Mini-PC als Router für Fortgeschrittene: Umfangreiche Möglichkeiten mit OPNsense analysiert

TheHille schrieb:
Mich würde interessieren, ob diese CPU auch 1GBit bei PPPoE und ein wenig IDS schaffen würde. Ich vermute aber einmal, dass sollte gehen.
Zum Vergrößern anklicken....

Der N5105 hat ~5.000 Punkte in einem Benchmarktest, meine CPU hat bei dem gleichen Test und Tester ~10.000 Punkte.

1GBit PPPoE läuft bei mir.
Ich nutze ZenArmor mit über 1.000 Clients problemlos, allerdings mit 32GB RAM. Die CPU langweilt sich und läuft pendelt sich bei 20-25% ein.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Guter Test für die meisten Luxxer, leider, wie SirDiablo schon angemerkt hat, keine Tests über die Maxima der Hardware.
Als NetEng hab ich andere Ansprüche an so Boxen, allerdings will ich anmerken, das PPPoE-Einwahlen für Internetzugänge absolut nicht (mehr) die Regel ist, erst Recht nicht im europäischen Ausland und darüber hinaus. Das macht in D die DTAG, o2 (zumindest wenn man sie über die DTAG Infrastruktur bucht, da L3BSA) und noch 1-2 mittlere ISPs (DNSNET z.B.). DG oder Vodafön Kabel nutzt DHCP, da braucht es theoretisch etwas weniger CPU Leistung.
 
Habe ein ähnliches Gerät seit circa 4 Jahren ununterbrochen im Einsatz (mit Sophos XG Image).
Kann man absolut gebrauchen, meiner Meinung nach.
 
Hi

Hmmm, bin in letzter Zeit auf einem RZ Router mit 6x 10 Gbit verschiedene Firewalls am testen. Hardware ist ein Supermicro X10SLH-LN6TF mit einem Xeon E3-1281 v3 und 32 GB RAM.

Mir ist dabei einfach aufgefallen, dass die sense deutlich schlechter mit den Ressourcen umgeht als z.B. die Sophos. Hier mal alle mit eingeschaltetem UTM Gedöhns:

VergleichFirewall.JPG


Erste ist Sophos XT home, zweite pfsense, dritte OPNsense. Und das voll reproduzierbar. Jeweils mit drei Kernen zugewiesen auf dem ESXi. Die Sophos hat btw. auch am wenigsten RAM bekommen.

Mir gefällt die Sophos auch sonst viel besser. Falls es da wirklich nur um den nichtkommerziellen Heimgebrauch geht, empfehle ich da ganz klar die Sophos.

Gruss
 
Keine Ahnung. In den VM Einstellungen? Meinst Du das?

Hardwareunterstützung.JPG


Ne, ist überall aus. Dachte, das braucht man nur für paravirtuelle Sachen?

Die NICs habe ich am vSwitch und durchgereicht getestet, macht keinen grossen Schidunder.
 
Guter Artikel. Bei mir werkelt seit etwa einem Jahr ein Fujitsu Futro S920 Thin Client mit dem AMD GX-415GA und einer Quad-Gigabit Netzwerkkarte als OPNsense Firewall. Hauptzweck ist eigentlich das Load Balancing und Failover zwischen Vodafone Kabel (500 Mbit) und DSL (200 Mbit), das funktioniert auch sehr gut. Probleme mit der Performance habe ich keine, allerdings wählt sich die Firewall auch nicht direkt ein - 2 Fritten waren bereits vorhanden, und ich wollte es erst so testen, bevor ich noch mehr Geld für Modems ausgebe. Ich konnte allerdings keine Probleme mit dem Doppel-NAT feststellen, die Sense als Exposed Host in den FritzBoxen einzustellen hat bei mir genügt - Zocken und auch Portfreigaben ins Internet funktionieren (über die DSL-Leitung, bei Vodafone gibts ja eh kein dedicated IPv4 also kann man das eh knicken).

Hab damals auch über OpenWRT nachgedacht, aber auf X86 scheint das mitunter ein ziemliches Gefrickel zu sein und ich habe auch wenig Infos über Load Balancing mit Multi-WAN gefunden (dass es grundsätzlich geht weiß ich) - ich schätze aber, das hätte unterm Strich in OpenWRT genauso gut funktioniert.
 
Hi @schmuessla

Ja, läuft auf vmxnet3 der Treiber. Habe mir den Forumthread noch nicht durchgelesen, aber es mal aktiviert in der opensense:

Hardwarebeschleunigung.JPG


Das scheint mehr kontraproduktiv zu sein, egal ob ich da alles an- oder aus mache bei den Hardwaresettings. Habe die Einstellungen nur am WAN Interface vorgenommen.. Was würdest Du genau konfigurieren für optimale Ergebnisse?

mitHardwareunterstützung.JPG
 
@AliManali Ich würde bei so etwas immer einen Schritt zurück gehen und mit einer bare metal Installation starten um sie Virtualisierung als Problem ausschließen zu können. Bei 10 Gbit/s müssen bei MTU 1500 immerhin um die 800.000 Pakete pro Sekunde gerouted werden.
Dann die CPU Auslastung analysieren, weil ich das für die wahrscheinlichste Ursache halten würde. Die Frage wäre nur ob
 
Habe ja noch knapp ein Jahr zum testen zur Verfügung. Vielleicht wird mir mal langweilig, und wiederhole das alles baremetal. Wobei auf dem Blech interessiert mich nicht besonders, wenn die Sophos mit UTM und allem so gut performt virtuell. Wie gesagt, die gefällt mir auch sonst ganz gut. Vermute einfach, die Sense macht ganz gerne mal zu über 2 Gbit. Und ja, CPU Auslastung hatte ich dabei auch im Auge. Sophos macht Null Auslastung, die Sense irgendwie auch nicht viel mehr als 50% auf einem Thread/Core.

Habe mittlerweile auch den Thread durchgelesen, wo Du auch aktiv warst. Aber von seinen 7 Gbit/s per Netstat bin ich noch weit entfernt.

Denke, bei mir wird es einfach die virtuelle Sophos. Weil die ist super sexy. Wobei kann auch gut sein, dass bis mitte nächsten Jahrs alles wieder anders aussieht. Bin da noch ganz am Anfang. Die letzten 10 Jahre hatte ich eine Zywall 110 als Router. Hat auch immer ihren Dienst verrichtet, obwohl die im only Router Mode nicht mal einen zehntel der Leistung raus geriegt hat / aktuell macht.
 
ich nutze ein protectli auf der die opnsense rennt , war die beste entscheidung von der ollen fritzbox wegzugehen , aber auch die härtesten 2 wochen meines it lebens das alles sicher zum laufen zu bekommen.
 
Ja, gerade als Einsteiger oder Umsteiger von der Fritzbox zur OPNsense ist schon ein hartes Unterfangen. Aber es kann sich durchaus lohnen. Ich möchte die OPNsense auch nicht mehr missen.
 
Also ich habe mir den MiniPC mit 16GB RAM und 128GB SSD Bestellt.

Jetzt mir noch das passende WLAN Equipment um Ihn auch als Accesspoint zu betreiben.
Verwenden möchte ich den MiniPC mit OPNsense und darunter ein virtualisiertes OpenWRT für den perfekten AccessPoint.

Soweit wie ich gelesen habe soll die WLAN Unterstützung unter FreeBSD nicht so besonders sein daher möchte ich darauf das OpenWRT Virtualisieren und die WLAN Karte dann als PCI Gerät direkt an die VM weitereichen (Intel VT-d).

Weiß hier jemand welche PCIe WLAN Module für OpenWRT mit Unterstützung von WIFI-6 (2,4 und 5 Ghz) empfehlenswerrt sind ?
Welche Maße der PCIe-Slot und die WLAN Bohrungen haben, also alles von Mainboard bis zur Antenne ?
 
Selbst nen AP(!) bauen? was soll das bringen? Da fehlt doch alles was irgendwie sinnvoll ist… poe, ordentliche antennen(arrays), geringer stromverbrauch etc… gibts gruende fuer dein Vorhaben?
 
Würde ich so jetzt nicht sagen.
In einer FB ist auch WLAN drin, ist auch kein PoE dabei oder irgendwelche fancy Antennenarrays.
Und warum sollte eine zusätzlich installierte WLAN NIC einen höheren Stromverbrauch als nen dedizierter AP haben? Ich denke, es wird eher anders rum sein. (der Router ist ja eh schon da)
Das ist dann quasi ne FB auf Steroiden, wenn man das alles in einem Geräte haben mag...

Mein fall wäre es nicht, da jetzt ne VM aufzusetzen und dann das Wifi zu virtualisieren.
Ich würde da eher auf einen separaten AP gehen, den man dann auch unabhängig vom Router platzieren kann.
 
In meinen Haushalt sind nur eine überschaubare Menge an Geräten im Netzwerk aktiv und daher traue ich mir das Experiment mein geliebtes OpenWRT mal gegen eine OPNsense auf einen selfmade Router auszutauschen. Mein aktueller OpenWRT Router ist ein Dynalink DL-WRX36, er hat eine Quadcore ARMv8 CPU mit je 2,2 GHz zudem 1GB RAM, Wifi-6 (AX im 2,4 und 5 GHz Band), 1x USB 3.0, einen 2,5 GBits/s WAN Port und ein 4x1 GBit/s Switch. Mit der aktuellen OpenWRT Version 23.05 ist der Router auch ein Stable Device. Die verfügbare WLAN Geschwindigkeit kann ich momentan nicht ausreizen.

Für den KingNovy MiniPC wird es schwer annäherend an die WLAN und Switch Performance (OpenWRT=ASIC/Hardware Switch mit Manageged Funktion, MiniPC=CPU/Software) zu kommen. Die aktuell auf dem Markt erhältlichen MiniPCIe AX WIFI Adapter die den AccessPoint Modus beherschen sollen ein hohen Stromverbrauch und eine hohe Wärmeentwicklung haben was eventuell eine dezente aktive Kühlung erfordern wird. Bei der USB3 Performance wird mit Sicherheit der KingNovy Punkten. Der Zugewinn an CPU Geschwindigkeit, Speicherkapazität (der Dynalink lässt nur gut 70 MB zu) und der 16-Fachen Menge an RAM´s wird den Misstand mit der WLAN Performance wieder gut machen.

Jetzt muss ich noch ca. 2 Wochen warten. Ich werde berichten.
 
thekillah schrieb:
Für den KingNovy MiniPC wird es schwer annäherend an die WLAN und Switch Performance (OpenWRT=ASIC/Hardware Switch mit Manageged Funktion, MiniPC=CPU/Software) zu kommen.
Zum Vergrößern anklicken....
Eigentlich macht das auch keiner. Sensen werden neben Wireless Accesspoint betrieben, optimalerweise noch ein VLAN-fähiger Switch dazu.

Wenn Du nicht selbst hostest, kein besonderes Routing betreibst usw. dann ist eine solche Firewall auch nicht angebracht.
 
Zyxx schrieb:
@iceman84:

Ein Problem ergibt sich bei deinem Aufbau.
In dem Moment wo ein Gerät SIP machen soll kann es nicht mehr Modem sein, sondern muss die Einwahl selbst übernehmen.
Du fängst dir also doppeltes NAT ein.
Dazu kommt noch das es keinen offiziellen Weg gibt aktuelle FB als Modem zu nutzen.

Besser wäre es die PFSense die Einwahl machen zu lassen und wenn man noch AVM benutzen muss unbedingt, das Ding dann dahinter SIP bedienen zu lassen. Ohne das es Einwahl oder sonstige Routersachen macht.
Zum Vergrößern anklicken....
sorry erst jetzt gesehn,...

ich gehe mal davon aus dass du Setup 1 meinst (hab ja zwei mögliche beschrieben)

Setup 1 (fritze vorne), macht Modem und Internet Einwahl + Telefonie + ggf. Portforwarding auf die pfsense wo ein OpenSSL (VPN) läuft.
Das man die Fritze nicht rein als Modem configen kann wie nen be.ip / digibox etc... bzw. bridge Mode aller drytek / vodafone ****** Dinger ist mir auch klar aber das hab ich in meinen Augen auch nie so andacht.
 
Mein Mini PC ist am 22.11. angekommen. Ich hatte mir diesen mit einer 128 GB SSD und 16 GB RAM bestellt. Der Speicher und SSD sind Produkte mit chinesischen Bezeichnungen. Das System an sich ist Prime und Memtest bei mehr als 2 Stunden stable. Wenn ich mir die Kosten betrachte hätte ich mir den PC ohne weiterer Hardware bestellen sollen. Die gelieferte SSD kommt unter Last auf bis zu 95C. Das gelieferte Netzteil war an sich garnicht gut, ohne Last habe ich ein leichtes Rauschen und pfeifen wahrgenommen. Nach einer kurzen Mail mit dem verkäufer sollte ich mir hier in Deutschland eins als ersatz kaufen und mir wurden die Kosten nach meldung sofort erstattet. Zum Test läuft bei mir gerade ein Proxmox mit OPNsense und ein Arch als Test.

Kann mir jemand vielleicht eine Stromsparende m2 SSD empfehlen ?
 
underclocker2k4 schrieb:
Bist du dir wirklich sicher, dass man das anmerken muss?
Zum Vergrößern anklicken....
Ich finde, man darf es ruhig nochmal erwähnen, vor allem wenn man im Text Verbrauchswerte mit einer Fritz vergleicht:
Dies sind bereits ziemlich gute Werte, wenn man bedenkt, dass eine AVM FRITZ!Box 7590 bei um die 10 W liegt.
Zum Vergrößern anklicken....
Ansonsten auch von mir danke für den Artikel. Nächstes Jahr soll bei uns Glasfaser kommen, bin mal gespannt was es da an Möglichkeiten gibt.
 
200€ ist ok, aber mir fehlt der Hinweis, dass man zwei kaufen MUSS, falls das Ding mal kaputt geht.
 
Man muss gar nichts - installier deine Applikation virtualisiert und du kannst sie jederzeit hardwareunabhängig auf die nächste Büchse schmeißen.

Ne Fritzbox oder dergleichen kann dir auch kaputt gehen - hast du davon auch immer zwei rumliegen?
 
man kann sich auch einfach Konfigurations Dateien Speichern wenn man "fertig" ist oder automatische Backups einrichten, das geht dann absolut Schmerzlos die auf eine neue Kiste zu laden.
 
Löst die Kiste folgendes Problem, dass ich mir meiner Fritzbox habe? => Ich kann leider in der Fritzbox-UI nicht sehen, welcher Client gerade meine Leitung leersaugt? Geht das in der UI von diesem OS?
 
evilass schrieb:
Löst die Kiste folgendes Problem, dass ich mir meiner Fritzbox habe? => Ich kann leider in der Fritzbox-UI nicht sehen, welcher Client gerade meine Leitung leersaugt? Geht das in der UI von diesem OS?
Zum Vergrößern anklicken....
Ja, geht: Unter Berichterstattung -> Datenverkehr -> Aktivste Geräte
 
@FM4E
Ist das für eine *sense nicht doch noch bisschen zu viel? Die gleiche Nummer nochmal, mit so einem Ding der mit N100 läuft?

Es ist eh schon ein Wunder, daß es sowas auf HWluxx gibt. Ich war nahezu entzückt (neben beeindruckt), daß wir hier Platz dafür anbieten. SUPER!
 
Zuletzt bearbeitet:
@Zeitmangel

Wenn du den Prozessor meinst, dann muss ich deine Frage verneinen. Die CPU empfinde ich nicht zu dick für eine Sense. Doch der N100 ist auch ok, wobei ich mitbekommen habe, dass vier 2,5-GBit/s-LAN-Buchsen Lane-technisch nicht zur selben Zeit Daten bis 2,5 GBit/s schieben können. Doch für einen Privathaushalt mit überschaubarer User-Anzahl spielt das eher selten eine Rolle.
 
FM4E schrieb:
Doch für einen Privathaushalt mit überschaubarer User-Anzahl spielt das eher selten eine Rolle.
Zum Vergrößern anklicken....
Daheim, wenn die keine 300 MB/s schieben, sondern 285 MB/s, und man bis dahin im Schnitt mit 95 MB/s (Clients, nicht Router/Switch) unterwegs war, ist der Gewinn trotzdem signifikant.
Genauso wie man eine "schlechte" SFP+ Netzwerkkarte hat die max. am Port 980 MB/s hinbekommt :sneaky: Kickt trotzdem wie sonstwas, wenn man bis dahin unterhalb 5Gbit unterwegs war.

Klar ist die CPU nicht grundverkehrt, aber ein N100 ist eben schon nahezu ideal für diese Nummer, wie ich hörte, weil das noch weniger zieht und trotzdem ausreichen soll. Das hätte also schon interessiert wie der Luxx das beurteilt. Solche Kisten gibts ja auch :whistle:
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
606
OsiMosi
O
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh