Hardware Erfahrung: Astora ASG 220 Rev. IV

Ace of Space

Moin,

ich wollte einfach nur mal meine Erfahrungen zum Thema Hardware Appliance los werden und mit euch teilen.

Zur Hardware:

Hersteller: Vertrieb erfolgte durch Astaro oder Sophos, Hardwarehersteller ist eigentlich die Firma NEXCOM
Modell:

Astaro: ASG 220 Rev. 4
Sophos: UTM 220 Rev. 5
NEXCOM: NSA 3110

Ab Werk war bei meiner Astaro ASG 220 Rev. 4 ein Intel Celeron Dual Core und 1 GB Ram verbaut.

Gehäuse: 1HE 19"
CPU Sockel: Sockel 775
RAM: 2x DDR3 bis 4GB insgesamt
LAN: 8x Intel 82541 Gigabit LAN
Sonstige Anschlüsse: 1x VGA, 2x USB 2.0
HDD: 1x 3,5" SATA HDD

Leider hat Astaro oder Sophos die Geräte bei NEXCOM ohne die beschriebene PCI-e 8x Schnittstelle geordert, vielleicht kann man diese noch nachrüsten… dies prüfe ich zur Zeit noch ;)

Mehr infos zur Hardware gibt es hier: http://www.nexcom.com/news/Detail/nexcom-entry-level-network-security-appliance-with-intel-g41-chipset-nsa-3110

Hardware Modifikationen:

Folgende Komponenten habe ich geändert, hinzugefügt oder getauscht…

CPU: IntelCore 2 Quad CPU Q8400 @ 2.66GHz
RAM: 2x 2GB DDR3 RAM
HDD: Intel 160 GB SSD
Netzteil: Zippy 400W (www.ebay.de/itm/141027701965) da das Originale 170 Watt Netzteil für die Core 2 Quad CPU zu schwach war. Für das Netzteil musste ich allerdings den 3,5" Festplatten Käfig samt der Verschraubungspunkte entfernen.

pfSense installation

Ich habe meine pfSense ganz klassisch vom USB-CD-Rom Laufwerk auf der SSD installiert. Hierfür musste lediglich im BIOS die BOOT reihenfolge umgestellt werden. Dank VGA-Anschluss und USB Tastatur war dies nicht schwieriger als bei jeden anderen PC-System. An der pfSense installation an sich musste ich für die Hardware keinerlei Anpassungen vor nehmen oder treiber installieren.

Selbst die Nutzung des integrierten Displays stellt keine zu große Herausforderung dar, da diesen ohne Probleme mit dem LCDProc Package arbeitet.

Einsatzgebiet und Nutzung

Momentan nutze ich die pfSense als "VPN Router" und "SSL-Offloader" in meinem kleinem IT-Systemhaus. Sie bedient als WAN momentan per PPPoE einen ADSL2 16.000 (LANCOM 821+ im Bridge Mode als Modem) und einen VDSL2 100.000 (Draytek Vigor2860 im Bridge Mode als Modem) Anschluss.

Intern stehen momentan folgende Netze bereit:

LAN (Das Unternehmenseigene Netzwerk)
LAN II (Getrenntes Netzwerk mit Hotspot für Kundensysteme über die LAN-Anschlüsse in der Werkstatt oder per WLAN
LAN DEV (Netzwerk für Projekte zur Erprobung oder Schulung)
DMZ (Hier befinden sich verschiedene Server (Ubuntu für icinga2, nextcloud und osticket und unser MS SBS 2011 mit seinen Internetdiensten)

Die Server in der DMZ sind nur über den haProxy auf der pfSense erreichbar, welcher als SSL-Offloader arbeitet, und mittels ACME Package regelmäßig mit frischen SSL-Zertifikaten versorgt wird. Die SSL-Performance mit den let's encrypt Zertifikaten mit EC-384 Keysize konnte ich noch nicht ermitteln, da weder der Upload als auch die Server in der DMZ wohl genügend Leistung bereitstellen. Also für die 40 Mbit am VDSL2 Anschluss reicht es alle mal :)

Die Reine Routingleistung unter Beachtung des Firwall Regelwerks von LAN nach LAN II, reizt auf jedenfall eine Gigabit LAN-Verbindung gut aus. Die Übertragungsleistung im per SMB3 lagen bei 111 Megabyte im Durchschnitt. Mehr geht warscheinlich nur theoretisch und auf dem Papier oder per 10 Gigabit LAN ;)

Des weiteren laufen momentan schon ein paar IPSec VPN's als Standortvernetzung und mehrere openVPN's zu ein paar Mobotix Webcams.

Noch offene Baustellen

Hardware:

PCI-e 8x Schnittstelle nachrüsten
Zweite Astaro ASG 220 Rev. 4 als CARP Member anschaffen und umbauen

Konfiguration:

Site2Site IPSec VPN mit 1:1 NAT
CARP Einrichten und Testen
MS RDP-Gateway über haProxy zur Verfügung stellen
Telekom NGN Telefonie in Verbindung mit der Agfeo ES770 zum laufen bringen (Nicht wichtig da für die Fimra eh ein ISDN Anlagenanschluss genutzt wird, aber nötiges Wissen für die Zukunft)

Anbei nochmal ein paar Fotos von dem "kleinem DSL-Router" :)

Gruß
Ace

Photo-2016-07-05-21-27-09_4522.JPG_thumb

Photo-2016-07-05-21-27-16_4523.JPG_thumb

Photo-2016-07-05-21-27-24_4524.JPG_thumb

Photo-2016-07-05-21-28-17_4528.JPG_thumb

JeGr

Hallo Ace,

erstmal Danke für die Einsichten :)
Darf ich fragen, warum du die Astaro/Nexcom gekauft hast und dann mit anderen Komponenten umrüstest? Käme es da theoretisch nicht günstiger gleich ein anderes Gerät, eine andere Appliance oder eine Box selbst zu bauen?

Grüße

Ace of Space

Hi,

Das darfst du natürlich :)

Ich habe einfach nur nichts Preislich attraktives in der Leistungklasse gefunden.

Folgende Anforderungen gab es meiner seits:

1HE Gehäuse
VGA & USB
8x Gigabit
Statusdisplay

Und das ganze bis 500,- Euro.

CPU, SSD und RAM waren noch vorhanden aus altbeständen… also musste ich bisher nur 150 für die Astaro und 200 für das Netzteil aufwenden.

Mir wäre jetzt keine andere fertige appliance bekannt die es für so wenig gibt ;)

Gruß
Ace

lukascraggy

Hallo,

Ich versuche mit einer ASG 220 selbst mein Glück doch leider habe ich mit dem LCDProc ein paar Schwierigkeiten … Ich weiß nicht welche Treiber er verwendet und überhaupt wie er angesteuert wird, ich würde mich freuen, wenn sie mir helfen könnten.
Und z. B. mir ihre Einstellungen auf der pfSense im LCDProc Bereich zeigen würden.

MFG Lukas

mike69

Moin Lukas.

Schau mal, wie alt der Thread ist. :)

Und @Ace-of-Space war im Juni 2018 das letzte mal online hier. Der Erfolg wird seeeehr mager ausfallen imho.

Mike

JeGr

@lukascraggy Die Antwort hast du ja schon bekommen, jetzt lassen wir den alten Thread lieber ruhen, denn mit der alten Hardware werden sich wenige aktuell noch beschäftigen wollen. Zum einen weil 32bit tot ist und zum anderen weil wir früher oder später HW benötigen, die mit AES-NI daher kommt. Die alten kleinen Büchsen um die es hier ging, bringen meist beides nicht und sollten in Ruhe ausrangiert werden dürfen :)