Hardware für OPNsense Firewall

  • Ahoi ⛵,


    hier gibt es ja bestimmt Personen die etwas mehr als ein 0815 Modem/Router vom $ISP verwenden,

    sondern eben eine Firewall mit zum Beispiel OPNsense betreiben.


    Auf welcher Hardware betreibt ihr das?


    Ich verwende dafür an allen Standorten APU Boards von PC Engines - Link zum Hersteller

    Eigentlich bin ich damit auch zufrieden. Jedoch schafft es die Hardware nicht 1 Gbit/s zu routen,

    daher würde mich eben Interessieren was andere so für Hardware verwenden.



    Besten Dank für alle Infos.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

  • Moin,


    ich verwende eine ältere Lenovo Thinkcentre Kiste mit i3 und 8 GB RAM. Dazu habe ich noch eine Intel NIC mit 4 Ports eingebaut.


    Leider habe ich die (gerouteten) verfügbare Bandbreite noch nicht gemessen, weswegen ich dazu aktuell nichts schreiben kann.

  • Aktuell würde ich nach Intel N6005 suchen mit mindestens 4 Intel NICs mit jeweils 2.5 Gbit.

    Kostenpunkt bei 8GB RAM (mehr brauchst du bei ner Firewall definitiv nicht) sollte so bei 350 Euro liegen.

    Das ist erhelblich günstiger als bei Netgate und reicht fürs Heimnetz mehr als aus.


    Dummerweise wurde das Ding auf Youtube von den Influencern ziemlich gefeiert und ist vergriffen aktuell.


    Ich habe einige 10Gbit Geräte und bin deswegen direkt auf ein Netgate Gerät mit passenden Anschlüssen gegangen.

    Allerdings mache ich ausgerechnet kein Inter-VLAN-Routing zwischen den 10Gbit Geräten, daher hätte es eigentlich gereicht wenn ein externer Switch das VLAN intern macht und fertig. Vielleicht ist es ja bei dir ähnlich.

  • Ich hatte noch mein altes NAS auf Basis eines Celeron N3150 mit 8 GB Ram und habe da mittlerweile VMs für alle Lebenslagen. Da läuft zwar kein OPNsense sondern ein OpenWRT (das hatte ich vorher auf meinem Router und habe es dann in die VM umgezogen, so konnte ich die config behalten).

    Die Kiste hat noch eine 2.5 GBit NIC bekommen. Der interne GBit Anschluss ist an die VM durchgereicht als WAN Anschluss, der 2.5 Gibt geht als VLAN Trunc an den Host und da hängt dann die VM dran.

    Läuft bisher ohne Probleme, da wird aber aktuell auch nur LTE geroutet (und inter-VLAN, aber das Gästenetz / IoT ist jetzt nicht so Ressourcenhungrig). Der Galsfaseranschluss hätte schon lange da sein sollen, kommt aber wohl doch erst Ende Q3 (ob dieses Jahr bleibt weiter Spannend ...). Aber das sollte er eigentlich hinbekommen.

    Vorteil war für mich auch, dass sie Kiste sowieso läuft und ich die 8W vom vorherigen Router eingespart habe. Ich war eigentlich echt erstaunt was der N3150 schafft obwohl er jetzt doch relativ alt ist. Habe mich vor einiger Zeit mal nach einem Upgrade umgeschaut, aber eine merkliche Verbesserung war nur zu unattraktiven Preisen zu haben...

    Wer sowieso einen Server/NAS Zuhause rumstehen hat dem würde ich mittlerweile eine VM empfehlen. Auch super einfach bei Backup/Umzug und die theoretische Gefahr, das auf der gleichen Hardware laufen zu lassen wie andere wichtigen Dinge sehe ich deutlich kleiner an als andere Konfigurationsfehler die man so machen kann. VLANs und managed switche helfen natürlich bei größeren Netzen.

  • Hier steht eine Zotac ZBOX CI323 nano mit Celeron N3150, 8GB RAM, 1TB NVME. Darauf läuft Proxmox mit 1 VM: Opnsense.


    Meine restlichen Anwendungen laufen alle in Docker-Containern nativ neben dem Proxmox bzw. auf 2x Raspberry 4 mit 8GB RAM.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Mir wurde ein dediziertes Glasfasermodem mit max 2Gbit Glasfaser sowie mit 2.5Gbit RJ45 bereitgestellt. Das steht am andern Ende der Wohnung, bis dahin läuft alles über normales 1GBit RJ45 + VLAN + PoE für die Switche auf der Strecke.

    "Security is like an onion - the more you dig in the more you want to cry"

    Gefällt mir 1
  • Ich antworte da mal Allgemein ohne auf einzelne Posts einzugehen da das sonnst sehr unübersichtlich wird.


    Alte (gebrauchte) Geräte sind keine Option da ich für die Buchhaltung eine Rechnung brauche und auch einen gewissen Support/Garantie/Gewährleistung haben will.

    Das es das ganze dann teurer macht ist mir bewusst und nehme ich gerne in Kauf.


    Fett "overkill" Geräte und/oder 19" Rackgeräte fallen ebenfalls raus da ich bei mir und auch bei den meisten Kunden kein Rack zur Verfügung habe, diese natürlich auch teurer sind und auch einen hohen Strombedarf haben.


    NRG Systems und so Sachen wie Protectli habe ich schon mal gesehen und stehen auch auf meiner Liste, Erfahrungsberichte habe ich dazu halt keine.


    Virtuell möchte ich das nicht betreiben. Klar hat das Vorteile in meinen Augen aber auch sehr viele Nachteile.

    Es sollte als Router schon ein eigenes Gerät sein das dementsprechend auch am längsten von der USV versorgt wird, während die Hypervisor/NAS-Systeme bei Stromausfall eigentlich fast sofort heruntergefahren werden.



    VLANs und managed switches sind überall im Einsatz.

    An manchen Standorten auch ein extra LTE Failover für alle Fälle.


    Ich habe mit den APUs auch kein direktes Problem.

    Sie reichen bis jetzt für alles was ich brauche und schaffen 500Mbit/s Internet ohne Probleme und cross vLan auch ~600 Mbits (bei einer Connection).

    Mehr Durchsatz brauche ich cross vLan selten. Hätte eben nur gerne ein Gerät im Kopf sollte ich doch mal mehr brauchen.



    Und zuletzt noch Valkyrie

    Entweder (wenn möglich) ein reines Modem vom ISP oder ein "Router" der nur Modem spielt vom ISP. Dahinter dann Hardware Firewall mit OPNsense.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

    Gefällt mir 2
  • Darf ich mal fragen wie ihr das mit dem Eingangssignal/Internet Uplink regelt? Zum Beispiel bei DSL mit DSL Steckkarte, Provider Router als Modem, reines Modem davor, ...

    Zur Zeit noch ein ZyXEL-VDSL-"Modem" (welches als reine Bridge fungiert, d.h. die OPNsense-Kiste wählt sich über PPPoE ein) zusammen mit einem LTE-Modem (eigentlich ein "Router") als Backup.


    Hoffentlich bald wird das VDSL-Gerät durch einen Glasfaseranschluss ersetzt.

  • bei mir läuft die Sense als VM in einem DL360G10 - ich hab die separate FW wegrazionalisiert, weil der Server eh die ganze Zeit rennt und die meisten VMs bleiben dann quasi in den vSwitches hängen, spar ich mir auch die VLANs auf dem Switch - da gibt es dann nur die 3 absolut notwendigen wegen der APs.


    die VM hat 2 Kerne und 4GB RAM

  • Ich bin erstaunt wie viele hier ihren Router in einer VM betreiben.

    So was würde ich mich nicht trauen und hätte in meinen Augen zu viele Nachteile/Gefahren.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

    Einmal editiert, zuletzt von nan0 ()

  • Bei größerer Infrastruktur bzw. wenn es mehrere Router gibt kann ich das auch noch verstehen.


    Aber bei einen "HomeLab" oder kleineren Kunden (wo ich froh sein kann wenn ich überhaupt einen HyperVisor habe) wäre mir das zu gefährlich.

    Was tue ich wenn die VM aus irgendwelchen Gründen stirbt oder nicht mehr bootet, der HyperVisor ausfällt, Stromausfall ist oder einfach nur der HyperVisor für $wartung offline ist.


    Dann gibt es doch ganz schnell zirkuläre Abhängigkeiten oder übersehe ich da gerade etwas?


    Mir ist schon klar das eine (einzelne) Hardware Firewall auch einen SPOF darstellt. Jedoch habe ich Ersatzhardware lagernd wenn nicht sogar Vorort und ein (getestetes) Backup das ich ohne Netzwerkzugriff erreichen kann.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

    Gefällt mir 1
  • Bei Stromausfall hast du ganz andere Probleme.


    Klassisch: Wenn der Host unter der VM stirbt (oder gerade Updates erhält), dann verschiebt/startet die VM woanders neu. Darum kümmert sich Proxmox/VMWare von Haus aus.


    OPnSense/pfSense speziell: Betreibt man im Failover-Cluster. Damit kannst du updaten/rebooten ohne das die die Netzwerkverbindungen abbrechen.

    "Security is like an onion - the more you dig in the more you want to cry"

  • Darf ich mal fragen wie ihr das mit dem Eingangssignal/Internet Uplink regelt? Zum Beispiel bei DSL mit DSL Steckkarte, Provider Router als Modem, reines Modem davor, ...


    Ich bin erstaunt wie viele hier ihren Router in einer VM betreiben.

    So was würde ich mich nicht trauen und hätte in meinen Augen zu viele Nachteile/Gefahren.

    Bei meinem Vodafone Business DOCSIS Anschluss läuft der Vodafone Router im Bridge Mode davor.

    Leider kann ich das nicht in ein VLAN schmeißen, weil er sich auf die MAC Adresse des verbundenen Gerätes festlegt - sodass hier ein Phy Port vom Router herhalten muss - nix mit Failover oder VM.


    Ansonsten bekomme ich direkt per DHCP meine öffentliche IPv4 und mein IPv6 Subnetz auf dem Router Interface per Ethernet.

    Als Router / Firewall habe ich ein Mikrotik 4011 im Einsatz, davor hatte ich immer OpenWRT im Einsatz.


    Zum Thema Hardware gibt es ja einiges in dem verdächtigen Marktplätzen mit x Ethernet Ports.

    Auf eBay gibt es auch den einen oder anderen Thinclient, der mit SSD und PCIe Slot aufgewertet werden kann - zu einem Ethernet Router oder mit DSL Karte zu einem DSL Router / Modem mit BSD. Z.B. die Fujitsu Futro Reihe.

  • Ich bin erstaunt wie viele hier ihren Router in einer VM betreiben.

    So was würde ich mich nicht trauen und hätte in meinen Augen zu viele Nachteile/Gefahren.

    Welche Nachteile/Gefahren bereiten dir denn Kopfzerbrechen? (Ich halte das auch nicht für das non-plus-Ultra, vielleicht übersehe ich ja auch was wichtiges)


    Dann gibt es doch ganz schnell zirkuläre Abhängigkeiten oder übersehe ich da gerade etwas?

    Ja, da muss man aufpassen. Anfangs hatte ich zum Beispiel den Host noch auf DHCP stehen, was natürlich schief geht, wenn man den DHCP-Server dann darauf virtualisiert. Mittlerweile funktioniert es zwar gut, aber ich versuche möglichst vor Ort zu sein wenn ich den Host mal reboote ;) ). Sehe ich auch als größtes Problem, wo viele Leute darauf trainiert sind bei Problemen mal den Stecker vom Router zu ziehen.

    Wenn man solche Anfängerfehler überstanden hat sehe ich da aber viele Vorteile. Ich kann die Leistung nach Bedarf anpassen (also hauptsächlich RAM), einfaches Backupmanagement, super Skalierbar (wenn z.B. failover, etc (neu) benötigt wird), einfacher Umzug auf "neue" Hardware. Upgrades, neue Settings, etc.. können einfach getestet werden oder wieder zurückgesetzt.

    Tatsächlich stand ich aber vor einem ähnlichen Problem wie du und habe Hardware gesucht. Da wollte ich aber auch noch einen 10G SFP+ Port für die Zukunft haben und habe da nichts gefunden was so ganz meinen Anforderungen/Budget entsprochen hätte. Ein Freund hat mir die VM empfohlen und das war erst mal so eine Notlösung, fand ich jetzt aber so gut dass ich dabei bleiben werde. Wenn irgendwann benötigt, kann ich einen SFP+ Port per PCIe Karte nachrüsten. Und wenn ein stärkerer Prozessor benötigt wird kann ich einfach umziehen. Wenn ich jetzt fast vierstellig für ein Gerät mit SFP+ Ports ausgegeben hätte müsste ich das aus Geiz- Nachhaltigkeitsgründen auch entsprechend lange benutzen.

    Ich war kurz davor einen Netgate 6100 zu kaufen, aber das war mir dann doch zu teuer, wo die NAS doch sowieso immer läuft, kann ich mir auch die 30€ Stromkosten pro Jahr für ein extra Gerät sparen. (Abgesehen davon, das ich OPNsense gegenüber pfSense bevorzugen würde und die nicht unterstützten wollte)..


    Edit:

    Zum Eingangssignal: Mein LTE Router kann kein nur-Modem Betrieb, deswegen läuft der extra in einem eigenen VLAN über den Switch an den Trunk Port (weil der Router im Dach steht und der Server im Keller). Die Glasfaser in Zukunft wird direkt an den Router gesteckt. Früher mit DSL hatte ich das Herstellergerät auch im Routermodus, weil das noch Analogtelefone bedient hat (und Gäste-WLAN). Mittlerweile brauche ich das aber nicht mehr (VoIP Telefone und VLAN-fähiger AP)

  • Welche Nachteile/Gefahren bereiten dir denn Kopfzerbrechen?

    Wenn der Router also die VM down ist (aus was für Gründen auch immer) kann ich *nichts* erreichen.

    Ja wenn meine Hardware-Firewall/Router down ist, ist es das selbe, aber da komm ich an die Hardware bzw. Console ran.

    Wenn das in einer VM läuft und die VM down ist, komme ich nicht an den HyperVisor somit auch nicht an die Console für die VM um irgendwas zu fixen.


    Den Vorteil von "ich kann die Hardware/Leistung der VM anpassen" sehe ich. Wobei ich den Fall noch nie hatte das ich da etwas verändern hätte müssen/wollen.


    Den Vorteil von "ich kann Updates, Konfigurationsänderungen, Hardwarewechsel und einfachen Backupmanagement" sehe ich teilweise.

    Würde bei mir aber keinen Vorteil bringen, da alles ansible manged ist, Backups unter OPNsense einfacher nicht gehen können und Updates/Konfigurationsänderungen (je nach Art) immer zuvor getestet werden. Restrisiko besteht natürlich. Aber da es eben alles ansible managed ist und automatisch vor jeder Konfigurationsänderung Backups gemacht werden, kann ich im worst-case in unter 30min auf neuer Hardware eine exakte (funktionierende) Version der Firewall (wieder-)herstellen.

    Das reicht für meine Bedürfnisse aus, vor allem da es bis jetzt noch nie nötig war.



    Damit will ich jetzt aber "OPNsense/Router in einer VM" nicht schlecht reden.

    Für mich wäre es aus eben diesen und weiteren Gründen nichts, vor allem da es mir kaum Vorteile bringen würde.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!