Mini-PC als Router für Fortgeschrittene: Umfangreiche Möglichkeiten mit OPNsense analysiert

Thread Starter
Mitglied seit
06.03.2017
Beiträge
114.149
Über AliExpress lassen sich seit geraumer Zeit günstige Mini-PCs von KingNovy erstehen, die sich mit mehreren NICs gerade dazu eignen, einen erweiterten Router auf die Beine zu stellen. Gleichzeitig sorgen die verbauten (kleinen) SoCs dafür, dass diese Mini-PCs nicht all zu viel Energie für sich beanspruchen und somit die laufenden Kosten niedrig halten. Wir haben einen von vielen KingNovy-Mini-PCs in die Redaktion geholt und werfen einen genauen Blick auf das Gerät. Zusammen mit der Open-Source-Firewall-Distribution OPNsense zeigen wir zudem einige der vielen Möglichkeiten für den Router-Betrieb für Fortgeschrittene und Profis auf.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Kein Benchmark was das Ding an Durchsatz/Latenz mit unterschiedlichen Firewall Regeln / VPN Verbindungen packt?

Schade
 
Nicht vergessen das es neben Opensense auch noch andere Kandidaten mit x86_64 Builds gibt.
Bspw. sollte man sich DD-WRT und OpenWRT auchmal ansehen. Die haben zudem den Reiz das sie auch alten Routern neue Tricks beibringen. VLAN, IPv6, DNScrypt? Geht auch auf nem alten Router, wobei dann zurecht die Frage nach dem Durchsatz kommt.
Nen alter ASUS n12u mit 300MHz mips CPU wird garantiert nicht Gigabit an WAN schaffen, aber als Endpoint für Wireguard, DNS / DHCP oder VLAN Schleuder gut zu gebrauchen.
 
Für den Umsteiger von der klassischen Fritzbox wäre wohl noch anzumerken, das so ein DIY-Router kein Modem integriert hat.

Man braucht also ein Modem (je nachdem für DSL, Fiber, Cable, etc) oder trotzdem einen Router im Bridgemode vorgeschaltet, was dann auch wieder auf die Energiebilanz drückt, weil dann natürlich zwei Geräte laufen müssen.
 
Für den Umsteiger von der klassischen Fritzbox wäre wohl noch anzumerken, das so ein DIY-Router kein Modem integriert hat.
Bist du dir wirklich sicher, dass man das anmerken muss?
Wo sollte man das deiner Meinung nach am besten machen und vor allen ist dann ja auch die Frage, wie man das am besten schreibt...?

Was wird also abgesehen von dem Mini-PC noch an Netzwerk-Equipment benötigt?
  • Netzwerk-Switch mit (Smart-)Managed-Funktion (für die Einrichtung von VLANs)
  • WLAN-Access-Point(s) (ebenfalls VLAN-fähig)
  • ein Modem vor der OPNsense-Appliance für den WAN-Port (DSL, Kabel oder Glasfaser)
  • mehrere Netzwerkkabel (bestenfalls unterschiedlich farbig zur einfachen Orientierung)
 
Bist du dir wirklich sicher, dass man das anmerken muss?
Für 90% aller Internetnutzer die ich kenne, die sich ansonsten nicht mit der Technik beschäftigen, ist ein Router das Teil, in das ein Telefonkabel reingeht und Netzwerk rauskommt.

Das in so einem "Router" eigentlich zwei Geräte (Modem und Router) kombiniert sind und es auch Geräte gibt, bei denen eben das Modem fehlt, ist denen nicht bewusst.
Wäre auch nicht der erste Fall, wo ich kontaktiert werde, weil der neue Router "irgendwie" nicht funktioniert um dann festzustellen, das eben ein Router ohne Modem gekauft wurde. Warum auch nicht, die sind ja auch günstiger.

Vorallem das es am Anfang immer mit einer Fritzbox verglichen wird, erweckt imho den Eindruck, man könnte eine Fritzbox 1:1 durch sowas ersetzen.

Das es auf Seite 4 doch mal erwähnt wird, hatte ich allerdings tatsächlich überlesen. Gut, dann stehts immerhin doch irgendwo. ;)
 
Für 90% aller Internetnutzer die ich kenne, die sich ansonsten nicht mit der Technik beschäftigen, ist ein Router das Teil, in das ein Telefonkabel reingeht und Netzwerk rauskommt.
Die sind aber auch kaum in der Lage eine Fritzbox nach unboxing (Routerfreiheit, Wlan, Telefonanlage etc.) zu konfigurieren. Darüber hinaus bezweifle ich, dass diese repräsentativen 90% hier im HWluxx lesen, und verirrt sich doch eine/r, wird eben widerrufen, was bei AliExpress eine Erweiterung des Horizonts im Kontext Widerruf ist. :ROFLMAO:
 
Ich finde den Beitrag auch Top. Ich selbst nutze Opnsense seit 2019 und bin sehr zufrieden. Als Modem vorneweg dient ein Draytek Vigor 165 für DSL250.000.
 
Selbst so nen Ding seit Release, mittlerweile >200 Tage Uptime mit PFsense. Also wirklich solide HW. Netzteil sollte man aber unbedingt tauschen.

 
Schöner Beitrag, muss ich mir mal im Volltext durchlesen.

Ich finde den Beitrag auch Top. Ich selbst nutze Opnsense seit 2019 und bin sehr zufrieden. Als Modem vorneweg dient ein Draytek Vigor 165 für DSL250.000.
Danke für das Lob! Wer sich den Artikel in Ruhe und vollständig durchlesen möchte, braucht natürlich etwas Zeit.

Selbst so nen Ding seit Release, mittlerweile >200 Tage Uptime mit PFsense. Also wirklich solide HW. Netzteil sollte man aber unbedingt tauschen.
Ja, das stimmt. Bei meinem privaten Mini-PC als OPNsense-Appliance habe ich auch noch ein hochwertigeres Netzteil gekauft. So verbraucht das gesamte System bei mir um die 10W.
 
Sei dir vergönnt, da hast dir ordentlich Mühe gegeben, auch wenn ich nur überflogen hab.

Find ich toll, wenns hier richtig schöne Artikel gibt, die nicht nur versteckte Werbung sind (wie es heute zu Tage leider immer moderner wird).

Kein Benchmark was das Ding an Durchsatz/Latenz mit unterschiedlichen Firewall Regeln / VPN Verbindungen packt?

Schade
Mehr Details sind immer interessant!
 
Zur potentiellen Hardware:
1) Es gibt ein optisch sehr ähnliches Produkt von Topton bei AliEx , das 2x m2 NVMe + 1x SATA hat.
2) die Topton Box kann 64 GB, anstelle wie angegeben 32 GB. Selbst getestet.

Und bietet sich dann folgendes Setup an:
Proxmox drauf, und dann OPNsense und anderes Zeug wie z.B. PiHole, als VM laufen lassen.

Die Nachfolge Generation ist auch schon raus: ähnliches Setup, aber mir i3-n305. Kostet mehr, dafür auch mit 8-Core deutlich mehr CPU Power.
 
BSD basierende Systeme haben ein größeres Problem mit PPPoE (pfsense, opnsense)
Dieses taucht allerdings nur auf wenn man über PPPoE ins Internet einwählt.

Unabhängig was die angegebenen 10% CPU Last bei der Test-Hardware bedeuten, läuft jeglicher PPPoE Traffic über eine feste CPU Zuordnung (kein Multitasking). Der Durchsatz dieser PPPoE Verbindung ist stark von der CPU-Taktung abhängig. Grob habe ich im Hinterkopf ca 400-500mbit bei 2 GHz.

Bei mir steht demnächst der Wechsel von DSL 70mbit auf Glasfaser (Telekom) ins Haus an, aktuell eine APU2E4 mit OPNSense am laufen. Aufgrund der bekannten Thematik mit PPPoE wandere ich in Kürze zu OpenWRT um. Somit habe ich das maximal möglichste mit der Hardware getan.

pfsense und OPNSense bieten alles ohne Konsoleneingriffe direkt über das Webinterface an.
Leider ist dem bei openwrt nicht ganz so. Allerdings ist es hier einfacher custom Zeugs auf der OpenWRT Installation zu realisieren (bspl. docker Container, oder LXC Container)

Gerne dürft ihr mich Kreuzigen, aber das musste noch raus bevor andere in die Begrenzungsfalle tappen und dann nicht weiter wissen warum ihre PPPoE Verbindung anstatt 1000mbit nur 300mbit bringt.
 
Eine FTTH-Leitung habe ich hier nicht, daher konnte ich im Artikel nur von der SVVDSL-250-Leitung mit Fullsync ausgehen. Hätte ich aber natürlich gerne getestet, wie es mit einer FTTH-Leitung mit 1 GBit/s ausschaut.
 
Danke für das Lob! Wer sich den Artikel in Ruhe und vollständig durchlesen möchte, braucht natürlich etwas Zeit.


Ja, das stimmt. Bei meinem privaten Mini-PC als OPNsense-Appliance habe ich auch noch ein hochwertigeres Netzteil gekauft. So verbraucht das gesamte System bei mir um die 10W.

Netzteil war bei mir ein Delta Netzteil dabei. Ich glaube das hängt am Ali Express Händler, was beiliegt.
 
@hermes: Diese PPPoE-Problematik kenne ich tatsächlich aus meinem Umfeld nur bei Virtualisierung der x-sense. Mit durchgereichten Adaptern oder nativen Installationen habe ich das noch nicht festgestellt.
 
Hi, Ich bin nur mal neugierig. Wie läuft Festnetztelefonie über so einen Box? Geht das überhaupt?
 
Damit hat die Opnsense nichts zu tun. Ich hatte eine Zeit lang eine Fritz 7170 als SIP-zu-ISDN-S0 im Netzwerk, jedoch hab ich diese abgeschafft. Das Festnetz könntest du aber über jedes Gerät realisieren, welches als SIP-Client funktionieren kann. Eine klassische DECT-Funktion wie bei der Fritzbox bekommst du bei der hier gezeigten Hardware nicht. (Meines wissens, vielleicht gibt es entsprechende Hardware und Erweiterungspakete?)

Bzgl. PPPoE: Meine Opnsense läuft als Hyper-V-VM und baut über einen Adapter eine PPPoE Verbindung auf, ohne Probleme. Wobei da aber auch eine starke CPU werkelt.
 
Jup, die Telefonie muss separat erledigt werden.
Die pfsense stellt die Verbindung zum Internet, und um ein Telefon dahinter zu betreiben, braucht es dann entweder ein Gerät mit SIP Client der ununterbrochen läuft (altes Handy im WLAN mit Linphone App bspw.) oder eine TK Anlage die SIP kann, oder -meine bevorzugte Lösung- einen ATA von Grandstream, an dem dann ein analoges Telefon deiner Wahl hängt.

Es gibt noch andere Möglichkeiten, SIP Telefone zum Beispiel. Oder eine dauerhafte Umleitung aufs Handy... und bestimmt Weiteres.
 
Ich habe eine Gigaset Gobox mit mehreren Gigaset DECT Mobilteilen. In der GoBox sind dann 2 SIP Konten eingetragen, eins für privat und eins von der Firma. GoBox Anschluss per LAN an das Netzwerk.
 
"SIP Konto" würde aber auch zb für 'Telekom Festnetz' gehen? Ist doch SIP inzwischen oder?
 
Hi, Ich bin nur mal neugierig. Wie läuft Festnetztelefonie über so einen Box? Geht das überhaupt?
Die einfachste Möglichkeit ist, die "Providerbox" vor der Sense zu betreiben. Handelt es sich um eine Fritzbox, so kann diese auch IPv6 an die nachgelagerte Sense durchreichen.

Eine Anmerkung zum Artikel: Folgender Absatz sollte nicht als letzter sondern als erster stehen, da ansonsten eine Trennung des Netzwerks nicht mehr gegeben ist.
Alles-Erlauben-Firewall-Regel

Gerade für weitere Interface, wie in unserem Fall für das Haupt-WLAN und für das Gäste-WLAN sind keinerlei Firewall-Regeln vordefiniert, was bedeutet, dass die Geräte in diesem Subnetz rein gar nichts dürfen. Um erstmal den ausgehenden Verkehr zu erlauben, können die beiden Firewall-Regeln vom LAN-Interface entweder kopiert und auf das andere Interface hin angepasst werden.
 
@Nemac Jo, so hier im Einsatz, Uptime etwas über 300 Tage.
Am Anfang gibt es bei den Grandstream Teilen einiges einzustellen, aber danach funktionieren die einfach vor sich hin.
 
Danke für den Artikel! Habe mir mal die Box angesehen und die CPU, leider kann diese kein AVX und co.
Die Box, die Superman verlinkt hat, kann selbst mit der keinsten 4 Kern CPU AVX/AVX2 und co.. Damit sollte die um einiges schneller sein als die im Artikel.
 
Zuletzt bearbeitet:
Vielen Dank für den Artikel. Ich habe Ihn mit großem Interesse gelesen.

Was mich brennend Interessiert sind die Möglichen BIOS Optionen.

Können wir dazu ein paar Screens sehen ?
 
schöner Artikel hab ihn nur "grob" überflogen bis jetzt auch noch am arbeiten gewesen...

bzgl. dem Thema Modem und auch Telefonie.

vom Setup geht es ja auch mit einer Kaskade, sprich die Fritze ist vor dem "Router" macht Modem und Telefonie (spart man sich auch die ganzen SIP regeln etc.. (ggf. Routing und Regeln falls man lokale Anwendungen hat welche auf die Fritze per Netzwerk zugreifen) - das WLan ist halt das "offen" ggf. aus oder als GästeWLan für Internet only nützen.
Ansonsten die Fritze hinter der Firewall + Modem vor den Router

@Ceiber3
mit 128gb nvme/8gb ram jeweils wie hier im Test ist der halt auch 50% bzw. 100% (i3) teurer 200->300/400€
nackt 160->240/340€
 
Wow. herzlichen Glückwunsch! Das ist ein super Artikel, der sich um alles Nötige kümmert. Den müsste man sich ausdrucken und unters Kopfkissen legen!

Danke dafür!


Diese kleinen China-Rechner sind sehr verführerisch. Allerdings hab ich bei den Netzteilen, der Garantie und der Bios-Updates Bauchschmerzen.
Schön ist auch, dass ihr das mit dem Intel i226v beleuchtet und Entwarnung gegeben habt. Mich würde noch interessieren, in wie weit die Leistungseinbußen bei PPPoE und IDS bei einer Leitung >250MBit ist.
Bei einem APU2D4 ist bei 250MBit und PPPoE die CPU-Leistung nicht mehr da, um die Leitung auszureißen.
Mich würde interessieren, ob diese CPU auch 1GBit bei PPPoE und ein wenig IDS schaffen würde. Ich vermute aber einmal, dass sollte gehen.

Vielleicht könntet ihr als Bonus nochmal auf das Thema Telefonie (sind ja nur ein paar NAT-Regeln) und auf HighAvailability mit einem weiteren Gerät eingehen.

Ich verwende OPNSense virtuell auf einem Proxmox mit 4 Kernen eines Intel 10900 seit mehreren Jahren, mache darauf auch reverseproxy, IDS, VPN. Würde nicht mehr auf FritzBox o.Ä. wechseln wollen...
 
Zuletzt bearbeitet:
HIER (NRG Systems / IPU Systeme) gibt es ähnliche, wenn nicht sogar die gleiche Hardware über einen deutschen Händler.

Ich habe mehrere Geräte im Einsatz und bis jetzt keine Probleme.

Auf der Homepage gibt es auch Benchmarkergebnisse: HIER

Der N5105 ist in der Grafik der IPU451.
 
@iceman84:

Ein Problem ergibt sich bei deinem Aufbau.
In dem Moment wo ein Gerät SIP machen soll kann es nicht mehr Modem sein, sondern muss die Einwahl selbst übernehmen.
Du fängst dir also doppeltes NAT ein.
Dazu kommt noch das es keinen offiziellen Weg gibt aktuelle FB als Modem zu nutzen.

Besser wäre es die PFSense die Einwahl machen zu lassen und wenn man noch AVM benutzen muss unbedingt, das Ding dann dahinter SIP bedienen zu lassen. Ohne das es Einwahl oder sonstige Routersachen macht.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh