OpnSense Hardwarecongenio

* Hardwareauswahl

Um Opnsense auf einer dedizierten Appliance auszuführen, bietet sich eine x64-Universalhardware an.

Inzwischen bietet der Hersteller von OpnSense, Deciso mit der -> DEC7x0 eine leistungsfähige Alternative, die sogar 10 GBit/s unterstützt und mit nur 15 Watt wesentlich weniger Strom verbraucht - ein Review ist -> hier. Die -> HUNSN RS34g hat 2.5 GBit/s und verbraucht sogar nur ca. 10 Watt.

Mit ca. 1000€ ist die Lösung natürlich nicht billig. Es gibt eine Variante dazu: Man könnte auf einen Router wie den CCR2004 oder eine kleinere OpnSense-Box (z.B. von QOTOM oder HUNSN) ausweichen, indem man anstelle von VLANs mehrere physische Interfaces mit dem Switch verbindet. Für virtuelle Maschinen unter KVM bietet sich die -> Libvirt Firewall an, so dass der Router umgangen wird. Physische IoT-Geräte haben normalerweise ja kaum mehr als Gigabit, also reicht ein Gigabit pro logischem Netz auch aus, im Fall des CCR2004 hätte man sogar etwas mehr, wenn man ein SFP+-DAC-Kabel verwendet.

Die Nutzung eines CCR2004 als LAN-Bridge ist damit zwar auch möglich, aber sehr langsam. Anstelle einer LAN-Bridge sollte man bei Bedarf für 10-GBit-Ethernet also auf einen echten Switch wie den -> Mikrotik CRS305-1G-4S+IN oder -> Mikrotik CRS309-1G-8S+IN ausweichen, was zusätzlich die Komplexität der Konfiguration der Firewall verringert.

Seit ein paar Jahren gibt es 4-Port-Firewalls mit passiver Kühlung und einem Intel Celeron J1900, dieser ist aber recht langsam und kann 1 GBit/s kaum in voller Geschwindigkeit routen, geschweige denn höhere Firewall-Funktionen ausführen.

Zum Glück sind inzwischen Systeme auf Basis eines J4125 verfügbar, die annähernd die doppelte Performance bei gleichem Stromverbrauch aufweisen. Gute Erfahrungen haben wir z.B. mit -> diesem System gemacht. Die erste Generation verwendete noch Intel I210-Netzwerkchips, die neueren Modelle haben einen I225-V, der neben 1 GBit/s auch 2.5 GBit/s unterstützt. Das ist praktisch, wenn wie bei neueren Switches üblich, diese Geschwindigkeit bereits unterstützt wird. Auch bei Glasfaser-GPON-Anschlüssen gibt es bereits ONTs, die über 2.5 GBit/s angeschlossen werden können (theoretisch geht das im Downstream auch, nur gibt es in Deutschland bislang dafür keine Tarife).

* Topton / Changwang

Intel hat neben dem Celeron J4125, der der 10ten Generation zuzurechnen ist, auch noch den N5105 (11te Generation "Jasper Lake") und ganz neu die Systeme der 12ten Generation ("Elkheart Ridge") im Angebot. Letztere sind allerdings noch nicht breit verfügbar (Stand April 2022). Bei Aliexpress gibt es z.B. -> dieses N5105-System von Topton, welches ca. 30% schneller als ein J4125-basiertes System ist. Wir mussten leider feststellen, dass es diese Schwachpunkte hat:
  1. Das mitgelieferte Netzteil ist wenig effizient und verbraucht bereits ohne angeschlossene Last 1 Watt. Darüber hinaus ist das Kaltgeräte-Anschlusskabel nicht passgenau, es fällt aus der Steckdose! Man sollte das Kabel sofort ersetzen.
  2. Die Power Limits sind ab Werk sehr hoch eingestellt. Der Verbrauch lag im Idle-Betrieb bei ca. 9 Watt, unter Volllast bei 27 Watt, obwohl die TDP des N5105 bei 10 Watt liegt. Man sollte das PL1 und PL2 im BIOS entsprechend modifizieren. Außerdem gibt es beim Original-Hersteller Changwang ein neueres BIOS, das diesbezüglich aber nichts ändert.
  3. Das System hat Mängel im Aufbau der Kühlung, was im Zusammenspiel mit Punkt 1 ein sofortiges Erreichen der Tjmax von 105°C und Throttling bewirkt. Im Einzelnen ist es so, dass der Wärmeübergang zwischen SoC und Gehäuse behindert wird, weil:
    • Zwischen SoC und Kupferkörper ist nur ein Wärmeleitpad eingesetzt: Wärmeleitpad
    • Die ohnehin kleine Kontaktfläche des SoC wird durch das Schraubenloch noch verkleinert: Schraubenlöcher
    • Die Kontaktfläche unter dem Kupferkörper ist lackiert: Lack und Wärmeleitpaste
    • Die Schraubenlöcher unter dem Kupferkörper weisen erhabene Ränder auf, so dass der Kupferkörper den Untergrund nur punktuell berührt: Lack und Wärmeleitpaste
    Man kann diese Probleme selbst beheben, indem man die erhabenen Ränder entgratet: Entgratete Löcher und mit -> K5 Pro den Wärmeübergang von SoC auf den Kupferkörper und zum Gehäuse verbessert. Aufgebrachtes K5 Pro Nach diesen Modifikationen sank die Kerntemperatur bei uns um 20°C!
Nachtrag am 19.7.2022: Inzwischen hat uns ein zweites Topton-System mit einem Pentium Silver N6005 erreicht mit dem selben Mainboard CW-N6000. Es hatte bereits das aktuellste BIOS 2022/4/25 von Changwang. Es wurde nicht annähernd so heiß wie das erste, was darauf zurückzuführen ist, dass die Kanten des Kupferkörpers entgratet waren und anstelle eines Wärmeleitpads nun offenbar hochqualitative Wärmeleitpaste genutzt wurde. Das Gehäuse unterschied aich auch etwas, was in einer etwa besseren Positionierung der Chips führte - sie waren nicht mehr teilweise über den Schraubenlöchern. Die Schrauben waren auch länger und somit saß der Kupferkörper satter am Gehäuse. Allerdings war nur ein US-Netzteil beigelegt mit einem Euro-Adapterstecker.