Beste Hardware für meinen Zweck
-
Hi,
Ich möchte folgendes auf einer Box laufen lassen, diese soll natürlich ein stromsparenden Prozessor haben und die nötigen Ressourcen haben.
OpenVPN mit 50-100mbit/s, Usenet über SSL (mit sabnzbd, also download und entpacken), Adblocker (evtl Scripts mit Host nur) und Twonky (streaming). Alles natürlich gleichzeitig :)
Kann da jmd was empfehlen? Soll natürlich die preiswerteste Lösung sein, jedoch stromsparend hat Vorrang.Danke,
uU -
Hallo Unknown User,
was du hier schreibst hat m.E. nicht viel mit pfSense zu tun, denn im Normalfall wird man kein Usenet oder Streaming auf einer Firewall betreiben. Wenn du das also eher weniger mit pfSense betreiben willst, würde ich vorschlagen, dort zu fragen, wo du die Distro/OS/wasauchimmer findest, was du auch auf der Box installieren möchtest. Nicht dass dir hier keiner helfen möchte, aber wenn man weiß, was man installieren möchte, dann kann man auch eher abschätzen, was an Ressourcen notwendig ist. Da dein Wunsch aber nichts mit Firewalling zu tun hat, sehe ich das eher weniger bei pfSense.
Grüße
-
Hi JeGr,
Danke für die Antwort. Ich wollte mit pfSense meinen Router ersetzen. das war das Hauptargument.
Es wäre super wenn ich Dienste wie Usenet inkl Platte noch mit einbauen könnte, da ich mir dadurch ein weiteres Gerät spare (mein NAS) -
Danke für die Antwort. Ich wollte mit pfSense meinen Router ersetzen. das war das Hauptargument.
Das ist erst einmal löblich!
Es wäre super wenn ich Dienste wie Usenet inkl Platte noch mit einbauen könnte, da ich mir dadurch ein weiteres Gerät spare (mein NAS)
DAS solltest du allerdings tunlichst vermeiden. Ein Border Gateway, eine Firewall oder wie du auch sonst deinen Schutzmechanismus nennen möchtest, hat mit einem All-in-Wonder-Server nichts zu tun. Der sollte primär der Sicherheit dienen und nicht zu einer zweiten Fritzbox mutieren. Ich hatte sogar schon Leute, die allen ernstes auf einer nackten OpenBSD/PF Firewall ein X11 für Mozilla installiert hatten und dann fragten, warum der Browser denn nicht geht. Auf einer Firewall…
Das sind einfach Einsatzgebiete, die man hier partout nicht mischen sollte. Eine Firewall, die selbst zig dutzend Ports aufmacht, um irgendwelche dubiosen Verbindungen ins Usenet aufzumachen, kann ich kaum als wirklich sicher betrachten. Je mehr Software man hier einsetzt, umso mehr Einfallstore und Angriffsfläche provoziert man dann auch auf der Maschine. Deshalb hier lieber trennen, ein Gerät für Sicherheit/Routing, am Besten mit 3 Interfaces (oder VLAN fähig) und dann was kleines Stromsparendes (RasPi?) für den anderen Kram in eine DMZ setzen.
Dazu kommt, dass du es eher schwer haben wirst, solche Pakete wie NAS/UseNet o.ä. für pfSense zu finden, eben weil pfSense eine Security Distro darstellt und kein FreeNAS mit App Unterstützung ist :)
Grüße
-
Danke nochmals ,)
Dann würde es mich interessieren welche Hardware ausreichen würde für OpenVPN bis 100 Mbit/s und Adblock.
Das ist quasi alles was in an meinem pfSense-router brauche:) -
Du kannst auch virtualisieren um Hardware einzusparen.
Dann hast du deine pfsense als VM und dein NAS auch.pfsense läuft wunderbar auf ESXi und Hyper-V.
-
Du kannst auch virtualisieren um Hardware einzusparen.
Dann hast du deine pfsense als VM und dein NAS auch.Danke, kannst du mir dazu evtl einen Artikel empfehlen, da ich in diesem Bereich keine Ahnung habe
-
Virtualisieren ist eine Idee, allerdings gibt es da - für mich subjektiv - zwei Dinge die dagegen sprechen.
Zum Einen ist bei Virtualisierung gern die Hardware geshared. Gibt es im Hypervisor somit einen Fehler oder einen Vektor den man exploiten kann, dann wäre es denkbar die virtualisierte Firewall auszuhebeln. Deshalb stellen die meisten Kunden das Device auch nur sehr ungern auf Virtualisierung. Es gibt natürlich Situationen wo das nicht geht, und dann ist man damit immer noch am Besten bedient. Keine Frage!
Zum Anderen würdest du bei deinen Hardware-Anforderungen wieder deutlich nach oben klettern, denn kleine Hardware wie ein RasPi oder eine APU können nicht virtualisieren. Das läuft dann schon deinem Wunsch entgegen, das ganze auf kleiner stromsparender Hardware abzubilden. Wobei hier eh die Frage gestellt sei, ob das noch klein und stromsparend ist, wenn du noch ein NAS mit Zusatzdiensten bauen willst ;) -
Naja wie kommst du denn an den Hypervisor ran um zu exploiten? Wenn man das auf vernünftige Beine stellt gar nicht..
Aber gut, wie du sagst, das ist wohl noch ein bisschen Glaubenssache im Moment. Wir virtualisieren alles und haben damit (bisher) nur positive Erfahrungen.
Zu den HW Anforderungen…
wenn man eh ein NAS auf eigener Hardware betreibt, wird die schon zu 90% langweilen. Da läuft die pfsense dann sozusagen völlig kostenfrei mit. -
Ich sehe mich gerade vor der gleichen Aufgabenstellung. Für privat eine pfSense und ein NAS zu installieren, und das Ganze sollte wirklich stromsparend sein. Das NAS wird bei mir nicht allzu viel Arbeit haben.
Da habe ich auch daran gedacht, beides auf gemeinsamer Hardware zu virtualisieren, doch bin ich mir über die Sinnhaftigkeit noch nicht im Klaren.Gibt es im Hypervisor somit einen Fehler oder einen Vektor den man exploiten kann, dann wäre es denkbar die virtualisierte Firewall auszuhebeln.
Darin sehe ich auch kein großes Risiko, vor allem für den Einsatzzweck privat.
Ein Exploit müsste erstmal auf das Host-OS gelangen und entsprechende Rechte bekommen. Auf dem Host würde ja nichts anderes als der Hypervisor laufen und er wäre nur von intern zugänglich.
Ja, wohler fühlen würde ich mich damit, wenn die Hardware VT-d unterstützen würde und ich das WAN Interface direkt der pfSense bereitstellen könnte, aber das tut die übliche stromsparende Hardware (Celeron-Klasse) leider nicht.
Das und deine immer wieder hier geäußerten Bedenken sind der Grund, weswegen ich mich noch nicht für eine Lösung entschieden habe. ;) -
Sicher geht immer mehr in Richtung Virtualisierung. Es hat aber auch seinen Grund, dass Firewalls klassischerweise immer noch sehr viel und häufig in Hardware und Appliance Form existieren und das nicht nur (aber auch), weil dort durch Spezialhardware dann natürlich noch mehr rauszuholen ist (ASICs etc.).
Wenn Virtualisierung, wäre es aber sicherlich günstig, wenn man genug Interfaces hat/hätte, dass man WAN und ggf. auch LAN der virtPf nicht teilt, sondern (exklusiv) zuweisen kann. Exklusiv (vt-d) wird dann meist teurer, denn selbst low-cost Xeon Lösungen sind leider oft teu(r)er, können sich aber lohnen.Ansonsten wäre vielleicht auch ein Blick auf einen Rangeley Atom etwas wert: der C2578 bringt ja immerhin 8 echte Kerne mit zum Spielen, und hat in purer Hardware kein Problem, Gigabit zu wuppern. Da sollte dann auch Virtualisierung keine Delle ins Blech machen.
-
Wenn's günstig und klein bleiben soll: Gigabyte J1900n-D3V (immerhin 2 GBit LAN Ports), bis zu 8 GB RAM (leider kein ECC), Chieftec IX-03B mit Netzteil, eine kleine 250er Samsung SSD und noch eine 2,5" Platte runden das ganze ab. Proxmox auf der Hardware installieren und die 2. NIC explizit und ausschließlich der pfSense als WAN Port zuweisen. Die 1. NIC ist proxmox und int. LAN (pfSense und weitere VM mit der NAS Software). Wenn's mehr und besser sein soll dann ein etwas größeres Gehäuse, ein Supermicro Mainboard mit Celeron/Atom, mehr NICs und ECC RAM.
