Opnsense Hardware Empfehlung gesucht

M

Micha1912

Experte
Thread Starter
Mitglied seit
12.04.2017
Beiträge
41
Hallo zusammen,

ich würde gerne meine Sophos UTM gegen Opnsense tauschen.
Nun stellt sich mir die Frage, welche Hardware dafür geeignet sein könnte (Preis/Leistung,Stromverbrauch sollte gering sein, genügend Power für alle Spielereien)
Ich tendiere aktuell zu einem Gerät mit einer N100 CPU.
AliExpress HonorBox mal als Beispiel.
Meint Ihr diese Art von Geräten können Leistungsmäßig alles erledigen, was Opnsense so zu bieten hat?
Ich würde schon so ziemlich jedes Feature nutzen wollen, wenn dieses Sinn macht.
Kleiner Abriss was bei uns so umkreucht:
Anzahl der Geräte 6 Laptops+2 PCs, 6 Smartphones, 3x tablets, diverse IoT Geräte, 3 Drucker, ESXi (DC,Nextcloud, Laborumgebung,etc...) und NAS.
Ca. 30 VLANs, 5 manged Switche, diverse S2S VPNs

Danke euch und Grüße,
Micha
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Viel wichtiger wäre: welche Bandbreite soll gefirewalld werden bei welchen Features ? Ein kleiner 100 Mbits DSL Anschluss mit einer überschaubaren Anzahl an FW Regeln brauchst du andere Hardware als für 10 Gigabit WAN mit 1000en Regeln und aktiviertem IDS.
 
sch4kal schrieb:
Viel wichtiger wäre: welche Bandbreite soll gefirewalld werden bei welchen Features ? Ein kleiner 100 Mbits DSL Anschluss mit einer überschaubaren Anzahl an FW Regeln brauchst du andere Hardware als für 10 Gigabit WAN mit 1000en Regeln und aktiviertem IDS.
Zum Vergrößern anklicken....
aktuell noch 50er VDSL, Ende des Jahres Glas mit 150/50.
aktuell 80 Firewall-Regeln, tendenz steigend :)
Beitrag automatisch zusammengeführt:

Supaman schrieb:
de.aliexpress.com

163.4€ 53% OFF|Fanless Mini PC 4 Intel i226 V 2,5G N6005 N5105 V5 Edition 2 * NVMe TPM 2,0 Schalter weiche Router ESXI PVE Firewall Appliance Server|Mini-PC| - AliExpress

Smarter Shopping, Better Living! Aliexpress.com
de.aliexpress.com de.aliexpress.com

Diese Topton Box hat 2x NVMe Steckplatz +1x Sata + i226 Netzwerk.
Zum Vergrößern anklicken....
Wäre aber eine andere CPU...wie sieht es hier mit derm Leistungsvergleich zwischen diesen aus?
 
Hallo zusammen,
suche nach einem leistungsfähigen Router für mein Homelab.
Das Homelab beinhaltet einen 100 Gbe Qsfp28 Switch, einen 10 Gbe Qsfp/Fsp+ Switch, einen 1 Gbe Fsp/Rj45 Switch und ein Ubiquiti WLAN.
Braucht der Router eine Qsfp28 Netzwerkkarte, damit das 100Gbe Netzwerk nicht an Leistung verliert oder reicht eine 10 Gbe Qsfp bzw. Fsp+?

Anbei eine ungefähre, schnelle Zeichnung:
CC2A7EB9-10C4-455B-B82C-C13DC31AD4D6.jpeg

Beitrag automatisch zusammengeführt:

Fintastic schrieb:
Hallo zusammen,
suche nach einem leistungsfähigen Router für mein Homelab.
Das Homelab beinhaltet einen 100 Gbe Qsfp28 Switch, einen 10 Gbe Qsfp/Fsp+ Switch, einen 1 Gbe Fsp/Rj45 Switch und ein Ubiquiti WLAN.
Braucht der Router eine Qsfp28 Netzwerkkarte, damit das 100Gbe Netzwerk nicht an Leistung verliert oder reicht eine 10 Gbe Qsfp bzw. Fsp+?

Anbei eine ungefähre, schnelle Zeichnung:
CC2A7EB9-10C4-455B-B82C-C13DC31AD4D6.jpeg
Zum Vergrößern anklicken....

Wie wäre es mit dem hier?:
8312130C-E7EC-4550-9BCE-44B94A4F4C78.jpeg

Hier der Link mit verschiedenen Modellen:
de.aliexpress.com

Topton x8 Soft-Router der 13. Generation 2*10g sfp intel firewall mini pc 4x i226-V u300e 8505 i5 1335u 2 * ddr5 nvme 2 * sata proxmox server - AliExpress

Smarter Shopping, Better Living! Aliexpress.com
de.aliexpress.com de.aliexpress.com
 
Und der 100G Switch kann kein Routing ? Ich würde nur eine kleine NAT Box besorgen, die in der Lage ist deine WAN Geschwindigkeit auszulasten. Das interne Routing überlässt du lieber deinem Switch.
 
Das interne Routing würde ich ungern den 100 Gbe Switch erledigen lassen. Ist halt ein Switch und kein vollwertiger Router. Und mit 650 MHZ ist die CPU nicht unbedingt ein Kraftprotz.
Firewall und Routing sind wohl eher was für eine Opensense.
Wenn die genannte Box zum Flaschenhals wird, würde ich sonst halt auf ne Bastellösung mit 100Gbe Dualkarte zurückgreifen.
 
Was läuft denn eigentlich alles über das 100 GB Netz? Wenn sich alle relevante Komponenten im gleichen VLAN befinden, dann musst du doch den internen Traffic gar nicht routen.
 
Im 100er Netz befinden sich eine Workstation, Outdoor und Indoor Kameras (könnte ich auch über das 10er Netz laufen lassen) eine Verbindung zum Server und zum Storage und zu meinem Haupt-PC, welcher auch Zugriff auf das 10er Netz hat.
Alle sollen natürlich auch eine Verbindung zum Internet für Updates haben.
Am Router hängt der Glasfaser-Internet-Anschluss.
Die Workstation kann nur über den Haupt-PC oder per VPN über die Ferne erreicht werden und sie hat Verbindung zum Storage.
 
Fintastic schrieb:
Das interne Routing würde ich ungern den 100 Gbe Switch erledigen lassen. Ist halt ein Switch und kein vollwertiger Router. Und mit 650 MHZ ist die CPU nicht unbedingt ein Kraftprotz.
Firewall und Routing sind wohl eher was für eine Opensense.
Wenn die genannte Box zum Flaschenhals wird, würde ich sonst halt auf ne Bastellösung mit 100Gbe Dualkarte zurückgreifen.
Zum Vergrößern anklicken....
Ah, also ein 100G Switch von Mikrotik ? Der kann L3 HW Offloading, statisches Routing sollte da nicht über die CPU gehen.
Warum hängen eigentlich die Kameras an dem 100G Switch ? Sind das besondere Kameras ?
 
Ja, ist ein Mikrotec.
Nein, bin halt erst mal am probieren.
Aufnahmen gehen direkt auf den Storage und nicht in eine Cloud. Könnten aber ohne Weiteres zum Beispiel an den 10 Gbe Switch.

Das alte Homelab hing halt komplett an einem Unify 24 Port Gen 1 POE Switch mit ner Kabel Deutschland FRITZ!Box.

Und jetzt Bau ich um und möchte große Daten über das 100 Gbe Netz bearbeiten und bewegen.

Der normale Haushalt geht dann über das 10 Gbe Netz oder WLAN, der Homeoffice- und TV Bereich bleibt vorerst am RJ45/Fsp Netz.

Nehme gerne Tips und Zeichnungen zur Verbesserung an.
 
Zuletzt bearbeitet:
asche77 schrieb:
Der N100 sollte locker reichen (da wohl in etwa skylake Niveau).
Zum Vergrößern anklicken....

Mal ne allgemeine Frage zum N100: der Prozessor selbst bietet nur 9 PCIe-Lanes. Bei allen verfügbaren Mainboards mit dem N100 (ASRock N100DC-ITX, ASRock N100M, ASUS Prime N100I-D D4-CSM) gibt es zwar physische x4 bzw. x16-Slots, die sind aber alle nur mit x2 angebunden. Damit funktionieren ja z.B. Gigabit Quad-Port Netzwerkkarten wie die Intel i350 nicht, weil die 4 PCIe-Lanes benötigen, oder?
 
Ich würde erstmal anfangen den Saustall an Switches aufzuräumen sofern das Lokationstechnisch machbar ist.
Dann wäre auch ein routing über den CoreSwitch relativ easy handelbar.

ansonsten dann für Sense eine etwas ältere Dell Workstation oder halt irgendwas aus der Optiplex schiene.
Da dann eine X-port NIC mit dem Speed deiner Wahl oder auch mehrere davon rein und auf gehts....
 
Hey Fintastic,
Die Vernetzung ist wirklich überarbeitungsbedürftig. Es macht z.B. keinen Sinn, das WLAN an die Opensense zu hängen UND dann noch direkt mit dem Fileserver. Die Lines über die Opensense, dann aber nicht mehr untereinander oder alle untereinander und nicht mehr oben rum. Entscheiden. Die Opensense ist im Zweifel dafür da, den WLAN-Geräten Zugriff auf die anderen Lines zu geben, z.B. per VLan oder Client based Access. Gleiches gilt für LAN+WLAN an den verschiedenen Endgeräten. M.E. die WLAN-Verbindungen „links vom Laptop“ streichen.
PC und Server sollten auch nur an einer Lane bzw. einem Switch hängen, sonst hast Du nachher reichlich Routingprobleme.
Oder ich habe gar keine Ahnung davon. Aber das sieht wirklich konfus aus.
 
Vielen Dank für die Rückmeldungen.

Okay, die Lines vom WLAN zum Server sind verwirrend gezeichnet. Damit wollte ich nur ausdrücken, dass alle Geräte, die an das WLAN geschlossen sind auch an den Storage / Server kommen.

Langfristig soll dann auch der alte Switch weg und durch den 10 Gbe ersetzt werden.

Die Frage bleibt, ob ich den Router mit ner 100 Gbe ausrüsten muss, oder ob ne einfache 10 Gbe ausreicht, ohne dass dann Geschwindigkeitsverluste im 100er Netz entstehen.
 
Wenn ich das mal so interpretiere, dass der Server im 100G Netz an dem dortigen Switch hängt: pfsense sollte dann mit 25G zum 25/100G-Switch gehen. Dann mit 25 oder 10G zum 10er Switch. Dort hängen dann die sonstigen PCs mit jeweils 10G. Vom 10er eine 10er an den 1G-Switch (z.B Aruba1930, hat 10G uplink). Ich würde das als max. Lösung ansehen. Ansonsten lieber noch weitere PCs über 25/100 an den dicken Switch.
Beitrag automatisch zusammengeführt:

Edit: Weil 25G nicht wesentlich teurer oder kompliziert als 10G ist. 100g ist da eine andere Nummer.
Nachtrag: innerhalb eines Subnetzes hat ein Gateway (pfsense) keine Auswirkung. Natürlich kann auch bei 1G->pfsense die Workstation per 100G auf den Server zugreifen. Die PCs laufen dann aber „über oben“ über die pfsense.
 
Zuletzt bearbeitet:
Warum benötigst du bei einem 150/50 Anschluss mehr als 1 Gigabit von der OPNSense FW zum Router?

Was für einen QSFP Switch hast du?
Anyway: OPNSense Router an deinen „schnellsten“ Switch und von dort ggf in weitere Switches, AP, etc

Die 100GBit machen auch nur Sinn zwischen Workstation und Fileserver und dann auch nur mit schnellen SSDs (max 12500 MB/s) auf beiden Seiten
 
Nein, die 100G machen gar keinen Sinn. Ich finds nur gut, dass es hier nicht nur zwei Verrückte gibt, sondern drei. 8-)Vgl 100G-Thread: Die bekommt man nicht ohne weiteres auf die Straße.
Ich habe nur unterstellt, dass auch wirklich ein Routing gewollt ist und daher alles von der *Sense aus. Wenn alles im gleichen Netz hängt/hängen soll, dann ja: 100G-Switch->10G-Switch->1G-Switch und wegen des kleinen Internetzugangs ist es eigentlich egal, wo die *sense angeflanscht wird.
 
danielmayer schrieb:
Nein, die 100G machen gar keinen Sinn. Ich finds nur gut, dass es hier nicht nur zwei Verrückte gibt, sondern drei. 8-)Vgl 100G-Thread: Die bekommt man nicht ohne weiteres auf die Straße.
Ich habe nur unterstellt, dass auch wirklich ein Routing gewollt ist und daher alles von der *Sense aus. Wenn alles im gleichen Netz hängt/hängen soll, dann ja: 100G-Switch->10G-Switch->1G-Switch und wegen des kleinen Internetzugangs ist es eigentlich egal, wo die *sense angeflanscht wird.
Zum Vergrößern anklicken....
da gibts wohl mehr von seit Jahren : https://www.hardwareluxx.de/community/threads/der-100gbit-netzwerk-thread-ein-bisschen-40gbit-und-„beyond“.1212177/

:)

mir reichen daheim die 2,5GBe weit aus
 
Ich find die Frage nach „Sinn oder Unsinn“ in der Regel immer „flüssig“.

Braucht man das? Nein. Macht das Sinn? Jain.

Zum einen hab ich noch nie Bock gehabt, ständig alles immer zu aktualisieren.

Lieber einmal (mit viel Stress) ran und dafür x Jahre Ruhe.

Fakt ist, dass mein altes, aktuelles Netzwerk nicht mehr meinen Ansprüchen genügt.

Also muss was Neues her. Und wenn das Projekt zu Ende gedacht, zusammengespart und gekauft ist, werde ich alles komplett rausreißen, komplett umbauen, zum problemlosen Laufen bringen und Altes entsorgen.

Und dann muss es lange halten.

Ja, die m2 SSD‘s werden es nicht ausreizen, wie auch die Server und PC‘s nicht.

Aber wenn ich die dann anfasse, möchte ich nur noch die vorhandenen Netzwerkkarten reinbauen und gut.
 
Mal eine Frage läuft deine Sophos den auf Sophos Hardware? Wenn ja wieso benutzt nicht diese?
 
Anmelden, um zu antworten.

Ähnliche Themen

O
PfSense, OPNsense Hardware - Eure Empfehlungen?
Antworten
9
Aufrufe
479
Almi_(R)
A
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
101
OsiMosi
O
O
[Kaufberatung] Mini-PC als Home-Server, N100 vs. i3-N305 vs. Refurbished i3-9100
Antworten
4
Aufrufe
5K
warchild
W
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh