OPNsense Hardwareberatung


powerforum75

Recommended Posts

Hallo Leute,

 

ich möchte gerne vor meinem Unraid Server eine OPNsense als Firewall und diverses auf Hardware zum laufen bekommen. Hinzu kommen mehrere VLAN´s über einen MgmtSwitch.

 

Das ist geplant:

 

<---DSL Modem--> <--OPNsense--><--Mgmt Switch--><--Unraid-->

 

Als Hardware habe ich das hier rausgesucht:

 

https://geizhals.de/asrock-industrial-4x4-box-r1000v-90pxg621-p0eay100-a2366421.html?hloc=at&hloc=de

 

Ist das geplante technisch in Ordnung und ist die Hardwarewahl für OPNsense ausreichend?

 

 

Danke 

Link to comment

Grundsätzlich wird es zwar funktionieren, aber wie weit die Performance reicht hängt sehr von Deiner Nutzung ab.

 

Du musst immer bedenken, dass diese Hardware für Durchsatz im Bereich 1Gbps ordentlich gefordert werden wird.

Diese Box hat nur 2x LAN und keinen Steckplatz für weitere.

Damit ist der Durchsatz auf der LAN Seite schonmal beschränkt auf ein Interface...auch das VLAN Routing muss da durch, zusätzlich zum Internet-Zugang von Clients aus dem LAN.

Das System wird mit 1Gbps I-Net also schon einen Flaschenhals haben.

Ich würde eines mit Minimum 3 x LAN/Ethernet, besser 4+ empfehlen...für GBit Durchsatz auf allen Kanälen minimum einem echten 2GHz Kern je Port, plus Reserven für die Firewall.

LAN Chipsatz ist hier ein Realtek....ich würde da immer auf Intel setzen...Performance/CPU-Last ist in der Regel da auch besser.

Ob die CPU auch AES unterstützt habe ich nicht geprüft...für VPN usw würde ich darauf achten.

 

Andere Plattformen gibt es wie Sand am Meer, in der Bucht, Amazonien, den 40 Räubern (alibaba) oder auch hier: https://www.ipu-system.de/

Ich habe dieses https://www.ipu-system.de/produkte/ipu662.html in der FeWo, sogar mit unRaid und OPNSense dann in einer VM.

 

Edit: ich bin von meinem OPNSense setup daheim übrigens wieder weg.

IDS/IPS brauche ich nicht und die Firewall-Regeln von BSD wollen nicht in mein Hirn....ich bin auf Mikrotik umgezogen (Linux) und nutze nun das Ding: https://geizhals.de/mikrotik-routerboard-rb4011-router-rb4011igs-rm-a1923183.html ... mit dem 10G Uplink in meinen zentralen Switch habe ich da keine Probleme und das Ding zieht Kreise um meinen "Eigenbau" auf Basis i3-8100 (hatte sowohl opnsense als auch RouterOS da drauf, mit 8GB und einer I350-Quad NIC...Am 1Gbps I-net Anschluss, bei Zugriff über ein VLAN waren 2 Kerne schon zu 70% beschäftigt, im RB4011 geht ein Kern um 2-5% nach oben).

Stromverbrauch max 7W....der i3 lief nicht unter 12W.

Das i3 System ist nun meinen 24/7 unraid Server ;-) ...der macht dann auch die Docker, wie PiHole, zerotier, OVPN, ...

 

Edited by Ford Prefect
  • Like 2
Link to comment
5 hours ago, Ford Prefect said:

auch das VLAN Routing muss da durch

 

Kurze Frage. Mein Verständnis von nem managed Switch war immer, dass wenn Traffic an ein spezielles Vlan gerichtet wird, läuft das über den switch direkt und nicht erst über den Router. Der Switch erkennt wo Traffic hin soll, auf welchem Port welches Vlan hängt und "routet" den Traffic dann ohne den Umweg über den Router. Lieg ich da etwa falsch?

 

Ohne so nen Switch, is klar, muß die Arbeit natürlich der Router übernehmen. Kenn paar Setups, wo hausintern 20-30 clients in diversen Vlans hängen und der Router an sich nen popelliges kleines Gerät is, was 0 Performance hat und die ganze Last über nen managed Switch läuft. Routing nach draußen, is klar, macht der Router, aber ohne jetzt noch dutzende externe VPN Clients zu haben, ist die Last auf dem Router da ja jetzt auch nicht so enorm, dass ich da nen i5 brauche. Der managed Switch is da das Entscheidende.

Link to comment

Habe es so gemacht.

Stromverbrauch ist niedig.

Ich werde von opnsense aber auch wieder absehen.

Die Logik der Software hat sich mir auch noch nicht erschlossen.

Ein falsches Häckchen und nichts geht mehr.

Ist eher für Profis oder die es werden wollen.

Wenn Du dich mit roles und nat auskennst ok.

 

Edited by Tigerherz
Link to comment
2 hours ago, bastl said:

 

Kurze Frage. Mein Verständnis von nem managed Switch war immer, dass wenn Traffic an ein spezielles Vlan gerichtet wird, läuft das über den switch direkt und nicht erst über den Router. Der Switch erkennt wo Traffic hin soll, auf welchem Port welches Vlan hängt und "routet" den Traffic dann ohne den Umweg über den Router. Lieg ich da etwa falsch?

Ja, Nein, Jein....das VLAN ist eine virtuelle Aufteilung des Switch/LAN-Segments auf L2.

Das V in VLAN spart nur Kabel und Ports....mehr nicht.

Übrigens, wenn der Switch einen Switch-Chip hat, der eine Hardware-VLAN-Table kann, das kann dieser die VLANs auf Hardware-Ebene getrennt halten....auch das haben nicht alle Switches, die VLAN können (siehe zB: https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading)

Sonst muss auch der Traffic durch die CPU des Switch.

 

Mit VLAN-Routing ist aber was anderes gemeint.

Man macht da das (V)LAN zur Trennung der Netze, also hat i.d.R. hat jedes (V)LAN auch ein eigenes IP-Segment.

Wenn jetzt zwei Anwendungen, die auf unterschiedlichen (V)LANs und damit IPs "sitzen" miteinander kommunizieren müssen, dann ist das IP-Traffik, der zwischen den VLANs über das geweilige Gateway geroutet werden muss.

Minimum also routing....und das geht über den Router, weil dessen VLAN Interface ja auch das jeweilige Gateway ist.....im allgemeinen müssen die Pakete auch zusätzlich noch durch die Firewall (anders als WAN, nicht durchs NAT, aber trotzdem werden da ein paar Regeln (forward rules) getriggert....und das amcht die CPU des Routers.

Typisch zB für einen Netzwerkdrucker, der als shared device in einem anderen VLAN sitzt als die Clients, welche auch auf VLAN A und B verteilt sind

Link to comment
7 hours ago, Ford Prefect said:

Grundsätzlich wird es zwar funktionieren, aber wie weit die Performance reicht hängt sehr von Deiner Nutzung ab.

 

Du musst immer bedenken, dass diese Hardware für Durchsatz im Bereich 1Gbps ordentlich gefordert werden wird.

Diese Box hat nur 2x LAN und keinen Steckplatz für weitere.

Damit ist der Durchsatz auf der LAN Seite schonmal beschränkt auf ein Interface...auch das VLAN Routing muss da durch, zusätzlich zum Internet-Zugang von Clients aus dem LAN.

Das System wird mit 1Gbps I-Net also schon einen Flaschenhals haben.

Ich würde eines mit Minimum 3 x LAN/Ethernet, besser 4+ empfehlen...für GBit Durchsatz auf allen Kanälen minimum einem echten 2GHz Kern je Port, plus Reserven für die Firewall.

LAN Chipsatz ist hier ein Realtek....ich würde da immer auf Intel setzen...Performance/CPU-Last ist in der Regel da auch besser.

Ob die CPU auch AES unterstützt habe ich nicht geprüft...für VPN usw würde ich darauf achten.

 

Andere Plattformen gibt es wie Sand am Meer, in der Bucht, Amazonien, den 40 Räubern (alibaba) oder auch hier: https://www.ipu-system.de/

Ich habe dieses https://www.ipu-system.de/produkte/ipu662.html in der FeWo, sogar mit unRaid und OPNSense dann in einer VM.

 

Edit: ich bin von meinem OPNSense setup daheim übrigens wieder weg.

IDS/IPS brauche ich nicht und die Firewall-Regeln von BSD wollen nicht in mein Hirn....ich bin auf Mikrotik umgezogen (Linux) und nutze nun das Ding: https://geizhals.de/mikrotik-routerboard-rb4011-router-rb4011igs-rm-a1923183.html ... mit dem 10G Uplink in meinen zentralen Switch habe ich da keine Probleme und das Ding zieht Kreise um meinen "Eigenbau" auf Basis i3-8100 (hatte sowohl opnsense als auch RouterOS da drauf, mit 8GB und einer I350-Quad NIC...Am 1Gbps I-net Anschluss, bei Zugriff über ein VLAN waren 2 Kerne schon zu 70% beschäftigt, im RB4011 geht ein Kern um 2-5% nach oben).

Stromverbrauch max 7W....der i3 lief nicht unter 12W.

Das i3 System ist nun meinen 24/7 unraid Server ;-) ...der macht dann auch die Docker, wie PiHole, zerotier, OVPN, ...

 

 

OK ... Danke für Info´s

 

Habe mich jetzt bei AliExpress mal umgeschaut und das hier gefunden:

 

https://de.aliexpress.com/item/4000492465406.html?spm=a2g0o.cart.0.0.292f3c00oBdbjL&mp=1

 

Würde die Core i3-7167U variante nehmen wollen, dann sollte ich doch für das meiste gewappnet sein. Oder? 

 

 

Link to comment
18 minutes ago, powerforum75 said:

Würde die Core i3-7167U variante nehmen wollen, dann sollte ich doch für das meiste gewappnet sein. Oder? 

....der i3 ist ein 2C/4T....ich würde was mit 4 echten Cores suchen....zB i5-8265U ... der skaliert besser, DDR4 Ram und ist im idle auch nicht schlechter. 

Hier gibt es die zur Auswahl: https://de.aliexpress.com/item/1005001518687651.html?spm=a2g0o.productlist.0.0.353b274dQXchKM&algo_pvid=4454c6c7-dab4-4d5e-bfeb-0934af83063d&algo_expid=4454c6c7-dab4-4d5e-bfeb-0934af83063d-8&btsid=0bb0622c16185961706147590ecfe9&ws_ab_test=searchweb0_0,searchweb201602_,searchweb201603_


Denke bei Import an das "Problem" der Einfuhr-Umsatzsteuer.

Link to comment

@Ford Prefect Ah ok, also wird quasi der Traffik des gleichen Vlans routerunabhängig direkt im Switch weiter geleitet und bei Sprung zwischen 2 Vlans, die Datenpakete dann entweder, wenn es sich um einen L2 Switch handelt, über den Router gesendet, oder direkt im Switch sofern es ein L3 Switch mit Routingfunktionalität handelt gesendet. Bleibt mir jetzt halt noch die Frage, wie verbreitet L3s sind.

Link to comment
8 minutes ago, bastl said:

@Ford Prefect Ah ok, also wird quasi der Traffik des gleichen Vlans routerunabhängig direkt im Switch weiter geleitet und bei Sprung zwischen 2 Vlans, die Datenpakete dann entweder, wenn es sich um einen L2 Switch handelt, über den Router gesendet, oder direkt im Switch sofern es ein L3 Switch mit Routingfunktionalität handelt gesendet. Bleibt mir jetzt halt noch die Frage, wie verbreitet L3s sind.

...L3 Switch hat in der Regel dafür eine zu kleine CPU, zB alle CRS-Modelle von Mikrotik ... da kannst Du SWOS oder RouterOS booten.

 

Nimm es einfach hin....wenn Du Daten über IP-Segment Grenzen hinweg austauschen willst brauchst Du L3/Routing.

Wenn der Switch das machen soll, ist er kein Switch mehr, sondern Router ;-)

Hier ist es super erklärt: https://www.hardwareluxx.de/community/threads/10gbit-homenetzwerk.807277/page-150#post-28290958

Edited by Ford Prefect
Link to comment

@Ford Prefect Vielen Dank nochmal für den Hinweis. Detailierte Netzwerkgrundlagen sind schon eine Weile her. Man kann ja auch nicht alles in seiner Birne behalten. Ich geb zwar mein Bestes, wie wahrscheinlich jeder technikversierte User, halbwegs auf dem Stand der Dinge zu bleiben, da fällt aber leider immer mal was hinten runter. Gerade wenn man es nicht tagtäglich vor sich hat 😘

 

@SpaceInvaderOne I'am kinda confused, seeing you in the german section of the forum. Thanks for the link.

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.