• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

pfSense selbst bauen

Scheduled Pinned Locked Moved Deutsch
9 Posts 3 Posters 2.0k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • E
    esquire1968 0
    last edited by Sep 7, 2018, 3:11 PM

    Hallo zusammen!

    Da meine Firewall Hardware (Lanner FW-7541) schon etwas in die Jahre gekommen ist und darüber hinaus AES-NI nicht unterstützt (was für v2.5 voraussichtlich erforderlich ist), suche ich langsam nach Ersatz. Die günstigste Rackmount Lösung von Netgate kostet 1000 €. Daher mein Gedanke das Teil selbst zu bauen. Im Netz habe ich dazu allerdings nicht allzuviel gefunden.

    Ich habe mir mal folgende Konfiguration zusammengestellt und würde gerne Eure Meinung dazu hören.

    Mainboard
    Supermicro A2SDi-4C-HLN4F retail - 310,20
    RAM
    Crucial DIMM Kit 8GB, DDR4-2133, CL15, reg ECC - 105,45
    SSD
    Intel SSD 760p 128GB, M.2 - 62,86
    Gehäuse
    Yakkaroo 19" 1HE Server-Gehäuse IPC-C125B incl. 250W - 139,90

    In Summe komme ich damit auf rund 600 €, also deutlich weniger.

    Würde diese Konfig passen?

    Danke schon mal für Eure Tipps.

    Beste Grüße
    Thomas

    1 Reply Last reply Reply Quote 0
    • G
      Gladius
      last edited by Sep 7, 2018, 3:27 PM

      Ab pfSense 2.4.4 sollte das Board unterstützt werden.

      So steht es geschrieben.

      Die Plattform C3000 ist relativ neu in pfSense/FreeBSD. Erfahrungen im Eigenbau dürften deshalb rar sein.

      LG

      DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.7.0-RELEASE (amd64)

      1 Reply Last reply Reply Quote 0
      • E
        esquire1968 0
        last edited by Sep 7, 2018, 3:54 PM

        Der C3558 ich auch in der XG-7100 1U Appliance von Netgate verbaut.

        1 Reply Last reply Reply Quote 0
        • J
          JeGr LAYER 8 Moderator
          last edited by Sep 10, 2018, 11:08 AM

          Richtig, die C3000-Teile sollen erst mit 2.4.4 und dem neuen FreeBSD Unterbau sauber unterstützt werden. Ob das so ist, kann man ggf. nur mit einem Snapshot vorab testen. Daher sind die eigenen Kisten (SG-5100) auch noch nicht ausgeliefert, sondern nur vorbestellbar bislang.

          Allerdings muss ich subjektiv(!) sagen, dass die Supermicro Teilchen zwar laufen, aber so wahnsinnig dolle kommen sie mir nicht vor. Für den Firmeneinsatz (ich weiß ja nicht ob das privat oder Firma ist), würde ich mir lieber ne komplette Appliance anschaffen. Wir haben das selbst schon gesehen, dass die Supermicro Teile eben eher als Server konzipiert sind, denn als Netwerk Appliance (haben gerade selbst unsere liebe Not mit den Xeon-D Kisten von SM bis hin zu Eprom neu flashen nach Firmware Update weil es mit Netzwerk Controllern Probleme gab). Kann natürlich mal wieder Einzelfall sein, aber ist nicht wirklich schön. Und gerade bei C3000 sieht es schon sehr danach aus, dass man den Chipsatz sehr auf das abstimmen muss, was man damit anstellen will - und da ist SM eben recht generisch und Server- statt Netzwerk-zentrisch.

          Just another opinion ;)

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • E
            esquire1968 0
            last edited by Sep 10, 2018, 5:34 PM

            Danke für die umfassende Info. Dann wird's wohl nichts mit dem Selbrebauen ... schade.

            Was wäre den ein vernünftiger Nnchfolger für meine Lanner FW-7541? Nütze das Ding privat, sollte aber trotzdem genug Leistungsreserven haben.

            LG
            Thomas

            G J 2 Replies Last reply Sep 11, 2018, 6:10 AM Reply Quote 0
            • G
              Gladius @esquire1968 0
              last edited by Sep 11, 2018, 6:10 AM

              @esquire1968-0 said in pfSense selbst bauen:

              Was wäre den ein vernünftiger Nnchfolger für meine Lanner FW-7541?

              Als ich meine alte APU1D in Rente schicken wollte stand ich auch vor der Frage nach einem
              leistungsfähigeren System. Da ich gerne "bastle" habe ich mir um ein Jetway-Board
              (siehe Signatur) ein neues Teil aufgebaut. Eine APU2C4 schien mir in Bezug auf die
              OpenVPN-Leistung nicht mehr erste Wahl zu sein. Belastbare Aussagen zu OpenVPN
              gibt es hier.

              Nachteile im Vergleich zu einer APU2C4:

              • nur zwei Ethernetports (Intel i211)
              • mit rund 370 EUR preislich nicht so günstig

              Das Teil ist lüfterlos und ist recht sparsam im Energieverbrauch.
              Läuft seit Wochen ohne Probleme.

              LG

              DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.7.0-RELEASE (amd64)

              1 Reply Last reply Reply Quote 0
              • J
                JeGr LAYER 8 Moderator @esquire1968 0
                last edited by JeGr Sep 11, 2018, 9:49 AM Sep 11, 2018, 9:41 AM

                @esquire1968-0 said in pfSense selbst bauen:

                Was wäre den ein vernünftiger Nnchfolger für meine Lanner FW-7541? Nütze das Ding privat, sollte aber trotzdem genug Leistungsreserven haben.

                Naja du hast bislang ja auch noch Nullkommanix zu dem geschrieben, was du zu Hause nutzt. Wie soll man da dann auch eine Empfehlung aussprechen 😉

                Denn wenn ich die HW von Gladius lese, dann muss ich dran denken, dass es die scope7-1020 bzw. NCA-1020 auch mit 3 Ports (Intel) und stromsparend als Barebone um den Dreh gibt. Kommt also drauf an was man möchte und das Budget hergibt 😄

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • E
                  esquire1968 0
                  last edited by Sep 12, 2018, 9:19 PM

                  Sorry, hätte ich früher sagen sollen.

                  Aktuell verwende ich auf meiner FW-7541 1x WAN und 3x LAN, daher währen 4 NIC's das absolute Minimum (aktuell habe ich 6).

                  Aktuell laufenden Anwendungen:
                  max 35 Clients
                  4 permanente IPsec Verbindungen + mobiler Zugriff
                  3 permanente OpenVPN Verbindungen
                  FreeRadius
                  pfBlockerNG
                  Snort
                  Proxy als Test (Squid + SquidGuard)

                  Gebe gerne etwas mehr aus, dafür sollten genug Reserven da sein. Meine aktuelle FW ist letztlich auch oversized ...

                  1 Reply Last reply Reply Quote 0
                  • J
                    JeGr LAYER 8 Moderator
                    last edited by Sep 12, 2018, 9:57 PM

                    Hmm witzig, dass die meisten Leute immer mit Clients argumentieren. Wichtig ist doch eher, was kann der Anschluß an Bandbreite bringen bzw. was muss die Firewall dann an Mega/Gigabit und Pakete pro Sekunde verarbeiten ;) Das und natürlich was davon rechenintensiv wie VPN oder Snort und Co reinschlägt. Aber selbst Snort und VPN sind bei bspw. 2MBit/s pillepalle, das packt dann jede APU1 noch im Schlaf ;)

                    Daher: Nicht Clients sondern Bandbreite ist mit das Hauptargument und ob ihr die volle Bandbreite auch abrufen wollt/müsst (bspw. bei VPN). 400/20Mbps Kabel Internet im Down/Up? Klar kein Problem. Das auch Vollverschlüsseln? Oh wait... 400Mbps bei kleinen Paketgrößen also ordentlich pps ist schon anstrengend, da kommt auch der C2000 Atom schon ein wenig ins Schwitzen (je nach VPN). Daher ist das eigentlich eher die Nenngröße, nach der ich meistens die Geräte schonmal grob vorselektiere :)

                    Also wenn du noch was warten kannst und dein Budget ausreizt ... soll da bald eine sehr sehr schöne C3000 Denverton Alternative zur SG5100 erscheinen. Wird zwar teuer aber nicht so teuer wie die SG5100 nach dem was mir zu Ohren kam - und damit hättest du einen sehr ordentlich schnellen Chipsatz, 4/2 oder 6 Gigabit Ports (4 RJ45/2 SFP oder 6 RJ45) und sicher viel Spaß ;)

                    Ich bin mit meiner scope7-7525 extrem zufrieden. Teures Spielzeug, sicher. Und 6 Gigabit Ports sind sicher auch oversized. Aber für meinen Betrieb sicher die nächsten Jahre nicht kleinzukriegen. Ist zwar noch der "alte" C2558 4-Kerner, aber der wuppert auch ordentlich was durch den Äther. Wenn ich jetzt suchen würde, würde ich aber ggf. auf die 3000er warten und dann in Zukunft + Ruhe investieren :)

                    Gruß

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    9 out of 9
                    • First post
                      9/9
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                      This community forum collects and processes your personal information.
                      consent.not_received