Das Gerät ist mit 8 GB RAM, einer 120-GB-SSD und einem High-End-Servernetzadapter I350-T4V2 mit 4 Gigabit-Ports ausgestattet. Die Hardware ist deshalb für OPNSense- und pfSense-Zusatzpakete (Snort, Suricata) für Intrusion Detection und - Prevention mit Deep Packet Inspection als auch für das leistungshungrige OPNSense-Plugin Zenarmor (früher Sensei) geeignet. Die angebotene Firewall ist für etwa 100 zu schützende Rechner ausreichend. Für größere Netze sollte man 19-Zoll-Geräte kaufen, die jedoch viel Energie benötigen, eine hohe Verlustwärme erzeugen und aufgrund mehrerer, schnell drehender 40-mm-Lüfter laut sind (Serverraum mit Schaltschränken und Klimatisierung oder Entlüftung erforderlich).

Es handelt sich im Angebot um 64-bit-PC-Hardware mit Grafik/GPU, somit sind keine "Installationsorgien" mit seriellem Anschluss notwendig. Die Installation von Betriebssystem bzw. Firewall-Distribution erfolgt analog Standard-PCs, bei Bedarf mittels Displayport-auf-HDMI-Kabel oder -Adapter und Smart-TV als Display für „Nur-Laptop-Besitzer“.

Displayport-auf-HDMI-Kabel (nicht mitgeliefert) per ebay:

https://www.ebay.de/sch/i.html?_from=R40&_trksid=p2334524.m570.l1313&_nkw=displayport+auf+hdmi+kabel&_sacat=58058&LH_TitleDesc=0&_sop=15&LH_PrefLoc=1

Beliebige Betriebssysteme (Windows, Linux, xBSD) und Firewall-Distributionen wie pfSense, IPFire, OPNSense, Sophos, VyOS, Untangle etc. können problemlos installiert werden. Das Gerät ist universell verwendbar, auch als Office-PC oder HTPC / Multimedia-Center mit 4 gleichzeitig angeschlossenen 4k-UHD-Displays. In den PCIe3.0-Slot kann auch eine SAT- oder DVBT2-Karte oder eine Grafikkarte eingebaut werden. An schnellen USB3-Ports sind externe USB-Festplatten als „Datengrab“ neben der internen SSD betriebsfähig. Der Thin Client und die Server-Netzwerkkarte sind für Virtualisierungslösungen wie Windows-Hypervisor, Proxmox oder VMWare/ESXI geeignet und können so weitere stromfressende Geräte mit ihren zusätzlich energieverbrauchenden Netzteilen für Kameraaufzeichnungen, Managementsysteme für Ubiquiti-Accesspoints, piHole-Werbeblocker etc. ersetzen.

- Größe ohne Ständer/Fuß: 67 x 221 x 240 mm (Größe, Aussehen und Strombedarf für Schreibtisch/Büro optimiert)

- Mittels des variabel montierbaren Ständers kann das Gerät stehend und liegend betrieben werden:

  Nur mit Ständer erfolgt eine korrekte Be- und Entlüftung entsprechend des Wärmedesigns vom Hersteller.

- Einschalter und LEDs für Betrieb, Fehleranzeige und SSD-Zugriff vorn, Netzwerkanschlüsse hinten

  AMI-BIOS (UEFI mit Legacy/CSM-Modul, Virtualisierung, Secure Boot und Fast Boot de- und aktivierbar)

- Thin Clients werden für bedeutend längeren Betrieb (durchschnittlich 7 Jahre) als Desktop-PCs (3-4 Jahre) entwickelt:

  https://de.wikipedia.org/wiki/Thin_Client

- PCIe3.0-Slot mit bereits von HP eingebauter Riser-Card

- Energy-Star-Zertifizierung

- 4 Displayports für gleichzeitigen Betrieb von 4 Monitoren mit 4k-UHD-Auflösung für CAD und Digital Signage

- onboard: Realtek Ethernet, 1 Gbit/s

- freier Mini-PCIe-Slot für WLAN-Adapter

- ausführliches Datenblatt:

  https://support.hp.com/de-de/document/c05047551

Im Gegensatz zu Netgates Systemen mit ARM-CPUs bzw. mit eingebautem Switch sind beliebige Betriebssysteme und Firewall-Distributionen installierbar. Jeder Netzwerkport ist einzeln und völlig unabhängig von den anderen konfigurierbar, keine Switch-Ports, die sich Datenraten im Uplink teilen und nur mit proprietärer Software konfigurierbar sind. Ein externer, VLAN-fähiger LAN-Switch ist für 25 Euro erhältlich.

- 4 echte (physische) Kerne, Clockspeed: 2.7 GHz, Turbo Speed: 3.6 GHz, TDP: 35 W

- von Meltdown nicht betroffen, Performance einschränkender KPTI-Patch unnötig

  https://de.wikipedia.org/wiki/Kernel_page-table_isolation

- AMD-V Virtualization Technology, entsprechende Option im BIOS des Thin Clients de- und aktivierbar

- keine ständig neuen Schwachstellen bezüglich einer Intel Management Engine (Intel ME)

  https://www.heise.de/suche/?q=Intel+Management+Engine&make=security&sort_by=date

Samsung, 8 GB (2 x 4 GB)

Den Arbeitsspeicher hat HP durch ein abschraubbares Lochblech, verbunden mit der Board-Masse eingekapselt (Faradayscher Käfig) und so gegen elektromagnetische Beeinflussung geschützt. Das verhindert Bitfehler im Dauerbetrieb. 16 GB RAM sind laut Datenblatt möglich, laut Forum „servethehome“ wurden sogar 32 GB RAM erfolgreich genutzt (URL unten).

Transcend 120 GB (Steckplatz: SATA III 6 Gbit/s, Formfaktor/Länge M.2-1280)

https://www.intel.de/content/www/de/de/support/articles/000007074/ethernet-products/gigabit-ethernet-adapters-up-to-2-5gbe.html

Es werden oft Fakes dieser kostenintensiven Netzwerkadapter angeboten:

https://forums.servethehome.com/index.php?threads/comparison-intel-i350-t4-genuine-vs-fake.6917/

Datenblatt:

https://www.intel.de/content/www/de/de/products/sku/84805/intel-ethernet-server-adapter-i350t4v2/specifications.html

Datenblatt Controller I350-AM4:

https://ark.intel.com/content/www/de/de/ark/products/52966/intel-ethernet-controller-i350-am4.html

Vom Kernel nutzbare Eigenschaften – einschließlich Verteilung von Netzwerkpaketen (Multiqueuing) und Interrupts (MSI-X vectors) von jedem Port auf alle CPU-Kerne, Ausgabe von ifconfig | grep igb:

igb0: options=6400bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO,RXCSUM_IPV6,TXCSUM_IPV6>

Eine analoge Ausgabe für die Ports igb1 ... igb3 folgt danach.

Im Gegensatz zu Billigfirewalls mit Netzwerkcontrollern für Desktop-PCs besitzt der High-End-Servernetzwerkadapter einen eigenen Paketprozessor (Intel I350-AM4) zur Entlastung der CPU des Motherboards für Paketverarbeitung und Interrupts (Hardware Offloads, weniger CPU-Zyklen erforderlich). Desktop-Netzwerkadapter getatten nur 2 RX- und TX-Queues für Lastverteilung auf 2 CPU-Kerne. Mit dem eingebauten Server-Netzwerkadapter wird jeder Port zu jedem der 4 CPU-Kerne mit je einer Queue für das Empfangen (RX) und Senden (TX) verbunden (Multiqueuing). Dabei werden pro Port MSI-X Interrupts mit 5 Vektoren benutzt, um auch entsprechende Interrupts auf alle CPU-Kerne zu verteilen. Der Server-Netzwerkadapter ermöglicht sogar 8 RX- und 8 TX-Queus pro Port für 8-Core-CPUs.

Ausgabe von dmesg | grep igb für Multiqueuing:

igb0: Using MSIX interrupts with 5 vectors

igb0: <Intel(R) I350 (Copper)> port 0xe060-0xe07f mem 0xa1400000-0xa14fffff,0xa150c000-0xa150ffff at device 0.0 on pci1

igb0: EEPROM V1.52-0

igb0: Using 1024 TX descriptors and 1024 RX descriptors

igb0: Using 4 RX queues 4 TX queues

igb0: Using MSI-X interrupts with 5 vectors

igb0: Ethernet address: 00:19:99:fe:57:80

igb0: netmap queues/slots: TX 4/1024, RX 4/1024

(analog für Ports igb1 bis igb3)

Die Netzwerkports werden von pfSense als Intel I350 (igb0 bis igb3) erkannt, der von pfSense bzw. vom FreeBSD-Kernel mitgebrachte Intel-igb-Treiber wird verwendet.

Der Onboard-Realtek-Netzwerkadapter funktioniert wie die Servernetzwerkkarte sofort und ohne Weiteres nach Installation der pfSense-Software.

Das angebotene Gerät hat somit 5 funktionsfähige und voneinander unabhängige, also einzeln konfigurierbare, VLAN-fähige Netzwerkports mit je 1 Gbit/s.

Mit eingebautem High-End-Server-Netzwerkadapter und leistungsfähiger CPU AMD RX-427BB mit AES-NI ist das Gerät für OpenVPN, Deep Packet Inspection und Proxyserver (IDS/IPS mit Snort, Surricata, Squid) geeignet. Ebenso für die Virtualisierung von Firewall und weiteren Diensten (Dienstetrennung Firewall, DNS-/DHCP-Server, NAS, Multimedia-Center, Server für Kamera-Aufzeichnungen, piHole etc., auch unterschiedliche Betriebssysteme möglich).

Passmark RX-427BB vs. Intel Atom C3558 (verbaut in neuesten Lanner-, Netgate- und Supermicro-Appliances) vs. AMD-GX-415GA (AMD GX-416RA ohne GPU verbaut in OPNSense Deciso A10 Appliances):

https://www.cpubenchmark.net/compare/AMD-RX-427BB-vs-Intel-Atom-C3558-vs-AMD-GX-415GA-SOC/2496vs3129vs2081

Ergebnis: RX-427BB signifikant schneller bezüglich Single- und Multi-Core-Leistung

Passmark RX-427BB gegenüber China-Hardware (QOTOM, Minisys, Protectli, NRG) mit Intel I5-5250U bzw. I3-7100U (nur 2 physische Kerne mit Hyperthreading) und der naheliegenden Frage nach (fehlenden) künftigen BIOS-Updates sowie in einschlägigen Foren berichteten Hitzeproblemen:

https://www.cpubenchmark.net/compare/AMD-RX-427BB-vs-Intel-i5-5250U-vs-Intel-i3-7100U/2496vs2478vs2879

Ergebnis: gleiche oder bessere Performance mit 4 physischen Kernen und ohne Hyperthreading als Sicherheitsrisiko (Performance mindernder KPTI-Patch (Kernel Page Table Isolation) gegen Meltdown-Angriffsmöglichkeiten von Intel-CPUs in Benchmarks ungenannt und damit wohl unberücksichtigt)

Auf regelmäßige BIOS-Updates für chinesische Billig-Firewalls bei neuen Sicherheitslücken oder Bugs in der Implementierung von UEFI, ACPI oder der Intel-Management-Engine mit verdeckter Zugriffsmöglickeit auf die gesamte CPU sollte man nicht hoffen, siehe Websites der Hersteller und Distributoren! Und billiger als das von mir angebotene Gerät sind die China-Firewalls in vergleichbarer Ausstattung (CPU, RAM, SSD) mit MWSt. und Zoll auch nicht - trotz einfachen Desktop-Netzwerkadaptern (Intel I211 oder Intel 82583V) und 2-Kern-CPUs mit Hyperthreading als für Firewalls und Router bezüglich Performance nutzloses Sicherheitsrisiko: https://calomel.org/network_performance.html

(Absatz Hyperthreading / SMT)

Gegenüber den APUs von PC Engines mit AMD GX-412TC ohne Grafik/GPU ist der RX-4277BB gleich mehrfach schneller:

https://www.cpubenchmark.net/compare/AMD-RX-427BB-vs-AMD-GX-412HC/2496vs2473

Max. 4 GB RAM sind in allen APUs von  PC Engines verlötet, somit ist RAM nicht nachrüstbar. Die 1-GHz-CPU kann offenbar nicht 1 GBit/s in Linespeed mit beliebten Firewall-Distributionen routen, insbesondere bei Einsatz von PPPoE. Mal googlen nach „APU2C4 performance“. Des Weiteren sind Intrusion Detection und Prevention (snort, surricata) sowie mehrere bzw. schnelle VPNs und squid als Web-Proxy kaum möglich. DNS-Blocker (pfBlockerNG) ist durch 4 GB RAM nur mit einer begrenzten Anzahl von Block-Listen nutzbar, Tests unterschiedlicher Listenkombinationen bzw. differenziertes Whitelisting mit Ausschluss trackender/werbender Subdomais dauern aufgrund geringer Single-Core-Leistung der CPU zu lange (Update/Upgrade von pfBlockerNG mit TLD-Analyse bei Änderungen notwendig). Man resigniert und belässt suboptimale, unzureichend getestete Blocklisten bzw. zu umfangreiches Whitelisting (Wildcard-Whitelisting mit allen trackenden Subdomains)

Die angebotene Firewall lief bei mir sinnvollerweise einige Wochen im Probebetrieb - performant und fehlerfrei (ohne wie bei vielen „Plastikroutern“ notwendige regelmäßige Neustarts) mit pfBlockerNG-devel und mehr als 650.000 Datensätzen für DNSBL (nach Deduplizierung und Blacklisting von „most abused TLDs“, TLD-Option aktiv) sowie mehr als 80.000 geblockten IP-Netzwerken nach Deduplikation, CIDR- und Reputation-Aggregation.

Die CPU des T730 hat unter 40 Grad Celsius Betriebstemperatur (Anzeige pfSense-Dashboard). Bezüglich der für China-Büchsen in Foren vorgeschlagenen USB-Zusatz-Lüfter außerhalb des Gehäuses aufgrund eines offensichtlich mangelhaften Designs der Kühlung lache ich mich irgendwann tot. Die Drehzahl des Lüfters kann per BIOS-Einstellung erhöht werden, eingestellt wurde die niederigste Drehzahl, da völlig ausreichend.

Das Gerät ist bezüglich Energy Star zertifiziert. Eigene Messungen mittels Digitalmultimeter zwischen Steckdose und Netzteil des Thin Clients mit eingebautem Server-Netzwerkadapter ergaben etwa 80 mA Stromaufnahme, also ca. 18 Watt bei 230 Volt Netzspannung - entspricht etwa einer Fritzbox. Nettes Gimmick im BIOS: Einschaltzeit für jeden der 7 Wochentage konfigurierbar. Dazu ein Cronjob, der das Gerät abends automatisch runterfährt? So könnte man etwa 1/3 Energieverbrauch sparen. Ein bedarfsweiser Start mit Wake on LAN per Smartphone oder PC/Laptop wäre auch möglich.

Das Gerät besitzt Heatpipes mit Wämetauscher und einen hochwertigen Lüfter mit großem Durchmesser für leisen Betrieb durch geringe Drehzahl - so wie in Laptops. Der Lüfter ist nur hörbar, wenn man ein Ohr direkt an das Gerät legt. Ich betreibe ein gleiches Gerät auf meinem Schreibtisch, da ich einfach 5 geroutete Ports ohne zusätzlichen Switch mit dessen stromfressenden Billignetzteil nutze. 

Der Thin Client ist neuwertig, ein Reservegerät aus dem Lager. Testweise lief er wenige Wochen auf meinem Schreibtisch. Das Gehäuse mit EMV-Eigenschaften (innen zusätzlich komplett mit Lochblech verkleidet) ist werkzeuglos demontierbar. Der Server-Netzwerkadapter (Fujitsu I350T4G2P20 = Intel I350-T4V2) und die SSD wurden vorher schon betrieben.

Hardware entsprechend Fotos und wie beschrieben, pfSense-Software vorinstalliert, an Hardware angepasst

Das Gerät wird mit der aktuellen pfSense-Version geliefert und so vorkonfiguriert, dass Sie es ohne Umkonfiguration am vorhandenen Router oder Modem testen können. Ein Zugang auf die pfSense-Bedienoberfläche mit Web-Browser und Netzwerkkabel ist sofort und ohne Weiteres möglich. Firewall-Anfänger haben somit eine gute Grundlage, gestresste Familienväter und Firmeninhaber sparen Zeit, die Familie oder Geschäft verloren geht, Fehlkäufe und Irrwege werden vermieden: Das BIOS des Thin Clients und pfSense haben den letzten Update-Stand, pfSense ist mittels Webbrowser sofort für das eigene Netzwerk konfigurierbar.

Zählreihenfolge der eingebauten PCIe-Netzwerkkarte bei Ansicht von hinten von links nach rechts bzw. oben nach unten:

Port IGB0 (1. von links bzw. oben): WAN, DHCP-Client (Netzwerkkabel zum Modem oder testweise an LAN-Port des vorhandenen Routers)

Port IGB1 (2. von links bzw. oben): LAN, DHCP-Server aktiv, mit Netzwerkkabel angeschlossenen PC/Laptop auf DHCP-Client einstellen ("automatische IP-Konfiguration")

Alle weiteren Ports sind unkonfiguriert.

Webbrowser: https://192.168.1.1

Nutzer/Passwort: admin/pfsense

Im BIOS wurde eingestellt, dass das Gerät nach Stromausfall und Wiederkehr (dies erfolgt eventuell mit Prellen, "Wischern" bei Einschalten der Sicherung) ausgeschaltet bleibt. Das dient dem Schutz der Konsistenz des Dateisystems ohne unabhängige Stromversorgung (USV): Erfahrungsgemäß proben Leute mehrfach, ob ein defektes Gerät am gleichen FI- bzw. Leistungsschutzschalter auch wirklich defekt ist. Bei Einsatz des Gerätes an entfernten (unbesetzten) Standorten sollte man diese Einstellung im BIOS sinnvollerweise auf Auto-Start nach Stromwiederkehr ändern. Der BIOS-Zugang erfolgt mit Taste F10 oder Escape (Esc).

Hardware-Referenzhandbuch: http://h10032.www1.hp.com/ctg/Manual/c04890088.pdf

Trouble Shooting Guide:  http://h10032.www1.hp.com/ctg/Manual/c05348283

Software (pfSense): https://docs.netgate.com/pfsense/en/latest/general/what-is-pfsense.html

Fragen werden gern beantwortet, ich habe bereits mehrere gleiche und ähnliche Firewalls gebaut.

Privatverkauf ohne Sachmängelhaftung (Gewährleistung), keine Rücknahme. Verkauf und versicherter Versand per DHL mit Sendungsverfolgung (Eintrag bei Ebay) nur innerhalb der Europäischen Union.

Aufrüstung T730 auf 32 GB RAM, 10 GBE und Virtualisierung: https://forums.servethehome.com/index.php?threads/hp-t730-thin-client-as-an-hp-microserver-gen7-upgrade.20454/

I350-T4 Genuine vs Fake:

https://forums.servethehome.com/index.php?threads/comparison-intel-i350-t4-genuine-vs-fake.6917/