DIY Firewall - Ersatz für PC Engines - Forum - Page 2

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2320

12.10.2024 - 04:22

Vielen Dank für die Vorschläge. Ich habe mich entschieden derweil die 2x ONTs vom ISP zu nutzen und einfach eine günstige 2x Port SFP opnsense FW zu kaufen. Werde mich dann nächstes Jahr nach einer alternative mit umsehen. Es ist für mich und nicht für irgendeine Firma.

@Viper
Neben den von dir vorgeschlagenen scheint auch Sophos recht beliebt zu sein.
Echt schade, dass es nichts halbwegs günstiges _aktuelles_ mit 4x SFP Ports gibt.

@davebastard
Ich denke, auf Selbstbau wird es irgendwann herauslaufen.
ECC RAM will ich, aufs redundantes NT muss ich aufgrund des lärms aber verzichten

. Zur Not ist es schnell getauscht.

@COLOSSUS
Das Setup wird/ist komplett Overkill und ich werde das ganze bis auf bursts nie auslasten. Aber meinst du wirklich, dass es bei heutigen CPUs noch ein Problem darstellt? Oder gehts um Latenzen? Was ich so gesehen habe, unterstützen die meisten Karten auch gewisse offload tasks wie TSO, RSS und GRO. Ich habe allerdings keine Erfahrung damit und es würde mich interessieren, wenn du da mehr Insights hast.
Leider ist L3 absolut erforderlich, über SFP würde ich dann Switches dran hängen.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4429

12.10.2024 - 07:17

oder virtualisieren wenn sowieso was anderes läuft.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49998

12.10.2024 - 08:40

10G Traffic Routing ohne Hardware Offloading geht sich mit einem J4105 nicht aus. Da capped recht eindeutig die CPU.

Jetzt sind die E-Cores flotter geworden aber meines Erachtens nicht ausreichend. Damit musst du entweder auf dafür ausgelegte Netzwerkhardware (teuer) oder was Stromhungriges mit P-Cores ausweichen (nicht Massentauglich, Latenz bzw Jitter Probleme)

Ein Intel C3758R kann mit QAT nicht ganz 2x10G stemmen
Den gibt's von Qotom in einer 1HE Bauform

Aktuell würde man sowas mit Xeon D (Ice lake) aufbauen.
Da ist zB Netgate beliebt.
Sophos hatten wir in der letzten Firma und war nur mäßig angetan, könnte aber für deinen Usecase das richtige sein

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12073

12.10.2024 - 09:22

Zitat aus einem Post von Rogaahl
@COLOSSUS
Das Setup wird/ist komplett Overkill und ich werde das ganze bis auf bursts nie auslasten. Aber meinst du wirklich, dass es bei heutigen CPUs noch ein Problem darstellt? Oder gehts um Latenzen? Was ich so gesehen habe, unterstützen die meisten Karten auch gewisse offload tasks wie TSO, RSS und GRO. Ich habe allerdings keine Erfahrung damit und es würde mich interessieren, wenn du da mehr Insights hast.
Leider ist L3 absolut erforderlich, über SFP würde ich dann Switches dran hängen.

Bei den von mir gemeinten Offloading-Mechanismen geht es darum, die Frames (bzw. bei L3 halt Datagramme) aus dem Datapath nicht in den Hauptspeicher und von dort in die CPU des Hosts bringen zu muessen. Solche, die deiner 4-Port-NIC (oder dein "Smart" Switch mit 48 Ports) direkt erlauben, z. B. gewisse VLAN-(Routing-)Entscheidungen von sich aus zu treffen: "Wenn ein untagged Frame an Port 3 ankommt, dann kriegt das einen Tag mit VLAN ID 1337", oder "Port 7 ist Trunk Port fuer VLAN IDs 69, 420 und 1337" - dann wird das Frame entsprechend dieser Policies durch einen ASIC behandelt/veraendert/weitergeschupft, ohne dass die Host-CPU jemals eine Kopie der Daten des Frames gesehen hat. Daher kommt die hohe Geschwindigkeit von Switches, und deswegen kommt diese Hardware (die heute oft einfach ein x86 GNU/Linux PC fuer die Control Plane mit angeflanschtem programmierbarem Switch ist) mit vglw. wenig Strom und CPU-Leistung aus. In manchen Geraeten kann man auch komplexere Logik als das oben skizzierte Layer2-Zeug auf den "Switch"(/Router)-ASIC offloaden, mit entsprechenden Vor- und Nachteilen. Ein Nachteil ist z. B. dass du auf einer Linux-Box einen derart "rein in Hardware" abgewickelten Frame-Fluss nicht mehr mit den von netfilter angebotenen Funktionen beharken kannst, und auch sowas wie Traffic-Accounting/Statistiken auf dem Interface verlieren kannst.

Ich hab kuerzlich eine L2-transparente 10Gbps+ Wireguard-Appliance gebaut (und dem Steuerzahler damit sechsstellig Euro sparen geholfen :ghug:

), und war ueberrascht davon, wie viel CPU-Performance bei diesen Paket- und damit Interrupt-Raten notwendig ist, wenn man die L2-Frames nicht einfach nur von Interface A nach Interface B bridgt. Wenn man es sich genauer ueberlegt, was alles zu tun ist, ist das aber irgendwo auch nur logisch

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49998

12.10.2024 - 09:27

@colo wie immer super geschrieben.
Hast du ein paar Details zu der Hardware und deinem Setup?

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12202

12.10.2024 - 13:27

um dem thread noch etwas ~~sinnvolles~~ zum Thema hinzuzufügen, welche barebones im bereich 150€ sind aktuell empfehlenswert? hab über reddit den hier gefunden:
https://de.aliexpress.com/item/1005004822965821.html
oder der?
https://de.aliexpress.com/item/1005005593329224.html

ist der n100 was Effizienz/Stromverbrauch betrifft grad King oder besser einen anderen nehmen?
würde nur um die normalen opnsense Sachn gehen wie wireguard,pihole,traffic shapping, vielleicht reverse proxy, AV

Bearbeitet von davebastard am 12.10.2024, 13:44

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49998

12.10.2024 - 14:37

Topton sind solide, N100 mit DDR5 RAM sind relativ effizient und etabliert.
NIC haben die meisten auch die Intel i226 mit 2,5G verbaut.
Das sollte sich mit 4-5 Ports gut ausgehen die auszulassen.

Würde den N100 vom ersten link nehmen

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12202

12.10.2024 - 16:36

ok, na ist eh ned wirklich aktuell bei mir nur weil ich letztens mal mit jemand gesprochen hatte und aktuell keine konkrete empfehlung geben konnte bzw. generell was router betrifft (auch openwrt). passt dann merk ich mir einfach topton n100.

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2320

12.10.2024 - 16:45

Auf Aliexpress findet man wieder einmal die Schmuckstücke.

14gen Support mit 4 SFP ports..
https://de.aliexpress.com/item/1005006889699508.html

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12202

12.10.2024 - 16:50

willst daheim wirklich eine desktop cpu 24/7 rennen haben nur für die FW?

Außerdem gibts dazu irgendwelche Erfahrungswerte?... manchmal haben die china boards seltsame Einschränkungen was das BIOS betrifft usw. usf.

edit: der Lüfter schaut mir außerdem nach einem Blower aus, wolltest du ned was leises?

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2320

12.10.2024 - 17:04

Die Intel CPUs sind im Idle (bzw. simplen Tasks) extrem effizient, da bewegt man sich zwischen <5 und 10W.

Nachdem ich eine Stromspar CPU und hoffentlich im BIOS noch effizient eingestellt verwenden würde, muss der Lüfter nicht so viel Wärme ableiten, zudem man ihn tauschen kann.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12202

12.10.2024 - 17:09

k das wusste ich ned mit den 5 und 10w das kommt mir arg wenig vor. Vor allem bei einem i9?

Lüfter tauschen ja schon, aber bei 1HE auch ned einfach was gscheites zu finden... ich bezweifle dass es bei einem blower mit runterregeln getan ist die funtkionieren ja mit statischem Druck der durch die hohe geschwindigkeit aufgebaut wird, im gegensatz zu axialen die vom luftdurchsatz leben

hast du irgendwelche reviews dazu gelesen oder kaufst du die Katze im Sack? tbh ich würd bei 800€ über aliexpress generell mal länger überlegen

edit: soll nicht zu negativ klingen, wenn alles aufgeht durchaus eine interessante Sache wie das performt usw.

Bearbeitet von davebastard am 12.10.2024, 17:14

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49998

12.10.2024 - 18:38

Unter 20W idleness würde mich extrem wundern.
Sogar 50W wenn das Netzwerk aktiv ist und mit minimaler Last würde ich bei sowas für einen guten Wert halten.

Was hast du damit vor? Dank vlan tu ich mir schwer einen echten Vorteil von soviel Ports zusehen anstelle von einer kleineren Firewall und einem L2 switch

Rogaahl

Super Moderator
interrupt

Registered: Feb 2014
Location: K
Posts: 2320

17.10.2024 - 20:08

Zitat aus einem Post von Viper780
Unter 20W idleness würde mich extrem wundern.
Sogar 50W wenn das Netzwerk aktiv ist und mit minimaler Last würde ich bei sowas für einen guten Wert halten.

Was hast du damit vor? Dank vlan tu ich mir schwer einen echten Vorteil von soviel Ports zusehen anstelle von einer kleineren Firewall und einem L2 switch

Ich meinte rein die CPU. Ich mache einfach komplett getrennte Netzwerke, wo ich strikte regelt, definiere, wer über was wohin darf.

Zitat aus einem Post von davebastard
hast du irgendwelche reviews dazu gelesen oder kaufst du die Katze im Sack? tbh ich würd bei 800€ über aliexpress generell mal länger überlegen

Ein bisschen habe ich inzwischen gelesen, viel findet man aber leider nicht. No risk no fun.

Habe ein Angebot für einen 8x 2,5 Ethernet und 8!x SFP+ gefunden um 324€ incl. Versand. Weniger als bei uns die meisten n100/305 kosten.. bzgl. ECC habe ich leider nichts gefunden.

https://www.alibaba.com/product-det...1220865801.html

Werde ich einmal bestellen.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12202

17.10.2024 - 23:01

bin gespannt was du dann berichtest

Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2320	12.10.2024 - 04:22 Vielen Dank für die Vorschläge. Ich habe mich entschieden derweil die 2x ONTs vom ISP zu nutzen und einfach eine günstige 2x Port SFP opnsense FW zu kaufen. Werde mich dann nächstes Jahr nach einer alternative mit umsehen. Es ist für mich und nicht für irgendeine Firma. @Viper Neben den von dir vorgeschlagenen scheint auch Sophos recht beliebt zu sein. Echt schade, dass es nichts halbwegs günstiges _aktuelles_ mit 4x SFP Ports gibt. @davebastard Ich denke, auf Selbstbau wird es irgendwann herauslaufen. ECC RAM will ich, aufs redundantes NT muss ich aufgrund des lärms aber verzichten . Zur Not ist es schnell getauscht. @COLOSSUS Das Setup wird/ist komplett Overkill und ich werde das ganze bis auf bursts nie auslasten. Aber meinst du wirklich, dass es bei heutigen CPUs noch ein Problem darstellt? Oder gehts um Latenzen? Was ich so gesehen habe, unterstützen die meisten Karten auch gewisse offload tasks wie TSO, RSS und GRO. Ich habe allerdings keine Erfahrung damit und es würde mich interessieren, wenn du da mehr Insights hast. Leider ist L3 absolut erforderlich, über SFP würde ich dann Switches dran hängen.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4429	12.10.2024 - 07:17 oder virtualisieren wenn sowieso was anderes läuft.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49998	12.10.2024 - 08:40 10G Traffic Routing ohne Hardware Offloading geht sich mit einem J4105 nicht aus. Da capped recht eindeutig die CPU. Jetzt sind die E-Cores flotter geworden aber meines Erachtens nicht ausreichend. Damit musst du entweder auf dafür ausgelegte Netzwerkhardware (teuer) oder was Stromhungriges mit P-Cores ausweichen (nicht Massentauglich, Latenz bzw Jitter Probleme) Ein Intel C3758R kann mit QAT nicht ganz 2x10G stemmen Den gibt's von Qotom in einer 1HE Bauform Aktuell würde man sowas mit Xeon D (Ice lake) aufbauen. Da ist zB Netgate beliebt. Sophos hatten wir in der letzten Firma und war nur mäßig angetan, könnte aber für deinen Usecase das richtige sein
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12073	12.10.2024 - 09:22 Zitat aus einem Post von Rogaahl @COLOSSUS Das Setup wird/ist komplett Overkill und ich werde das ganze bis auf bursts nie auslasten. Aber meinst du wirklich, dass es bei heutigen CPUs noch ein Problem darstellt? Oder gehts um Latenzen? Was ich so gesehen habe, unterstützen die meisten Karten auch gewisse offload tasks wie TSO, RSS und GRO. Ich habe allerdings keine Erfahrung damit und es würde mich interessieren, wenn du da mehr Insights hast. Leider ist L3 absolut erforderlich, über SFP würde ich dann Switches dran hängen. Bei den von mir gemeinten Offloading-Mechanismen geht es darum, die Frames (bzw. bei L3 halt Datagramme) aus dem Datapath nicht in den Hauptspeicher und von dort in die CPU des Hosts bringen zu muessen. Solche, die deiner 4-Port-NIC (oder dein "Smart" Switch mit 48 Ports) direkt erlauben, z. B. gewisse VLAN-(Routing-)Entscheidungen von sich aus zu treffen: "Wenn ein untagged Frame an Port 3 ankommt, dann kriegt das einen Tag mit VLAN ID 1337", oder "Port 7 ist Trunk Port fuer VLAN IDs 69, 420 und 1337" - dann wird das Frame entsprechend dieser Policies durch einen ASIC behandelt/veraendert/weitergeschupft, ohne dass die Host-CPU jemals eine Kopie der Daten des Frames gesehen hat. Daher kommt die hohe Geschwindigkeit von Switches, und deswegen kommt diese Hardware (die heute oft einfach ein x86 GNU/Linux PC fuer die Control Plane mit angeflanschtem programmierbarem Switch ist) mit vglw. wenig Strom und CPU-Leistung aus. In manchen Geraeten kann man auch komplexere Logik als das oben skizzierte Layer2-Zeug auf den "Switch"(/Router)-ASIC offloaden, mit entsprechenden Vor- und Nachteilen. Ein Nachteil ist z. B. dass du auf einer Linux-Box einen derart "rein in Hardware" abgewickelten Frame-Fluss nicht mehr mit den von netfilter angebotenen Funktionen beharken kannst, und auch sowas wie Traffic-Accounting/Statistiken auf dem Interface verlieren kannst. Ich hab kuerzlich eine L2-transparente 10Gbps+ Wireguard-Appliance gebaut (und dem Steuerzahler damit sechsstellig Euro sparen geholfen ), und war ueberrascht davon, wie viel CPU-Performance bei diesen Paket- und damit Interrupt-Raten notwendig ist, wenn man die L2-Frames nicht einfach nur von Interface A nach Interface B bridgt. Wenn man es sich genauer ueberlegt, was alles zu tun ist, ist das aber irgendwo auch nur logisch
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49998	12.10.2024 - 09:27 @colo wie immer super geschrieben. Hast du ein paar Details zu der Hardware und deinem Setup?
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12202	12.10.2024 - 13:27 um dem thread noch etwas ~~sinnvolles~~ zum Thema hinzuzufügen, welche barebones im bereich 150€ sind aktuell empfehlenswert? hab über reddit den hier gefunden: https://de.aliexpress.com/item/1005004822965821.html oder der? https://de.aliexpress.com/item/1005005593329224.html ist der n100 was Effizienz/Stromverbrauch betrifft grad King oder besser einen anderen nehmen? würde nur um die normalen opnsense Sachn gehen wie wireguard,pihole,traffic shapping, vielleicht reverse proxy, AV Bearbeitet von davebastard am 12.10.2024, 13:44
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49998	12.10.2024 - 14:37 Topton sind solide, N100 mit DDR5 RAM sind relativ effizient und etabliert. NIC haben die meisten auch die Intel i226 mit 2,5G verbaut. Das sollte sich mit 4-5 Ports gut ausgehen die auszulassen. Würde den N100 vom ersten link nehmen
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12202	12.10.2024 - 16:36 ok, na ist eh ned wirklich aktuell bei mir nur weil ich letztens mal mit jemand gesprochen hatte und aktuell keine konkrete empfehlung geben konnte bzw. generell was router betrifft (auch openwrt). passt dann merk ich mir einfach topton n100.
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2320	12.10.2024 - 16:45 Auf Aliexpress findet man wieder einmal die Schmuckstücke. 14gen Support mit 4 SFP ports.. https://de.aliexpress.com/item/1005006889699508.html
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12202	12.10.2024 - 16:50 willst daheim wirklich eine desktop cpu 24/7 rennen haben nur für die FW? Außerdem gibts dazu irgendwelche Erfahrungswerte?... manchmal haben die china boards seltsame Einschränkungen was das BIOS betrifft usw. usf. edit: der Lüfter schaut mir außerdem nach einem Blower aus, wolltest du ned was leises?
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2320	12.10.2024 - 17:04 Die Intel CPUs sind im Idle (bzw. simplen Tasks) extrem effizient, da bewegt man sich zwischen <5 und 10W. Nachdem ich eine Stromspar CPU und hoffentlich im BIOS noch effizient eingestellt verwenden würde, muss der Lüfter nicht so viel Wärme ableiten, zudem man ihn tauschen kann.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12202	12.10.2024 - 17:09 k das wusste ich ned mit den 5 und 10w das kommt mir arg wenig vor. Vor allem bei einem i9? Lüfter tauschen ja schon, aber bei 1HE auch ned einfach was gscheites zu finden... ich bezweifle dass es bei einem blower mit runterregeln getan ist die funtkionieren ja mit statischem Druck der durch die hohe geschwindigkeit aufgebaut wird, im gegensatz zu axialen die vom luftdurchsatz leben hast du irgendwelche reviews dazu gelesen oder kaufst du die Katze im Sack? tbh ich würd bei 800€ über aliexpress generell mal länger überlegen edit: soll nicht zu negativ klingen, wenn alles aufgeht durchaus eine interessante Sache wie das performt usw. Bearbeitet von davebastard am 12.10.2024, 17:14
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49998	12.10.2024 - 18:38 Unter 20W idleness würde mich extrem wundern. Sogar 50W wenn das Netzwerk aktiv ist und mit minimaler Last würde ich bei sowas für einen guten Wert halten. Was hast du damit vor? Dank vlan tu ich mir schwer einen echten Vorteil von soviel Ports zusehen anstelle von einer kleineren Firewall und einem L2 switch
Rogaahl Super Moderator interrupt Registered: Feb 2014 Location: K Posts: 2320	17.10.2024 - 20:08 Zitat aus einem Post von Viper780 Unter 20W idleness würde mich extrem wundern. Sogar 50W wenn das Netzwerk aktiv ist und mit minimaler Last würde ich bei sowas für einen guten Wert halten. Was hast du damit vor? Dank vlan tu ich mir schwer einen echten Vorteil von soviel Ports zusehen anstelle von einer kleineren Firewall und einem L2 switch Ich meinte rein die CPU. Ich mache einfach komplett getrennte Netzwerke, wo ich strikte regelt, definiere, wer über was wohin darf. Zitat aus einem Post von davebastard hast du irgendwelche reviews dazu gelesen oder kaufst du die Katze im Sack? tbh ich würd bei 800€ über aliexpress generell mal länger überlegen Ein bisschen habe ich inzwischen gelesen, viel findet man aber leider nicht. No risk no fun. Habe ein Angebot für einen 8x 2,5 Ethernet und 8!x SFP+ gefunden um 324€ incl. Versand. Weniger als bei uns die meisten n100/305 kosten.. bzgl. ECC habe ich leider nichts gefunden. https://www.alibaba.com/product-det...1220865801.html Werde ich einmal bestellen.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12202	17.10.2024 - 23:01 bin gespannt was du dann berichtest

DIY Firewall - Ersatz für PC Engines

Forum Index > Hardware > Systeme > DIY/SoC

Rogaahl

erlgrey

Viper780

COLOSSUS

Viper780

davebastard

Viper780

davebastard

Rogaahl

davebastard

Rogaahl

davebastard

Viper780

Rogaahl

davebastard