Upgrade von Alix-Board

JeGr

Hallo Michael,

Ich bin derzeit aktiv auf der Suche nach einem Ersatzsystem für die bestehende Hardware und dachte mir, dass es nicht sonderlich schwer sein würde, ein Alix 2C3 Board in Sachen Performance zu schlagen - eine konkrete Empfehlung gab es noch nicht, daher frage ich diese an dieser Stelle an :) Ich habe auch die Möglichkeit, über den damaligen Shop eine neuere Appliance mit AMD G-SERIES SOC GX-210JA 1.0Ghz Dual Core CPU, 2 GB RAM und 3x GBit-Ports einzukaufen, das liegt dann preislich bei um die 600,00 EUR. Es muss sich aber nicht zwingend um aktuellste Neuware handeln, sondern lediglich den gedachten Einsatzzweck erfüllen und etwas Puffer für die Zukunft bieten. Der pfsense Shop liefert nicht von Europa aus wenn ich das richtig gesehen habe, oder gibt es dafür spezielle Verkäufer / Distributoren?

Also wenn du um die 600€ herum am Schauen bist(?) dann ganz sicher keine Watchguard. Das macht keinen Sinn, denn für das Geld bekommst du bspw. (als Firma einkaufend) nen Supermicro Server mit C2758: http://www.supermicro.com/products/system/1U/5018/SYS-5018A-TN4.cfm. Oder für privat dann ggf. eine Büchse mit C2350/C2358 Rangeley. Also sowas wie die neue Box, die pfSense in den Store gebracht hat.

Der ist nahezu (wenn nicht sogar exakt) baugleich mit dem pfSense Gerät aus deren Store. Die APU aus dem Store ist bspw. bei Varia o.ä. zu finden, dort auch gegen Aufpreis mit 19" Rackmount-Gehäuse und wenn dus dir richtig geben willst und einen CARP Cluster aus den Teilen bauen möchtest, gibts sogar ein 19" Gehäuse mit 2 APUs in einer HE. Und selbst damit lägst du noch unter 600€.

Grüße

michaeljk

Ein Rackmount-Gehäuse muss es in jedem Fall sein. Der Leistungsunterschied zur jetzigen Hardware soll spürbar sein, aber auch nicht so überdimensioniert das die Firewall so gut wie nichts zu tun hat - dann nutze ich lieber 2 Rechner und setze auf Ausfallsicherheit. Den pfSense-Server auf Basis der APU habe ich bei Varia bereits gefunden, dort ist dieser aber derzeit nicht erhältlich (ich müsste auf neuen Hardware-Zulauf warten).

Bei Applianceshop gibt es beispielsweise diesen Rechner:
https://www.applianceshop.eu/security-appliances/19-rack-appliances/pfsense-based-6/sense-a10-dual-core-rack-edition.html

Ist die CPU / das Board darauf soviel leistungsstärker als ein APU1D4-Board mit 4 GB RAM? Der Preisunterschied zu dem Angebot bei Varia beträgt immerhin ganze 234 EUR, dafür könnte man sich schon fast 2x APU1D4 im 19" Gehäuse kaufen. Ein SuperServer 5018A-TN4 sieht natürlich schick aus vom Leistungsumfang, aber ich befürchte das ist für meine Zwecke doch etwas überdimensioniert :)

Grüsse,

Michael

JeGr

aber ich befürchte das ist für meine Zwecke doch etwas überdimensioniert :)

Kannst du ein paar Rahmendaten nennen, was du machen möchtest bzw. die Hardware wuppern soll? Dann kann man vielleicht eher was dazu sagen :)

michaeljk

Momentan muss die Firewall lediglich an einem 16 MBit ADSL-Anschluss funktionieren, intern derzeit bis zu 10 Nutzer parallel. Das schafft auch das Alix-Board problemlos, nun kommen aber einige openVPN-Clients (3-5) hinzu und man merkt das es bereits schwächelt. Ich möchte das ganze zukunftssicher soweit ausstatten, dass auch ein Anschluss im Bereich von 50 MBit und zwei zusätzliche Site-toSite VPN-Verbindungen problemlos machbar sind. So wie ich das ganze bisher rauslesen konnte, dürfte eine APU hierfür bereits ausreichend sein, ansonsten könnte man natürlich auch zu einem späteren Zeitpunkt noch stärkere Hardware einkaufen. Vermutlich ist es derzeit besser in Ausfallsicherheit (zweite pfsense / LTE Fallback an WAN-Port 2) zu investieren anstatt in zu grosse Einzelsysteme - da man eine Firewall aber nicht allzuoft tauscht, brauchte ich dafür erstmal einen Überblick :)

JeGr

Hallo Michael,

bei VPN Tunneln kommts auch immer darauf an, was da drüber geschoben wird (also in Echtzeit verschlüsselt). Wenn da nicht gerade 1Gbps Vollduplex laufen muss ;) dann sollte eine APU das schon mehr als gewuppt bekommen. Die genannte Kiste vom Appliance Shop ist ja auch eine AMD G-series SOC, allerdings wohl etwas neueren Datums und (angeblich) mit AES Unterstützung. Allerdings kann ich hier nicht bestätigen, ob die Crypto Verschlüsselung unter BSD/pfSense funktioniert oder nicht. Die APU hat zumindest keine. Auf der anderen Seite scheinen deine Anforderungen aber auch nicht SO heiß zu sein, als dass das unbedingt ins Gewicht fiele.

Wenn du also momentan eher ein (ausfall-)sicheres Setup bauen möchtest, wäre vllt. eher eine Doppel-APU 1HE Büchse was für dich.
Wenn HA/Ausfallsicherheit weniger problematisch sind - das kann ich so natürlich nicht beurteilen - dann könnte man auch die Appliance Kiste nehmen.

Aber: wie gesagt bekämst du für die Kosten dieser AMD Kiste bei Applianceshop andernorts bereits eine kleine Intel Rangeley Kiste. Im Bereich zwischen 400 und 450€ könnte ich dir da bereits einen Atom C2358 Rangeley mit 4 NICs anbieten, der dann auch AES-NI hat, QuickAssist (siehe letzter pfSense Newsletter, es wird ja daran gearbeitet Intel QuickAssist Verschlüsselungsbeschleunigung nativ auf FreeBSD und pfSense zu portieren) und ganz gute Reserven. Mit einem C2758 ist es ja jetzt schon durchaus möglich, 1Gbps IPSEC zu schieben, somit sollte ein C2358 spätestens mit QuickAssist ebenfalls sehr hohe Datenraten via VPN schaffen ohne einzubrechen und damit mehr als genug Ressourcen für dich bieten :)

Wenn du mehr Details möchtest kannst du mich auch gern via PN kontaktieren :)

Grüße
Jens

hartung

Hallo,

da ich hier auch gerade vor dem Problem der Aufrüstung von Alix zu potenterer Hardware stehe und bei uns in der Firma ähnliche Preisvorstellungen herrschen ( ;) )wollte ich euch mal fragen, wo ihr denn hierzulande den C2758 respektive den barebone wie den SYS-5018A-TN4 bzw. ein Komplettsystem für einen guten Preis kauft?
Ich hab dazu noch nicht wirklich viel gefunden, bzw. nur Händler die ich bisher nicht kannte, würde mich da über Erfahrungen und Empfehlungen freuen.

JeGr

Ahoi,

die Supermicro Kisten waren eine Zeit lang bei Amazon verfügbar, ansonsten bei Sona oder Jacob Electronic, je nachdem ob es die FTN oder TN sein soll. Andernfalls sollte das aber auch jeder Supermicro Distributor liefern können.
Ansonsten gibt es den C2758 auch in anderen Kisten. Bspw. die FW-7573 oder auch die FW-7525 wenn es der kleine Bruder mit 2- oder 4-Kernen (C2358 oder C2558) sein darf.

Grüße

hartung

Danke schon mal dafür.
Was mir jetzt noch fehlt: gibt es irgendwelche Inkompatibilitäten mit der "fehlenden" Hardware RAM und Festplatte, bzw. SSD?
Sona kann da nichts zu sagen, die haben noch nie pfsense aufgespielt (eine Schande ;-)
Oder andersrum, gibt es Listen kompatibler Hardware für pfsense?

JeGr

Ja gibt es auf der Webseite, aber ich verstehe nicht ganz wo du Inkompatibilitäten suchst?

Bei RAM solltest du eher bei Supermicro nachschauen, was die an Kompatibilität vorschreiben, denn RAM ist eher vom Board abhängig. Kein OS das ich kenne hat bislang mit RAM rumgemuckt (außer er war defekt). Und HDD oder SSD ist dem OS zum Großteil auch wumpe, sofern es das Board Schnittstellen-seitig richtig anbindet.

Insofern kauf dir RAM, der mit der Appliance zusammen spielt und ansonsten dann eben ne SSD oder nen USB für deinen Einsatzzweck (meines Wissens hatten die 5018er alle nen OnBoard USB Port für solche mini-USB Stecker, die man dann direkt booten kann bspw. wenn man Baremetal-Hypervisoren installiert wie ESX o.ä. und dafür keinen 2,5" / 3,5" Schacht opfern will).

hornetx11

Moin,

@JeGr:

(meines Wissens hatten die 5018er alle nen OnBoard USB Port für solche mini-USB Stecker, die man dann direkt booten kann bspw. wenn man Baremetal-Hypervisoren installiert wie ESX o.ä. und dafür keinen 2,5" / 3,5" Schacht opfern will).

Leider ist der 'interne' USB Port ein USB3 und wird von ESXi bis mindestens 5.5U2 nicht unterstützt.
pfSense 2.2.1 lässt sich hier jedoch gut installieren und nach den Anpassungen in der /boot/loader.conf.local bezüglich der NICs läuft sie unauffällig.

MfG hornetx11

JeGr

Leider ist der 'interne' USB Port ein USB3 und wird von ESXi bis mindestens 5.5U2 nicht unterstützt.
Ah interessant :) Ich habe die Kisten bislang nur für pfSense verwendet, aber gut zu wissen, dass die wohl erst für ESXi 6 zu gebrauchen wären - oder man nimmt Xen/KVM und Co ;)
War auch eher als Beispiel gedacht, aber so lernt man wieder was dazu!

pfSense 2.2.1 lässt sich hier jedoch gut installieren und nach den Anpassungen in der /boot/loader.conf.local bezüglich der NICs läuft sie unauffällig.
Welche Anpassungen musstest du noch vornehmen? Bei 2.2.1 sollte doch zwischenzeitlich alles alleine laufen und keine mbuf oder sonstigen Hacks mehr notwendig sein?

Grüße

hornetx11

@JeGr:

Ah interessant :) Ich habe die Kisten bislang nur für pfSense verwendet,

Ich verwende die SYS-5018A-FTN4 mit ESXi 5.5 für Mailserver / S/Mime, GPG Gateways in "unkritischen" Umgebungen.

@JeGr:

Welche Anpassungen musstest du noch vornehmen? Bei 2.2.1 sollte doch zwischenzeitlich alles alleine laufen und keine mbuf oder sonstigen Hacks mehr notwendig sein?

Spaßeshalber habe ich gestern mal pfSense 2.2.1 vom Stick installiert.
Noch während der, im Gegensatz zur 2.1.5, problemlosen Installation wurden "igb3: Could not receive structures" angezeigt.
Nach Erweiterung der /boot/loader.conf.local  mit

kern.ipc.nmbclusters="131072"
hw.igb.num_queues=1

traten die Fehler nicht mehr auf.

Zugegeben die Kiste ist so nicht in den Einsatz gekommen, so das ich hier auch keine Langzeit Ergebnisse liefern kann.

MfG hornetx11

JeGr

OK das ist auf jeden Fall gut zu wissen. Werde das aber ggf. mal beim Team anfragen, warum das nach wie vor ein Problem ist, denn eigentlich hatte ich das Changelog so verstanden, dass die Queues und Buffer Geschichten jetzt mit 10.x und den neuen Treibern endlich out of the box laufen.

Danke dafür :)