB Ram, 128GB M2 und pfsense entschieden. Das Ist vom Stromverbrauch ein gutes Setup und sollte meinen usecase (FW,Pfblocker, evtl. clamAV, bischenVPN, Vlan routing (untagged)) mehr als decken.
Ich bedanke mich vielmals für Eure Zeit und Mühe.
Da hast Du nicht ganz unrecht.
Ich bin am TC4400 schon eine ganze Weile interessiert und es gab in der Tat einige Probleme (auch durch Vodafone/Kabeldeutschland forciert), die ein update erforderten.
Solange bei den Firmen noch so viel Zwist ist (insbesondere Vodafone), ist mir das zu heiß. Meine Familie/ Geschäftspartner steinigen mich, wenn ich das Modem einschicken muss 😖
ich bin mit meinem Thema denke ich erstmal durch.
Falls es Euch interessiert, ich habe mich für ein Supermicro board (2 Intel Nicˋs, Atom C3558) mit 16GB Ram, 128GB M2 und pfsense entschieden. Das Ist vom Stromverbrauch ein gutes Setup und sollte meinen usecase (FW,Pfblocker, evtl. clamAV, bischenVPN, Vlan routing (untagged)) mehr als decken.
Ich bedanke mich vielmals für Eure Zeit und Mühe.
Zitat von @148523:
Eine FritzBox ist kein Modem sondern immer ein Router !
Du machst also doppeltes NAT und doppeltes Firewalling in einer
Eine FritzBox ist kein Modem sondern immer ein Router !
Du machst also doppeltes NAT und doppeltes Firewalling in einer
Das stimmt bei den KabelFritzboxen NICHT. Die haben auch einen Modus um als Modem zu agieren.
Das wäre dann neu, da AVM das in den neueren FritzOS seit Längerem entfernt hatte.
Möglich aber das sie es wieder aktiviert haben was ja sehr gut wäre da man so dann die FritzBoxen als reine Kabel TV Modems einsetzen kann mit Breitband Endgeräten die nur einen Ethernet Port haben wie Firewalls (pfSense, OPNsense usw.).
Im Kabel TV Bereich ist die Auswahl ja eher schmal:
Endlich: Reines Kabel-TV Modem in D erhältlich !
Aber gut zu wissen. Danke für den Hinweis!
Möglich aber das sie es wieder aktiviert haben was ja sehr gut wäre da man so dann die FritzBoxen als reine Kabel TV Modems einsetzen kann mit Breitband Endgeräten die nur einen Ethernet Port haben wie Firewalls (pfSense, OPNsense usw.).
Im Kabel TV Bereich ist die Auswahl ja eher schmal:
Endlich: Reines Kabel-TV Modem in D erhältlich !
Aber gut zu wissen. Danke für den Hinweis!
