Mejor Hardware para OPNSense y pfSense
Esta entrada forma parte de una serie de post para proteger la red de casa:
- Diseño de una red segura para casa
- Mejor hardware para OPNSense y pfSense
- Instala y configura OPNSense desde cero
- Activar IPS, AV y Full SSL Inspection en OPNSense
- Mejor servidor de bajo coste para casa
- Di adiós a la publicidad con PiHole
En el post anterior comentamos los requisitos, componentes software y la arquitectura de red que vamos a montar.
FOTO
OPNSense es la columna vertebral de nuestra red.
Practicamente todos los appliances físicos que corren OPNSense son compatibles con pfSense y viceversa. En el post hablo exclusivamente de OPNSense, pero prácticamente todo es aplicable a pfSense.
He decidido que para hacer un despliegue simple voy a usar un router físico.
OPNSense puede montarse también de forma virtual a través de VMWare, Proxmox o VirtualBox. En otro post mostraré como instalarlo y ejecutarlo de forma virtualizada.
Dónde comprar hardware para OPNSense en 2022
Hardware oficial
OPNSense y Netgate ofrecen hardware oficial 100% compatible con OPNSense y pfSense.
Los desarrolladores de ambos sistemas operativos venden hardware 100% compatible y con soporte técnico para que cualquier persona solo encienda el dispositivo y ya pueda trabajar.
Hardware compatible Teklager
Teklager ofrece hardware compatible con OPNSense
Teklager es una empresa sueca que crea hardware compatible con todo tipo de soluciones Open Source, y OPNSense es el software de moda para soluciones router-firewall. Si compras su hardware, ellos te instalan OPNSense y tu no tienes que hacer nada.
Hardware compatible sin marca
Amazon o Aliexpress nos permite encontrar hardware no oficial pero compatible
Para comenzar la búsqueda, partamos de la base de que OPNSense es una distribución FreeBSD que puede instalarse prácticamente en cualquier hardware x86, que es prácticamente cualquier ordenador que nos rodea (con un chip intel o amd común).
Es la mejor relación calidad precio que podemos encontrar.
Mejor hardware OPNSense en 2022
Factores a tener en cuenta antes de comprar
Ruido
Dado que el router estará siempre encendido, es muy recomedable optar por ordenadores con refrigeración pasiva en vez de usar ventiladores.
De esta forma ganaremos en silencio al no haber nada de ruido, y en consumo al no tener que alimentar un ventilador.
Potencia
Es muy importante encontrar un balance entre potencia y consumo. No queremos un procesador de una calculadora, pero tampoco un procesador de alto rendimiento usado para gaming.
La serie U de Intel ofrece una de las mejores opciones al tener un equilibrio muy bueno entre potencia y consumo
Consumo
Relacionado con los 2 puntos anteriores, el punto más importantes de todos es el consumo. El router que compremos estará encendido 24x7 y queremos que consuma lo mínimo posible. Cada Watio de más que
Para hacernos una idea del consumo, podemos usar el valor TDP o reviews en las que midan el consumo de ese procesador.
¿Qué es el TDP?
El TDP no hace referencia al consumo en vatios (Watt) del procesador, sino al calor que desprende.
Thermal Design Power (Potencia de diseño térmico) es una medida en vatios presente en todos los microprocesadores que nos indica la cantidad máxima de calor que se espera que produzcan en un escenario de uso intenso.
Aunque el TDP no mide el consumo eléctrico del procesador, si está relacionado con el consumo. En el caso de que dos procesadores sigan el mismo proceso de producción y tengan la misma arquitectura, pero tengan TDPs diferentes, el que tenga un menor TDP tendrá un menor consumo.
Hardware mínimo para OPNSense
OPNSense puede correr prácticamente en cualquier hardware, por lo que cualquier ordenador de sobremesa o portátil de hace 10-15 años hasta ahora podrá ejecutarlo sin problema.
Si queremos un mínimo de prestaciones, la documentación oficial de OPNSense y Teklager nos recomienda como mínimo el siguiente hardware.
Componente |
Valor |
Fuente |
Procesador |
Intel o AMD (x86) |
Teklager |
Núcleos |
2 núcelos a 1.5 GHz |
OPNSense |
Instrucciones cripto. |
AES-NI |
Teklager |
RAM |
8 GB |
OPNSense |
Método instalación |
Serial console or video (vga) |
OPNSense |
Disco Duro del SO |
120 GB SSD |
OPNSense |
Network Interface Controller |
Intel |
Teklager |
Adaptador de red |
Mínimo 2 Intel NICs |
Teklager |
¿Qué es AES-NI?
AES-NI (AES New Instructions) es un nuevo conjunto de instrucciones de cifrado, incorporado directamente a la CPU, que acelera enormemente las tareas de criptografía, como el cifrado/descifrado para VPN o SSL.
AES-NI fue desarrollado inicialmente por Intel, pero la mayoría de las CPUs modernas de AMD también lo soportan ahora.
Como vamos a hacer uso de VPNs, este componente es clave.
¿Por qué Intel NIC?
Teklager recomienda que los interfaces de red sean Intel. OPNsense no funciona muy bien con interfaces Realtek.
Para un rendimiento básico optaría un procesador intel celeron de la serie N4000 o superior, si puede ser de 4 núcleos en vez de 2.
Hardware de alto rendimiento para OPNSense
Además de lo anterior, si buscamos una solución a largo plazo y con un rendimiento suficiente, añadiría las siguientes características
| Componente | Valor |
|---|---|
Procesador |
Serie Intel > 7xxxu (ej:7200u, 7130u...) |
Número adaptadores |
6 Intel NICs |
Velocidad adaptadores |
Al menos 1Gbps (2,5Gbps para muy entusiastas) |
Wifi |
Con tarjeta de red Wifi y antenas incluidas |
LTE |
Con tarjeta de red LTE, ranura para la SIM y antenas |
He añadido el módulo wifi para hacer pruebas y para tener la opción de montar puntos de acceso básicos, pero la realidad es que OPNSense o pfSense son muy malos en cuanto a Wifi se refiere. FreeBSD solo tiene compatibilidad hasta wifi 802.11n o Wifi 4.
En cuanto al SSD, la mayoría de "cajas negras" cuentan con puertos m.2 sata que nos darán una velocidad suficiente. Con un disco NVMe que usa una conexión PCIe irían aún más rápido, pero el coste no compensa al beneficio.
A la hora de elegir un procesador solo optaremos por procesadores Intel serie U (Mobile power efficient).
La serie Intel Y (Mobile extremely low power) también puede ser una buena opción ya que los procesadores consumen menos que la serie U. Os recomiendo leer este artículo para entender los números y siglas que usa intel a través de las generaciones.
A la hora de seleccionar procesadores, la verdadera pregunta es si queremos 2 núcleos (4 hilos), o si queremos el doble de rendimiento con 4 núcleos (8 hilos).
2 núcleos y 4 hilos:
Serie U:
7100u
7167u
7200u
7500u
4 núcleos y 8 hilos:
Serie U:
Vamos a escoger los primeros procesadores de la serie U que Intel sacó con 4 núcleos (y 8 hilos), y dentro de ellos, aquellos que tengan menor TDP.
| Procesador | Modelo |
|---|---|
| Core i7 | 8650U |
| 8550U | |
| Core i5 | 8350U |
| 8250U |
Serie Y (si lo encontráis)
i7-10510Y es el primer procesador de la serie Y con 4 núcleos y 8 hilos y podría ser una fantástica opción para un procesador que ofrezca mucho rendimiento a costa de muy bajo consumo.
Aquí podéis echar un vistazo a toda la serie de décima generación.
Lamentablemente hasta el momento no he visto ninguna "caja negra" con este procesador. Recomiendo hacer una búsqueda en aliexpress con el procesador i7-10510Y por si aparece algún dispositivo nuevo.