DIY Firewall - Ersatz für PC Engines - Forum

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15858

26.01.2024 - 23:31

Nachdem hier im Forum ja auch einige Bastler existieren will ich mal in die Runde fragen was die Leute aktuell für Hardware-Basis für ihre selbstgebauten Firewalls verwenden.

Ich bin grad am schauen/überlegen mit was ich meine alte PC Engines Kiste ersetze da ich etwas mehr Power benötigen würde.

Aktuell hab ich ein apu1d4 mit T40E APU

Ich hätt mich jetzt im ThinClient Markt etwas umgeschaut was es so gibt mit Möglichkeit zum Einbau von einer weiteren Low Profile Karte:

Fujitsu Futro S920 - GX-415GA 4x 1,5 Ghz
Fujitsu Futro S930 - GX-424CC 4x 2,4GHz
HP T620 Plus - GX420CA 4x 2,0 GHz
Dell Wyse 5070 Extended - Pentium J5005 4x 2,8GHz

Rein Leistungstechnisch (TDP als auch Benchmarkmäßig) wär halt der Pentium J5005 sicher ideal aber die Dell Wyse extended sind sehr rar und dann meist teuer über UK zu bestellen.
https://www.cpubenchmark.net/compar...91vs2121vs3144/

Hat jemand von euch sonst noch einen Geheimtipp was man sich anschauen kann bzw. was habt ihr dafür verwendet?

tia

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2543

26.01.2024 - 23:41

Bis auf das Netzteil diese hier. Die CPU ist sicher nicht optimal, aber ich wollte einen hohen Wireguard Durchsatz haben. Mit etwa 23MB/s lässt dieser aber auch zu wünschen übrig.
Etwaige Thinclients waren mir hier zu schwach auf der Brust, außerdem habe ich noch eine 10GBit NIC verbaut, wodurch ich sowieso zumindest auf ein µATX Board angewiesen war.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49998

27.01.2024 - 04:58

Warum brauchst beim Wyse den Extended?
Der "normalen" J4105 SoC ist genau so schnell und einfacher zu bekommen.

Ich hab mit einem Fujitsu Futro S740 und OPNsense ein wenig herum gespielt, aber aufgrund vom fehlenden PoE+ Switch nicht weiter verfolgt.

Der Futro S940 wäre die Alternative zum Wyse 5070 Extended

Bei Amso.eu und ramking tauchen immer mal wieder welche auf.

Preislich müssen die aber gut unter 100€ zu haben sein. Sonst ist ein N100 aus China deutlich interessanter.
ZB https://www.servethehome.com/cwwk-c...b-super-system/
Je nach Händler und Ausstattung fangen ähnliche Systeme bei 120-150€ an.

Hier haben wir etwas drüber diskutiert https://www.overclockers.at/desktop...-ersatz_260932/

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15858

27.01.2024 - 08:58

auf dich is verlass, sehr gut

@wyse: den extended hätt ich deswegen genommen bzw. in betracht gezogen weil man nur da eine pcie karte für eine zweite nic reinbekommt, das geht ja beim kleinen nicht.

der s940 is mir irgendwie entglitten beim ebay durchforsten

aber mit dem N100 hast recht, das is definitiv spannender. ich glaub ich werd da bei einem system mit zwei nics zuschlagen
vielen dank

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49998

27.01.2024 - 10:52

Du kannst im zweiten m.2 Slot (der für WiFi) auch eine 2.5G NIC verbauen.
Beim Fujitsu ist dafür etwas mehr Platz.

Generell sind die Thinclients ein interessanter Markt.
Langsam kommt auch die Nachfolge Generation mit Gemini Lake Referesh (J4125, J5040) bzw Jasper Lake / Elkhart Lake auch in den Refurbish Markt (zB Fujitsu Futro S9010 / S7010)
Obwohl die auf neuen Boards aus China billiger sind (inkl 4-8 Ethernet Ports)

Ob auf mich verlass ist kann ich nicht sagen, das ist nur meine persönliche Meinung

ZARO

Here to stay

Registered: May 2002
Location: Wien 22
Posts: 964

27.01.2024 - 11:09

Habe erst vor kurzem ein Fujitsu S740 mit PFsense aufgesetzt.
Netzwerk als tagged Trunk zu einem Managed Switch und diesen dann auf WAN1, WAN2, LAN augeteilt. Brauchst keine zusätzliche LAN Karte.
Lauft super.

Sollte man 1Gbit/s Internet Leitung haben, ist natürlich eine zweite Netzwerkkarte anzuraten.

dio

Here to stay

Registered: Nov 2002
Location: Graz
Posts: 4890

27.01.2024 - 11:10

Ist pfsense wirklich die erste Wahl? opnsense scheint nicht so beliebt zu sein?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15858

27.01.2024 - 12:18

@zaro: vlan für wan will ich vermeiden.
ich will eigentlich nur alte box gegen neue tauschen

hab jetzt mal eine LarkBox X 2023 bestellt und schau mir die mal an. für 139€ is ned viel verhaut

bin dadurch jetzt aber sogar am überlegen ob ich ned proxmox draufschmeiß und die firewall darin dann laufen lass

@dio: ich hab beides am laufen. bei opnsense tut sich um welten mehr. heißt aber auch öfter updates etc. bei der pfsense box schau ich einmal alle 6 monate. opnsense “musst“ monatlich schauen

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2543

27.01.2024 - 13:15

[x]opnsense aufgrund der aktiven Devs

Btw ein Vorteil von VLans am WAN Pirt ist, dass man den Router Clustern kann (zb eine physische Kiste, eine virtualisiert) und einem dann die Familie bei Hardwarespielereien am Router nicht im Nacken sitzt

Ich bin jedenfalls auch froh, dass ich vor 1 1/2 Jahren auf einen physikalischen Router umgestiegen bin und ich auch während umbauten auf meinem Server nach wie vor Internetzugang habe.

Bearbeitet von schizo am 27.01.2024, 13:26

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11243

27.01.2024 - 13:34

Zitat aus einem Post von dio
Ist pfsense wirklich die erste Wahl? opnsense scheint nicht so beliebt zu sein?

openwrt wäre eine weitere Option.

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2320

10.10.2024 - 01:01

Kennt irgendwer ein sinnvolles Setup mit mindestens 2x 1Gbit SFP+ und >2 10 Gbit SFP+ Ports?

Die N100 waren letztes Jahr ja sehr beliebt, N305 wäre noch ein Upgrade. Aber so weit ich sehe, gibt es da keine mit mehreren 10Gbit Ports, wahrscheinlich weil sie zu wenige PCIe lanes haben.

https://www.amazon.de/Glovary-Firew...E/dp/B0D4582GFV

So etwas mit mehren schnelleren Ports wäre nice. Oder bleibt da nur selber bauen? Wirkt extrem umständlich, weil es eine dermaßen Nische ist. Vor allem, wenn man es in ein 19" Gehäuse pflanzen will.

Sollte <1k€ kosten.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12202

10.10.2024 - 01:55

IMHO bauen die meisten die auf opensource FWs setzen und solche "small Business" Anforderungen haben selber, oder supermicro server oder sowas. Aber ich weiß nicht ob das mit 1k ned knapp wird wenn man redundantes NT haben will und vll ecc ram usw.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49998

10.10.2024 - 08:56

Du meinst sowas? https://www.willhaben.at/iad/kaufen...087-1954188342/
Hier ein Review dazu https://www.servethehome.com/the-ev...qnap-teamgroup/

Es gibt von Topton und gowin einige Systeme zh
https://www.servethehome.com/new-4x...tion-appliance/
https://www.servethehome.com/the-go...e-intel-nvidia/
https://www.servethehome.com/cwwk-c...b-super-system/

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12202

10.10.2024 - 10:26

da müsste man halt noch 19" "Flügeln" dran machen. und redundantes NT habens nicht, aber man könnte auch 2 in einem cluster nehmen, ist vielleicht eh die bessere herangehensweise

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12073

10.10.2024 - 11:30

Wenn du mit den 10Gbps-Interfaces "nur" switchen willst, musst du bedenken, dass du das in Software, also auf der Host-CPU, machen wirst. Das ist deutlich weniger effizient als in einem embedded 10Gbps Ethernet Switch, der "nur" von Linux via DSA mit der gewuenschten L2-Policy konfiguriert wird, und das dann in Eigenregie "fully offloaded" implementiert. Wenn du eh auch routen und irgendwelche anderen lustigen Sachen mit den Frames/Paketen machen willst, ist das eher egal - aber du wirst recht dick CPU brauchen, um das (alleine schon das Switchen zwischen den 10Gbps-NICs meine ich) durchzuziehen.

userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15858	26.01.2024 - 23:31 Nachdem hier im Forum ja auch einige Bastler existieren will ich mal in die Runde fragen was die Leute aktuell für Hardware-Basis für ihre selbstgebauten Firewalls verwenden. Ich bin grad am schauen/überlegen mit was ich meine alte PC Engines Kiste ersetze da ich etwas mehr Power benötigen würde. Aktuell hab ich ein apu1d4 mit T40E APU Ich hätt mich jetzt im ThinClient Markt etwas umgeschaut was es so gibt mit Möglichkeit zum Einbau von einer weiteren Low Profile Karte: Fujitsu Futro S920 - GX-415GA 4x 1,5 Ghz Fujitsu Futro S930 - GX-424CC 4x 2,4GHz HP T620 Plus - GX420CA 4x 2,0 GHz Dell Wyse 5070 Extended - Pentium J5005 4x 2,8GHz Rein Leistungstechnisch (TDP als auch Benchmarkmäßig) wär halt der Pentium J5005 sicher ideal aber die Dell Wyse extended sind sehr rar und dann meist teuer über UK zu bestellen. https://www.cpubenchmark.net/compar...91vs2121vs3144/ Hat jemand von euch sonst noch einen Geheimtipp was man sich anschauen kann bzw. was habt ihr dafür verwendet? tia
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2543	26.01.2024 - 23:41 Bis auf das Netzteil diese hier. Die CPU ist sicher nicht optimal, aber ich wollte einen hohen Wireguard Durchsatz haben. Mit etwa 23MB/s lässt dieser aber auch zu wünschen übrig. Etwaige Thinclients waren mir hier zu schwach auf der Brust, außerdem habe ich noch eine 10GBit NIC verbaut, wodurch ich sowieso zumindest auf ein µATX Board angewiesen war.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49998	27.01.2024 - 04:58 Warum brauchst beim Wyse den Extended? Der "normalen" J4105 SoC ist genau so schnell und einfacher zu bekommen. Ich hab mit einem Fujitsu Futro S740 und OPNsense ein wenig herum gespielt, aber aufgrund vom fehlenden PoE+ Switch nicht weiter verfolgt. Der Futro S940 wäre die Alternative zum Wyse 5070 Extended Bei Amso.eu und ramking tauchen immer mal wieder welche auf. Preislich müssen die aber gut unter 100€ zu haben sein. Sonst ist ein N100 aus China deutlich interessanter. ZB https://www.servethehome.com/cwwk-c...b-super-system/ Je nach Händler und Ausstattung fangen ähnliche Systeme bei 120-150€ an. Hier haben wir etwas drüber diskutiert https://www.overclockers.at/desktop...-ersatz_260932/
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15858	27.01.2024 - 08:58 auf dich is verlass, sehr gut @wyse: den extended hätt ich deswegen genommen bzw. in betracht gezogen weil man nur da eine pcie karte für eine zweite nic reinbekommt, das geht ja beim kleinen nicht. der s940 is mir irgendwie entglitten beim ebay durchforsten aber mit dem N100 hast recht, das is definitiv spannender. ich glaub ich werd da bei einem system mit zwei nics zuschlagen vielen dank
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49998	27.01.2024 - 10:52 Du kannst im zweiten m.2 Slot (der für WiFi) auch eine 2.5G NIC verbauen. Beim Fujitsu ist dafür etwas mehr Platz. Generell sind die Thinclients ein interessanter Markt. Langsam kommt auch die Nachfolge Generation mit Gemini Lake Referesh (J4125, J5040) bzw Jasper Lake / Elkhart Lake auch in den Refurbish Markt (zB Fujitsu Futro S9010 / S7010) Obwohl die auf neuen Boards aus China billiger sind (inkl 4-8 Ethernet Ports) Ob auf mich verlass ist kann ich nicht sagen, das ist nur meine persönliche Meinung
ZARO Here to stay Registered: May 2002 Location: Wien 22 Posts: 964	27.01.2024 - 11:09 Habe erst vor kurzem ein Fujitsu S740 mit PFsense aufgesetzt. Netzwerk als tagged Trunk zu einem Managed Switch und diesen dann auf WAN1, WAN2, LAN augeteilt. Brauchst keine zusätzliche LAN Karte. Lauft super. Sollte man 1Gbit/s Internet Leitung haben, ist natürlich eine zweite Netzwerkkarte anzuraten.
dio Here to stay Registered: Nov 2002 Location: Graz Posts: 4890	27.01.2024 - 11:10 Ist pfsense wirklich die erste Wahl? opnsense scheint nicht so beliebt zu sein?
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15858	27.01.2024 - 12:18 @zaro: vlan für wan will ich vermeiden. ich will eigentlich nur alte box gegen neue tauschen hab jetzt mal eine LarkBox X 2023 bestellt und schau mir die mal an. für 139€ is ned viel verhaut bin dadurch jetzt aber sogar am überlegen ob ich ned proxmox draufschmeiß und die firewall darin dann laufen lass @dio: ich hab beides am laufen. bei opnsense tut sich um welten mehr. heißt aber auch öfter updates etc. bei der pfsense box schau ich einmal alle 6 monate. opnsense “musst“ monatlich schauen
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2543	27.01.2024 - 13:15 [x]opnsense aufgrund der aktiven Devs Btw ein Vorteil von VLans am WAN Pirt ist, dass man den Router Clustern kann (zb eine physische Kiste, eine virtualisiert) und einem dann die Familie bei Hardwarespielereien am Router nicht im Nacken sitzt Ich bin jedenfalls auch froh, dass ich vor 1 1/2 Jahren auf einen physikalischen Router umgestiegen bin und ich auch während umbauten auf meinem Server nach wie vor Internetzugang habe. Bearbeitet von schizo am 27.01.2024, 13:26
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11243	27.01.2024 - 13:34 Zitat aus einem Post von dio Ist pfsense wirklich die erste Wahl? opnsense scheint nicht so beliebt zu sein? openwrt wäre eine weitere Option.
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2320	10.10.2024 - 01:01 Kennt irgendwer ein sinnvolles Setup mit mindestens 2x 1Gbit SFP+ und >2 10 Gbit SFP+ Ports? Die N100 waren letztes Jahr ja sehr beliebt, N305 wäre noch ein Upgrade. Aber so weit ich sehe, gibt es da keine mit mehreren 10Gbit Ports, wahrscheinlich weil sie zu wenige PCIe lanes haben. https://www.amazon.de/Glovary-Firew...E/dp/B0D4582GFV So etwas mit mehren schnelleren Ports wäre nice. Oder bleibt da nur selber bauen? Wirkt extrem umständlich, weil es eine dermaßen Nische ist. Vor allem, wenn man es in ein 19" Gehäuse pflanzen will. Sollte <1k€ kosten.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12202	10.10.2024 - 01:55 IMHO bauen die meisten die auf opensource FWs setzen und solche "small Business" Anforderungen haben selber, oder supermicro server oder sowas. Aber ich weiß nicht ob das mit 1k ned knapp wird wenn man redundantes NT haben will und vll ecc ram usw.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49998	10.10.2024 - 08:56 Du meinst sowas? https://www.willhaben.at/iad/kaufen...087-1954188342/ Hier ein Review dazu https://www.servethehome.com/the-ev...qnap-teamgroup/ Es gibt von Topton und gowin einige Systeme zh https://www.servethehome.com/new-4x...tion-appliance/ https://www.servethehome.com/the-go...e-intel-nvidia/ https://www.servethehome.com/cwwk-c...b-super-system/
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12202	10.10.2024 - 10:26 da müsste man halt noch 19" "Flügeln" dran machen. und redundantes NT habens nicht, aber man könnte auch 2 in einem cluster nehmen, ist vielleicht eh die bessere herangehensweise
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12073	10.10.2024 - 11:30 Wenn du mit den 10Gbps-Interfaces "nur" switchen willst, musst du bedenken, dass du das in Software, also auf der Host-CPU, machen wirst. Das ist deutlich weniger effizient als in einem embedded 10Gbps Ethernet Switch, der "nur" von Linux via DSA mit der gewuenschten L2-Policy konfiguriert wird, und das dann in Eigenregie "fully offloaded" implementiert. Wenn du eh auch routen und irgendwelche anderen lustigen Sachen mit den Frames/Paketen machen willst, ist das eher egal - aber du wirst recht dick CPU brauchen, um das (alleine schon das Switchen zwischen den 10Gbps-NICs meine ich) durchzuziehen.

DIY Firewall - Ersatz für PC Engines

Forum Index > Hardware > Systeme > DIY/SoC

userohnenamen

schizo

Viper780

userohnenamen

Viper780

ZARO

dio

userohnenamen

schizo

spunz

Rogaahl

davebastard

Viper780

davebastard

COLOSSUS