pfSense / OPNsense Hardware - Eure Empfehlungen?
-
Hallo zusammen :)
Im Homelab / Heimnetz hat man ja meistens: Stromsparend, Klein, Leise. Lautstärke wäre bei mir egal, da absorbiert.
Zu den Hardware Anforderungen sei an dieser Stelle gesagt:
pfSense/OPNsense
Meistens nicht mehr als 5 Nutzer
Bandbreite des Anschlusses soll voll ausgereizt werden (Down:500 Mbit/s Up:100 Mbit/s) mit Luft nach oben für eine 1Gbit-Leitung
IPSec & OpenVPN gerne schnell ( >= 100Mbit, AES-NI)
IPS/IDS
19-Zoll / 1U-2U
VLAN
Es soll nichts virtualisiert laufen, die pfSense bekommt also Ihre "eigene Hardware". Die ganzen China und Aliexpress Kisten sind mir zum Teil bekannt, allerdings wäre mir eine 1U Lösung am liebsten die ins Rack kann. CPU technische sollte das wohl in Richtung Intel i3 + gehen. Mit den 100N Kisten bin ich da wohl je nach dem schnell an der Grenze. Dell OptiPlex via Ebay mit entsprechenden Netzwerkkarten aufrüsten wäre auch eine Option. Stromverbrauch sollte gering sein, also keine alten PowerEdge Kisten.Ich nutze zur Zeit noch APs von Unify, der Controller soll später als VM auf einem Homeserver (andere Hardware) laufen.
Über eine Empfehlung oder Erfahrungswerte mit bestimmter Hardware wäre ich euch sehr dankbar:) Preislich so günstig wie möglich, so teuer wie nötig:)
-
Hi!
Du hast leider nichts zur Hardware geschrieben im Sinne von "wieviel Ports brauchst du zwingend" und "was willst du intern haben". Wenn du bspw. intern 10G auflegen möchtest (einfach weil Haben) dann wäre sowas wie die 6100 halt schon sehr genau deine Kragenweite weil Rackhöhe, kann verschraubt werden optional und bekommt das auch gewuppt.
Wenn 3-4x GBit genügen, wäre z.B. auch eine 4200 ne Option. Oder eine DEC 2687 bzw. 2752 wenn 10G. Ja die Kosten alle nen Stück mehr. Aber das sind auch gute Bretter an Hardware die Luft nach oben haben, im Rack kühl laufen und vor allem - trotz der Power - verdammt wenig Strom ziehen für das was sie tun.Cheers
-
Vielen Dank für die ausführliche Rückmeldung! Um deine Fragen zu beantworten, was ich leider Eingangs versäumte: 4 Ports sollten es Minimum sein. 10G ist absolut keine Notwendigkeit, schadet aber natürlich auch nicht. Ich habe damals mit einer APU angefangen und war damals nicht unbedingt damit zufrieden. Folgend kam eine Netgate 4100, die lief super. Ich bin aber ehrlich gesagt nicht bereit die Preise zu zahlen, auch wenn ich natürlich den Sinn dahinter verstehe. Lieber etwas basteln und tüfteln.
Habe bislang die Sophos XG 106 auf der Liste, sowie die ganzen Ali Kisten. Die sind aber leider im Verhältnis auch recht teuer. Dell PowerEdge zieht deutlich zu viel Saft, OptiPlex und co mit zusätzlicher Netzwerkkarte könnte ich mir auch vorstellen. Bei den ganzen Firewalls ala Sophos bin ich mir aber über mögliche Kompatibilitätsprobleme noch nicht ganz im klaren.
-
Ich bin fündig geworden! Mein Plan war es eigentlich, auf die kleinen Ali Express PCs und Mini Geräte zu verzichten, und mir aus einem alten Dell Optiplex mit passender NIC in einem 19-Zoll 1H Rack einen Server für Pfsense zu bauen. Oder bspw. eine alte Sophos XG 106 zu nutzen, ggf einen Dell R220 ll oder einen Fujitsu s920 umzubauen.
Allerdings habe ich so eben eine neue IPU445 (19-Zoll-Rack Version) von Ebay für knapp 200€ ersteigert. Damit wäre die Frage nach der Hardware wohl geklärt :)
-
@OsiMosi
Echt jetzt, ne 11Jahre alte CPU? Also da wäre aber schon jedes N100 Board nicht nur stromsparender sondern auch deutlich potenter. Das wirklich einzige was für die Wahl spricht, ist vielleicht der Gebrauchtwaren Preis. Oder war für dich jetzt wirklich nur die Rack-variante ausschlaggebend? -
1.) Ali N100 Kisten & Co.: Mir wurde geraten, dass meine Anforderungen diese Geräte schnell an ihre Grenzen bringen könnten. Da ich selbst keine Erfahrungen mit diesen CPUs oder Ali-Kisten habe, bin ich von dieser Option erstmal abgerückt. Auf Plattformen wie YouTube gibt es viele Vergleiche zwischen Protectli- und Ali-Kisten.
2.) Sophos XG 106 / XG 115 & FWs: Bei Sophos würde es wohl auf eine Rev3 hinauslaufen, jedoch zweifle ich hier an der Leistungsreserve. Es gibt viele Berichte, die sowohl ein einfaches Setup als auch große Herausforderungen schildern. Zudem gibt es zahlreiche Tutorials für verschiedene Firewalls von allen möglichen Herstellern, die häufig zu moderaten Preisen angeboten werden. Es wäre interessant zu hören, wer mit dieser Hardware Erfahrungen gemacht hat.
3.) Eigenbau & alte Hardware: Ältere Dell-, HP- und Fujitsu-Geräte gibt es sehr günstig, allerdings ist der Stromverbrauch oft ein Problem, besonders im Dauerbetrieb mit pfSense / OPNsense. Trotzdem gibt es einige Builds, die auf ca. 20W kommen, und sich auch als Homeserver eignen könnten. Beispiele:
Energieverbrauch: Bei einem 20W Idle-System komme ich auf etwa 52,56€ jährlich, was für mich vertretbar wäre.
4.) Netgate 2100 / 4100 & Co.: Die Preise für diese Hardware finde ich für das Gebotene zu hoch. Ich hatte in der Vergangenheit eine 4100 im Einsatz und war zufrieden, allerdings ist der Preis aus meiner Sicht zu hoch.
Es gibt also viele Überlegungen, die mich momentan beschäftigen. Generell habe ich kein Problem damit, passende Hardware selbst zu bauen. Dabei könnte ich gleich auch erste Erfahrungen für einen geplanten Homeserver sammeln. Ich bin der Meinung, man sollte nicht unnötig sparen, aber gleichzeitig auch nicht mehr investieren als nötig. Kapazitäten für zukünftige Erweiterungen sind mir ebenfalls wichtig, um flexibel zu bleiben. Das Rack-Format spielt dabei keine Rolle, da ich die Systeme bei Bedarf in passende Gehäuse einbauen werde. Auch Modifikationen an Cases sind für mich eine Option.
-
Eine SG-135 Rev. 3 ist mein Backup falls der 61er was passiert.
Zum test hier im LAN nen IPsec IKEv2 AES-GCM DH19 Tunnel gebaut, 1GBit/s durch geschoben ohne das es vom LAN zu unterscheiden wäre.
In der 135 ist der gleiche C Atom drin aber die 2,5/10G Ports fehlen.
Mit 1G kannst die Kiste nur mit PPPoE aus der Reserve locken.Zählt halt nicht nur der Takt auch die IPC und da ist der N100 deinem ix Gen. 4 weit überlegen, zudem taktet er nicht langsamer. Die Kisten haben nicht umsonst nur noch 2,5G Ports.
Und es tut sich gerade mit den neuen Luna Lake wieder extrem viel was Rechenleistung per Watt angeht.
Vermutlich wurde die Kiste aus dem Grund raus geworfen.Und so ein Rackboden ist halt universell kompatibel zu jeder Art von Hardware.
19“ muss es daheim nicht immer sein, vor allem sind das meist laute aktive Komponenten. -
@NOCling said in pfSense / OPNsense Hardware - Eure Empfehlungen?:
SG-135 Rev. 3
Das wäre - wenn man genau eine 135 Rev 3 irgendwo gebraucht schießen kann - auch meine Empfehlung wenns "billig" und "zusammengestrickt" sein soll. Das ist dann wenigstens eine C3558 Atom Kiste, kann QAT, AES-NI und bleibt bei <18W Dauerlast und bringt genug Performance auf die Strecke.
@OsiMosi said in pfSense / OPNsense Hardware - Eure Empfehlungen?:
4.) Netgate 2100 / 4100 & Co.: Die Preise für diese Hardware finde ich für das Gebotene zu hoch. Ich hatte in der Vergangenheit eine 4100 im Einsatz und war zufrieden, allerdings ist der Preis aus meiner Sicht zu hoch.
Sehe ich an der Stelle nicht so. Einfache Rechnung: die 4200 ist sogar günstiger als die 4100. Ja, 549€ was so der grobe Straßenpreis ist, mag viel sein. Wenn man aber ebenfalls zur Kenntnis nimmt, dass da auch gleich noch Plus mit dabei ist, was ansonsten ja inzwische kostet, wären das Pro Jahr Kosten. Entfallen somit. Klar kann man auch argumentieren "ich brauch Plus nicht". Stimmt, gibts trotzdem on top. Dann hat das Bricket 4x 2.5er Ports, keine Gigabit. Die Kosten auch ein wenig mehr - trotzdem ist die Box günstiger geworden. Hat die Möglichkeit, sogar 2 NVMe zu verbauen. DDR5 Speicher. Passivkühlung. Find ich als Paket nicht zu teuer. Einmalig teuer? Jap, sag ich gar nichts gegen. Aber das Ding hat man ja nicht nen Jahr da stehen, oder zwei, sondern im Normalfall ja 3+ Jahre im Einsatz. Also ~185/Jahr bei 3 oder ~110€/Jahr bei 5 Jahren.
Dagegen eine XG115 werfen die man gebraucht shoppt - das sind ~130€ für ne HW, die wahrscheinlich genau die 3-5 Jahre schon im Einsatz war. Der SOC ist nen Alter E-Atom, DDR3 RAM etc. - im Endeffekt sind das Uralt Nexcom DNB130 o.ä., da Sophos auch nur fremd kauft. Und die Nexcom Teile sind seit 2021/22 EOL. XG 106 ist das Gleiche in grün - außer du hast was Neueres als Rev 1. Auch steinalter E3x Atom, DDR3, etc. E-Atom vs C-Atom ist BTW kein Vergleich, weil E-Serie damals für Embedded low power gebaut wurde, C-Serie aber für Core Routing gedacht und auf Netzperformance optimiert wurde und auch länger lief als die Es.
Am Ehesten würde ich noch sowas wie die https://eu.protectli.com/product/v1410/ V1410 von Protectli verstehen. Das wäre dann wirklich vergleichbar. Ausstaffiert mit SSD drin, 8GB RAM, N5105 und 4x 2.5Gbps Ports. Immer noch schwächer als der C1110 Atom mit AVX512 support aber gut, günstig, NEU und keine so uralte Hardware drin.
Oder auch ne VP2420, die hätte dann auch etwas mehr Power und sollte garantiert das Gigabit voll machen.Aber was man daran sieht: selbst die Protectlis - wenn man mal schaut was man da möchte - sind nicht irre viel billiger als das man jetzt immens viel sparen könnte.
Ansonsten: wenn es ein N100 und Co auch tut:
- Mini-PC: https://www.ikoolcore.com/products/ikoolcore-r2-poe-firewall?variant=47905630224671
- MikroPC Vorgänger in klein mit älterem N95: https://www.ikoolcore.com/products/ikoolcore-r2?variant=45869133168927
Sonstige Barebones und Co die Sinn machen, liegen aber dann meist auch bei ~350€ was dann mit RAM und SSD sie ähnlich teuer macht wie die obigen Lösungen. Gebraucht geht da vllt. was, aber dann muss man auch Abnutzung und Co im Kopf halten zumal es alte Chips und Chipsätze gab, die gerade bei Intel Kandidaten für Ausfälle sind.
Cheers :)
-
Gebe ich dir ehrlich gesagt auch Recht. Wenn man das ganze mehr oder weniger mit einander vergleicht, ist die 4200 auch keine Lichtjahre entfernt. Hätte als Alternative bislang auch nur noch nen HP Elitedesk 800 G5, mit i5-9500, den man mit den richtigen Settings (laut Testberichten) sehr stromsparend bekommt (Idle < 10W). Klar, die 4200 zieht nochmal weniger. Müsste dann noch ne Intel i350 rein für 4x 1g, was halt auch kein 2,5g ist.
Eine Sophos SG-135 Rev. 3 läge ca. 125-150€
-
@OsiMosi said in pfSense / OPNsense Hardware - Eure Empfehlungen?:
Eine Sophos SG-135 Rev. 3 läge ca. 125-150€
Genau, darum ist die auch gern der "Backup-Plan" für einige, die dann nicht unbedingt noch eine 4100 (nicht 4200) bekommen haben und gern 6+ Ports brauchen. Die bekommt man gebraucht halbwegs billig und beim C-Atom weiß man wenigstens woran man ist. QAT bräuchte es allerdings Plus für oder OPNsense drauf, ansonsten gibts "nur" AES Support was aber trotzdem schon viel ist.
Wenn also der schmale Geldbeutel gewinnt, würde ich lieber nach einem C3558/C3758R-Atom die Angel auswerfen, ansonsten ggf. darüber nachdenken, ob eine neue Box auf lange Sicht nicht auch etliche Problemchen erspart und gleich noch netten Zusatznutzen abwirft (wie gesagt, bei Netgate ist bei den eigenen Boxen immer Plus drauf, bei OPN wärs ggf. vergleichbar mit Business Edition Features wie dem OPNcentral und Co.) Mit dem MiM in der Preview soll man dann auch hübsch via API rumspielen können. Da warte ich gerade auf die Präsentation der Features damit ich mir da mal ein Bild von machen kann (heute Nacht solls ne Sneak Preview auf dem AWS Channel geben, in ca. 10 Tagen bekomm ich hoffentlich eine direkt).
Je nachdem was man dann für sich entscheidet - go for it :)
-
@JeGr said in pfSense / OPNsense Hardware - Eure Empfehlungen?:
Je nachdem was man dann für sich entscheidet - go for it :)
Wenn das mal so einfach wäre
Würdest du von selbstbauten ala HP Elitedesk generell abraten?1G Port würde mir übrigens erstmal reichen.
