Neue Hardware und HA

viragomann

Hallo!

@interessierter said in Neue Hardware und HA:

https://www.thegeekpub.com/14863/the-best-pfsense-box/

Sieht aus wie eine ALIX 2D13.
Die ist definitiv am Ende. Das ist ja noch eine 32 bit Hardware, auf welcher eine aktuelle pfSense längst nicht mehr läuft.
Und da läuft echt Snort drauf?

@interessierter said in Neue Hardware und HA:

Ich hatte mehrmals die Situation, das die pfsense nicht mehr booten wollte.

Das liegt meist an einem Filesystem Fehler. Wenn du eine neue pfSense installierst, verwende ZFS. Das ist "selbstheildend", da gibt es kaum Probleme mit Netzausfällen.

@interessierter said in Neue Hardware und HA:

Die Box steht bei mir wegen eines LTE Modems am Dachboden

Wenn es ein LAN-Kabel nach unten gibt, ist das kein Grund die Box am Dachboden zu montieren.

@interessierter said in Neue Hardware und HA:

Es gibt ja von der PFSense ein HA Feature. Ich möchte aber eigentlich nicht das ganze mit virtueller IP ect. spielen. Mir wäre am liebsten, die neue Box und die alte Syncen einfach nur ihre Config. Wenn dann die primäre nicht laufen sollte, würde ich einfach mit der Hand umstecken. Ist so ein sync möglich?

Ja klar ist das möglich. Aber wofür syncen? Änderst du dein Konfiguration so oft?
Ein Backup der Konfig einzuspielen wäre doch völlig ausreichend, und die Reserve-Box muss nicht ständig mitlaufen.
Die aktuelle pfSense bietet ein Auto-Backup, das ständig den letzten Konfigstand bereithält.

@interessierter said in Neue Hardware und HA:

Wenn ich eine neue Box kaufe, so soll die natürlich wieder so lange problemlos laufen wie die alte. Mein Internet Zugang ist im Moment ein LTE mit bis zu 70 Mbit. Ein Glasfaser Anschluss ist möglicherweise bald im Anmarsch. Was empfehlt ihr im Bezug auf CPU und RAM? Ich möchte hier kein Bottleneck züchten

Die 70 Mib/s schafft auch eine Netgate 1100. Für die gleiche Datenrate via VPN müsste es vielleicht etwas stärker sein, ebenso für Snort. Allerdings würde ich mich fragen, ob ich letzteres wirklich brauche.
Netgate hat die Eigenschaften und Datendurchsätze der Hardware Appliances ganz gut dargestellt:
https://www.netgate.com/appliances

interessierter

@viragomann said in Neue Hardware und HA:

Hallo!

@interessierter said in Neue Hardware und HA:

https://www.thegeekpub.com/14863/the-best-pfsense-box/

Sieht aus wie eine ALIX 2D13.
Die ist definitiv am Ende. Das ist ja noch eine 32 bit Hardware, auf welcher eine aktuelle pfSense längst nicht mehr läuft.
Und da läuft echt Snort drauf?

@interessierter said in Neue Hardware und HA:

Ich hatte mehrmals die Situation, das die pfsense nicht mehr booten wollte.

Das liegt meist an einem Filesystem Fehler. Wenn du eine neue pfSense installierst, verwende ZFS. Das ist "selbstheildend", da gibt es kaum Probleme mit Netzausfällen.

@interessierter said in Neue Hardware und HA:

Die Box steht bei mir wegen eines LTE Modems am Dachboden

Wenn es ein LAN-Kabel nach unten gibt, ist das kein Grund die Box am Dachboden zu montieren.

@interessierter said in Neue Hardware und HA:

Es gibt ja von der PFSense ein HA Feature. Ich möchte aber eigentlich nicht das ganze mit virtueller IP ect. spielen. Mir wäre am liebsten, die neue Box und die alte Syncen einfach nur ihre Config. Wenn dann die primäre nicht laufen sollte, würde ich einfach mit der Hand umstecken. Ist so ein sync möglich?

Ja klar ist das möglich. Aber wofür syncen? Änderst du dein Konfiguration so oft?
Ein Backup der Konfig einzuspielen wäre doch völlig ausreichend, und die Reserve-Box muss nicht ständig mitlaufen.
Die aktuelle pfSense bietet ein Auto-Backup, das ständig den letzten Konfigstand bereithält.

@interessierter said in Neue Hardware und HA:

Wenn ich eine neue Box kaufe, so soll die natürlich wieder so lange problemlos laufen wie die alte. Mein Internet Zugang ist im Moment ein LTE mit bis zu 70 Mbit. Ein Glasfaser Anschluss ist möglicherweise bald im Anmarsch. Was empfehlt ihr im Bezug auf CPU und RAM? Ich möchte hier kein Bottleneck züchten

Die 70 Mib/s schafft auch eine Netgate 1100. Für die gleiche Datenrate via VPN müsste es vielleicht etwas stärker sein, ebenso für Snort. Allerdings würde ich mich fragen, ob ich letzteres wirklich brauche.
Netgate hat die Eigenschaften und Datendurchsätze der Hardware Appliances ganz gut dargestellt:
https://www.netgate.com/appliances

Hallo!

Danke für deine Antwort. Ich wollte mit dem Link eigentlich nur das Model von außen zeigen, von Größe ect. Nein meine ist schon eine 64bit:

BIOS Vendor: coreboot
Version: SageBios_PCEngines_APU-45
Release Date: Sat Apr 5 2014
Version 2.5.2-RELEASE (amd64)
built on Fri Jul 02 15:33:00 EDT 2021
FreeBSD 12.2-STABLE
CPU Type AMD G-T40E Processor
2 CPUs: 1 package(s) x 2 core(s)
AES-NI CPU Crypto: No
QAT Crypto: No

Das kann sein, ich weiß nicht mehr, welches File format ich da verwendet habe. Speziell Stromunterbrechungen während sie noch bootet taugen ihr gar nicht. Da ist die Wahrscheinlichkeit sehr groß, dass ich wieder mit dem USB Stick ausrücken muss.

Sie ändert sich definitiv nicht täglich, aber schon in regelmäßigen Abständen. Und da wäre es gut zu wissen, dass ich ein Spare Gerät mit gleicher Config habe. Die muss ja auch nicht dauernd laufen, ich kann die ja einmal am Tag einschalten, damit sie syncen kann.

Ja der Internet Zugang ist jetzt halt Spitze 70 Mbit. Allerdings so hoffe ich, bekommen wir bald einen Glasfaser Anschluss. Und ich möchte nicht wieder mit einem neuen Gerät hier ein Bootleneck haben. Ich habe so eine Erfahrung indirekt schon einmal gehabt. Mein Internet Anschluss war lange nur bei 3 Mbit, somit waren die WLan APs ziemlich egal. Mit dem Umstieg auf LTE in meinem Fall, war von einem Tag auf den anderen plötzlich nicht mehr das Internet das Bootleneck.

Ob ich letzteres wirklich brauche? Was meinst du? Snort?
Der VPN wird maximal von mir als User verwendet, und es gibt einen Tunnel in Azure. Aber da sind keine patzen Lasten oben, sondern Labs die in Azure gehostet sind.

Ich habe vom Dachboden in den Keller nur ein Kabel, und auch am Dachboden einen Switch montiert. Daher kann ich dieses Kabel nicht verwenden. Möglicherweise wenn der Glas Anschluss im Keller rein kommt, brauche ich kein Modem wegen LTE mehr am Dach, und es ist alles im Keller. Das wäre eigentlich die gedachte "Endlösung". Bis dahin möchte ich den Aufwand mit Kabel ziehen gering halten. Immerhin soll das Modem am Dach ein Ablaufdatum haben

JeGr

@interessierter said in Neue Hardware und HA:

Version 2.5.2-RELEASE (amd64)
built on Fri Jul 02 15:33:00 EDT 2021
FreeBSD 12.2-STABLE
CPU Type AMD G-T40E Processor
2 CPUs: 1 package(s) x 2 core(s)
AES-NI CPU Crypto: No
QAT Crypto: No

Das ist eine APU1 mit G-T40E. Die ist sogar mehr als tot, um andere Kollegen zu zitieren, denn die APU1 wird seit Jahren nicht mehr aufgelegt und gebaut und mehrfach EOL. Da hätte lange schon mind. eine APU2 als Ersatz herhalten müssen.

Sie ändert sich definitiv nicht täglich, aber schon in regelmäßigen Abständen. Und da wäre es gut zu wissen, dass ich ein Spare Gerät mit gleicher Config habe. Die muss ja auch nicht dauernd laufen, ich kann die ja einmal am Tag einschalten, damit sie syncen kann.

Das klappt so nicht. Du hättest dann ständige Fehler im System, weil der 1. seinen 2. zum syncen nicht findet. HA heißt HOCHverfügbar und nicht "ein bisschen verfügbar" ;) Daher ist HA entweder ganz oder gar nichts. Alles andere ist User - in dem Fall deine - Aufgabe dir irgendwas hinzuspielen damit das funktioniert. Du brauchst da auch keinen Sync o.ä. sondern ein funktionierendes Backup, damit du im Fehlerfall deine aktuelle Konfiguration zu Hand hast und das kombiniert mit einem halbwegs aktuellen Installations-Stick und nem seriellen Kabel für Konsole. Dann ist ein zweites Gerät auch notfalls in 15min installiert - 10m installieren (bei ner APU) und 5min first boot und config restore und dann läuft es wieder. Ist dann aber halt eben ein harter Ausfall. Oder du sicherst deine Konfig immer brav auf USB sticks und steckst die ins zweite Gerät und machst die dann an - dann würde die Konfig vom Stick geladen und genutzt werden.

Aber mit HA ist das nicht gemeint. HA ist HA und das läuft nur sinnvoll wenn beide Geräte immer laufen.

Ich hatte mehrmals die Situation, das die pfsense nicht mehr booten wollte.

Neuinstallation mit ZFS angeraten

Die Box steht bei mir wegen eines LTE Modems am Dachboden, somit kann ich dort auch keine USV hinstellen.

Sorry das ist Unfug. Kleine USV Boxen kannst du ÜBERALL hinstellen. Wir reden hier ja nicht unbedingt von einem 4HE Rackmount mega Batteriepack. Eine kleine 450VA Kiste die aussieht wie eine übergroße und dicke Steckdosenleiste hat noch jeder irgendwo problemlos unterbringen können und hat dann halbwegs ordentlichen Schutz für Überspannung und Stromausfall.

50-60€ und der Platz sind wohl kaum ein großes Problem?
Beispiel: https://www.notebooksbilliger.de/apc+bx650li+gr+back+ups+usv+640743

Ein Glasfaser Anschluss ist möglicherweise bald im Anmarsch. Was empfehlt ihr im Bezug auf CPU und RAM? Ich möchte hier kein Bottleneck züchten

Das sagt aber leider nichts über die zu erwartende Geschwindigkeit/Bandbreite aus. Was IST denn geplant?

Das Gerät soll eine 19 Zoll Applicance sein

Dann wirst du sehr wahrscheinlich nicht unter ~600€ pro Gerät rauskommen. 19" in "billig" ist bis auf diese Custom-gesägten APU2 Einzel/Doppelgehäuse so gut wie nicht zu finden. Das meiste bis zum Midrange Modell sind Desktop Kisten die nicht für Rackeinsatz gebaut werden und auch keine Einbauwinkel haben. Frühestens eine SG-5100 bzw. eine scope7-1510 könnte man ins Rack hängen mit Zusatzwinkeln und auch da liegt das Grundgerät schon bei ~699$ + Ship + Zoll. Die erste offizielle Rack-Kiste von Netgate Seite ist die 7100-1U und die liegt bei ~1000 EUR.

Ansonsten ist das kleinste 19" was wir verkaufen aktuell neben der Netgate eigenen 7100 eine scope7-7907 oder wenns noch kleiner sein muss eine scope7-1510 für die man wenn lieferbar ein Rackmount Kit bekommen kann. "Kleiner" von der HW wird es bei 19" aber wie gesagt nur mit custom-gesägtem/gebautem APU2 Gehäuse und je nachdem wie dick die Glasfaser geplant ist, würde ich da nicht mehr auf 7-Jahre-alte-APU2 HW setzen (APU2/3/4 HW Plattform wurde 2013/2014 final released).

Ansonsten: glück gehabt mit der APU1 dass sie nicht durchgeschmirgelt ist, du hättest wahrscheinlich keine mehr bekommen (höchstens gebraucht über Umwege). Und die APU2 hat andere NICs, somit wäre ein einfaches "config rein" auch an der Neuzuweisung der Interfaces "gescheitert" bzw. hätte eben wesentlich länger gedauert.

Im Prinzip ist es eine Frage wieviel du bereit bist in ordentliche Lösungen und Hardware zu investieren, gerade in Hinblick auf mehrere Jahre Laufzeit der Geräte.

Cheers

viragomann

@interessierter
Dann hast du ja eine Hardware, auf welcher du eine aktuelle pfSense mit ZFS installieren könntest. Das würde ich als erstes auch machen. Ist vermutlich eine APU1, aber für 70 Mbit/s reicht sie allemal.

Standardmäßig wird UFS bei der Installation verwendet. Daher gehe ich davon aus, dass du UFS hast. Bei ZFS gibt es diese Probleme mit Netzausfällen auch kaum.
Meine Heim-pfSense läuft seit 3,5 Jahren und hatte schon zig-Stromausfälle unbeschadet überstanden, wobei diese 2 funktionierende Filesysteme benötigt, weil sie virtualisiert läuft. Der Host verwendet BtrFS, pfSense ZFS.
Auch eine zweite Installation auf einer APU2, die ich remote betreue, läuft seit mehr 2 Jahren ohne USV, ohne dass sie einmal Starthilfe brauchte.
Die Schwäche von UFS ist bekannt. Das FS lässt sich zwar normalerweise nach einem Ausfall wieder reparieren, allerdings geht das auch nur per Interaktion. ZFS startet von selbst wieder durch.

Sie ändert sich definitiv nicht täglich, aber schon in regelmäßigen Abständen. Und da wäre es gut zu wissen, dass ich ein Spare Gerät mit gleicher Config habe. Die muss ja auch nicht dauernd laufen, ich kann die ja einmal am Tag einschalten, damit sie syncen kann.

Geht natürlich. Dafür müsstest du eine zweite gleiche Hardware haben. Ein tägliches Einschalten könnte eventuell auch das BIOS bewerkstelligen, wenn es diese Funktion bietet. Das Wiederausschalten könnte ein cron-Job übernehmen.

Wenn die Hardware unterschiedlich ist, müsste die Konfiguration vor oder ggf. während des Restores angepasst werden.
Mir wäre der Aufwand aber für Heimnetz zu hoch. Ich würde mir eine neue Hardware anschaffen, wenn das ohnehin für die Zukunft ansteht, und die alte APU als Reserve behalten und den Restore ggf. von Hand erledigen.

Ob ich letzteres wirklich brauche? Was meinst du? Snort?

Ja, genau. Snort für ausgehende Verbindungen macht heute im Heimbereich nicht wirklich viel Sinn.
Ob du das brauchst, solltest du vorab abklären.
Blocken diverser Webseiten geht mit pfBlockerNG wesentlich resourcenschonender.

Bezüglich der Hardware für Glasphaser kommt es auf die Bandbreite an, die die Hardware dann zu bewältigen hat. "Glasphaser" steht bei euch vermutlich schon für eine bestimmte Bandbreite, ist mir aber nicht bekannt.
Vielleicht kann sich @JeGr hierzu zu Wort melden. Der hat da auch mehr Erfahrung. Ha, eben gechehen .

interessierter

@jegr said in Neue Hardware und HA:

@interessierter said in Neue Hardware und HA:

Version 2.5.2-RELEASE (amd64)
built on Fri Jul 02 15:33:00 EDT 2021
FreeBSD 12.2-STABLE
CPU Type AMD G-T40E Processor
2 CPUs: 1 package(s) x 2 core(s)
AES-NI CPU Crypto: No
QAT Crypto: No

Das ist eine APU1 mit G-T40E. Die ist sogar mehr als tot, um andere Kollegen zu zitieren, denn die APU1 wird seit Jahren nicht mehr aufgelegt und gebaut und mehrfach EOL. Da hätte lange schon mind. eine APU2 als Ersatz herhalten müssen.

Sie ändert sich definitiv nicht täglich, aber schon in regelmäßigen Abständen. Und da wäre es gut zu wissen, dass ich ein Spare Gerät mit gleicher Config habe. Die muss ja auch nicht dauernd laufen, ich kann die ja einmal am Tag einschalten, damit sie syncen kann.

Das klappt so nicht. Du hättest dann ständige Fehler im System, weil der 1. seinen 2. zum syncen nicht findet. HA heißt HOCHverfügbar und nicht "ein bisschen verfügbar" ;) Daher ist HA entweder ganz oder gar nichts. Alles andere ist User - in dem Fall deine - Aufgabe dir irgendwas hinzuspielen damit das funktioniert. Du brauchst da auch keinen Sync o.ä. sondern ein funktionierendes Backup, damit du im Fehlerfall deine aktuelle Konfiguration zu Hand hast und das kombiniert mit einem halbwegs aktuellen Installations-Stick und nem seriellen Kabel für Konsole. Dann ist ein zweites Gerät auch notfalls in 15min installiert - 10m installieren (bei ner APU) und 5min first boot und config restore und dann läuft es wieder. Ist dann aber halt eben ein harter Ausfall. Oder du sicherst deine Konfig immer brav auf USB sticks und steckst die ins zweite Gerät und machst die dann an - dann würde die Konfig vom Stick geladen und genutzt werden.

Aber mit HA ist das nicht gemeint. HA ist HA und das läuft nur sinnvoll wenn beide Geräte immer laufen.

Ich hatte mehrmals die Situation, das die pfsense nicht mehr booten wollte.

Neuinstallation mit ZFS angeraten

Die Box steht bei mir wegen eines LTE Modems am Dachboden, somit kann ich dort auch keine USV hinstellen.

Sorry das ist Unfug. Kleine USV Boxen kannst du ÜBERALL hinstellen. Wir reden hier ja nicht unbedingt von einem 4HE Rackmount mega Batteriepack. Eine kleine 450VA Kiste die aussieht wie eine übergroße und dicke Steckdosenleiste hat noch jeder irgendwo problemlos unterbringen können und hat dann halbwegs ordentlichen Schutz für Überspannung und Stromausfall.

50-60€ und der Platz sind wohl kaum ein großes Problem?
Beispiel: https://www.notebooksbilliger.de/apc+bx650li+gr+back+ups+usv+640743

Ein Glasfaser Anschluss ist möglicherweise bald im Anmarsch. Was empfehlt ihr im Bezug auf CPU und RAM? Ich möchte hier kein Bottleneck züchten

Das sagt aber leider nichts über die zu erwartende Geschwindigkeit/Bandbreite aus. Was IST denn geplant?

Das Gerät soll eine 19 Zoll Applicance sein

Dann wirst du sehr wahrscheinlich nicht unter ~600€ pro Gerät rauskommen. 19" in "billig" ist bis auf diese Custom-gesägten APU2 Einzel/Doppelgehäuse so gut wie nicht zu finden. Das meiste bis zum Midrange Modell sind Desktop Kisten die nicht für Rackeinsatz gebaut werden und auch keine Einbauwinkel haben. Frühestens eine SG-5100 bzw. eine scope7-1510 könnte man ins Rack hängen mit Zusatzwinkeln und auch da liegt das Grundgerät schon bei ~699$ + Ship + Zoll. Die erste offizielle Rack-Kiste von Netgate Seite ist die 7100-1U und die liegt bei ~1000 EUR.

Ansonsten ist das kleinste 19" was wir verkaufen aktuell neben der Netgate eigenen 7100 eine scope7-7907 oder wenns noch kleiner sein muss eine scope7-1510 für die man wenn lieferbar ein Rackmount Kit bekommen kann. "Kleiner" von der HW wird es bei 19" aber wie gesagt nur mit custom-gesägtem/gebautem APU2 Gehäuse und je nachdem wie dick die Glasfaser geplant ist, würde ich da nicht mehr auf 7-Jahre-alte-APU2 HW setzen (APU2/3/4 HW Plattform wurde 2013/2014 final released).

Ansonsten: glück gehabt mit der APU1 dass sie nicht durchgeschmirgelt ist, du hättest wahrscheinlich keine mehr bekommen (höchstens gebraucht über Umwege). Und die APU2 hat andere NICs, somit wäre ein einfaches "config rein" auch an der Neuzuweisung der Interfaces "gescheitert" bzw. hätte eben wesentlich länger gedauert.

Im Prinzip ist es eine Frage wieviel du bereit bist in ordentliche Lösungen und Hardware zu investieren, gerade in Hinblick auf mehrere Jahre Laufzeit der Geräte.

Cheers

Ich weiß die Hardware ist nicht mehr die neuerste, aber EOL weil sie nicht mehr hergestellt wird oder wie? Sie ist 64 bit und es laufen noch immer Updates drauf, sehe das jetzt ehrlich gesagt nicht so heiß.

Ein Akku mag jedenfalls keine zu kalten und zu heißen Temperaturen. Im Sommer hat es dort über 40 grad ohne Probleme, im Winter Minus Grade. Die Gebrauchsanweisung sagt der Hersteller selbst, das dieses Gerät nicht bei zu hohen Temperaturen eingesetzt werden soll. Obwohl zugegeben der Hersteller eine Temepratur Anlabe selbst nicht macht. Aber 40 bis 50 grad zählen da für mich hinein. Sei es drum, der Platz ist temporär bis hoffentlich das Glas kommt.

Was ist den mit diesen ganzen "fremd" 3rd party appliance wie eine alte Juniper, wo dann pfsense drauf läuft?

interessierter

@viragomann said in Neue Hardware und HA:

@interessierter
Dann hast du ja eine Hardware, auf welcher du eine aktuelle pfSense mit ZFS installieren könntest. Das würde ich als erstes auch machen. Ist vermutlich eine APU1, aber für 70 Mbit/s reicht sie allemal.

Standardmäßig wird UFS bei der Installation verwendet. Daher gehe ich davon aus, dass du UFS hast. Bei ZFS gibt es diese Probleme mit Netzausfällen auch kaum.
Meine Heim-pfSense läuft seit 3,5 Jahren und hatte schon zig-Stromausfälle unbeschadet überstanden, wobei diese 2 funktionierende Filesysteme benötigt, weil sie virtualisiert läuft. Der Host verwendet BtrFS, pfSense ZFS.
Auch eine zweite Installation auf einer APU2, die ich remote betreue, läuft seit mehr 2 Jahren ohne USV, ohne dass sie einmal Starthilfe brauchte.
Die Schwäche von UFS ist bekannt. Das FS lässt sich zwar normalerweise nach einem Ausfall wieder reparieren, allerdings geht das auch nur per Interaktion. ZFS startet von selbst wieder durch.

Sie ändert sich definitiv nicht täglich, aber schon in regelmäßigen Abständen. Und da wäre es gut zu wissen, dass ich ein Spare Gerät mit gleicher Config habe. Die muss ja auch nicht dauernd laufen, ich kann die ja einmal am Tag einschalten, damit sie syncen kann.

Geht natürlich. Dafür müsstest du eine zweite gleiche Hardware haben. Ein tägliches Einschalten könnte eventuell auch das BIOS bewerkstelligen, wenn es diese Funktion bietet. Das Wiederausschalten könnte ein cron-Job übernehmen.

Wenn die Hardware unterschiedlich ist, müsste die Konfiguration vor oder ggf. während des Restores angepasst werden.
Mir wäre der Aufwand aber für Heimnetz zu hoch. Ich würde mir eine neue Hardware anschaffen, wenn das ohnehin für die Zukunft ansteht, und die alte APU als Reserve behalten und den Restore ggf. von Hand erledigen.

Ob ich letzteres wirklich brauche? Was meinst du? Snort?

Ja, genau. Snort für ausgehende Verbindungen macht heute im Heimbereich nicht wirklich viel Sinn.
Ob du das brauchst, solltest du vorab abklären.
Blocken diverser Webseiten geht mit pfBlockerNG wesentlich resourcenschonender.

Bezüglich der Hardware für Glasphaser kommt es auf die Bandbreite an, die die Hardware dann zu bewältigen hat. "Glasphaser" steht bei euch vermutlich schon für eine bestimmte Bandbreite, ist mir aber nicht bekannt.
Vielleicht kann sich @JeGr hierzu zu Wort melden. Der hat da auch mehr Erfahrung. Ha, eben gechehen .

Mit SNORT kannst du doch auf dem WAN und LAN Interface lauschen. Tja was da kommt ist im Moment schwierig zu sagen. Ich schätze zwischen 150 und 300 Mbit. Gehen soll damit Gigabit, aber das wird für den Moment wohl zu teuer sein

viragomann

@interessierter said in Neue Hardware und HA:

Mit SNORT kannst du doch auf dem WAN und LAN Interface lauschen.

Ja, kann man, aber spätestens seit Mitte der zweiten Dekade des 21. Jahrhunderts sind praktisch alle Verbindungen vom / ins Internet verschlüsselt.
Was sieht Snort da noch abgesehen von Hostheader, wenn du ihn im Tranparent-Modus betreibst, was ich annehme?

interessierter

@viragomann Da hast du schon Recht, ich verwende halt einige Listen zum blocken von Source mit der Bezahlliste von snort.org.

Und alles ist halt nicht https, mein Smarthome kann kein https

NOCling

@interessierter said in Neue Hardware und HA:

Und alles ist halt nicht https, mein Smarthome kann kein https

Was denn jetzt das wieder für ein Dino?

Was das Problem Dachboden und Switch angeht, stelle halt einen Managed hin und die Sense in den Keller.
Dann kommt WAN 2 (LTE) halt per VLAN rein und runter in den Keller.

JeGr

@interessierter said in Neue Hardware und HA:

Listen zum blocken von Source mit der Bezahlliste von snort.org.

Und genau dafür ist es quark, denn dann machst du URL (Domains) oder IP blocking. Und das auf die teuerste Methode mit Snort auf Layer 7 statt das mit IP/DNS Blocking auf Layer3 durch den Paketfilter und den DNS Resolver billig erledigen zu lassen.

Gehen soll damit Gigabit, aber das wird für den Moment wohl zu teuer sein

Gehen tut Gigabit mit vielem. Das ist nicht der Punkt, sondern ob bspw. encrypted Gigabit gehen muss. Oder ob Gigabit dann durch Snort muss. DANN wird es lustig, was HW angeht. Routed Gigabit mit ein paar Filterregeln stresst kaum eine Hardware aus.

Ich weiß die Hardware ist nicht mehr die neuerste, aber EOL weil sie nicht mehr hergestellt wird oder wie? Sie ist 64 bit und es laufen noch immer Updates drauf, sehe das jetzt ehrlich gesagt nicht so heiß.

EOL verhängt der Hersteller und der sagt seit zig Jahren, dass das Ding tot ist. Weder SOC, noch CPU ist dafür noch vorhanden und damit weder Ersatzteile noch Ersatz fürs Board. Darum ist das Ding tot. Und es nutzt alte Realtek NICs für Netzwerk - was eh schon nicht toll ist. Klar kann man noch Hardware einsetzen die VOR 2013 hergestellt wurde - geht dann halt umso leichter kaputt (zumal die erste Gen APU eh extrem wärmeanfällig war) und man bekommt dann eben keinen Ersatz. Das ist auch genau das was mit den ganzen Leuten passiert, die irgendwelche uralten Sophos, Barracuda und sonstigen Boxen abgekauft haben für nen Appel und nen Ei - sie bekommen steinalte Hardware hingeworfen, die normalerweise recycled werden würde und zahlen dafür noch Geld. Freut sich jede Firma für Altmetall noch Geld zu bekommen statt für Entsorgung und Recycling zahlen zu müssen :D

Nur weil die Boxen dann 19" sind und nen hippes Display haben - ich verstehs nicht ;)

Was ist den mit diesen ganzen "fremd" 3rd party appliance wie eine alte Juniper, wo dann pfsense drauf läuft?

und je nachdem WIE alt die Kisten sind läuft nichtmal pfSense neu drauf (weil noch 32bit) und dann schlagen die "Kollegen" im OPNsense Forum auf und werfen das drauf. Wundert man sich dann eben später, wenn man 2-3 VPN User und ein bisschen Traffic drauf bekommt, dass solches Altmetall dann gleich an der Belastungsgrenze hängt.

Und alles ist halt nicht https, mein Smarthome kann kein https

Bitte erläutere mir die Aussage doch. Ich würde das wirklich gerne wissen, denn ich behaupte frei raus dass das quatsch ist. Jedes Smartphone mit nem Browser kann HTTPS. Welches soll das verbieten? SSL macht der Browser oder die Application. Und jedes steinalte Android oder iPhone kann SSL.

My point stays:

Im Prinzip ist es eine Frage wieviel du bereit bist in ordentliche Lösungen und Hardware zu investieren, gerade in Hinblick auf mehrere Jahre Laufzeit der Geräte.

Wenns Gigabit mit ein paar Extras sein sollen, dann wird man nicht unter ner ordentlichen Box rauskommen. Also SG-5100 bzw. Scope7-1510/7907 wirds dann sein müssen, damit da in Zukunft auch ordentlich alles schnurren kann.

Cheers

viragomann

@jegr said in Neue Hardware und HA:

Und alles ist halt nicht https, mein Smarthome kann kein https

Bitte erläutere mir die Aussage doch. Ich würde das wirklich gerne wissen, denn ich behaupte frei raus dass das quatsch ist. Jedes Smartphone mit nem Browser kann HTTPS. Welches soll das verbieten? SSL macht der Browser oder die Application. Und jedes steinalte Android oder iPhone kann SSL

Smarthome

Für mich gehört sowas nicht ins Internet. Kann man ja auch per VPN zugreifen.

Oder meinst du etwa, die Verbindung zum Server ist nicht HTTPS? Dann gehört es gar nicht ins Haus.

thiasaef

Das Gerät soll eine 19 Zoll Applicance sein

Dann wirst du sehr wahrscheinlich nicht unter ~600€ pro Gerät rauskommen. 19" in "billig" ist bis auf diese Custom-gesägten APU2 Einzel/Doppelgehäuse so gut wie nicht zu finden. Das meiste bis zum Midrange Modell sind Desktop Kisten die nicht für Rackeinsatz gebaut werden und auch keine Einbauwinkel haben.

https://www.ipu-system.de/produkte/ipu660.html, ~ 400 EUR mit ordentlich Bums

JeGr

@viragomann said in Neue Hardware und HA:

Smarthome

Ah mein Fehler, danke. Hatte mich schon schwer gewundert, welches Smartphone der letzten 10 Jahre bitte kein HTTPS können soll. Aber selbst bei Smarthome bin ich der Ansicht, dass das meiste, das da herumexistiert eigentlich auch HTTPS können sollte, dann muss es schon übel proprietärer oder geschlossener Kram sein. Und dann hat @viragomann auch recht, das wäre allein schon ein Grund warum der Kram dann niemals das Licht der (Internet)Welt sehen sollte :)

JeGr

@thiasaef said in Neue Hardware und HA:

https://www.ipu-system.de/produkte/ipu660.html, ~ 400 EUR mit ordentlich Bums

Will ich gar nicht groß gegen argumentieren - gemessen an einer APU1 hat das Ding schon enorm viel mehr Bumms! Good call ;)
Halte ich zwar für keine ideale Wahl aber ist erstmal solide und kann man durchaus machen. Ich hatte da seinerzeits schon mit @micneu diskutiert drüber, warum ich die HW Zusammenstellung ggf. nicht ganz optimal finde, aber wir reden ja immer noch von einem StepUp von einer APU1, da ist eben per se schon jede Diskussion vorher beendet

interessierter

@jegr said in Neue Hardware und HA:

@interessierter said in Neue Hardware und HA:

Listen zum blocken von Source mit der Bezahlliste von snort.org.

Und genau dafür ist es quark, denn dann machst du URL (Domains) oder IP blocking. Und das auf die teuerste Methode mit Snort auf Layer 7 statt das mit IP/DNS Blocking auf Layer3 durch den Paketfilter und den DNS Resolver billig erledigen zu lassen.

Ja aber im pfnblocker muss ich die Listen mit der Hand hinzufügen. Ja ich hab da einige, manche gehen dann nima zum runterladen ect. Da ist das über snort einfacher

Gehen soll damit Gigabit, aber das wird für den Moment wohl zu teuer sein

Gehen tut Gigabit mit vielem. Das ist nicht der Punkt, sondern ob bspw. encrypted Gigabit gehen muss. Oder ob Gigabit dann durch Snort muss. DANN wird es lustig, was HW angeht. Routed Gigabit mit ein paar Filterregeln stresst kaum eine Hardware aus.

Nein das muss es nicht. Ich werde auch nicht dauernd die Bandbreite brauchen. Aber über die Jahre hat man halt gesehen, das der Bedarf schnell rauf springt. Zuerst hatte ich 3 Mbit und 11GB Traffic, dann LTE und plötzlich 300GB wegen Netflix. Und das wird natürlich immer mehr werden, 4k ect

Ich weiß die Hardware ist nicht mehr die neuerste, aber EOL weil sie nicht mehr hergestellt wird oder wie? Sie ist 64 bit und es laufen noch immer Updates drauf, sehe das jetzt ehrlich gesagt nicht so heiß.

EOL verhängt der Hersteller und der sagt seit zig Jahren, dass das Ding tot ist. Weder SOC, noch CPU ist dafür noch vorhanden und damit weder Ersatzteile noch Ersatz fürs Board. Darum ist das Ding tot. Und es nutzt alte Realtek NICs für Netzwerk - was eh schon nicht toll ist. Klar kann man noch Hardware einsetzen die VOR 2013 hergestellt wurde - geht dann halt umso leichter kaputt (zumal die erste Gen APU eh extrem wärmeanfällig war) und man bekommt dann eben keinen Ersatz. Das ist auch genau das was mit den ganzen Leuten passiert, die irgendwelche uralten Sophos, Barracuda und sonstigen Boxen abgekauft haben für nen Appel und nen Ei - sie bekommen steinalte Hardware hingeworfen, die normalerweise recycled werden würde und zahlen dafür noch Geld. Freut sich jede Firma für Altmetall noch Geld zu bekommen statt für Entsorgung und Recycling zahlen zu müssen :D

Unter "kritischer" EOL verstehe ich normalerweise, dass es keine Updates mehr gibt. Wenn eine FW eine Updates mehr gibt, dann ist das für mich ein KO Kritierum. Wenn sie nicht mehr hergestellt wird, ja mei. Wenn das Teil jetzt kaputt ist, warte ich sowieso 2 Wochen wenn nicht mehr, bis eine neue kommt. Deswegen ja auch die Frage vom HA gewesen. Meine hatte noch nie was, und am Dachboden ists alles andere als kühl

Nur weil die Boxen dann 19" sind und nen hippes Display haben - ich verstehs nicht ;)

Weil ich halt 19 ZOLL Racks habe, und die auch dementsprechend nutzen will. Ein Kastl da (zb NAS) eines da macht das Rack schnell voll und nutzt den Platz nicht optimal. Zugegeben bei der kleinen pfsense ist das nicht so das Ding, ich wills halt wenn s geht ordentlich machen. Und ja, dann schauts hipp aus. Ich habe Freude damit, und es ist mein Geld.

Was ist den mit diesen ganzen "fremd" 3rd party appliance wie eine alte Juniper, wo dann pfsense drauf läuft?

und je nachdem WIE alt die Kisten sind läuft nichtmal pfSense neu drauf (weil noch 32bit) und dann schlagen die "Kollegen" im OPNsense Forum auf und werfen das drauf. Wundert man sich dann eben später, wenn man 2-3 VPN User und ein bisschen Traffic drauf bekommt, dass solches Altmetall dann gleich an der Belastungsgrenze hängt.

Und alles ist halt nicht https, mein Smarthome kann kein https

Bitte erläutere mir die Aussage doch. Ich würde das wirklich gerne wissen, denn ich behaupte frei raus dass das quatsch ist. Jedes Smartphone mit nem Browser kann HTTPS. Welches soll das verbieten? SSL macht der Browser oder die Application. Und jedes steinalte Android oder iPhone kann SSL.

Dann behauptest du frei raus falsch. Ich muss für den Smarthome Zugriff eine App nehmen. Deswegen, weil der Server wo sie sich hin verbindet eine zu schwache CPU für HTTPS hat. Ist so, ist auch dokumentiert. Es handelt sich um einen Loxone Miniserver Generation 1, denn der 2 kann es. Und ich will nicht um 700 EUR einen neuen Server kaufen, und dann den Elektriker (oder selber mit der Hand) die 230V Kabel umschließen. Selber können ja, aber weil der Kasten abgenommen ist nicht wollen

Was vielleicht eine Möglichkeit wäre ist, auf der pfsense einen Reverse von https auf http zu machen. Das habe ich so noch nie probiert. Keine Ahnung was die App für ein Cert beim G2 Server nimmt

My point stays:

Im Prinzip ist es eine Frage wieviel du bereit bist in ordentliche Lösungen und Hardware zu investieren, gerade in Hinblick auf mehrere Jahre Laufzeit der Geräte.

Wenns Gigabit mit ein paar Extras sein sollen, dann wird man nicht unter ner ordentlichen Box rauskommen. Also SG-5100 bzw. Scope7-1510/7907 wirds dann sein müssen, damit da in Zukunft auch ordentlich alles schnurren kann.

Cheers

Zwischen 200 und 500 EUR kann ich mir als Budget vorstellen. Mir ist bewusst, dass die originalen Appliance alle teurer sind. Das ist auch der Grund der Frage, was ihr in Richtung anderer Geräte die gut funktionieren empfehlen könnt. Wenns mit 19 Zoll in den Preisbereich (nachdem schaut es aus) gar nicht geht OK, dann ists halt wieder eine kleine

interessierter

@jegr said in Neue Hardware und HA:

@viragomann said in Neue Hardware und HA:

Smarthome

Ah mein Fehler, danke. Hatte mich schon schwer gewundert, welches Smartphone der letzten 10 Jahre bitte kein HTTPS können soll. Aber selbst bei Smarthome bin ich der Ansicht, dass das meiste, das da herumexistiert eigentlich auch HTTPS können sollte, dann muss es schon übel proprietärer oder geschlossener Kram sein. Und dann hat @viragomann auch recht, das wäre allein schon ein Grund warum der Kram dann niemals das Licht der (Internet)Welt sehen sollte :)

Ah ja SmartHOME :)
Das hab ich aber selber überlesen. Das SmartPHONE kann es natürlich

interessierter

@jegr said in Neue Hardware und HA:

@thiasaef said in Neue Hardware und HA:

https://www.ipu-system.de/produkte/ipu660.html, ~ 400 EUR mit ordentlich Bums

Will ich gar nicht groß gegen argumentieren - gemessen an einer APU1 hat das Ding schon enorm viel mehr Bumms! Good call ;)
Halte ich zwar für keine ideale Wahl aber ist erstmal solide und kann man durchaus machen. Ich hatte da seinerzeits schon mit @micneu diskutiert drüber, warum ich die HW Zusammenstellung ggf. nicht ganz optimal finde, aber wir reden ja immer noch von einem StepUp von einer APU1, da ist eben per se schon jede Diskussion vorher beendet

Was gefällt dir an der Zusammenstellung nicht?

thiasaef

Ja viele Netzwerkports, aber die Hardware sieht mir mehr nach eierlegender Wollmilchsau aus. Bisschen WLAN hier (was keiner braucht), bisschen Notebook Hardware da. Die CPUs klingen nett bis man auf dem Datasheet sieht, dass es alles 2+2er Kernträger sind. Also 2 Kerne + HT.

WLAN haben die Dinger nur, wenn man eine entsprechende PCIe Karte einbaut. HT kann man im UEFI einfach abschalten. Die Variante mit 6 NICs und Celeron CPU kostet, wenn man selber importiert, ca. 320 EUR (inkl. RAM, SSD und Rackmount Zubehör).

interessierter

@thiasaef Also WLAN brauche ich gar nicht, dafür habe ich meine APs richtig im Haus verteilt. Darunter ist ein 24 Port Switch. Was ich brauche ist ausreichend CPU Memory, Speicher, damit ich mit pfsense keine Performance Probleme kriege. Und Luft nach oben für die nächsten Jahre.

Und auf jedenfall mehr als nur 3 Ports, neben WAN und LAN wird in Zukunft auch eine Richtfunkschüssel mit extra Netz eingebaut sein. Da möchte ich für zukünftige DInge zumindest noch irgendeinen Platz, selbst wenn es nur ein Port ist

JeGr

@interessierter said in Neue Hardware und HA:

Ja aber im pfnblocker muss ich die Listen mit der Hand hinzufügen. Ja ich hab da einige, manche gehen dann nima zum runterladen ect. Da ist das über snort einfacher

Gehen soll damit Gigabit, aber das wird für den Moment wohl zu teuer sein

Das halte ich - sorry ist kein Affront gegen dich - aber für Unsinn. Snort bzw das Ruleset macht komplett NICHTS anderes, als genau das Gleiche wie dein Snort Set - es lädt stumpf irgendwelche IP Listen. Ob Listen weg gehen oder nicht, ändert nichts dran, ob die Listen die du ausgewählt hast weiter abgerufen werden können. Snort hat u.a. bspw. DShield drin. Das ist ne stumpfe IP Liste die pfB 1:1 auch kennt. Nur raucht Snort dafür 25-50% CPU für unnötiges rumgefiltere und der Paketfilter auf IP Ebene machts in ~5% wenns hochkommt. Was für Listen, welche, wieviele und wo liegt dann ganz beim Einzelnen.

Unter "kritischer" EOL verstehe ich normalerweise, dass es keine Updates mehr gibt. Wenn eine FW eine Updates mehr gibt, dann ist das für mich ein KO Kritierum. Wenn sie nicht mehr hergestellt wird, ja mei. Wenn das Teil jetzt kaputt ist, warte ich sowieso 2 Wochen wenn nicht mehr, bis eine neue kommt. Deswegen ja auch die Frage vom HA gewesen. Meine hatte noch nie was, und am Dachboden ists alles andere als kühl

Gibt es auch nicht. Die Plattform ist tot und bekommt weder Corebios und Firmware mäßig irgendwelche Updates weil es den SOC von AMD nicht mehr gibt. Ändert aber auch nichts daran, dass die HW eben ~10 Jahre alt ist. Egal wann gekauft.

Weil ich halt 19 ZOLL Racks habe, und die auch dementsprechend nutzen will. Ein Kastl da (zb NAS) eines da macht das Rack schnell voll und nutzt den Platz nicht optimal. Zugegeben bei der kleinen pfsense ist das nicht so das Ding, ich wills halt wenn s geht ordentlich machen. Und ja, dann schauts hipp aus. Ich habe Freude damit, und es ist mein Geld.

Mit Verständnisproblem war eher gemeint, warum sich Leute steinalte Boxen kaufen nur weil sie nett blinken und nen Display haben ;)
Es gibt wie hier ja schon gesagt mehr als genug aktuelle(re) Hardware die man auch ins Rack verdübeln kann und keine ex-Watchguard, Sophos oder sonstwas ist, die man kauft nur weil sie "nen kleinen Fuffi" gekostet hat und "mal toll war". :)

Dann behauptest du frei raus falsch. Ich muss für den Smarthome Zugriff eine App nehmen. Deswegen, weil der Server wo sie sich hin verbindet eine zu schwache CPU für HTTPS hat. Ist so, ist auch dokumentiert. Es handelt sich um einen Loxone Miniserver Generation 1, denn der 2 kann es. Und ich will nicht um 700 EUR einen neuen Server kaufen, und dann den Elektriker (oder selber mit der Hand) die 230V Kabel umschließen. Selber können ja, aber weil der Kasten abgenommen ist nicht wollen

a) hatte ich mich wie gesagt verlesen und PHone gesehen - warum auch immer.
b) hab gerade mal aus Neugier geschaut, steht IMHO nichts im Datenblatt "warum" es kein HTTPS gibt. Da keine processing power etc. angegeben ist, würde ich fast behaupten, das hat nichts mit "kann nicht" zu tun, sondern mit typischer KNX Faulheit "brauch-ma-net". Leider ist erfahrungsgemäß bei vielen "Industrie 4.0", KNX oder anderen Automatisierungs-Herstellern die Digitalisierung eher angekommen mit "wird ne RJ45 Buchse drangelötet und ggf. noch nen HTTP Server draufgeklatscht". Ist gar nicht böse gemeint, aber das fehlt schlicht das KnowHow oder der Wille das ordentlich zu machen. Wofür Security etc. Da muss es dann erst scheppern.
Ne zentrale Steuereinheit wie sie es bewerben, die 500 Steine kostet sollte das haben. Immerhin: inzwischen haben sie es ja wohl hinbekommen, sowohl IPv6 als auch TLS einzubauen :) Sollte man eigentlich einklagen dürfen, dass sie das bei alten Anlagen kostenfrei tauschen ;) Aber sei es drum, denn:

Was vielleicht eine Möglichkeit wäre ist, auf der pfsense einen Reverse von https auf http zu machen. Das habe ich so noch nie probiert. Keine Ahnung was die App für ein Cert beim G2 Server nimmt

Das würde problemlos gehen. Einfach mit dem Proxy reden (HAproxy regelt das) und im Backend dann HTTP sprechen. Ist kein Problem - damit bekommt man dann jeden (damals faulen) Hersteller abgesichert. :)

Zwischen 200 und 500 EUR kann ich mir als Budget vorstellen. Mir ist bewusst, dass die originalen Appliance alle teurer sind. Das ist auch der Grund der Frage, was ihr in Richtung anderer Geräte die gut funktionieren empfehlen könnt. Wenns mit 19 Zoll in den Preisbereich (nachdem schaut es aus) gar nicht geht OK, dann ists halt wieder eine kleine

Gibts schon aber muss man dann eben aussuchen was man +/- haben möchte.

Was gefällt dir an der Zusammenstellung nicht?

An den IPU Teilen? Wie gesagt rundweg nicht so schlecht, aber IMHO nicht primär als Netzwerk-Appliance konstruiert. Es sind low-power Laptop/U-Class CPUs - nicht schlecht aber nicht optimal - und einige Optionen sind nett, aber für den Zweck unnötig, also WiFi, LTE, Grafik. Braucht es theoretisch nicht auf einem Board, was primär Routing übernehmen soll.

Daher würde ich eher in Richtung Intel Atom C3xxx tendieren, denn da sind die SOCs und Boards schon auf den primären Zweck networking konstruiert. Console, Netzwerkports (RJ45 und ggf. SFP+) und das wars. Aber das meinte ich mit +/- rechnen, für den ein oder anderen ist es eben praktisch wenn die Kiste HDMI out hat oder er ggf. noch virtualisieren möchte. Für den anderen ist es unnötig. Ist einfach eine Auswahlfrage. :)

Da könnte man sich dann ggf. auch was von Supermicro schießen/selbst bauen, à la
https://www.supermicro.com/en/products/system/1U/5019/SYS-5019A-FTN4.cfm