OPNSense Hardware mit SFP

wenn du doch auf IPS was suchst habe noch ein komplettes

System abzugeben. Bei mir liegt das Ding nur rum.

einfach anschreiben..

Da ist noch eine zusätzliche eine 1 TB Sata Festplatte drin.

NRG Systems IPU641 System

Wenn du selber „basteln“ willst, es gibt ein paar Xeon Boards mit 2x SFP+ on Board (Supermicro). Auch als μATX (Sockel 3647).

Vielleicht findest Du HIER (Thomas-Krenn) was.

Ich habe einen HP Thinclient T730 mit PfSense Plus 22.5 laufen

Mit einer 2 Port 10 GBit Karte Diese macht auch 1, 2.5 GBit und 5 GBit

1 Port zum WAN FritzBox 2,5 GBit

1 Port LAN mit aufgesetzten VLAN mit 10 GBit

reicht vollkommen aus

Zitat von hYtas

Da IPS laufen soll -> guter Singlecore anstatt xx Kerne.

Dachte an i7

Ein i7 als Singlecore? Die Dinger haben zwar Performance- und Effizienz-Kerne und einen "Thread Director", welcher die Kerne je nach Anwendung zuweißt, dies aber nur bei bestimmten Prozessoren der i7/i9 Serie und mit Windows - das überdenke bitte noch einmal (meine alten Sophos SG 135 machen z.B. 1500 Mbits/s IPS und das mit C2558 Rangeley-Atoms ).

Zitat von hYtas

„Zukunftssicher“

Wieso reichen Dir in diesem Zusammenhang nicht 8 x 1 Gbit/s aus und brauchst Du unbedingt SFP+ ? Mehr als Dein Internet liefert, kannst Du ohnehin nicht verarbeiten und das wird im Consumerbereich noch lange, lange Zeit nicht mehr als 1 Gbit/s sein. Bis sich das dann irgendwann mal ändert, sind auch passende und erschwingliche Geräte auf dem Markt.

Ich sag zwar immer "jedem Tierchen sein Pläsierchen", aber man (Mann) kann es auch übertreiben. Natürlcih sieht das Ganze völlig anders aus, wenn Du z.B. über einen 1&1 Glasfaser Premium mit 10.000 Mbit/s für schlappe 2.500,-- € im Monat (neben 1.500,-- Anschlußkosten für 36 Monate) verfügst, an welchem dann so ca. 300 bis 500 ständig im Internet surfende Personen hängen, das glaube ich dann aber doch nicht

An sonst halte ich es für durchaus spannender, eine Maximum an möglicher, bzw. überhaupt erforderlicher Leistung mit einem Minimum an Hardware zu realisieren, statt immer mit der großen Keule draufzuhauen. So habe ich in letzter Zeit eher ab- als aufgerüstet und keiner meiner Server (und das sind mehr als eine handvoll) hat noch eine TDP über 35W (eher noch weniger, bis hinunter von 6W) ohne das ich irgendwelche Kompromisse bzgl. der Leistung eines Dienstes eingehen musste - man muss halt nur schauen, was braucht man wirklich für was

Zitat von bic

und das wird im Consumerbereich noch lange, lange Zeit nicht mehr als 1 Gbit/s sein.

In der Schweiz bekommst du schon länger 10gbit für consumer um grob 60 Euro (hat n Freund von mir)

Zitat von anton

In der Schweiz bekommst du schon länger 10gbit für consumer um grob 60 Euro (hat n Freund von mir)

Tja, hier ist aber nun leider nicht die Schweiz Und wenn Du Dir die Ausbaupläne und -prognosen der großen Provider in Schland anschaust (habe ich wg. aktueller Sorgen gerade gemacht), kann man sich wg. SFP+ in einer OPNsense ganz enstpannt zurücklehnen

Ja, ich wohn leider auch nicht da. Nur AT. Hab aber auch nur ne 500er Leitung. Gbit wollt ich aktuell nicht, müsste ja die UDR dann tauschen. (Haben könnte ich)

Zitat von bic

Wieso reichen Dir in diesem Zusammenhang nicht 8 x 1 Gbit/s aus und brauchst Du unbedingt SFP+ ? Mehr als Dein Internet liefert, kannst Du ohnehin nicht verarbeiten und das wird im Consumerbereich noch lange, lange Zeit nicht mehr als 1 Gbit/s sein. Bis sich das dann irgendwann mal ändert, sind auch passende und erschwingliche Geräte auf dem Markt.

Hatte ich auch sofort im Kopf, wollte aber nichts sagen.

Wenn es nur um die Zukunftssicherheit geht, würde ich persönlich im Augenblick darauf verzichten. Der Preisunterschied wäre es MIR nicht wert. Die APUs / IPUs bekommt man ab 200€, (neue) SFP Hardware fängt häufig erst vierstellig an. Würde dann einfach noch 2-3 Jahre warten und dann wechseln, wenn es wirklich benötigt wird.

Was mich bei den IPUs eher stört ist die Intel i211, da diese weniger performant/stabil sein soll als die i210 / i350.

Weiterhin nutze ich für jedes Netz/VLAN lieber ein physisches Interface und bin kein Fan von allen VLANs über ein Interface.

Du könntest auch auf dem Gebrauchtmarkt gucken. Da werden hochwertige Server, die bei Firmen nach 3-5 Jahren abgeschrieben sind, für ein paar Euro verkauft. Dann eine gebrauchte SFP Karte einbauen und man ist mit 300-500€ fertig.

Zitat von hYtas

Ok da habt ihr wohl recht, dann schaue ich nach etwas ohne SFP.

Ich verbinde die Switche aktuell per SFP, ginge aber wohl auch ohne.

usr-adm kannst du etwas empfehlen?

Etwas stromsparend sollte die Kiste auch sein. Die IPU Kisten sind an sich nicht verkehrt, selbstbau wäre auch kein Problem.

Alles anzeigen

Dann würde ich einen IPU nehmen. Da hast Du alles aus einer Hand und (relativ) geringen Stromverbrauch.

Es kommt auf Deine Anforderungen an, z.B. Anzahl der Clients, Internetgeschwindigkeit (PPPoE) und welche Funktionen Du nutzen möchtest.

Wenn Du einfach nur eine Firewall benötigst, reicht ein "kleineres" Modell. Wenn Du IDS/IPS (z.B. Zenarmor) nutzen möchtest benötigst Du etwas mehr Power und RAM.

Einige Geräte kann man auch mit 19" Gehäuse konfigurieren.

Zitat von hYtas

Etwas stromsparend sollte die Kiste auch sein. Die IPU Kisten sind an sich nicht verkehrt, selbstbau wäre auch kein Problem.

Auch wenn das wie ein Fimmel von mir klingt, such Die in der großen oder kleinen Bucht eine Sophos SG oder XG als 125er oder 135er in Rev. 2 (letztere sind leider schwer zu finden), die sind auch rackfähig. Darauf spielst Du dann dann Deine OPNsense oder noch besser die kostenlose Homeversion von Sophos XG, da hast Du dann bis zum Sankt-Nimmerleins-Tag eine vollwertige NG-Firewall:

Einzige Einschränkung ist der fehlende "Enhanced Plus Support" und die Beschränkung auf 4 Kerne und 6 GB Ram - das reicht aber immer noch vollkommen aus:

Ein weitere Vorteil der Sophos gegenüber den Sensen sind die deutlich aktuelleren Filter und Scanner, denn die liefert Sophos analog zu den Bezahlversionen. Ein weiterer Vorteil ist die zumindest n.m.E. einfachere Administration der Sophos und mittlerweile verfügt diese auch über einen guten Teil an Assistenten - auch für schwierigere Probleme.

Das Installieren der beiden FWs auf so einer Appliance ist nicht weiter kompliziert, die Sophos Homeversion braucht aber z.B. eine völlig leere Festplatte ohne Bootsektor und für die OPNsense muss u.a. im Bios das Handling der USB-Ports umgeschalten werden - Hilfe für beide Varianten findet sich jedoch im Netz.

PS. ich vergaß - falls Du eine neuere XG 125/135 erwischt, hat die tatsächlich auch einen SFP-Port

Zitat von hYtas

wollte aber nicht wieder von einer Firma abhängig sein.

Von irgendwem ist man doch immer abhängig. Die Chance, bzw. Gefahr, dass eine Firma die Unterstützung für ein Produkt einstellt, ist nicht größer, als das eine Opensource-Gemeinschafft zerfällt - i.d.R., weil sich diese zerstritten hat

Außerdem, was soll Dir passieren? Schlimmstenfalls stellt Sophos die Versorgung mit frischen Filtern und Scannern ein, dann sind aber weltweit abertausende und auch sehr große Linzenzzahler (Sophos bietet auch Appliancen für mehrere 10 tsd. € an) schlimmer dran als Du, die können dann nicht so einfach auf eine Sense wechseln, wie Du. Also - traue Dich

Übrigens, Du hast doch einen Proxmox am Laufen, dann hau doch die Sophos zum Testen erst einmal da drauf. Musst sie ja nicht scharf schalten, bekommst aber einen Eindruck vom look and feel. Und sei dann nicht enttäuscht, die GUI ist ziemlich träge -warum auch immer-, das gilt aber nicht für die FW selbst.

Zitat von hYtas

Dachte an i7 16GB RAM und halt zusätzlich SFP. Ryzen wäre super, da ist aber wieder die NIC frage, geht soweit ich weiß nicht mit amd.

Protectli

Ist nicht ganz preiswert, aber die Dinger halten und man kann sich die Hardware selbst zusammenstellen. Ich haben ein "normalen" 6-Port 1GB und seit einem Jahr 0 Probleme .

Ich denke, ein Blick wert, auch wenn nicht SFP.

Zitat von hYtas

Bei IPU kommen aktuell immer wieder neue Modelle in den Shop, mal schauen was da noch bei ist.

Da kommt bestimmt noch was.