Habt ihr euch auch mit der Alternative von TP Link (Omada SDN) beschäftigt?

Zitat von bic

Da sieht man dann mal. dass die hohen Bandbreiten z.Z. noch genauso notwendig sind, wie ein Kropf

Naja im Enduserbereich definitiv. Im geschäftlichen Bereich ist sehr stark abhängig davon in welcher Branche das Unternehmen arbeitet.

Aber die fehlende Implementierung in Switchen rührt einfach daher dass man im geschäftlichen bei allem was über die 1 GB Ports geht direkt halt auf Glasfaser setzt und man muss auch dazu sagen dass es erst seit 1-2 Jahren mittlerweile Standard wird das auf den Mainboards 2,5 GB Karten verbaut werden.

Ich glaube aber auch dass sich mehr als 2,5 GB über Kupfer niemals durchsetzen werden weil es keinen Sinn macht z.b. 10 GB Verbindungen über Kupfer zu realisieren.

Zitat von KJL

Ich glaube aber auch dass sich mehr als 2,5 GB über Kupfer niemals durchsetzen werden weil es keinen Sinn macht z.b. 10 GB Verbindungen über Kupfer zu realisieren.

Das sind meist Speziallfälle - ich kenne noch aus einem früheren Job Switch die ge-stacked wurden und nach aussen dann wie ein Switch wirkten. Die Verbindung zwischen den Switchen war eine doppelte 40 GBit-Ringleitung über Kupfer, allerdings Spezialkabel, kein CATx und auch nur über kurze Weg von wenigen Metern ( max 15m ) . Dafür waren die Kabel aber auch böse teuer.

CAT6a ist für 10GBit bis zu 55m freigegeben, CAT7a für 10GBit bis zu 100m Länge -setzt voraus, das dann aber alle Komponenten CAT6a bzw. CAT7a sind, alos Stecker, Kabel, Patchfelder usw.,

Dam man im Rechenztrum in der Regel längere Strecken hat oder aufgrund von Potentialdiffrenzen eher galvanische Trennung machen muss, kommt hier in der Regel LWL zum Einsatz.

Aber auch auf kurzen Strecken z.b. innerhalb eines Schrankes wird vile Kupfer für 10GBit genutzt., man spart dann SPF+ Module und LWL-Kabel, die nur zusätzliche Fehlerquellen bringen.

CAT8.x ist sogar für 25, 40 und 100GBit zertifiziert, wobei CAT8.2. aber wieder andere Steckertypen hat, wie CAT7a - das sind aber Sachen, die für den Heimanwender vollkommende Geldverschwendugn ist.

Zitat von Tuxtom007

Aber auch auf kurzen Strecken z.b. innerhalb eines Schrankes wird vile Kupfer für 10GBit genutzt., man spart dann SPF+ Module und LWL-Kabel, die nur zusätzliche Fehlerquellen bringen.

Okay hätte ich so nicht erwartet. Sind da dann spezielle Switche im Einsatz?

Weil die Module für RJ45 10GBit werden ja schweineheiß und sind vom Stromverbrauch her ja auch richtige Fresser. Bin deswegen davon ausgegangen dass auch im Schrank sowas eher selten zu finden ist.

Zitat von KJL

Okay hätte ich so nicht erwartet. Sind da dann spezielle Switche im Einsatz?

Ich weiss, das bei uns im RZ die noch im Einsatz sind, sowohl Switch mit 10GBase-T Interface als auch mit entsprechenden SFP+ Module, die dann auf Kupfer umsetzen.

Da wir Enterprise-Switche von HP und Cisco nutzen, wird es die geben.

Der Stromverbrauch ist da sicher eine Sache aber nicht zentrales Thema, da könnte man an vielen Stellen sparen - was auch gemwacht wird.

Da aber die geforderten Bandbreite immer höher werden, komme in unsere neues RZ nur noch 25, 40 und 100GBit Verbindungen zum Einsatz und dann über LWL.

10GBit ist dann noch für Anbindung von Server interessant und die sind LWL

Zitat von Blebbens

Meine Meinung kann sich ändern, bin jung genug… lasse mich mit guten Argumenten überzeugen. Wäre ja schräg, wenn ich anfangs einer Beratung schon eine feste Meinung hätte. Ist das bei Dir anders? Und welche neue Hardware ist günstiger?

Mein Tipp für dich wäre erstmal ein paar Videos zu schauen wie die opnsense funktioniert und ob das ein Themenbereich ist in den du dich einarbeiten möchtest und ob es überhaupt für deine Anforderungen erforderlich ist.

Danach dann halt Gedanken darüber machen was du damit alles abbilden kannst/willst und auf Grundlage dieser Entscheidung dann die Kaufoptionen vergleichen.

Im Grunde kann die Protectil auch mit z.b. Proxmox befüttert werden und dann lässt du die Opnsense als virtuelle Maschine darauf laufen und kannst auch ganz entspannt noch nebenbei nen paar Container laufen lassen für Pi-hole etc.

Dir muss in dem Moment nur bewusst sein wenn die Kiste mal die Grätsche macht ist halt direkt alles Weg, selbst wenn du eine Sicherung hast wirst du dir in aller Regel keine zweite Protectil holen um für den Fall der Fälle Ersatz zu haben.

Möglich wäre auch die Protectil nur mit der Opnsense zu betreiben und zusätzlich nen Raspberry Pi holen auf dem dann Pi-hole und der Onmada Controller laufen können, bei dieser Variante wärst du auch unabhängig davon ob du jetzt ne opnsense oder Router direkt aus dem Onmada System holst.

Zitat von Blebbens

Denke, es macht mittlerweile Sinn, anstatt des ER605-Routers eine low-energy-Hardware für OPNsense zu kaufen. Wäre eben wichtig, dass es keine Stromschleuder wird. Dabei dachte ich an Protectli, was aber mit EUR 400 aufwärts nur für die Routerfunktion im Homeoffice recht teuer ist.

Alterantive zu Protectli: NRG-Systems

Mein OPNSense-System ( IPU882 ) ist von denen, allerdings ist der Core-i5 deutlich überdimensioniert dafür, da reicht ein Core-i3 oder Celeron locker für aus.

OMADA-Preise: muss du suchen, bei dem Chaos, das gerade auf dem Elektronikmärkte herscht, sind Preise von heute morgen schon Geschichte.

OPNSense und andere Software drauf laufen lassen:

Direkt auf der OPNSense andere Software zu installieren, geht nur eingeschränkt, PiHole und OMADA-Controller kannst direkt vergessen, AdGuard und Unifi-Controller geht ( mache ich bei mir ).

Das geht aber auch nur, weil es dafür extra kompilierte Pakete gibt, die aus der Community kommen und über eine extra Repository eingebunden werden müssen - ist aber kein Hexenwerk.

Der Unifi-Controller ist aber auch eine 6er Version und da wird es auch so schnell kein Update für geben. Mich juckt es nicht, weil der nicht die VLAN, WLAN und Switchprofile auf die Switche und AP's verteilt. AdGuard kann man direkt aus der WebGUI updaten, da geht einfach und schnell.

Der einige Weg bleibt dann nur über z.b. Proxmox das zu bauen und OPNSense als virtuelle Instanz darauf laufen zu lassen. Dann solltest du dich aber mit Proxmox auskennen.

Zitat von bic

Doch nicht ernsthaft? Eine Netztrennung an der Kante ist damit nicht möglich, man holt sich den ganzen Dreck ins eigene Netz. Denn bevor der Traffic die FW erst einmal erreicht, muss er erst einmal durch den Hypervisor und der ist offen, wie ein Scheunentor

Du weißt schon dass man den Traffic gezielt erstmal an die Opnsense durchreichen kann und erst von dort aus in den Rest des Netzes?

Firewalls zu virtualisieren ist kein Hexenwerk und hat je nach Szenario seine Daseinsberechtigung.

Zitat von bic

Für mich gehört eine FW an die Netzwerkkante,

Bin ich voll bei dir.

Es besteht die Möglichkeit, aber wie ich schon geschrieben haben, das setzt Proxmox-Wissen voraus und ich würde es nur im Notfall machen und auch nur wenn man der Firewall darauf dedizierte Netzwerkports geben kann, die für nichts anderes benutzt werden.

Zitat von bic

Wenn man genügend davon hat, dürfte das wohl das geringste der Probleme sein. Allerdings kenne ich kein Verfahren, welches einer VM direkten, physikalischen Zugriff auf einen Netzwerkadapter gestattet, daher quasi am HV vorbei (Frage: gibt es so etwas?). Dies wäre aber erforderlich um zumindest das LAN sauber abtrennen zu können, auch wenn dann der HV immer noch auf der dreckigen Seite sitzt - aber immerhin schon mal besser als gar nichts. Allerdings könnte man dann auch gleich die FW ohne Umwege über den HV direkt auf dem Blech installieren

Richtig, der HV wird immer im Spiel sein, du kann nur der VM die Netzwerkkarten zuweisen - aber das ist keine saubere Trennung. Eigene Blech ist für ne Firewall am besten, da macht es auch keine Probleme.

Ich würde die OPNSense auch immer wie so installieren, wie ich es habe auf einen eigenen MiniPC. mit mind. 4 LAN-Ports. ( WAN, LAN, DMZ, Management/lokaler Notfallzugang )