Forum: Markt [S] Board für opnSense / Router

Das wäre meine Empfehlung:
https://www.golem.de/news/openwrt-one-open-source-router-fuer-100-euro-erhaeltlich-2410-189565.html

Danke Harry für den Link und das Board - sowas habe ich gesucht. Leider 
ist OpnSense nur für x86-64 Boards, der Cortex-A53 ist leider ArmV8. 
Damit scheidet ja leider auch jeder weitere Cortex SoC (auch der ein 
Raspi Derivat) aus - gar nicht bedacht. :-/

Eine Günstig-Lösung wäre Thin Client mit PCIe Port für zweite 
Netzwerkkarte (oder wenn USB-Netzwerk schnell genug ist eben diese 
Krücke)

https://www.kuerbis.org/2021/03/hochverfuegbare-firewall-mit-thin-client-fujitsu-futro-s920-und-opnsense/

Aber dazu muss man dann schon bedenken dass das System dann ein paar 
Watt mehr frisst. Ich hab 5W im idle gemessen über 24h unter Debian 12 
ohne PCIe (nur interne SSD und 4GB SODIMM) mit einem 19V Netzteil von 
einem Lenovo Laptop.

Daher war meine Lösung dann auch ein ausrangierter Dell E7470, denn der 
verbraucht im 24h Durchschnitt nur 3,5W, hat quasi eine eingebaute USV, 
Monitor und Tastatur für die Einrichtung bis man remote drauf kommt, hat 
viel mehr Leistung (16GB Ram, 1TB SSD,  i5-6200) als meine bisherige 
Lösung mit Pi oder S920 und im Docker läuft ein PiHole oder eine 
OPN/PFSense auch einwandfrei. Einzig hat der nur eine Netzwerkkarte, ich 
brauch aber nicht mehr als 1Gbit und wenn ich will bilde ich 
Netzsegmentierung mit VLANs ab.

Je nachdem worauf man Wert legt ist IMHO auch der blick auf refurbished 
Laptops nicht uninteressant wegen der Energieeffizienz und weil Akku und 
Monitor/Tastatur dabei sind. Ist halt nciht so Sexy wie ein dedizierter 
Microserver... aber mir reichts...

Der Futro 920 klingt wirklich interessant - ich habe 3 Kinder, da 
spielen die 2 Watt mehr nicht wirklich eine große Rolle mehr :-D

Gbit reicht mir auch völlig zu, eine Sun LP-Quad-Port Nic habe ich noch. 
Nur der Riser macht mir gerade etwas Kopfzerbrechen. Normalerweise 
dürfte da auch ein normaler flexibler Riser gehen, die Karte kann ja 
verschraubt werden.

Die Riser werden ja teurer gehandelt als der 920 selber.

Vermutlich nicht ganz Deine Preisklasse, aber mein pcengines apu board 
bedient seit knapp 10 Jahren schon meinen 100MBit Internet-Zugang mit 
pfSense und zuletzt OPNsense. Im Zweifel auch ein Blick auf dedn 
Gebrauchtmarkt.
https://www.apu-board.de/

Mit ein wenig VLAN-Magie und so einem Switch macht man aus 1 NIC 4 NICs.

https://www.amazon.de/TP-Link-TL-SG605E-Metallgeh%C3%A4use-IGMP-Snooping-energieeffizient/dp/B0CLB31LYM/ref=sr_1_1_sspa

In unserem Hackerspace werkelt ein Nano Pi R2S als Router mit 1GB RAM, 
aber es gibt auch z.B. den R4SE mit 4GB:

http://www.friendlyelec.com/index.php?route=product/product&product_id=288

Vorinstalliert ist FriendlyWRT, ein OpenWRT-Derivat, aber man kann auch 
problemlos z.B. OpenWRT installieren.

Rene K. schrieb:
> OpnSense nur für x86-64 Boards

Man bekommt das auch auf ARM-Hardware zum Laufen. Fertige Images gibt es 
wohl dort, leider momentan nicht erreichbar:

https://personalbsd.org/?page_id=2

Nick schrieb:
> Vermutlich nicht ganz Deine Preisklasse, aber mein pcengines apu board

Wird schon eine Weile nicht mehr hergestellt, bekommt man also nur noch 
gebraucht.

Harry L. schrieb:
> Mit ein wenig VLAN-Magie und so einem Switch macht man aus 1 NIC 4 NICs

Wenn man nicht vorhat, die beiden benötigten 1Gbps-Ports auszureizen, 
ja, ansonsten baut man sich damit einen Flaschenhals.

Hmmm schrieb:
>> Mit ein wenig VLAN-Magie und so einem Switch macht man aus 1 NIC 4 NICs
>
> Wenn man nicht vorhat, die beiden benötigten 1Gbps-Ports auszureizen,
> ja, ansonsten baut man sich damit einen Flaschenhals.

Außerdem verlässt man sich darauf, dass der Switch wirklich die VLANs 
sauber voneinander trennt und ein Angreifer dass nicht doch irgendwie 
aufgeknackt bekommt und damit dann vom einen Segment ins andere 
kommunizieren kann.

Man verlässt sich also auf eine saubere Implementation auf dem Switch. 
Der Switch-IC selbst ist meist nicht so das Problem. Aber bei solchen 
Billigdingern ist die Management-Software oft sehr schwach was die 
Sicherheit angeht. Und für die Interpretation von komplexeren Paketen 
(z.B. DHCP, LLDP, IGMP,...) werden die Pakete in den meisten Fällen 
nicht vom Switch-IC, sondern vom Managementprozessor verarbeitet. Und 
genau da kann ein Angreifer ansetzen.

Wenn es also um eine Firewall und das Trennen von Netzwerksegmenten als 
Teil der Sicherheitsstrategie geht, dann würde ich schon auf separate 
Netzwerkkarten und nicht auf mit solchen Billigswitchen realisierte 
VLANs setzen.

So, und jetzt zum ursprünglichen Problem des TO:

Die genannten APU-Boards gibt es. Aber nur noch gebraucht und in 
Restbeständen, Hersteller PC-Enginges hat den Betrieb eingestellt. Und 
im Vergleich zu aktuellen x86-Boards sind die teilweise schon seehr 
langsam.

Ich würde daher eher nach etwas auf Basis eines Intel N100 schauen.

Eine Variante wäre ein "kompletter" Mini-PC:
https://de.aliexpress.com/item/1005007036843065.html
Der kommt aber nur mit einem Netzwerkport. Also ist etwas Bastelei 
nötig: m.2 SSD entfernen und durch ein m.2 M-key auf PCIe Adapter 
ersetzen und dort dann eine Netzwerkkarte reinstecken. Storage dann auf 
SATA-SSD. Erfordert natürlich etwas Gehäusebastelei.

Die andere Variante wäre ein Mini-ITX-Board das bereits einen PCIe-Slot 
für ne Netzwerkkarte vorgesehen hat. Z.B. sowas:
https://www.asrock.com/mb/Intel/N100DC-ITX/index.de.asp
Da bräuchtest Du dann natürlich noch ein passendes Gehäuse außenrum.

Als Netzwerkkarte gibt es günstige 4-Port Karten mit Realtek-Chips. Z.B. 
die hier wird unter verschiedenen Markennamen angeboten, OEM ist 
Sunweit:
http://www.sunweit.com/page8?product_id=314
Es gibt sie von Delock etwas überteuert unter der Nr. 89025. Du findest 
sie aber sicher auch irgendwo anders, z.B. über die Bildersuche. Nur so 
als Anhaltspunkt gibt es sie in China in kleinen Mengen für ca. 15 EUR.

Odroid H3 - Intel N5105 Quad-Core 2,9 GHz
2x LAN vorhanden.
Aber mit 190 Euronen über Deiner genannten Budgetgrenze.

Oder dort im Urlaub kaufen:
https://www.hardkernel.com/product-category/odroid-board/x86/

Danke für den Hinweis, dass PCEngines nicht mehr produziert.  Habe 
bislang zwar noch ein älteres Board als Fallback liegen, habe mich aber 
trotzdem mal umgesehen.
Bin dann über die hier gestolpert:
https://eu.protectli.com/product-comparison/
Hier gibt es ungefähr das gleiche in der gleichen Preisklasse und 
zahlreiche System auch mit Openboot.

Liegt zwar auch noch über dem Preisrahmen des TO, aber vielleicht hat ja 
noch jemand eine günstigere Quelle für derartige Boards?

Wie die Vorposter schon angemerkt haben, für einen Firewall sind 
dedizierte Ports Pflicht. Die meisten billig-Switches lassen sich durch 
heftige Last (Packet-Storm/Broadcast-Storm) austricksen, dann kippt die 
VLAN-Trennung und die Funktionsweise wird zum reinen Hub. Zudem teilen 
sich VLANs die physikalische Bandbreite des FW-Ports.

Nick schrieb:
> Hier gibt es ungefähr das gleiche in der gleichen Preisklasse

Leider auch mit dem gleichen Risiko, was die Langzeitverfügbarkeit 
angeht. Intel i211 ist EOL, die verwendeten CPUs teilweise auch.

Nick schrieb:
> vielleicht hat ja noch jemand eine günstigere Quelle für derartige
> Boards?

Wenn es nicht x86/amd64 sein muss, könnte Turris Mox noch interessant 
sein.

Nick schrieb:
> Die meisten billig-Switches lassen sich durch heftige Last
> (Packet-Storm/Broadcast-Storm) austricksen, dann kippt die VLAN-Trennung
> und die Funktionsweise wird zum reinen Hub.

Dass bei überlaufender Address Table kein richtiges Switching mehr 
möglich ist, ist klar, aber normale port-based VLANs sollten auch dann 
noch funktionieren.

Hi,

etwas über deinem gesetzten Budget könnte aber dennoch interessant sein:
https://de.aliexpress.com/item/1005006189240963.html
RAM un NVMe würde ich woanders holen.