Hardware für OPNsense Firewall

  • Statt OpenSense nutze ich sowohl Zuhausen als auch auf der Arbeit PfSense. Zuhause hab ich auch eine alte, kleine APU rennen. Für zuhause reicht mir das aus, so dicke ist meine Internetleitung nicht und die hat noch genug Saft für den PfBlockerNG. Anders sieht es auf der Arbeit aus. Da haben wir zwei 19" Rackserver (Xeon Gold irgendwas, 32GB Ram, 2x 10Gbit Netzwerk. WAN1 von Voodoofone mit 1Gbit Glas und WAN2 von Colt mit 500Mbit Glas) in unterschiedlichen Brandabschnitten die sich gegenseitig synchronisieren/replizieren und bei Ausfall auf einen anderen WAN umschalten (normaler Modus: Wan-Load-Balancing).

  • Zu Hause verwende ich einen passiv gekühlten Mini PC von Qotom, direkt aus China bestellt. Die gibt's in Ausführungen bis 8 Ethernetports und stecken auch in diversen OEM Produkten, die hierzulande angeboten werden. Die Hardware ist ordentlich und jedenfalls meine Ausführung hat Intel NICs.

  • Ich habe mehrere LES network 6L mit i5 und LTE Modul. Ans Limit habe ich sie noch nie bringen können, meine Erfahrungswerte im Alltag sind gut bzw. "reicht bisher"


    3x IPsec AES (256 bits) + SHA512 + DH Group 18 (Phase 1 und 2) sowie 4 mal OVPN Clients mit AES 256 CBC + SHA512 +DH 4096 und LZ4v2 Compression machen keine Probleme. Dateitransfer zwischen Standorten während vMotion zusätzlich noch VMs durch die Gegend migriert, merken die User nicht, auch nicht die die per OVPN arbeiten (RDS-Farm). Das aller einzige das mir dabei aufgefallen ist, was ich aber nicht unbedingt auf die OPNsense schieben würde:


    Sobald große Transfers stattfinden und mit DATEV LODAS gearbeitet wird, ist die Latenz erhöht, nicht unerträglich aber Höher. Mag ein unglücklicher Zufall sein MSSQL over IPsec, Debuggen konnte ich das auch nie richtig da DATEV ein verrammelten SQL Server hat. Die Fehlermeldung der Lohndame war "Es zieht sich". Wer hier nun schuld hat weiß ich nicht, gesagt haben wollte ich es trotzdem ^^


    Ebenfalls wichtig: Thomas Krenn verkauft nicht an Privatkunden. Entweder hast du ein Gewerbe oder kannst über deinen Arbeitgeber bestellen. Alternativ kann ich dir einen Kontakt vermitteln falls du keine "Firma zum Missbrauchen" hast.


  • Danke für deine Review.

    Hast du da den Celeron oder Core i drinne?

    i5. Ich hatte Bedenken das der Celeron bei zu viel AES die Grätsche macht. Ob er wirklich nötig ist, keine Ahnung. Aber in dem Preisbereich fallen 155€ für die bessere CPU auch nicht mehr so groß ins Gewicht

  • Ich weiß, hier werden ja eher Selbstbau Sachen erwähnt, allerdings ist das Setting des Threaderstellers:

    ja auch ziemlich offen.


    Ich verwende schon seit vielen Jahren Unifi, sowohl als Router (ohne Modem), als auch insgesamt im Netzwerk (mit Switches, Accesspoints, etc.). Das System ist auch noch mit Zugangstechnik oder Videoüberwachungstechnik erweiterbar.


    Die Unifi Dream Machine Pro ( https://eu.store.ui.com/collec…consoles/products/udm-pro ) ist ein Routing Beast mit 10Gbit WAN interface und 3,5 Gbit Routing Fähigkeit bei eingeschaltetem Traffic Shaping und IDS/IPS.


    Und das Unifi System bietet halt die Verwaltung aller Bestandteile auf EINER Oberfläche. Wenn man sich selbst nen Router baut, hat man da ne Oberfläche, dann noch eine beim ersten AP, dann noch eine beim zweiten AP und so weiter. Bei Unifi definiert man eine (von mehreren) WLAN SSIDs und der Controller provisioniert die Geräte entsprechend. Kein Webinterface-Gehoppe.


    Ich kanns sehr empfehlen und möchte es definitiv nicht mehr anders, mein kompletter Haushalt ist unifi-ed, was dann auch noch VLANs, Gästeportale und vieles mehr bietet.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Es sollte noch erwähnt werden das Unifi nicht abschaltbar nach Hause telefoniert. Man kann allerdings eine OPNsense FWL davorhängen die das filtert ;)

  • Es sollte noch erwähnt werden das Unifi nicht abschaltbar nach Hause telefoniert.

    Dein Informationsstand ist sauberst veraltet:

    UnifiAnalytics.png


    Eine Komfortoption ist das Controllerbackup in der Cloud bei Unifi, aber auch das ist abschaltbar:

    UnifiCloudBackup.png


    Ansonsten kommt man auch über https://unifi.ui.com/dashboard aus der Ferne auf das eigene System (ohne Portfreigabe). Sehr praktisch, wenn man von unterwegs und/oder von der App aus was konfigurieren will. Aber natürlich ist das auch abschaltbar:

    UnifiRemoteAccess.png


    You were saying?

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • Hab eine Zotac ZBOX CI327 Nano mit pfsense drauf und bin super zufrieden damit! Die gab's 2018 als Barebone für ~ 150 Euro - SSD und RAM dazu und schon konnte es los gehen. Hab bei mir nochmal per proxmox virtualisiert und neben der pfsense als vm noch einen unifi Controller zusätzlich drauf ;)

  • Ich weiß nicht wie aktuell dein Stand ist aber vor 5 Monaten sieht es noch so aus: https://www.reddit.com/r/Ubiqu…tm_medium=web2x&context=3. Selbst wenn es aktuell abschaltbar ist kannst du das nach jedem Update kontrollieren ob ohne Changelog-Eintrag mehr dazukam, der Schalter wieder auf ON steht uvm.


    Genau kann man es nur sagen wenn du mal ein Wireshark mitlaufen lässt. Es gab mal einen Weg in irgendeiner config.json zu fummeln, kann ich mangels HW nicht testen. Mit der Ankündigung Telemetrie einzuführen ohne Button es abzuschalten (Coming soon) sind sie bei mir rausgeflogen.


    Selbst wenn die Telemetrie mittlerweile Optional ist, gibt es Produkte mit Accountzwang. All sowas möchte ich zumindest nicht in meinem Netzwerk haben. Ein solch sensibler Bereich wie Netzwerk - hat man da einmal "schlecht Kommuniziert" hat man eben ver***issen. So Banane Telemetrie ohne Opt-Out Knopf einzuführen kann auch nur ein US Unternehmen sein.


    Wen es nicht stört, soll damit Glücklich werden. Ich würde es keinem Kunden verkaufen wollen der irgendwie Daten verarbeitet.

  • Also Unifi kommt mir nicht ins Haus. (Ausgenommen die APs weil die OK für Preis/Leistung sind, wobei ich Heute nicht unbedingt wieder Unifi APs kaufen würde)


    Warum?

    Unifi hat in der Vergangenheit so viele RedFlags aufgebracht das es einfach nicht tragbar ist.

    CloudKey (v1) war instabil andere HW Versionen kenne ich nicht, Support bei nicht-0815 Themen ist unterirdisch, Switches und FW sind "meh", Software ist "meh" und verwenden EOL Dependencies, Security Breach(es) in der Vergangenheit, Telemetrie die definitiv nicht dauerhaft ausschaltbar ist und Opt-Out statt Opt-In (wie es eigentlich sein sollte) ist, Community Support der fragliche Dinge tut, und und und. Die Liste ist lang und hinter fast jedem dieser Punkte stehen mehrere Fälle die ich hatte.


    Ich hatte bei einen Kunden (auf seinen Wunsch) vor Jahren Unifi Hardware also APs, FW, Switches, CloudKey, etc... und es wurde alles bis auf die APs nach nicht mal 12 Monaten gegen andere Hardware getauscht, aus eben einen bzw. mehrerer dieser oben genannten Punkte.


    Ich würde auch darum bitten Pro/Con von Unifi *nicht* hier sondern ggf. in einen anderen Thread zu diskutieren.

    Da kann ich dann auch bei Bedarf/Interesse einige meiner Kritikpunkte näher ausführen.



    TBT ja ich habe meine Frage recht offen gelassen da es mich generell interessiert was Personen hier so verwenden.

    Bastellösungen sind für meine Kunden eh auch nicht das Ziel, finde ich aber dennoch Interessant.


    Dinge wie das APU Board oder Hardware von TK sehe ich nicht als Bastellösung und haben eben den Vorteil das ich die Software verwenden kann die ich will, in meinen Fall halt aktuell und wohl auch noch länger OPNsense.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!

  • Zu Hause verwende ich einen passiv gekühlten Mini PC von Qotom, direkt aus China bestellt. Die gibt's in Ausführungen bis 8 Ethernetports und stecken auch in diversen OEM Produkten, die hierzulande angeboten werden. Die Hardware ist ordentlich und jedenfalls meine Ausführung hat Intel NICs.

    Kann ich deinem Profilbild entnehmen, dass das Teil mit OpenBSD kompatibel ist? :)

  • Ich weiß nicht wie aktuell dein Stand ist aber vor 5 Monaten sieht es noch so aus: https://www.reddit.com/r/Ubiqu…tm_medium=web2x&context=3. Selbst wenn es aktuell abschaltbar ist kannst du das nach jedem Update kontrollieren ob ohne Changelog-Eintrag mehr dazukam, der Schalter wieder auf ON steht uvm.


    Genau kann man es nur sagen wenn du mal ein Wireshark mitlaufen lässt. Es gab mal einen Weg in irgendeiner config.json zu fummeln, kann ich mangels HW nicht testen. Mit der Ankündigung Telemetrie einzuführen ohne Button es abzuschalten (Coming soon) sind sie bei mir rausgeflogen.

    Fassen wir zusammen: Du hast die Hardware nicht, hast keine Erfahrung damit, Dein "Beweis" ist ein Redditthread von vor 5 Monaten von irgendwelchen Randoms und obwohl ich Dir die Schalter per Screenshot gezeigt habe, hältst Du nach wie vor an Deiner irrigen Meinung fest. Joa. Fakten stören da ja nur.


    Ich wollte UI als Option zu diesem Thread beisteuern (mit den Vorzügen, die es bietet). Nehmt es oder lasst es.


    Ich hatte bei einen Kunden (auf seinen Wunsch) vor Jahren Unifi Hardware also APs, FW, Switches, CloudKey, etc... und es wurde alles bis auf die APs nach nicht mal 12 Monaten gegen andere Hardware getauscht, aus eben einen bzw. mehrerer dieser oben genannten Punkte.

    Unverständlich. Aber ergo auch hier keine aktuelle Erfahrung damit.


    Wie gesagt: nehmt was Ihr wollt, strickt Euch Euere Router gerne selbst, PFSense finde ich cool. Mich hat mein Unifi Netzwerk jedenfalls sehr gut durch Homeworking und Pandemie gebracht. Und ich habe garantiert keinen Bock auf Dutzende von Konfigurationsinterfaces.


    Damit ist hier für mich Schluß.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Einmal editiert, zuletzt von TBT ()

  • Du wirkst immer so unentspannt und deine Beiträge so passiv aggressiv. Für uns bist du im großen Internet doch auch nur ein "Random" und der erste Kommentar darunter sagt ja auch:

    "Read the fine print. “Opting out” of the analytics just “anonymizes” and “sanitizes” the data the UI is collecting."

    Darauf bist du wiederum nicht eingegangen. Meine Erfahrung von damals (bitte nicht wieder an die Decke gehen) ist auch, dass Unifi Geräte versuchen Enterprise für geringes Geld zu sein, aber oftmals nicht ganz so ausgereift sind. Schön anzusehen sind die Dashboards auf jeden Fall und gut Leistung hatten sie schon.



    Mir ist gerade noch eingefallen, dass wir damals von Jetway einen mini PC im Einsatz hatten, der auch jahrelang seine Dienste in Verbindung mit pfSense getan hat. Auf deren Seite gibt es mittlerweile viele verschiedene Konfigurationen. Vielleicht ist da auch was interessantes dabei :)

  • Du wirkst immer so unentspannt und deine Beiträge so passiv aggressiv.

    Ich habe einen Vorschlag gemacht, der von vielen Personen sowieso verwendet wird. sla hat auf Basis von Hörensagen und veralteten Infos diesen Vorschlag abgebügelt. Daraufhin habe ich die Sachlage dargestellt. Das hat sla aber offensichtlich nicht interessiert.

    Daraus "immer so unentspannt" und "passiv aggressiv" zu machen ist doch ein wenig unfair.

    "Read the fine print. “Opting out” of the analytics just “anonymizes” and “sanitizes” the data the UI is collecting."

    Darauf bist du wiederum nicht eingegangen.

    Wenn ein Anbieter manche Komfortfunktionen anbieten will, muss er manche Daten erfassen.

    Unifi Geräte versuchen Enterprise für geringes Geld zu sein, aber oftmals nicht ganz so ausgereift sind. Schön anzusehen sind die Dashboards auf jeden Fall und gut Leistung hatten sie schon.

    Unifi ist eher KMU / SME denn Enterprise. Ein kostenfreier Softwarecontroller ist schon eine Sache, die fein und relativ selten ist (TP Link Omada wäre noch eine Option). Bei Cisco zahlt man alleine für einen Controller mehrere tausend Euros. "Ausgereift". Hm. Wer nicht gerade Early Access kauft ist eigentlich schon recht stabil dabei.


    Anscheinend passt der Vorschlag aber in diesen Selbstbastel-Thread nicht rein.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

  • TBT dein Vorschlag mit Unifi Produkten war auch valide und wollte ich mit meiner Antwort nicht herunter machen.

    Sollte das so angekommen sein tut es mir leid.


    Einerseits suche ich aber explizit was für OPNsense womit Unifi rausfällt.

    OPNsense aus dem Grund da ich das seit Jahren selber und für einige Kunden betreibe, damit alles was ich an Anforderungen habe abbilden kann, es OpenSource ist, ich mittlerweile immer wieder Dinge selber contribute und vielen anderen Gründen.

    Kein Grund davon würde ein anderes System ob Open Source oder Closed Source ausschließen, aber der dafür müsste es schon was können was ich aktuell nicht abbilden kann.


    Andererseits habe ich mit Unifi sehr schlechte Erfahrungen gemacht. Was mich halt jetzt davon abhält Unifi Produkte in Betracht zu ziehen.

    Auch die Dinge die ich benötige wären mit Unifi nur umständlich umzusetzen. Und teilweise gar nicht über die fancy UI möglich. Was dann schon zu einen Problem wird.

    Klar sind meine schlechten Erfahrungen großteils ein paar Jahre her und es könnte jetzt alles anders/besser sein.

    Aber was ich so mitbekomme ist es das nicht.


    Hardware war immer so ok-ish, wobei es hier auch bessere aber damit teurere Produkte von Unifi gibt.

    Software ist immer noch stark verbesserungswürdig. Und rennt mit EOL dependencies was halt ein no-go ist.

    Unternehmensphilosophie und die Art und weise wie sie mit manchen Problemen/Situationen umgehen sind immer noch grenzwertig.

    Die Kollegen die ich habe und die bei Projekten Unifi verbaut haben, würden das alle nicht nochmal tun.


    Zusätzlich darf ich bei manchen Kunden Unifi nicht überall einsetzen, weil das so nicht durch ein Audit käme.



    Somit kommt Unifi für mich halt echt nicht bzw. nur bei APs (wobei da wohl in Zukunft auch nicht mehr) in Frage.

    Größtenteils sind meine Problem mit Unifi auf Fakten basiert, aber natürlich ist auch eine persönliche Abneigung vorhanden da mich das große Projekt mit Unifi am Anfang meiner Selbständigkeit viel Nerven, Zeit und Geld gekostet hat wo ich die "Schuld" großteils auf Unifi schieben kann, der Support unfreundlich und nicht hilfsbereit war und im Endeffekt alles getauscht werden musste weil es 1 Jahr nach der holprigen Inbetriebnahme immer noch nicht alles zuverlässlich konnte.


    Damit will ich auch niemanden schlechtreden der Unifi verwendet. Jedem das womit er am besten kann.


    Zusätzlich habe ich Kunden in Branchen wo ich Unifi nicht oder nur mit großem Aufwand (technisch und bürokratisch) verwenden darf, da es nicht bzw. nur sehr schwer durch das Audit kommt.

    Matrix: @nan0:nan0.dev - IRC: nan0 on hackint.org - Discord? Nein danke!