Protectli FW2B / Firewall Bare Metal oder mit Proxmox?

pooltechniker

Well-Known Member
Hallo,

Das Thema hat zwar nur sekundär mit BSD zu tun, aber da hier einige Wissende unterwegs sind, hätte ich gerne eure Meinung dazu:
Ich plane demnächst, meinen Ubiquiti EdgeRouter zu ersetzen.
Als Hardware hätte ich an einen Protectli FW2B gedacht, als OS soll vyOS zum Einsatz kommen.

Frage 1:
Würdet ihr das OS auf Bare Metal installieren, oder virtualisiert? Ich hätte hierzu Proxmox im Auge.
Ich spiele nämlich auch mit dem Gedanken, meinen Orange Pi Zero Plus, auf welchem derzeit FreeBSD mit unbound und AdGuard Home läuft, in Rente zu schicken, und einen zweiten Container damit auf dem Protectli laufen zu lassen.

Von der Performance her sollte der Protectli locker ausreichen, um FTTH mit derzeit 200/100 zu bedienen. Auch punkto Stromverbrauch ist zwischen dem EdgeRouter 6P (max. 16W ohne PoE) und dem Protectli (lt. Datenblatt ebenfalls 16W) kein Unterschied.

Frage 2:
AMI BIOS oder coreboot?
Ich tendiere eher zu coreboot.


Was sagt ihr dazu?
 
Wenn die hardware potent genug (und es nicht an den extensions der CPU mangelt vt-x, -d ...etc) ist, immer virtualisiert. Auch ich nutze proxmox hierfür, man ist einfach flexibler mit den snapshots, backups und wenn man mal zusätzlich etwas ausprobieren möchte, beeinträchtigt es nicht die anderen VMs. Anders ausgedrückt: man hat keinen Nachteil durch proxmox. Gut, man muss sich da auch um die updates kümmern und hat einen minimalen overhead...zählt für mich noch nicht als Nachteil.

Ich besitze noch keine coreboot-kompatible hardware, aber wenn es mal soweit ist, würde ich auch dazu tendieren.
 
Auch wenn es ein anderes OS ist, aber ich hatte anfangs pfsense in Proxmox virtualisiert, lief ohne Probleme.
Am Ende habe ich mich aber doch für dedizierte Hardware entschieden, da ich den Proxmox Host öfter neu starten musste als pfsense und damit immer das Netzwerk offline war.
 
OPNsense läuft auch prima als VM. Ich gönne mir den Luxus eines clusters und wenn ich eine node rebooten muss, migrieren sich diese VMs live. Wieso Plural?
Unabhängig von proxmox habe ich noch das eigene HA von OPNsense konfiguriert. Dh. es ist egal ob ich eine node wegen updates oder eine OPNsense wegen updates rebooten muss, ich gehe nie offline. ;)

Einlesenswert zu proxmox wäre noch: openvswitch. Es ist ein bisschen Lagerbildung zu beobachten, aber ich finde openvswitch einfacher zu konfigurieren, erst recht wenn man es sich gar nicht erst anders angewöhnt und man alle vlans mit einer bridge wegschmatzen kann.
 
Wenns die HW hergibt auf jedenfall virtualisieren, auch wenn ich kein Proxmox verwenden würde.

Was HW betrifft könntest dir auch den neuen RPI 5 ansehen, der sollte was verbrauch betrifft schon nochmal deutlich geringer ausfallen, hat endlich ordentlichen Netzwerkport und den zweiten kannst dir per PCIe 1x dazuholen. Aber würde vermutlich einiges an deiner Planung über den Haufen werfen :D nur als Idee falls der untergegangen ist, ist ja noch ganz frisch!
 
Wenns die HW hergibt auf jedenfall virtualisieren, auch wenn ich kein Proxmox verwenden würde.
Was würdest du denn anstelle von Proxmox verwenden?

Was HW betrifft könntest dir auch den neuen RPI 5 ansehen
VyOS läuft nur auf x86, somit fällt der aus.
Da ich eine recht umfangreiche bestehende Config habe, und EdgeOS bzw. VyOS mag, möchte ich da eigentlich auf nichts anderes wechseln.
 
VyOS läuft nur auf x86, somit fällt der aus.
Da ich eine recht umfangreiche bestehende Config habe, und EdgeOS bzw. VyOS mag, möchte ich da eigentlich auf nichts anderes wechseln.

Ja hab ich mir fast gedacht, wollts nur einwerfen.

Was würdest du denn anstelle von Proxmox verwenden?

Nicht falsch verstehen, Proxmox tut sicher seinen Zweck, mir ist es zu sehr "weg von Linux" und halt alles auf diese Weboberfläche zugeschnitten, die auch nicht gut reagiert wenn man selbst in den Datein was ändert.
Ich würde vermutlich RHEL (mit kostenfreier Dev Lizenz) verwenden und zum Management der VMs virt-manager oder Cockpit wenns wirklich nur 2 VMs ohne groß sonst was ist.
 
Nicht falsch verstehen, Proxmox tut sicher seinen Zweck, mir ist es zu sehr "weg von Linux" und halt alles auf diese Weboberfläche zugeschnitten, die auch nicht gut reagiert wenn man selbst in den Datein was ändert.
Ich würde vermutlich RHEL (mit kostenfreier Dev Lizenz) verwenden und zum Management der VMs virt-manager oder Cockpit wenns wirklich nur 2 VMs ohne groß sonst was ist.
Daran - bzw. Oracle Enterprise Linux - hab ich auch schon gedacht.
Ich hab bisher noch keinerlei Erfahrung mit Proxmox, da ich zu Hause aber weniger basteln will, dachte ich, Proxmox wäre evt. die einfachere Lösung.

Durch diesen Thread auf Reddit bin ich jetzt auch am überlegen, ob es nicht doch besser wäre, die 4 Port Vault von Protectli zu nehmen, sofern ich denn virtualisiere... das treibt die Kosten aber natürlich gleich weiter in die Höhe...
 
Bei RHEL Dev Subscription hättest du auf jedenfall die Kernel Livepatches dabei - etwas was ich doch sehr schätzen gelernt hab. Und mit der neuen "Es gibt keine src Pakete mehr" Strategie von RHEL/IBM weiß man auch nicht wie lange es noch oracle ub Linux gibt :D - Aber was Oracle betrifft bin ich auch wenig informiert um ehrlich zu sein.

Wenn du ohnehin am Basteln bist probier Proxmox einfach mal aus, ich denke das ist etwas, was man entweder sofort mag, oder eben nicht.

Zur HW: Du könntest auch mit 2 Ports nehmen und auf VLans setzen?
 
Bei RHEL Dev Subscription hättest du auf jedenfall die Kernel Livepatches dabei - etwas was ich doch sehr schätzen gelernt hab.
Das wusste ich nicht - klingt auf jeden Fall interessant!

weiß man auch nicht wie lange es noch oracle ub Linux gibt
Das stimmt. Ich wiederum hab von RHEL keine Ahnung, wusste daher nicht, dass es kostenlose Dev-Lizenzen gibt - daher dachte ich an Oracle Linux :D

Zur HW: Du könntest auch mit 2 Ports nehmen und auf VLans setzen?
Das war eigentlich mein ursprünglicher Plan, in dem Reddit-Post schreibt aber ein User, dass das für ihn in punkto Performance nicht so gut funktioniert hat; deshalb bin ich mir jetzt ein wenig unsicher diesbezüglich.
 
Kann natürlich sein, dass es da irgendwelche Seiteneffekte gibt, aber ich hab hier nen uralten Archer C7 mit dd-wrt und 2 VLans, das läuft mit 80MByte/s und da ist auch nicht die CPU der Flaschenhals.

Die Dev Lizenzen gibts schon ewig, waren früher aber ziemlich shit, erst seit kurzem sind die wirklich zu gebrauchen - leider kam das, als sie CentOS den Stecker gezogen haben.
 
Der Hauptgrund ist, dass die EdgeMAX-Produktlinie von Ubiquiti wohl tot ist - auch wenn Ubiquiti gegenteiliges behauptet. Das letzte Firmwareupdate ist ziemlich genau 3 Jahre alt, seit dem gab es nur mehr Hotfixes. Auf der Ubiquiti-Webseite gibt es keinerlei Hinweise mehr über EdgeMAX. Auch die Hardware selbst ist so gut wie nirgends mehr zu kaufen.

Prinzipiell läuft mein EdgeRouter schon seit Jahren ohne Probleme, allerdings haben die EdgeRouter immer wieder defekte Speicher; beim EdgeRouter Lite konnte man noch einen anderen USB-Stick einbauen, bei meinem 6P fällt das aber flach, der hat eine verlötete eMMC. Speicherfehler selbst merkt man im Betrieb nicht, nur beim booten. Das Ding kann also ohne Probleme für ewige Zeiten laufen, und dann - zack - beim nächsten Reboot ist das Ding tot.

Ich mache mich daher langsam auf die Suche nach einer Alternative. Ich mag das OS, deshalb möchte ich auf VyOS wechseln, da kann ich meine Config fast 1:1 übernehmen.
 
Hi,

Du solltest es ruhig Mal mit OpenBSD auf dem edgerouter probieren , läuft gut Updates gibt es auch regelmäßig .
Das einzigste was du benötigst ist ein 32 GB USB Stick.

Holger
 
Ich bin zwar spät zu der Party, aber trotzdem: Ich habe mich gegen den Protectli entschieden und stattdessen die IPU 410 genommen, da sie eine moderne Intel N100 CPU hat. Das sind im Prinzip 4 Gracemont E-Cores der Alder Lake / Raptor Lake CPUs. Dazu 32 GB RAM und eine 1 TB SSD. Als Hypervisor nehme ich Bhyve und etwas selbstgefummeltes Shellscript, aber Proxmox wird darauf definitiv nicht schlechter laufen. Mein überkomplexer "Router" läuft darauf als VM mit 2 Kernen und 2 GB RAM. Das ist ein FreeBSD, was in insgesamt 10 vnet-Jails unterteilt die PPPoE-Einwahl per mpd5 auf den 1 Gbit/s FTTH-Anschluss macht, die Firewall zwischen meinen VLANs stellt, DNS per BIND9 und DHCP per Kea bereitstellt, ein Mailrelay nach außen und einen nginx HTTP Reverse Proxy nach innen hostet und einen siproxd für die VoIP-Telefone stellt. Das läuft absolut problemlos, die CPU langweilt sich im höchstens einstelligen Prozentbereich. Einzig habe ich auf den Intel-NICs TSO abgeschaltet, dass verfummelte sich irgendwie mit all den Bridges zwischen VM und Jails. Und PCID ist auf den CPUs einfach kaputt - https://www.phoronix.com/news/Intel-Disable-PCID-ADL-RPL - was aber keine Rolle spielt. Einfach abschalten und vergessen.

Vor allem spart das Konstrukt massiv Strom und Geld. Weil der Router eben nur eine VM ist und die Hardware ist schnell genug ist um daneben noch Gott, die Welt und noch etwas mehr zu hosten. Ich hab da noch mein altes PC Engines APU als äh Heimserver im weitesten Sinne und mehrere Dienste, die bisher auf Raspebrrys und sowas liefen, als weitere VMs raufkonsolidiert. Zwei weitere VMs, die im Moment bei Vultr laufen und 15€ im Monat kosten, werden folgen. Und selbst danach werde ich geschätzt erst die Hälfte des RAMs voll haben und die CPU wird sich noch immer langweilen... Bei 13W Stromverbrauch. Wenn die Hardware solange durchhält, heißt das 10 Jahre Ruhe und keine weiteren Investitionen.
 
Man muss in dem Spiel nur beachten, dass der Hypervisor prinzipiell exponiert ist - da wo das Kabel drinne steckt.
Es kann sonst die unschoene Situation entstehen, dass zB die proxmox-WebUI "schoen" im Internet erreichbar ist ;-)
 
Danke @Yamagi, IPU hatte ich nicht am Radar!
Ich bin noch weit davon entfernt, Hardware zu kaufen - ich mache mir halt nur schön langsam Gedanken, wie die Zukunft bei mir zu Hause aussehen wird bzw. könnte. Du bist also definitiv nicht zu spät zur Party :D
 
So, nach langem überlegen ist die neue Hardware jetzt eingetroffen: Ich habe mich für einen Ace Magician T8 Pro mit Alder Lake N95, 16 GB RAM, 512 GB SSD und 2x Gigabit Ethernet entschieden. Das Ding braucht Idle 7 Watt (fast ident wie der EdgeRouter), und für € 211,- bei Amazon kann man da denke ich wirklich nicht meckern.
Der erste Eindruck ist top, auch wenn die Kiste für den Zweck wohl etwas überdimensioniert ist.
Jetzt gehts dran, die bestehende EdgeOS-Config nach vyOS zu portieren - da geht wohl doch mehr an Arbeit drauf als gedacht, die Syntax unterscheidet sich in einigen Dingen doch erheblich…
 
Zurück
Oben