Firewall/VPN/Pihole/VM-Server

Badrig

Badrig

Nostalgiker
Thread Starter
Mitglied seit
28.01.2006
Beiträge
8.732
Ort
Nürnberg
Ich möchte einen Server fürs Rack für diverse VMs, u.a. OPNsense inkl VPN, Pihole (oder BIND) und ein paar VMs zum Basteln, 2x DVB-C Proxy für Plex (Docker-Container).
Grund ist, dass ich aktuell auf dem NAS VMs laufen habe, ich diese aber getrennt haben möchte und das NAS eigentlich andere Aufgaben hat, wo es die Leistung braucht.
Das ganze hängt hinter einer Fritzbox. Im Endeffekt wohl mit doppeltem NAT das ganze.

Hardware
CPU: Pentium G4600T 🛒📦📥
Board: ASRock Rack E3C236D2I 🛒📦📥
RAM: 32GB DDR4 ECC 📥
Speicher: habe noch zwei alte Kingston SSDNow V300 120GB 📥
Gehäuse: Inter-Tech 1.5U-1528L, 1.5HE 🛒🚶‍♂️📥
Netzteil: Seasonic 300W Flex-ATX (SS-300M1U) 🛒📦📥
Kühlung: Supermicro SNK-P0046P 🛒📦🚮, zweiter Versuch: 🛒📦🚮 + Noctua NH-L9x65 🛒📦📥 + 2x Noctua NF-A6x25 PWM 🛒📦📥
Weiteres: PCIe-Bifurcation-Riser 🛒📦 + 2x PCIe x4 Extender 🛒📦 + i350-AM2 🛒📦📥 + KryoM.2 Karte 🛒📦📥 + Kingston A2000 NVMe SSD 1TB 🛒📦📥

Gesamtkosten waren nun 289,01 Euro und damit perfekt im geplanten Budget von 300 Euro. (ohne den Punkt "Weiteres", das sind noch mal 151 😵)

Software
Dachte am ehesten an Proxmox oder Win Server 2016 Essentials
Proxmox hätte den Vorteil, dass ich die beiden SSDs als ZFS-Mirror laufen lassen könnte
Unter Windows müsste ich da auf Onboard Intel oder einen alten LSI Controller zurückgreifen
Vorteil Windows: Ich kenn mich bereits damit aus und hab schon einen laufen. Proxmox/ZFS/LXC etc. wäre komplett neu für mich
Darauf dann OPNsense inkl VPN und BIND, Alternativ zusätzlich Pihole
2x xTeVe DVB-C Proxy Docker-Container
Eventuell noch eine einfache Windows VM, evtl noch weitere

Meinungen?

Ich such ne kleine Hardware-Firewall mit VPN. Das der Fritzbox (7490) fand ich unbenutzbar langsam.
Die neue Fritzbox (7530) wird vermutlich auch nicht schneller sein.
Hinter der Fritzbox laufen mehrere Server, auf einem auch eine VM mit Pihole.
Außerdem ein NAS. Das könnte es sicherlich auch, aber ich habe Sicherheitsbedenken.

Zweck ist der Zugriff auf mein Heimnetzwerk, also End-to-site.

Wie setze ich möglichst günstig ein VPN mit mind. 20, besser 40MB/s um?
Ich sehe folgende Optionen:
1. weitere VM mit OPNsense/pfsense
2. Hardware-Firewall
3. Kleine selbstgebastelte Variante, Raspi?

Her mit eurer Erfahrung! Danke :)
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich denke, da hilft nur ausprobieren. Ich habe schon alles mögliche genutzt: Raspi, Fritzbox, OPNSense, pfsense, Synology. Das Einrichten ist immer mal wieder mit kleinen Stolperfallen versehen. Zuletzt hatte ich mit pfsense IPSEC in 30 Minuten eingerichtet, inkl. VPN on Demand für IOS. Da gibt es halt gute Anleitungen. Alternativ OpenVPN auf pfsense ... da ist das Handling für die alle möglichen Endgeräte mit dem Plugin echt simple.

Am Ende funktionieren alle (irgendwie) und welchen man mag, ist dann auch Geschmackssache. Auch ist es in Deinem Setup etwas anderes pfsense oder eine andere Firewall neu einzubinden oder einen reinen VPN Server zu integrieren. Letzteres dürfte am Ende schneller gehen und dann ist ein Raspi ODER das Erweitern der pihole VM um einen VPN-Server ODER Docker Container oder ... am "einfachsten".
 
Mach dir vll erstmal Gedanken von wo bzw. womit du auf dein Heimnetz zugreifen (Windows, Linux, Android, IOS; vom eigenen Recher / aus der Firma) willst und wähle danach die VPN Technologie.

Zum anderen überlege dir was du alles mit dem VPN machen willst, nur auf Daten und Pihole DNS zugreifen ist eine VPN-VM sicher gut.
Ist der VPN aber auf einer VM würde ich über diese Verbindung zumindest nichts am Hypervisor machen, musste ich "schmerzhaft" lernen.

Wie schon geschreiben Funktonieren alle und alle habe ihre vor und Nachteile.
 
geizhals.at

Inter-Tech 1.5U-1528L ab € 90,90 (2024) | Preisvergleich Geizhals Österreich

✔ Preisvergleich für Inter-Tech 1.5U-1528L ✔ Bewertungen ✔ Produktinfo ⇒ Extern: 2x 2.5"/3.5" SATA 6Gb/s Hot-Swap • Intern: 2x 2.5" • I/O: 2x USB-A 2.0 (480Mb/s) oder 2x USB-A 3.… ✔ 19
geizhals.at geizhals.at

Vorteil gegenüber 1HE:
* Platz für 2x 3,5" (im Caddy) und 2x 2,5" (intern)
* Standard I/O Blenden können verwendet werden (bei 1HE musst du diese idR abschneiden)
* Statt 40mm Lüfter kannst du 60mm Lüfter verwenden
 
Genau das hab ich schon auf meiner Liste. Damit sind dann auch die Bedenken mit der RAM Höhe weg.
Was nur schade ist, ist dass es für 40mm auch keine höheren Kühler gibt als die 1U Modelle. Aber so werd ich das wohl nun machen.

Bei Thomas Krenn sehen die Modelle aus dem Konfigurator auch nicht anders aus als das.
 
push und Frage aktualisiert. Ihr merkt schon, dass ich auch selbst recherchiere und den Post regelmäßig abändere
 
Es mag unterschiedliche Herangehensweisen geben und sicher haben beide Vor- und Nachteile, aber ich finde es übersichtlicher und so hat es sich in diesem Unterforum auch eingebürgert, dass man nicht (nur) den Startpost aktualisiert, sondern in einem neuen Post die neuen Erkenntnisse schildert oder Antworten auf Fragen liefert. So, dass man gewissermaßen in ein Gespräch kommt.
 
Ich wollte nur nicht die alten Fragen stehen lassen, wenn diese mittlerweile ohnehin obsolet sind, aber dann als erstes gelesen würden.
Da kaum wer antwortete, fand ich es seltsam Selbstgespräche zu führen.

Aber gut, mittlerweile überlege ich mir die Sache mit den SSDs und dem Betriebssystem.
In Frage kommen wie schon oben steht Windows mit Hyper-V oder Proxmox. Sind zwei ganz verschiedene Ansätze, aber beide täten wohl ihr Werk.
Bei Proxmox könnte ich die beiden alten SSDs direkt in einen ZFS Mirror packen bei der Installation für ein bisschen Redundanz.
Unter Windows müsste ich das per Onboard Controller machen (urgs), dafür wüsste ich da wie alles funktioniert mit Hyper-V.

Und natürlich wäre noch die Grundsatzfrage: Will ich überhaupt die alten langsamen SSDs verwenden? Dürfte vermutlich keinen großen Unterschied machen bei meinem Zweck.
Leider ist nur ein 2230 M.2 drauf, ich könnte eine NVMe SSD dafür anschaffen, aber bringts das dann echt? Oder alternativ eine normale 2280 im PCIe Steckplatz.
 
Ich persönlich würde zu Proxmox raten. Den Host auf jeden Fall auf den SSD Mirror installieren, Proxmox verursacht keine hohe Lese-/Schreiblast. Wo Du die VMs dann ablegst, kannst Du ja noch entscheiden.
Besonders kompliziert ist Proxmox nicht, geht eigentlich alles über eine Web GUI.
Linux Maschinen würde ich großteils als LXC anlegen (außer vielleicht zum Internet offenen VPN Server).
Windows VMs laufen auch ganz passabel, nachdem man dort die entsprechenden QEMU Treiber installiert hat.
 
Vielleicht werde ich es einfach mit Proxmox versuchen und wenn ich es nicht so hinkriege, wie ich mir das vorstelle, kann ich immer noch auf Hyper-V Server umsteigen.
Wahrscheinlich würde ich direkt auf Hyper-V gehen, wenn diese Onboard Raid geschichte da nicht wäre...
Nun muss ich erst mal auf die ganzen Bauteile warten.
 
Nachdem ich nun ein paar Stunden mit Proxmox rumprobiert habe, habe ich frustirert aufgegeben. Es gefällt mir einfach nicht. Ich finde die Einstellungen, die ich haben will nicht. Ständig muss ich dann in die Shell wechseln. Und warum zum Henker ploppt immer wieder dieses Anmeldefenster in völlig willkürlichen Abständen auf!? Ich finde noch nicht mal eine klare Zuweisung welcher Netzwerkadapter welchem physischen Port entspricht. Bei Docker bin ich dann endgültig ausgestiegen.

Ich probier nun alles noch mal auf Windows Basis und werde berichten.
 
Da der Abholtermin für das gehäuse weiter und weiter verschoben wird, muss ich mich temporär mit dieser Bodenlösung abfinden.
Erst heißt lagernd, abholbar am 6.5., dann 11.5., dann 12.5. und nun plötzlich "Lieferzeiten von mehr als einer Woche sind zu erwarten. keine Angabe einer genauen Lieferzeit möglich"
CSV will mich schon wieder verarschen.

Es läuft nun ein Hyper-V Server auf einem onboard Raid1 (ich weiß....), da drauf auf die Schnelle ein FreeNAS mit den beiden 3TB Platten zum ausprobieren von ZFS, evtl mit Nextcloud
Dann OPNsense, das ich aber erst noch einstellen muss
Dazu noch 2 mal ubuntu server für xteve, das muss ich auch erst testen, bisher verwendete ich dafür docker. Docker hab ich alternativ auch noch in einem ubuntu server installiert.
Management von Hyper-V läuft komplett über die Windows Management Tools auf den Win10 Client. War erstaunlich unkompliziert dank kurzer Anleitungen. Sehr komfortabel!
Das umfasst Datenträgerverwaltung, Dienste, Benutzer etc. pp und natürlich die VMs. Zusätzlich ginge noch Remotedesktop, der Hyper-V Server hat aber nur eine rudimentäre Oberfläche: cmd, powershell, Taskmanager.

Wie gesagt, neben opnsense ist der Rest Spielwiese. Den RAM muss ich für FreeNAS definitiv auf 32GB aufrüsten. Die 8GB, die ich ihm zuteilte, sind zu wenig.
Zur Hardware muss ich sagen: Das Board ist klasse, IPMI funktioniert super, clevere Features wie LEDs an jedem Lüfteranschluss, die Fehler anzeigen. PCIe Bifurcation (für irgendwann mal vielleicht)
Die CPU wird sogar ohne Lüfter nur mit dem inaktiven Boxedkühler nur 50 Grad war. Das Netzteil bleibt eigentlich auch immer im Passivmodus, mal sehen wie das dann im Gehäuse sein wird.
Die Chancen stehen gut, dass das Ding nahezu lautlos wird mit den zwei Noctuas auf 500upm oder sowas.
Beim Supermicro Kühler wurde ich leider etwas verarscht, denn ich bekam NUR den Kühler, aber nicht die Backplate zum Befestigen..... Das war beim Kauf nicht ersichtlich :rolleyes2:
1588890296572.png
 
Zuletzt bearbeitet:
Badrig schrieb:
Nachdem ich nun ein paar Stunden mit Proxmox rumprobiert habe, habe ich frustirert aufgegeben. Es gefällt mir einfach nicht. Ich finde die Einstellungen, die ich haben will nicht. Ständig muss ich dann in die Shell wechseln. Und warum zum Henker ploppt immer wieder dieses Anmeldefenster in völlig willkürlichen Abständen auf!? Ich finde noch nicht mal eine klare Zuweisung welcher Netzwerkadapter welchem physischen Port entspricht. Bei Docker bin ich dann endgültig ausgestiegen.

Ich probier nun alles noch mal auf Windows Basis und werde berichten.
Zum Vergrößern anklicken....
Hi,

auch wenn Du Dich bereits für den Hyper-V entschieden hast, würden mich Deine Probleme mit Proxmox dennoch interessieren.
Welche Einstellungen musstest Du denn in der Konsole vornehmen?

Die Netzwerkadapter sind eben nach aktuellem Linux Schema benannt, aber doch eigentlich eindeutig?

Deine Anforderungen haben sich allerdings auch etwas geändert denke ich. Von einer NAS-VM war zu Beginn keine Rede denke ich. Hatte ich nämlich schon ziemlich zu Beginn überlegt, ob Du das brauchst, aber Du schriebst, dass Du die VMs von Deinem dedizierten NAS runterhaben willst, um es wieder als NAS zu nutzen.
Docker im Ursprungspost ist denke ich auch neu oder? Docker Host auf dem Proxmox Host ist aktuell nicht supported (kann man hinfrickeln, wird aber abgeraten), dafür gibt es die sehr viel älteren LXC Container. Hilft einem natürlich nichts, wenn man Docker Container laufen lassen will. Richtiger Weg wäre gewesen, dafür eine Docker VM aufzusetzen.

Viele Grüße
Martin
 
Ich konnte in Proxmox für mich nicht klar genug feststellen, wie das Netzwerk nun genau konfiguriert ist. Die Namen der physischen Adapter war linuxtypisch, aber für die VMs gab es dann Namen, die diesen nicht eindeutig zuzuordnen waren, ich nehme an, das waren die Switche, aber welcher zu welchem gehörte war unklar. Mir ist wichtig, dass die WAN Schnittstelle direkt an den opnsense Gast weitergereicht wird, ohne dass der Host hier irgendwelchen Zugriff hat. Unter Windows ist das recht einfach und ist nur ein Klick. Gleichzeitig will ich kein NAT, was mir bei den Linux Geschichten ständig um die Ohren gehauen wird - auch bei Docker. Das ist zwar schön für Isolierung, aber dafür brauch ich die VMs nicht, sie sollen ja gerade mit den Netzwerk kommunizieren können und anders rum.
Da es mir hier um Sicherheit geht, wähle ich dann lieber ein System, das ich auch verstehe und dem ich entsprechend vertrauen kann.

Soll nicht heißen, dass Proxmox das nicht alles könnte, aber es ist einfach viel zu unintuitiv. Windows ist da idiotensicher, also genau richtig für mich.

Von einer NAS-VM war nicht die Rede, nein. Die ist ja auch nicht für den produktiven Einsatz gedacht, sondern zum Herumspielen und Ausprobieren von ZFS. Und ganz ehrlich: Es nervt mich. Ähnlich wie bei Proxmox unheimlich unintuitiv, kompliziert. Ich habs zwar hinbekommen, aber ich will immer verstehen, was es genau tut - das ist hier absolut nicht der Fall, daher werde ich das auch nicht beibehalten und dem keine Daten anvertrauen. Ich hab einen Pool eingerichtet, er funktioniert, habe Datasets/SMB Shares darauf eingerichtet, alles ok. Aber wieso findet zdb diesen Pool nicht, wenn ich über die Shell Infos haben will? Mir ist das alles zu dubios. Mein Hardware Raid im Backup Server mit Windows mag zwar altbacken sein, aber auch hier habe ich einfach Vertrauen und bei Softwarefehlern wären die Daten alle heile.

Docker stand da schon, wobei ich nicht festgelegt war. xteve gibts auch für Windows und Linux, bisher laufen aber zwei Instanzen davon auf Docker. Ich erwäge das aber auf zwei Ubuntu Servern aufzusetzen.
 
Eine weitere Frage wäre jetzt noch die eleganzeste Kühllösung, ins Gehäuse passen laut Hersteller maximal 40mm, wäre interessant, da ich noch erwäge den Pentium durch den Xeon auszutauschen.

1588972100503.png
1588972135414.png
1588972062384.png
10-20 Euro (je nach dem ob gebraucht oder neu)
der niedrigste Kandidat mit 27mm
für Rack 1U gedacht		40 Euro, 37mm gesamt, 23mm ohne Lüfter
Würde damit sogar mit Lüfter reinpassen (da ist dann nur keine Luft mehr, die er ansaugen könnte)
Problematisch ist, dass die Finnen seitlich zur Hälfte geschlossen sind		30 Euro, 32mm ohne Lüfter, die Finnen sind zur Seite nicht so sehr geschlossen wie beim Noctua

Macht es Sinn? Finde da wenig Infos zu in solchen Systemen
 
Erstaunlicherweise passt der Boxedkühler rein, obwohl er 6mm höher ist als das vom Hersteller angegebene Maximum
Es sind darüber sogar nochmal 5mm Luft. Damit würde ein NH-L9x65 theoretisch gerade so reingehen.

Neben dem Zusammenbau habe ich heute auch noch die beiden xteve VMs installiert. Das war auch easy. Damit hat sich Docker erledigt.
Er wird heute das erste Mal komplett die Nacht durchlaufen, damit ich sehe wie es so mit den Temperaturen aussieht. Die Kabel habe ich nach dem Foto noch etwas ordentlicher gebündelt und verlegt, aber viel ist da nicht zu machen. Die Front-USB lassen sich leider nicht benutzen, da das Board keinen onboard USB 2.0 Header hat, nur 3.0... mal sehen ob mir das einen Adapter wert ist...
1589033539243.png
 
Zuletzt bearbeitet:
Schnuckeliges Gehäuse - aber was soll denn da hinten noch an Steckarten reinpassen?
Der Platz hinter dem HDD Käfig sieht doch sehr begrenzt aus.
Das ist wahrscheinlich auch nicht der Einsatzbereich von dem Gehäuse :-)
 
Der Platz ist sogar noch geringer als es am Foto den Anschein hat. Die Backplane hat hinten noch Anschlüsse für Strom/Sata, somit bleibt kaum Spielraum für etwaige Steckkarten. Ich habe aktuell eine Delock Dual Gbit Karte (mini pcie) und eine Asus XG-C100 drin (flexible pcie Verlängerung). Die Asus Karte hat dabei noch knapp 1cm Spielraum zur Backplane.
 
@VirtuGuy Wie kühlst du das ganze bei dir?

@Digi-Quick: Diese kryo M.2 Adapter sollten laut den Maßen des Herstellers ganz exakt reinpassen (auch dank der Abstufung des PCB)
Problematischer ist eher das "Verwandeln" des einen PCIe 16x auf zwei 8x. Das Asrock Board kann Bifurcation, also Aufsplitten ohne Zusatzship, aber dazu passende Riser sind sauteuer. Da gibts einen Typen hier in Deutschland, der quasi ein Monopol auf diese selbst entworfenen Riserkarten hat. Ich frage mich nur warum es davon keine Aliexpress-Variante gibt.....
 
Zuletzt bearbeitet:
Bisher nur 2x 60mm Noctua. Ich habe aber kein Netzteil eingebaut (DC am Mainboard) und die Luft muss somit durch die Schlitze über dem Mainboard/Steckkarten raus.
 
Nach einer wirklich unverhätnismäßig langen Recherche habe ich nun einen QUANTA DA0F03TB4C1 PCIe Bifurcation Riser bestellt - 15 Euro, ist einen Versuch wert
Schwer zu finden sowas und sonst schweineteuer.
Ich brauchs zwar nicht akut, aber das ganze steht ja unter dem Motto Bastelprojekt.
So sieht das Teil aus:
1589380455614.png
 
Mittlerweile habe ich auch noch mehr Erfahrungen mit den Festplatten und mit dem Stromverbrauch gemacht.

Mein Messgerät zeigt 27-29W mit Festplatten (idle) und 20-22W ohne Festplatten (auch idle) an. Das Messgerät ist aber alt und misst bei niedrigen Verbräuchen sehr ungenau, es könnte also auch etwas weniger sein. Im BIOS waren noch einige Stromsparoptionen deaktiviert, zusammen mit dem Aktualisieren aller Treiber hat das noch ein paar Watt gebracht.
Ich möchte jetzt doch noch die Kingston SSDs durch eine einfache NVMe SSD ersetzen, da erhoffe ich mir auch noch 1-2 Watt. Die werden durch die noch kommende i350 Dual NIC aber sicher wieder aufgefressen.

Die alten Seagate Platten in diesem Gehäuse sind schrecklich. Sie waren noch nie sonderlich kühl, aber hier drin erreichen sie bis zu 55°C, sie sorgen sogar dafür, dass das gesamte Gehäuse sich aufheizt.
Da Nextcloud oder FreeNAS ohnehin nur Spielerei waren, lasse ich das vorerst komplett weg und konzentriere mich auf leise/stromsparend. Vielleicht probiere ich das irgendwann mit einfachen SSDs nochmal.
 
Erstmal möchte ich sagen, das ich es Klasse finde, dass du deinen Thread immer aktuell hältst. (y)

So einen Passivkühler hab ich noch vom Microserver Gen 8.
Wenn du magst kann ich dir den schicken.
 
So einen? Der wäre genau was ich gesucht habe!
Klasse, danke, ich schreib dir ne PN :)
1589731319342.png
 
Heute kam der zweite Supermicro-Kühler. Nachdem der Erste komplett ohne Backplate war, ist der Zweite nun mit einer Verbogenen gekommen.
Ich hab echt keine Lust mehr auf diese scheiß Verkäufer, die das in den Beschreibungen verschweigen. Nun darf ich mich rumärgern und hätte für das Geld bereits einen Neuen kaufen können.
Warum sind die Leute so scheiße?
 
Kann man wegen sowas nicht trotzdem Beschwerde einlegen? War das bei eBay und mit PayPal bezahlt?
 
Kein Paypal leider, aber ja, ebay kann ich einschalten und werde ich auch tun. "Privatverkauf" schützt nicht vor Gewährleistungsansprüchen.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh