Firewall mit opensense / nicht ganz hier her passend


Recommended Posts

...frag das besser mal hier: https://www.hardwareluxx.de/community/threads/pfsense-opnsense-firewall-und-routing-appliance.1285668/

 

Meine Meinung, ohne das Ding zu kennen:

 

- nur 2 Ports sind für eine Firewall zu wenig und Ports mit USB rufen nach Ärger....suche was mit Minimum 3 Ports.

- welche NIC Hardware verbaut ist, ist nicht ersichtlich...muss ja mit FreeBSD funktionieren...darf auch nicht zu neu sein.

- ob das Ding überhaupt ne Sense bootet und dann Monitor und Keyboard laufen um die Installation durchzuführen kann spannend werden

 

 

Link to comment
10 hours ago, Ford Prefect said:

...frag das besser mal hier: https://www.hardwareluxx.de/community/threads/pfsense-opnsense-firewall-und-routing-appliance.1285668/

 

Meine Meinung, ohne das Ding zu kennen:

 

- nur 2 Ports sind für eine Firewall zu wenig und Ports mit USB rufen nach Ärger....suche was mit Minimum 3 Ports.

- welche NIC Hardware verbaut ist, ist nicht ersichtlich...muss ja mit FreeBSD funktionieren...darf auch nicht zu neu sein.

- ob das Ding überhaupt ne Sense bootet und dann Monitor und Keyboard laufen um die Installation durchzuführen kann spannend werden

 

 

Hi,

 

wieso sind zwei ports zu wenig? einer zum Modem der andere zum switch. meine Fritte hängt ja auch nur mit einem Port am 16 port switch. 

Würde den der Prozessor reichen?

Link to comment
3 hours ago, Ford Prefect said:

verzeih, wenn ich das so frech sage, aber wenn Du das nicht weisst und nichtmal den ersten Treffer bei Tante Google aufrufst, dann brauchst Du eigentlich keine Firewall.

braucht man das wirklich im Privaten Umfeld? darauf zielte es eigentlich ab. Aber an sonsten hab ich kein Problem wenn man mir frech kommt, hast ja recht. 

Link to comment

...Du kennst doch sicher den Spruch "Appetit kommt beim Essen!".
Irgendwie, Irgendwann willst Du mal Dienste anbieten für Freunde und Familie....diese Apps hängt man in eine DMZ und für jedes Hauptsegment nimmt man einen dedizierten Netzwerk Anschluss...so gehört sich das.....alles Andere birgt Risiken und macht es komplexer.

Ein Draytek oder Mikrotik kann das auch und ersterer ist auch einfacher zu handhaben.

Ansonsten gibt es zahlreiche mini-PC mit 4+ Intel NICs.

Gesendet von meinem SM-G780G mit Tapatalk

Link to comment

Schau dir mal einen Lenovo M720Q an, @Syrincs

Da reicht dir schon die kleinste Variante mit dem Intel Pentium Gold G5420.

Hab mit SFOS (TLS-Inspection: off / IPS: on) bei einer ausgelasteten 1Gbit WAN-Leitung eine CPU-Auslastung von ca. 50 %.

 

Lenovo M720Q ~ 130 € -> https://www.one.de/office-pc-lenovo-centre-m720q-75181

Lenovo PCIe Riser (01AJ940) ~ 30 € -> https://www.jacob.de/produkte/lenovo-bld-tiny5-01aj940-artnr-5839858.html

Intel i350-T4 ~ 50 € -> https://www.ebay.de/itm/133772171174

 

Bei meinem Lenovo M720Q von One.de war eine M.2 verbaut.

Eine M.2 wirste brauchen, da durch den Verbau der Netzwerkkarte keine SATA-SSD mehr verbaut werden kann.

 

Verbrauch liegt mit Sophos XG (SFOS) bei 19-21w.

Denke mit OPNsense kriegste den Verbrauch nochmal ein paar Watt runter.

 

 

23-01-17 15-26-04 7841.jpg

 

23-01-25 11-42-18 7886.jpg

Edited by h0schi
Link to comment

Joar, je nachdem was @SyrincsAnforderungen sind.

 

Welche WAN-Anbindung ?
IPS / IDS aktiv ?

TLS-Inspection ?

VPN ?

 

Bis 500 Mbit reicht eigentlich auch ein kleiner sparsamer Fujitsu Futro 920.

Ab 500 Mbit muss man ein bisschen rumprobieren - kann sein, dass der N5105 da schon etwas zu schwach ist.

 

Bin mir nicht sicher ob sich da mittlerweile bei OPNsense etwas getan hat, aber in erster Linie wars damals so, dass die Single-Thread Performance ausschlaggebend ist.

Ich nehm für das "Sizing" gern https://www.cpubenchmark.net/compare/

Link to comment
16 minutes ago, h0schi said:

Bin mir nicht sicher ob sich da mittlerweile bei OPNsense etwas getan hat, aber in erster Linie wars damals so, dass die Single-Thread Performance ausschlaggebend ist.

...auf jeden Fall richtig und wichtig. So eine PC basierte Firewall hat nur die CPU und keine extra HW-Beschleunigung, wie zB andere mit nem Switch-Chip.

Bei WAN kommt dann NAT dazu und wer DSL nutzt muss sich gewahr werden, das PPOE-Einwahl auch single threaded ist.

Da braucht es schon ein paar Kernchen, am besten >3GHz um 1Gbps für WAN+2xLAN simultan bereitzustellen.

Edited by Ford Prefect
Link to comment

Hallo Leute, 

 

danke für die Rückmeldung jetzt bin ich ziemlich überfordert. Und muss wohl noch viel lesen über 

IPS / IDS aktiv ?   /   muss ich erst mal lesen was das ist und macht :) 

TLS-Inspection ? /   muss ich erst mal lesen was das ist und macht :) 

VPN ?            /     Wireguard zur Wohnung meiner Freundin und für mein Handy

 

Ansonsten bekomm ich bald Glasfaser aber nur 250Mbit Leitung. Der unraid Server steht bei mir ist für TV aufnahmen und soll eine Leitung für TV in die Wohnung meiner Freundin bereitstellen. ansonsten läuft oder soll er in Zukunft Hommeassistent mitmachen und stellt nextcloud zur Verfügung. Und Adguard läuft auch.

 

 

Link to comment
Schau dir mal einen Lenovo M720Q an, @Syrincs
Da reicht dir schon die kleinste Variante mit dem Intel Pentium Gold G5420.
Hab mit SFOS (TLS-Inspection: off / IPS: on) bei einer ausgelasteten 1Gbit WAN-Leitung eine CPU-Auslastung von ca. 50 %.
 
Lenovo M720Q ~ 130 € -> https://www.one.de/office-pc-lenovo-centre-m720q-75181
Lenovo PCIe Riser (01AJ940) ~ 30 € -> https://www.jacob.de/produkte/lenovo-bld-tiny5-01aj940-artnr-5839858.html
Intel i350-T4 ~ 50 € -> https://www.ebay.de/itm/133772171174
 
Bei meinem Lenovo M720Q von One.de war eine M.2 verbaut.
Eine M.2 wirste brauchen, da durch den Verbau der Netzwerkkarte keine SATA-SSD mehr verbaut werden kann.
 
Verbrauch liegt mit Sophos XG (SFOS) bei 19-21w.
Denke mit OPNsense kriegste den Verbrauch nochmal ein paar Watt runter.
 
 
687299155_23-01-1715-26-047841.thumb.jpg.fb720f9ae6b21fa1ed124335186f5fcd.jpg
 
934922109_23-01-2511-42-187886.thumb.jpg.23474c9fc49e6591f12782447fa35c6e.jpg

Hi,
webn man das so macht kann man nicht gleich eine Karte verbauen die sfp schnitstelle hat das man sich das Glasfaser Modem von der Telekom noch spart?


Gesendet von iPhone mit Tapatalk
Link to comment
34 minutes ago, Syrincs said:

Wenn es so eine Hardware Firewall sein sollte dann würde ich diese von "Protectli Vault" (auch bei Amazon)  bevorzugen,sollen sparsamer im Verbrauch sein wie ich schon öfters gelesen habe.Gibt auch Videos dazu.

Link to comment
2 hours ago, Syrincs said:

Was haltet ihr davon?

Sowas ähnliches habe ich als unraid mit ner Mikrotik CHR-VM in der Fewo.

Das ist schon was ganz anderes, als der kleine mit DUAL-LAN.

Du solltest aber checken, ob PfSense oder OPNsense, bzw. das jeweiige FreeBSD da drunter diese relativ neuen Intel NICs sicher/stabil unterstützt.

 

1 hour ago, Syrincs said:

webn man das so macht kann man nicht gleich eine Karte verbauen die sfp schnitstelle hat das man sich das Glasfaser Modem von der Telekom noch spart?

Das Ding von der Telekom ist kein Modem, sondern ein Medien-Konverter...kostet nix und eine SFP-Karte wird mehr Strom ziehen, mit einem Modul drin.

Speziell hier, mit der Dual-SFP+ wäre mir der WAN-Port in SFP zu schade, wenn eh nur 250Mbps ankommen....

Link to comment
  • 11 months later...
On 1/26/2023 at 6:07 PM, h0schi said:

Verbrauch liegt mit Sophos XG (SFOS) bei 19-21w


Moin, das heißt Sophos XG läuft bei Dir auf dem Lenovo M720q ? Ich versuche es gerade zu installieren, was auch klappt, aber er bootet danach nicht (nur blinkendes Leerzeichen). Hab auf Legacy ohne UEFI eingestellt. Any idea?

 

Update: Die Lösung ist wohl: Sophos bootet nur legacy, und NVMe nur UEFI, man braucht also eine (kurze) SATA  SSD.

Edited by brucie
Link to comment
On 1/10/2024 at 6:47 PM, brucie said:


Moin, das heißt Sophos XG läuft bei Dir auf dem Lenovo M720q ? Ich versuche es gerade zu installieren, was auch klappt, aber er bootet danach nicht (nur blinkendes Leerzeichen). Hab auf Legacy ohne UEFI eingestellt. Any idea?

 

Update: Die Lösung ist wohl: Sophos bootet nur legacy, und NVMe nur UEFI, man braucht also eine (kurze) SATA  SSD.

 

Du siehst den Boot-Vorgang nicht, da es in der Kombi keine grafische Ausgabe gibt.

BIOS-Boot muss auf Legacy gestellt sein.
Mach einfach ein Ping auf die Management Netzwerk-Schnittstelle und dann siehst du, dass die XG bzw. das Webinterface erreichbar ist.

Edited by h0schi
  • Like 1
Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.