*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
underclocker2k4
Mr. Alzheimer
Auch wenn das keinen großen Sinn macht mit den getrennten Netzen, sehe ich da auch keine großen Probleme. Wichtig ist dann auch nur, dass im Grundbetrieb beide Subnetze über L3 von beiden FWs erreichbar sind. (Transfernetz)
Klassisch würde man das anders bauen, geht aber trotzdem.
EDIT: Das Transfernetz könnte dann die physischen Interface im FB-Netz sein. Alles nicht so geil, dürfte aber gehen.
Aber wir machen hier ja jetzt kein Netzdesign...
Klassisch würde man das anders bauen, geht aber trotzdem.
EDIT: Das Transfernetz könnte dann die physischen Interface im FB-Netz sein. Alles nicht so geil, dürfte aber gehen.
Aber wir machen hier ja jetzt kein Netzdesign...
Zuletzt bearbeitet:
konfetti
Urgestein
Ich hatte eigentlich gehofft, das @Shihatsu ggf. mal guckt, ob das Bild SEINEM Setup entspricht, weil Bilder doch mehr sagen als 1000 Worte.
Das mit dem Transfernetz an den physischen Interfaces der FB (im LAN) geht - hatte ich "früher" so für die Einrichtung der LAN-Systeme - Ich bin aus meinem Netz und meiner Firewall auch über das FB-Netz dann ins LAN-LAN eingestiegen - hatte dafür das VPN-Forwarding aber auf die LAN-FW für VPN-Endpunkt gesetzt und temporär kein eigenes betrieben. <- war aber auch noch mit dem T-Kackrouter.
Seit dem Umzug und zusammenlegen der Systeme hab ich aber nur klassisch eine FW als exposed Host hinter der FB - und seither keine Probleme mehr...
Das mit dem Transfernetz an den physischen Interfaces der FB (im LAN) geht - hatte ich "früher" so für die Einrichtung der LAN-Systeme - Ich bin aus meinem Netz und meiner Firewall auch über das FB-Netz dann ins LAN-LAN eingestiegen - hatte dafür das VPN-Forwarding aber auf die LAN-FW für VPN-Endpunkt gesetzt und temporär kein eigenes betrieben. <- war aber auch noch mit dem T-Kackrouter.
Seit dem Umzug und zusammenlegen der Systeme hab ich aber nur klassisch eine FW als exposed Host hinter der FB - und seither keine Probleme mehr...
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.014
Mein Post bezog sich vor allem auf den Post des Users den ich daraufhin ignorierte.
Ich habe gefragt wie man das macht, weil man sowas in Foren macht: Andere Leute nach Erfahrung fragen. Und ich habe nichts dazu gefunden. Wenn es tatsächlich mit einem einfachen Portforwarding zu machen ist - umso besser, cool! Den Rest deines Posting finde ich ziemlich anmaßend und arrogant (und sachlich falsch, ich weiß wie man portforwardings macht), aber hier geht ja die Elite auch als Mod um, wow...
Danke!
Ich werd dann mal austesten. Was der "beste" Endpunkt ist wollte ich ja durchaus rausfinden, aber es ist offenbar schwer außerhalb des best practices zu fragen, bzw. fühlen sich manche dann davon angegriffen.
Endpunkt wird wohl beim ersten Testen jetzt auf der OPNsense sein - Ich probier das mal aus. Der service auf der Firewall sollte dann ja unter der VIP des HA-Verbunds erreichbar sein, auf die kann ich ja von der Fritzbox aus forwarden. Oder notfalls eben nur mit der primären Firewall, ohne Ausfallsicherheit - was für 99% meiner Anwendungsfälle auch ausreichen sollte.
Dein Bild entspricht nicht ganz meinem Setup - ich hab einfach 2 OPNsense Instanzen via HA - also hinter den beiden ist "ein" Netz (stimmt so nicht, dahinter sind mehrere VLANs, aber das ist für diese Betrachtung erst einmal irrelevant. Die Services dieser beiden Instanzen lauschen auf virtuellen IPs (die haben z.B. ip 1.1.1.252 und 1.1.1.253, sind aber erreichbar unter 1.1.1.1 - not the actual numbers). Das sieht also im Moment so aus:
So, konkrete Frage: Wenn ich jetzt eine Freigabe auf der Fritzbox einrichte, mit portweiterleitung auf die OPNsense 1 - ist das dann ausreichend oder nicht (ich vermute stark das nicht, sondern ich werde noch eine NAT rule (und y Firewall rules) auf der OPNsense einrichten müssen - das böse DoppelNAT!) Ich werde es mal ausprobieren, denn offenbar ist das was ich vorhabe funky shit, denn alles was vom best practice abweicht ist entweder nicht dokumentiert oder (oder und?) niemand will drüber reden, weil... aus Gründen!
Diese Gründe würden mich tatsächlich auch interessieren - warum ist ein exposed host "besser"? Bisher gabs da nur "Alles andere ist gefrickel" und ähnliche Substanzlose Aussagen. Vielleicht mag das ja mal jemand von den nicht abgehobenen erklären.
Zum anderen Thema: Ich sammele eigentlich alles an Daten die ich kriegen kann in Grafana - Fritzbox-Monitoring, TrueNAS, Proxmox und auch meine Senses.
Happy Hepo
Experte
- Mitglied seit
- 16.01.2017
- Beiträge
- 225
Das Portforwarding kann aus meiner Sicht in dem Setup nur funktionieren, wenn auch die WAN-IP ein vIP für beide FWs ist, da aus meiner Erfahrung ein Port in den Fritzboxen nur an eine IP weitergeleitet werden kann. (Die kennt kein Round Robin oder so). Dann habe ich den VPN-Endpunkt bei mir auf der Sense eingerichtet, und alle relevanten Ports mit den passenden Protokollen (IPsec: ESP; TCP; UDP) an die Sense geforwarded. Ich musste auch das NAT der Sense anpassen, ich bin mir aber nicht sicher, ob deswegen, oder weil ich FritzFon auf den Handys hinter der FW testen wollte.
underclocker2k4
Mr. Alzheimer
Und genau dafür gibt es VRRP, neben anderen Protokollen/Techniken, die am Ende immer das gleiche machen.
EDIT:
Wobei man aber auch, sofern der Client das anbietet, auch zwei VPNs einrichten kann, die am Ende auch auf die selben Ports auf den unterschiedlichen FWs zeigen, aber inbound andere Ports haben. So kann man FW1 und FW2 erreichen. (aber sicherlich nicht so "sexy")
EDIT:
Wobei man aber auch, sofern der Client das anbietet, auch zwei VPNs einrichten kann, die am Ende auch auf die selben Ports auf den unterschiedlichen FWs zeigen, aber inbound andere Ports haben. So kann man FW1 und FW2 erreichen. (aber sicherlich nicht so "sexy")
Hab ich was nicht mitbekommen?
Die arrogantesten und frechesten Aussagen kommen doch von Dir? Du fragst etwas und verlierst dann in 3 Nebensätzen danach völlig die Beherrschung, in dem du sofort schreibst, dass wir dir substanzlose Aussagen entgegenbringen. Bisher hat übrigens keiner der anderen Moderatoren mit denen Du dich schon mehrere Postings gezankt hat eingegriffen. Also auch etwas merkwürdig die Aussage. Wieso sind wir denn arrogant? Ja die Postings von @underclocker2k4 sind manchmal bisschen direkt und kurz zusammgenfasst gewesen, aber das ist halt seine art. Wenn du ein nettes Tutorial haben möchtest ist hier glaube nicht der richtige Ort.
Im übrigen gibt es massig Blogbeiträge und Youtube-Videos dazu wie man Doppel-NAT macht und VPN auf einer Sense installiert. Das ist bestimmt kein "Funky Shit".
In der Opnsense müssen neben der Einrichtung des VPN die Regeln für die Firewall bzw. die Regeln des VPN Netztes eingestellt werden. Ein Nat ist in der Sense m.E. nicht erforderlich, du kannst aus dem VPN ja selbst die Gegenstelle aufrufen. Zumindest in einem wie oben beschriebenen RW Setup. Anders wäre es wenn die Sense Services übersetzen müsste die zu bestimmten festgelegten Routen im Netz weitergeleitet werden sollen, bsp. ein Webserver zu Hause.
Ich nutze das Wireguard Plugin. Es gibt dort auch ne Möglichkeit die Regeln anlegen zu lassen im WAN die man für das VPN braucht. Ich hab den Haken aber rausgenommen und die Regeln lieber manuell angelegt.
Ich glaube das hat einfach damit zu tun, dass man vom Grundsatz her nicht alles bis zur letzten Verteidigungslinie weitergibt und da erst abblockt, sondern an der ersten möglich, sinnvollen Stelle. In deinem Fall die Fritzbox. Es ist einfach nicht notwendig, alles von draußen durch zu schieben auf die Sense. Es ist aber gerade im SOHO-Bereich oft gemacht, weil weniger Arbeit. Ich finde, dass muss jeder selber wissen, was er da machen möchte - Hauptsache, man behält den Überblick.
Die arrogantesten und frechesten Aussagen kommen doch von Dir? Du fragst etwas und verlierst dann in 3 Nebensätzen danach völlig die Beherrschung, in dem du sofort schreibst, dass wir dir substanzlose Aussagen entgegenbringen. Bisher hat übrigens keiner der anderen Moderatoren mit denen Du dich schon mehrere Postings gezankt hat eingegriffen. Also auch etwas merkwürdig die Aussage. Wieso sind wir denn arrogant? Ja die Postings von @underclocker2k4 sind manchmal bisschen direkt und kurz zusammgenfasst gewesen, aber das ist halt seine art. Wenn du ein nettes Tutorial haben möchtest ist hier glaube nicht der richtige Ort.
Im übrigen gibt es massig Blogbeiträge und Youtube-Videos dazu wie man Doppel-NAT macht und VPN auf einer Sense installiert. Das ist bestimmt kein "Funky Shit".
In der Opnsense müssen neben der Einrichtung des VPN die Regeln für die Firewall bzw. die Regeln des VPN Netztes eingestellt werden. Ein Nat ist in der Sense m.E. nicht erforderlich, du kannst aus dem VPN ja selbst die Gegenstelle aufrufen. Zumindest in einem wie oben beschriebenen RW Setup. Anders wäre es wenn die Sense Services übersetzen müsste die zu bestimmten festgelegten Routen im Netz weitergeleitet werden sollen, bsp. ein Webserver zu Hause.
Ich nutze das Wireguard Plugin. Es gibt dort auch ne Möglichkeit die Regeln anlegen zu lassen im WAN die man für das VPN braucht. Ich hab den Haken aber rausgenommen und die Regeln lieber manuell angelegt.
Ich glaube das hat einfach damit zu tun, dass man vom Grundsatz her nicht alles bis zur letzten Verteidigungslinie weitergibt und da erst abblockt, sondern an der ersten möglich, sinnvollen Stelle. In deinem Fall die Fritzbox. Es ist einfach nicht notwendig, alles von draußen durch zu schieben auf die Sense. Es ist aber gerade im SOHO-Bereich oft gemacht, weil weniger Arbeit. Ich finde, dass muss jeder selber wissen, was er da machen möchte - Hauptsache, man behält den Überblick.
underclocker2k4
Mr. Alzheimer
Interessant, also ein PBPWL (policy based port weiterleitung).
Feste IP ist aber dezent uninteressant bei einer Usereinwahl und dem Willen die einzelnen VPN-Server anzusprechen.
(in dem Fall eh uninteressant, weil ja die FB die Weiterleitung macht)
Das Ding ist halt, wenn man von einem Gerät (bzw. konkret 1 WAN-IP aus das machen möchte bringt das wenig, da die WAN IP ja für beide eingehende Verbindungen gleich ist.
Des Weiteren müsste die WAN IP ja deterministisch sein. Man muss also im Vorfeld bestimmen können, welche es sein wird.
Für mobile Endgeräte bzw. auch Laptops in Hotels und Co wenig hilfreich, da die IP nicht deterministisch ist.
Was noch helfen würde, wäre (dyn)DNS basiert. So kann der Client seine WAN-IP updaten und der VPN-Server prüft bei der Einwahl, welcher DNS-Name das ist und kann daran entscheiden. (geht aber eben nur für eine Zielverbindung)
Bei einer Site2Site sieht das anders aus, da dort weniger Dynamik drin ist.
DNS-basiertes Filtering macht man auch bei Site2Site-VPNs, da man damit die Gegenstelle erkennen kann und somit andere eingehende Verbindungen schon anhand der IP blocken kann und es gar nicht erst zu einem Anmeldeversuch kommt.
Aber grundsätzlich gut zu wissen, auch wenn die Wirkung begrenzt ist.
Feste IP ist aber dezent uninteressant bei einer Usereinwahl und dem Willen die einzelnen VPN-Server anzusprechen.
(in dem Fall eh uninteressant, weil ja die FB die Weiterleitung macht)
Das Ding ist halt, wenn man von einem Gerät (bzw. konkret 1 WAN-IP aus das machen möchte bringt das wenig, da die WAN IP ja für beide eingehende Verbindungen gleich ist.
Des Weiteren müsste die WAN IP ja deterministisch sein. Man muss also im Vorfeld bestimmen können, welche es sein wird.
Für mobile Endgeräte bzw. auch Laptops in Hotels und Co wenig hilfreich, da die IP nicht deterministisch ist.
Was noch helfen würde, wäre (dyn)DNS basiert. So kann der Client seine WAN-IP updaten und der VPN-Server prüft bei der Einwahl, welcher DNS-Name das ist und kann daran entscheiden. (geht aber eben nur für eine Zielverbindung)
Bei einer Site2Site sieht das anders aus, da dort weniger Dynamik drin ist.
DNS-basiertes Filtering macht man auch bei Site2Site-VPNs, da man damit die Gegenstelle erkennen kann und somit andere eingehende Verbindungen schon anhand der IP blocken kann und es gar nicht erst zu einem Anmeldeversuch kommt.
Aber grundsätzlich gut zu wissen, auch wenn die Wirkung begrenzt ist.
Nachdem sich die Diskussion hier im Thread ein bisschen beruhigt hat, und mein neuestes Update in meinem Orginalpost ein wenig untergegangen ist, versuche ich es hier nochmal.
Orginalthread
Aktueller Stand in meinem Netzwerk:
1x Aruba Instant On 1930 48G 4SFP/SFP+ Switch
2x InLine Desktop Gigabit PoE-Injektor, 8x RJ-45, PoE+
4x Aruba Instant On AP22
Anwendungen für OpnSense Router:
Supermicro X10SDV-2C-TP4F
Hat 2 integrierte 10 G SFP+ Ports und als SOC einen Intel Pentium D1508 (Reicht der Prozessor?)
NVMe hab ich schon, 1U Gehäuse auch, bräuchte dann noch ein PicoPSU und Lüfter.
RAM muss ja nicht zwingend ECC sein, da tut es doch sicher einen billigen oder? Reichen 8GB?
Ist das sinnvoll vom Stromverbrauch her (vllt sogar besser, weil alles auf einem Board ist), oder sollte ich lieber was anderes nehmen? (Andere Config von Mainboard/CPU und SFP+ Karte kostet mich in etwa das gleiche)
Danke schonmal für die Antworten
Wirman
Orginalthread
Aktueller Stand in meinem Netzwerk:
1x Aruba Instant On 1930 48G 4SFP/SFP+ Switch
2x InLine Desktop Gigabit PoE-Injektor, 8x RJ-45, PoE+
4x Aruba Instant On AP22
Anwendungen für OpnSense Router:
- Vodafone Cable Anschluss 1000/50
- 10G DAC SFP+ Anschluss zum HP Aruba Instant On 1930 48 Port Switch
- Zweiter 10G Anschluss zum NAS/Server (oder ist es besser das NAS an den Switch anzuschließen? NAS soll im eigenen VLAN sein, Traffic würde also über den Router gehen)
- Auf dem NAS (UNRAID) sollen laufen: NVR (für 2 Kameras), Plex Media Server, TV-Streaming, Nextcloud, Audio Server, evtl Minecraft Server o.ä. (NAS noch nicht vorhanden, ist aber der nächste Schritt)
- Im Heimnetz kommt vllt noch ein Spieleserver dazu
- OpnSense Anforderungen: VPN
- Sensei, IDS/IPS (benötige ich das zwingend im Heimgebrauch, also z.B. auf der 10G Schnittstelle zum NAS, oder reicht das für die Verbindung nach außen? Oder benötige ich es gar nicht? Werde aus dem Für und Wieder nicht richtig schlau, das ist aber vermutlich der ausschlaggebende Punkt für die Wahl der Hardware)
- Sollte ich noch etwas anderes beachten?
Supermicro X10SDV-2C-TP4F
Hat 2 integrierte 10 G SFP+ Ports und als SOC einen Intel Pentium D1508 (Reicht der Prozessor?)
NVMe hab ich schon, 1U Gehäuse auch, bräuchte dann noch ein PicoPSU und Lüfter.
RAM muss ja nicht zwingend ECC sein, da tut es doch sicher einen billigen oder? Reichen 8GB?
Ist das sinnvoll vom Stromverbrauch her (vllt sogar besser, weil alles auf einem Board ist), oder sollte ich lieber was anderes nehmen? (Andere Config von Mainboard/CPU und SFP+ Karte kostet mich in etwa das gleiche)
Danke schonmal für die Antworten
Wirman
underclocker2k4
Mr. Alzheimer
Das dürfte der Knackpunkt werden. Kann jemand was dazu sagen, was so nen Firewallkonstrukt an CPU braucht um 10GBE zu Routen und zu Firewallen?
EDIT:
Potentiell dürfte ein EntryIntel Xeon mit >=4C (gerne auch 8C) @~4GHz mehr Bums haben.
Die D-Xeons (und Pentiums) der 1. Gen sind nicht ganz so performant.
Sprich, für etwas mehr Geld bekommt man wohl ein x-faches an Rechenleistung. Die Frage ist dann, braucht man die oder nicht, damit das mit den 10GBE klappt.
Beitrag automatisch zusammengeführt:
Je tiefer du in die Pakete gehst, desto mehr Rechenleistung brauchst du. IDS und Co bringen selbst große Firewall zum Glühen., wenn man da 10, 40 oder 100GBE durchdrückt.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Mein Intel Celeron 3867U ist bei 2 Gbit/s (netperf bidirektional zwischen zwei GbE Ports im Heimnetz) zu 50 % ausgelastet.
underclocker2k4
Mr. Alzheimer
Auf dem NAS richtet man keine VLANs sein, sofern nicht einzelne Dienste im NAS gekapselt werden sollen.
Der Port, an dem das NAS hängt, der kommt in das VLAN und damit wird jedes Paket von/zum NAS dem VLAN zugeordnet.
Dass man Clients mit in das Storage Netz packt, ist ne Frage des Schutzziels. Wenn man das NAS/Storage schützen will, dann packt man das NAS in ein eigenes VLAN und filtert dann über die Firewall. Ja, dann müssten die 10GBE durch die FW. Das ist der Tradeoff Security/Kosten/Leistung.
Clients gelten als potentiell unsicher und sollten daher nicht mit zu schützenden Devices in den Sec-Zone.
Würdest du das empfehlen? Den Homeserver hol ich ja eh, der wird auch 24/7 laufen, wegen der NVR, die NAS Platten sollten halt im Spindown bleiben. Präferieren würde ich halt UNRAID, reicht deren VM Lösung für OpnSense?
Das ist doch ne gute Aussage. Mit IPS/IDS?
Die unterschiedlichen VLANS wären halt dafür gedacht, dass die Clients ja nicht nur z.B. Fernseher sind, sondern auch Laptops, die direkt mit dem Internet verbunden sind. Nur deswegen wollte ich das eigentlich trennen, dass halt das NAS nicht direkt über die Clients am Internet hängt. Wenn das eh ein unsinniger Gedanke ist, dann hänge ich das NAS natürlich an den Switch und spar mir einen SFP+ Port am Router.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Ohne.
Okay, ja so hatte ich es mir gedacht. Deswegen das eigene VLAN. Was filtert man denn da effektiv im Heimnetz? Also zwischen den VLANs?
Bräuchte ich dann eigentlich 3 SFP+ Ports? Die OpnSense bekommt 2 SFP+ zugewiesen und das NAS ein SFP+ und dann steck ich ein Kabel direkt von einem SFP+ Port auf den anderen? Oder kann man da dann einen virtuellen Port aufmachen, der den Traffic zwischen den VMs verwaltet?
Okay, andersrum, was lass ich durch? Nur Traffic über bestimmte Ports, oder eine bestimmte Art von Traffic, oder bestimmte MAC Adressen?
Ich sollte vllt doch erstmal auf meinem alten PC OpnSense einfach ausprobieren und danach bestimmen, was ich brauch.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Einige Geräte (z. B. Drucker, Oszilloskop, ...) dürfen bei mir von sich aus gar nichts außer auf den lokalen NTP zugreifen.
underclocker2k4
Mr. Alzheimer
Das können sie auch, zumindest die Ordentlichen.
Wie gesagt, das ist ne Frage, wie die Kapselung auf dem NAS aussieht/aussehen soll. Wenn alles in einem Netz sein soll ala "Servernetz", dann braucht man da kein VLAN reinschieben, weil ich das VLAN eh auf dem Switch einrichten muss, aber den Port untagged laufen lasse.
keep it simple
Stimmt, WAN hab ich vergessen.
Du hast sogar für HUE n eigenes VLAN, obwohl du ein IOT VLAN hast, vermutlich dürfen also bei dir die HUE gar nichts 🙃
Mal was anderes:
Macht das hier (Dell R210) Sinn? Also kaufen, OpnSense installieren, alles einrichten und testen, evtl 10G Karte nachrüsten, um mit NAS zu testen (Die ich dann später für einen potenteren Neubau wiederverwenden kann), um auszuloten, was ich wirklich brauche. Wie hoch dürfte da der Stromverbrauch sein? Bei 30 Watt wären das über nen Testzeitraum von nem halben Jahr ca. 40€. Ist das realistisch? Dann kann ich damit leben und hab mal was handfestes, mit dem ich arbeiten kann.
Du hast sogar für HUE n eigenes VLAN, obwohl du ein IOT VLAN hast, vermutlich dürfen also bei dir die HUE gar nichts 🙃
Mal was anderes:
Macht das hier (Dell R210) Sinn? Also kaufen, OpnSense installieren, alles einrichten und testen, evtl 10G Karte nachrüsten, um mit NAS zu testen (Die ich dann später für einen potenteren Neubau wiederverwenden kann), um auszuloten, was ich wirklich brauche. Wie hoch dürfte da der Stromverbrauch sein? Bei 30 Watt wären das über nen Testzeitraum von nem halben Jahr ca. 40€. Ist das realistisch? Dann kann ich damit leben und hab mal was handfestes, mit dem ich arbeiten kann.
fdiskc2000
Enthusiast
- Mitglied seit
- 30.05.2007
- Beiträge
- 2.230
Ein Dell R210 läuft bei mir auch. Habe zwar einen Xeon mit 4c8T drin, aber das sollte erstmal egal sein.
Nur ein Hinweis, die 10G Karte kannst Du nur nachrüsten, wenn Du die 4x1G Karte ausbaust.
Nur ein Hinweis, die 10G Karte kannst Du nur nachrüsten, wenn Du die 4x1G Karte ausbaust.
underclocker2k4
Mr. Alzheimer
Er hat ja noch 2 CU 1GBE onboard. Daran das WAN und ggf. noch was anderes.
Und dann halt ne 10GBE Karte dazu. Wenn dann eh alles über einen maintrunk läuft, ist das zu vernachlässigen.
Und dann halt ne 10GBE Karte dazu. Wenn dann eh alles über einen maintrunk läuft, ist das zu vernachlässigen.
Also Thema Performance kann ich ein paar Infos geben.
Sensei intern, Suricata auf dem WAN, Site2Site VPN und viele Blocklisten und VLANs.
Ein i5 6500 schaffe ich bis 50-70% Auslastung bei 1Gbit WAN Belastung.
Müsste grob E3-1220v2 - 1230v2 reichen im R210.
Intel NIC sollte man bevorzugen.
10Gbit wirst du mit der Hardware nicht schaffen.
(Außer es soll nur Routing gemacht werden.)
Dann wäre aber ein L3 Switch besser.
Sensei intern, Suricata auf dem WAN, Site2Site VPN und viele Blocklisten und VLANs.
Ein i5 6500 schaffe ich bis 50-70% Auslastung bei 1Gbit WAN Belastung.
Müsste grob E3-1220v2 - 1230v2 reichen im R210.
Intel NIC sollte man bevorzugen.
10Gbit wirst du mit der Hardware nicht schaffen.
(Außer es soll nur Routing gemacht werden.)
Dann wäre aber ein L3 Switch besser.
Warum "doppelt" - im Wesentlichen nutzt Sensei mW doch die gleichen Regeln wie suricata bzw verpackt suricata/snort nur netter? (Und reichert es durch DNS blacklists etc an)
Sensei ist eigentlich eine Spielerei.
Die Berichte sehen schick aus und bisschen wird auch blockiert.
In der kostenlosen Version aber auch nicht für mehr zu gebrauchen.
Unbound Blocklisten bieten ähnliche Funktionen.
Sensei macht ja eigentlich nur DNS/IP abgleichen und dann Blocks.
IPS macht da schon einiges mehr.
Mustererkennung bei Paket Analysen macht Sensei garnicht.
Sensei ist sehr einfach einzurichten und verursacht wenig Beeinträchtigung.
IPS/IDS im LAN wird viele false positiv Ergebnisse hervorrufen und benötigt sehr viel Aufwand.
IPS würde ich nur verwenden, wenn auch Dienste nach außen hin offen sind.
Sonst lehnt die Firewall eh alles ab.
Doppelt ist es nicht.
IPS
Alles vom WAN wird geprüft (offene Ports/Dienste)
Sensei
Webseiten/IPs/DNS Blocks intern
Die Berichte sehen schick aus und bisschen wird auch blockiert.
In der kostenlosen Version aber auch nicht für mehr zu gebrauchen.
Unbound Blocklisten bieten ähnliche Funktionen.
Sensei macht ja eigentlich nur DNS/IP abgleichen und dann Blocks.
IPS macht da schon einiges mehr.
Mustererkennung bei Paket Analysen macht Sensei garnicht.
Sensei ist sehr einfach einzurichten und verursacht wenig Beeinträchtigung.
IPS/IDS im LAN wird viele false positiv Ergebnisse hervorrufen und benötigt sehr viel Aufwand.
IPS würde ich nur verwenden, wenn auch Dienste nach außen hin offen sind.
Sonst lehnt die Firewall eh alles ab.
Doppelt ist es nicht.
IPS
Alles vom WAN wird geprüft (offene Ports/Dienste)
Sensei
Webseiten/IPs/DNS Blocks intern
Jo, das ist klar, aber wie @underclocker2k4 geschrieben hat, gibt es ja 2 Onboard Ports. Leider halt keine Intel NICs,
Aber ich glaub @Hipiman hat mir ne gute Abschätzung gegeben, wenn sein i5 6500 reicht, dann reicht auch ein i3-8100 oder i3-9100, der ja sehr gerne immer verwendet wird.
Dann würde ich eigentlich schon auf mein endgültiges Setup gehen:
Mainboard: Fujitsu-d3643-h
Prozessor: I3-9100 oder I3-8100 (den i3-8100 gibts grad für 75€ gebrauch im Marktplatz, ist das okay, oder ist da der i3-9100 für 131€ neu schlauer?)
RAM: Crucial 8GB (gibts da irgendwelche präferenzen?)
10G Karte: Intel X520 SFP+ (Leider grad 159 statt 118€. Gibt es die umgelabelt günstiger?)
Gehäuse und Netzteil mal sehen, entweder mit nem PicoPSU im 1HE Gehäuse, was noch zuhause ist (Dann aber passiven CPU Lüfter + Gehäuselüfter) oder größeres Gehäuse und effizientes ATX NT.
Wenn jetzt nichts essentielles gegen die Config spricht, würde ich mir das so zusammenstellen.
underclocker2k4
Mr. Alzheimer
Inter-Tech Argus ST-7211 LAN-Adapter ab € 56,55 (2024) | Preisvergleich Geizhals Deutschland
✔ Preisvergleich für Inter-Tech Argus ST-7211 LAN-Adapter ✔ Bewertungen ✔ Produktinfo ⇒ Typ: LAN-Adapter • Bauform: 1x PCIe-Karte (wechselbare Blende: full height und low profile Blende im Lief… ✔ Adapter & Hubs ✔ Testberichte ✔ Günstig kaufen
geizhals.de
Hm, als 2 Port kostet das auch gleich knapp 130€
Inter-Tech Argus ST-723
Gibts eigentlich nen Grund, warum die alle PCIe 2.0x8 sind? Standard ist doch schon recht lang 3.0 und dann würden ja 4 Lanes für den gleichen Durchsatz reichen?! Oder ist das so, dass es auch ja noch kompatibel mit den Serverstandards von vor 10 Jahren sind?
Inter-Tech Argus ST-723
Gibts eigentlich nen Grund, warum die alle PCIe 2.0x8 sind? Standard ist doch schon recht lang 3.0 und dann würden ja 4 Lanes für den gleichen Durchsatz reichen?! Oder ist das so, dass es auch ja noch kompatibel mit den Serverstandards von vor 10 Jahren sind?
underclocker2k4
Mr. Alzheimer
Intel® 10-Gigabit-Ethernet-Controller 82599 – Produktinformationen,...
Produkte für den Intel® 10-Gigabit-Ethernet-Controller 82599 anzeigen. Hier finden Sie Produktspezifikationen, technische Dokumentation, Downloads und Support und mehr von Intel.
www.intel.de
Die Karten sind ja auch etwas älter.
EDIT:
Grundsätzlich in den richtigen Servern nichts <x8 Slots, egal ob PCIe 2.0, 3.0 oder 4.0.
Das liegt einfach daran, dass man die Bandbreiten braucht.
Aktuell sind quasi 25GBE oder 40GBE Standard. 100GBE ist schon Startbereit, 50GBE kommt auch.
Da zeihst du mit x4 nirgends die Wurst vom Teller.
Wie hier kaufen ja eigentlich den alten Scheiß, weil der so günstig ist.
10GBE Consumerkarten haben hingegen 3.0 und x4, auch weil die Plattformen nicht so viele Lanes haben und es auch nicht notwendig ist da mit x8 draufzuhauen.
Zuletzt bearbeitet:
Okay, ich verstehe. Wobei bei Geizhals wenn ich nach PCIe 3.0 filtere, die meisten dann 3.0x8 haben.
Wenn ich jetzt die 2.0x8 Karte in nen x4 elektrisch Slot stecke, nutzt die Karte dann die vollen x4 Lanes? Also dann 2000MB/s? Dann fehlen ja nur 500MB/s um zwei 10G Ports voll auszulasten.
Wenn ich jetzt die 2.0x8 Karte in nen x4 elektrisch Slot stecke, nutzt die Karte dann die vollen x4 Lanes? Also dann 2000MB/s? Dann fehlen ja nur 500MB/s um zwei 10G Ports voll auszulasten.
Das wird so nicht funktionieren, evtl mit einem Adapterstück oä.
Afaik bekommen aber auch Slots mit mehr Lanes mehr elektr. Energie zugeführt, d.h. da könnte bei einer x8 Karte zu wenig Strom in einem x4 Slot ankommen.
underclocker2k4
Mr. Alzheimer
Wenn der Slot hinten offen ist, geht das.
Allerdings ist das beim angedachten MB anders. Da ist das ein mech. x16 mit el. x4 und daher geht das relativ easy.
Ansonsten liefert ein PCIe Slot im Standard 25W, wie auch schon früher. LP-Karten dürfen sich 10W genehmigen.
Grafikkartenslot liefern immerhin 75W, was für Officekarten ausreichend ist.
Das hat also nichts mit der Anzahl der Lanes zu tun.
Allerdings ist das beim angedachten MB anders. Da ist das ein mech. x16 mit el. x4 und daher geht das relativ easy.
Ansonsten liefert ein PCIe Slot im Standard 25W, wie auch schon früher. LP-Karten dürfen sich 10W genehmigen.
Grafikkartenslot liefern immerhin 75W, was für Officekarten ausreichend ist.
Das hat also nichts mit der Anzahl der Lanes zu tun.
Ähnliche Themen
- Artikel