Bauvorschlag: Leistungsfähige pfSense / OPNSense Firewall für unter 100€

Plant oder betreibt man ein komplexeres Netzwerk, kommt man an Funktionalitäten wie VLANs und erweiterten Regelwerken nicht vorbei. In meinem Fall möchte ich mein Netzwerk aus Sicherheitsgründen in unterschiedliche Teilbereiche trennen, damit IoT oder Smarthome Geräte nicht einfach so im selben Netzwerk sind wie alle Clients und WLAN Geräte. Ich brauche also mindestens VLAN Unterstützung, DHCP und DNS und die Möglichkeit erweitere Routing Regeln anzulegen.

Natürlich kann man sich für 300€+ eine Firewall mit schickem User-Interface hinstellen, die das alles schon bietet. Als DIY und OpenSource Mensch möchte man aber vielleicht auch lieber selbst etwas implementieren und etwas mehr über Netzwerke dabei lernen.

Geeignete Hardware

Geeignete Hardware sollte einen geringen Stromverbrauch (24/7 Betrieb), idealerweise Intel Netzwerkkarten und genügend Leistung haben.

Eine gute Wahl scheinen gebrauchte/refurbished Thinclients von Fujitsu zu sein. Denn diese haben einen PCIe Slot, und sind für ihre geringe Stromaufnahme bekannt.

Meine Entscheidung fiel auf den Fujitsu Futro S940. Alternativ ist auch der Nachfolger S9010 geeignet. Andere Modelle sind ohne dedizierten PCIe Slot und den passenden Platz für eine Karte eher bedingt geeignet, da man hier ohne Basteleien nicht einfach eine PCIe Karten einbauen kann.

Der Futro S940 hat dabei folgende Hauptmerkmale:

PCIe Slot (elektrisch x1, mechanisch offen) zur Erweiterung mit beispielsweise einer Intel Netzwerkkarte
Ausreichend schnelle aber stromsparende Vierkern CPU Intel J5005 mit nur 10W TDP
2 DDR4 SO-DIMM Slots für bis zu 16GB Ram (S940 kommt Standardmäßig meist mit einem 4GB Riegel)
m.2 SATA SSD (gibt es als 8, 16 oder 32GB Variante)
freie m.2 Slot für weitere SSD oder anderweitige Erweiterung
Ist nur 52 x 193 x 250 mm Groß und lässt sich mit einem externen 19V Netzteil effizient betreiben
Gebrauchtpreise um die 60€ mit 4GB RAM und 32GB SSD

Als Netzwerkkarte wird für pfSense und OPNSense fast immer Intel empfohlen. Im Idealfall eine Karte mit i350 Chipsatz. Begibt man sich auf die Suche stößt man schnell darauf, dass diverse Hardware Hersteller sehr oft umgelabelte Versionen eben dieser Netzwerkkarte unter eigenem Namen anbieten.

Im Forum von servethehome gibt es dazu einen tollen Beitrag, der alle echten bekannten OEM Modelle mit i350 Chipsatz auflistet (aus Fernost gibt es viele Fälschungen die oft probleme machen)

Cisco
- UCSC-PCIE-IRJ45 (Quad i350)
Dell
- K9CR1 (Quad i350)
- THGMP (Quad i350)
- 9YD6K (Quad i350)
- XP0NY (Dual i350)
- 7MJH5 (Dual i350)
- YG4N3 (Dual i350)
Fujitsu
- D3045 (Quad i350)
HP
- NC361T (Dual i350)
IBM Lenovo
- 00D1998 (Quad i350)
- 00AG510 (Dual i350)
- 00AG520 (Quad i350)
- 0C19506 (Dual i350)
- 4XC0F28731 (Quad i350)
Sun Oracle
- 7100477 (Quad i350)
- 7100479 (Quad i350)
Supermicro
- AOC-SGP-I4 (Quad i350)
- AOC-SGP-I2 (Dual i350)

Technischer Hinweis: Alle dual Port i350 Karten funktionieren ohne Leistungseinschränkung schon ab PCIe 2.0 mit x1! Auch wenn sie einen PCIe x4 oder x8 Steckformat haben.

Meine Wahl fiel auf eine HP NC361T. Einfach weil es sie gebraucht günstig zu kaufen gab und es im selben Shop sogar einen passenden PCIe riser gab.
https://www.piospartslap.de/HP-361T-Dual-Port-Gigabit-Network-Adapter-452495-001-656241-001-LP
https://www.piospartslap.de/AsRock-1U12LIW-RB1-Riser-Card-PCIe-30-x8-fuer-Server-225576065611-226377633802 (passt gut, hat ca. 1mm spiel und ist nicht mechanisch arretiert)

Den originalen PCIe riser gibt es hier https://www.bicker.de/risercard-d3318-pcie_risercard_d3318_pcie_x4_passend_fuer_d3313-sx-d343x-s-d363x_riser_card

Installation und Konfiguration

Zur Installation wird ein passendes pfSense oder OPNSense image (amd64) auf z.B. mit rufus (https://rufus.ie/de/) ein USB Stick geschrieben, gebootet und installiert.
Dazu gibt es sehr gute und ausführliche Video Anleitungen auf youtube. Auch die richtige Konfiguration lässt sich sehr gut bei youtube erlernen.