Kaufberatung Firewall



  • Hallo,

    schon vor einiger Zeit hatte ich hier im Form meine ersten Anfragen bzgl. meines Watchguardumbaus mit PFSense. Da ich leider aus Zeitgründen nicht mehr dazu gekommen bin, das Projekt weiter zu verfolgen möchte ich nochmals neu durchstarten und mit einer neuen frischen Box mein glück waagen und euch Profis um Unterstützung bitten

    Folgende Kriterien sind mir dabei wichtig:

    • Einbau in einen 19" Schrank
    • Ein LCD Display wie bei der Watchguard mit Bedienelementen
    • Eine Performante Kiste die ordentlich rockt (8GB DDR3, SSD, USB3, VGA etc.)
    • Nicht all zu laut. Arbeiten sollte noch möglich sein. Vllt. was Lüfterloses?
    • Sicherheit

    Einsatzzweck:

    An statischem IP Adressen Anschluss Unity Media (BW) soll die FB 6490 als reines Modem dienen und den Traffic an Lan 2 weiterleiten. 450 Mbit Up und Down 20MBit

    WLAN für alle Geräte mit 2,4 und 5,0 GHz + Gast-WLAN

    Voip für 2 Geräte diese können ja auf der Fritzbox eingerichtet werden.

    VPN Einwahl von iOS Geräten bzw. über LTE von Win und Mac

    Ein bisschen informiert habe ich mich auch schon, jedoch so richtig schlau geworden bin ich leider nicht. Die Apu2c4 boards sehen ganz nett aus.  ;)


  • LAYER 8 Moderator

    In Kürze da grad unterwegs:

    • Ein LCD Display wie bei der Watchguard mit Bedienelementen

    wirst du Probleme haben

    • Sicherheit

    ? Dafür baust du doch pfSense oder was soll Sicherheit heißen?

    WLAN für alle Geräte mit 2,4 und 5,0 GHz + Gast-WLAN

    Macht m.E. keinen Spaß. Externer AP macht mehr Sinn.

    Ein bisschen informiert habe ich mich auch schon, jedoch so richtig schlau geworden bin ich leider nicht. Die Apu2c4 boards sehen ganz nett aus.  ;)

    Bekommst du zwar als Spezialanfertigung ein Custom 19" Rack dafür, aber APU2C4 und "performante Kiste die ordentlich rockt" beißen sich da für mich. Da solltest du mal überlegen, was du genau willst ;)



    • Das LCD so ne optionale Sache hatte schon bei der Watchguard etwas zu kämpfen, das zum laufen zu bekommen aber habs dann hinbekommen. Konnte dann einfach den durchfluss der Daten bzw. ein paar Sysinfos auslesen was ich sehr nützlich finde.

    • Sicherheit: habe da was gelesen, dass man da AES-NI-Unterstützung im APU2C4 hat, da wollte ich mal fragen, was das hinsichtlich der Sicherheit zu bedeuten hat bzw. was das für mich bringt.

    • WLAN: Optional kann ich ja noch ne zweite FB als AP hintendranhängen oder nicht? Soweit war ich mit der Leistung in der Wohung zufrieden, jedoch grade bei FB Videos und nur bei denen Pufferte er nicht mehr weiter oder blieb stehen. Komisches Phänomen.

    Die Sache ist halt die, ich kenn mich mit Gaming PCs und Servern aus, da kann ich dir sagen, was schnell ist und was nicht, nur was diese kleinen Mini Platinen angeht, kann ich nicht wirklich viel dazu sagen. Klar sieht man sich die Daten an, 1 GHz  Quad-Jaguar-Kern mit 64-Bit hört sich jetzt nicht so schnell an, jedoch muss man immer sehen für was man es braucht. Da ich noch nie eine Pfsense im Livebetrieb testen konnte, fehlen mir hier auch die Erfahrungswerte, was verbraucht das System an resourcen Idle, was bei vollem Traffic Speed, VPN, WLAN wie verarbeitet es eine Attacke bzw. einen Hack?

    Hier mal ein Angebot, was jetzt rein von den Daten in meine Richtung geht bzw. auch Preislich recht interessant ist.

    http://varia-store.com/Hardware/PC-Engines-Bundles/APU-2C4-Bundles/APU2C4-19-Bundle-PSU-SSD-Board-19-DualRack-Gehaeuse::28815.html

    Könnt ja mal ansagen, was euer Meinung nach sinn macht bzw. was es sonst noch so in die Richtung gibt. Preislich gesehen, ist eher mal zweit oder drittranig, da man immer sehen muss welcher Vorteil beim teureren Produkt raus springt  8)


  • LAYER 8 Moderator

    • Das LCD so ne optionale Sache hatte schon bei der Watchguard etwas zu kämpfen, das zum laufen zu bekommen aber habs dann hinbekommen. Konnte dann einfach den durchfluss der Daten bzw. ein paar Sysinfos auslesen was ich sehr nützlich finde.

    Ich meinte mehr dass ein bedienbares Panel schwer sein dürfte. Anzeige und durchschalten wäre evtl möglich. Aber es gibt kaum Appliances mit Display und noch weniger, die unterstützt werden.

    • Sicherheit: habe da was gelesen, dass man da AES-NI-Unterstützung im APU2C4 hat, da wollte ich mal fragen, was das hinsichtlich der Sicherheit zu bedeuten hat bzw. was das für mich bringt.

    Das hat nichts mit Sicherheit zu tun, sondern mit Performance. AES-NI entlastet die CPU bei der Verschlüsselung damit die Kiste nicht durchschmort wenn sie 100MBit/s encrypted schicken muss.

    • WLAN: Optional kann ich ja noch ne zweite FB als AP hintendranhängen oder nicht? Soweit war ich mit der Leistung in der Wohung zufrieden, jedoch grade bei FB Videos und nur bei denen Pufferte er nicht mehr weiter oder blieb stehen. Komisches Phänomen.

    Durchaus möglich, hatte ich bis zu meinem TP-Link oder einem UniFi auch. Die Fritte war eh übrig und hat dann eben WLAN gespielt. Wenn die sonst nichts macht, ist sie auch nicht so überlastet. :)

    Hier mal ein Angebot, was jetzt rein von den Daten in meine Richtung geht bzw. auch Preislich recht interessant ist.

    Wenn das dein Preisrange ist, dann gibts da auch nichts anderes was grob passt. Andere Lösungen fangen da ja bereits höher an. :)



  • Ja, soweit so gut. Wie würden den deine alternativen aussehen, was würdest du mir empfehlen? Hatte ja geschrieben, dass ich kein Problem habe, mehr zu rappen, wenn es für mich Vorteile bringt. Klar gibts vllt. bessere Produkte. Lanner bietet auch sowas an. Was ist aber der unterschied zu meinem und was bringts mir mehr zu bezahlen? Vorteile? Mach doch einfach mal ne Ansage!  8)




  • LAYER 8 Moderator

    Hi Parsec,

    das ist aber das Avoton Board, der 2750. Würde ich nicht für pfSense empfehlen. Die 2758 ist wesentlich besser geeignet und die Kiste gibts schon fix und fertig montiert :) Gut nicht ganz so günstig vielleicht wie der Avoton, aber warum das Server Board nehmen wenn es explizit ein Communication Board gibt? :)

    Fände ich für die Anforderung zwar etwas Overdosed aber ich bin ebenfalls ein Fan von den SuperMicro Kisten (C2758, Xeon-D 1514/1518, etc.)

    @Spitzbube: Mehr berappen ist eben relativ. Wenn wir bei APU bei ~280 sind und ich dir jetzt ne Lanner für Rackmount nenne, dann fällst du um ;) Aber die FW-7525-D würde ich bevorzugen. Ansonsten wenns nicht schneller wird als die 450MBit/s würde sicher auch ne NCA-1010B reichen. Ich schiele mit einem Auge auch auf die neu angekündigte NCA-1020 Serie.
    Bei ner 1010 wären wir eben bei 8GB & 32GB SSD Modul schon bei ~445 Euro. Kein Rackmount dafür extremst klein. Ansonsten die FW-7525-D, 8GB RAM und mal mit bspw. 32GB SSD stehen wir eben bei ca 775€ schon. Alles inkl. Mehrwertsteuer. Allerdings gibts für ein wenig mehr dann auch nen Rackmount Kit für die 7525. Und da die Kiste nen Atom C2558 verbaut hat, kommst du da IMHO kaum an Leistungsgrenzen.

    Aber das wäre nur mein Wunschzettel :)



  • Umhauen? Gut, ich seh schon, dass die Lanner recht teuer sind und auch nach ein paar vergleichen doch schon eine Mehrleistung bieten. Ich will ein Produkt kaufen, das an meine Ansprüche angepasst ist. Es bringt jetzt nichts, hier ein Topprodukt rauszuhauen, dass ich dann teuer bezahle aber für mein Netzwerk zu übertrieben ist. Klar kann ich auch sagen warum Intel Atom und Co. Kann ich gleich nen i7 6700 nehmen. So mal aus Spaß gesagt. Wenn Ihr mir sagt, für das was ich hier versuche umzusetzen reicht das Angebot APU2C4 aus und da fährst ne Ganze weile gut damit, dann bin ich bereit mir das zu holen. Wenn Ihr aber meint, leistungstechnisch oder von den Funktionen her sollte es ne Lanner 7525 + Rackkit sein, dann muss man diese in Betracht ziehen.

    Es soll was können und mich vor Angriffen bewahren. Hatte nämlich im Mai diesen Jahres einen, bei dem ich die Konsequenzen erst gestern erfahren durfte.



  • @JeGr
    Das Board hat mir immer gute Dienste geleistet - bei einigen Kunden
    Bei gängigen GF Bandbreiten macht es keinen Unterschied welches Board es ist
    Hier bringt es 210mbit down und 103mbit Upload und ein halbes Dutzend VPn mit guten Bandbreiten nebenbei.

    Da ich nun auf der. Vormerkliste für FTTH 1Gbit/s stehe, muss ich mir vermutlich bald was neues einfallen lassen  :)


  • LAYER 8 Moderator

    Da ich nun auf der. Vormerkliste für FTTH 1Gbit/s stehe, muss ich mir vermutlich bald was neues einfallen lassen  :)

    Warum? Wie gesagt der C27xx ist toll. Nur für max. Leistung nicht der Avoton, der ist eben für Server und Virt. gedacht, sondern der Rangeley, der ist mit QuickAssist für genau das konzipiert. Deshalb unterscheidet Intel den ja auch. Und da gerade pfSense + FreeBSD mit Intel an QuickAssist Support gearbeitet haben, passt das wie Faust auf Auge.

    Zudem gab es schon Tweets, dass ein 2758er mit AES-GCM via IPSEC fast auf Linespeed VPN schafft (also Gigabit). Sehe daher nicht, dass du da upgraden müsstest von der Kiste, wenn aber doch lege ich dir als Step-Up den Xeon-D von Supermicro ans Herz. Verkaufen wir auch für viele Kunden und die sind happy-as-can-be mit der Kiste, zumal die 6 NICs Gigabit + 2 NICs 10Ge + IPMI mitbringt. Großartiges Ding!

    http://www.supermicro.com/products/system/1U/5018/SYS-5018D-FN8T.cfm

    Und ja wir verkaufen die u.a. auch :P Darf man ja erwähnen. Läuft toll das Ding und (ein großes) Plus: Das IPMI ist nicht Java/Flash only, sondern hat sogar ne ordentliche HTML5 Console! :O :D

    @Spitzbube:

    Es soll was können und mich vor Angriffen bewahren. Hatte nämlich im Mai diesen Jahres einen, bei dem ich die Konsequenzen erst gestern erfahren durfte.

    Darfst du dazu mehr sagen? Angriffe "bewahren" ist vage. Wenn damit DDOS gemeint ist - nichts schützt davor. Außer Stecker ziehen - aber das ist ja schon implizit.

    450 Mbit Up und Down 20MBit

    • Könnte das evtl mehr werden?
    • Was möchtest du evtl. noch als Zusatzpakete einsetzen? (IDS/IPS, Proxy, etc.)?
    • Sind wir ggf. im Firmenumfeld? Spielt also evtl. Garantie ne Rolle (3-5 Jahre?)

    Wenn du dazu noch was sagen könntest, wäre das toll. Wenn eines oder mehrere davon zutreffen, würde ich persönlich eher den Step up zu was größerem machen und nicht mit einer APU2 anfangen. Der ein oder andere hier hat ja nun auch schon eine 7525 wie man in der Signatur lesen kann und bislang hab ich davon nur Lobreden gehört. Zudem hat die 7525-D mit 6 Interfaces schon viel Möglichkeiten auch noch zu wachsen oder später größere Setups zu handeln (CARP Cluster mit zweitem Gerät etc.)

    Grüße


Log in to reply