PfSense Hardware für small business (~25 Leute)

ceofreak

Hi Leute!

Ich hab das Vergnügen in meiner neuen Firma n komplett neues Netzwerk aufzubauen.

Natürlich hab ich mich direkt für pfSense entschieden. Ich hab mich bisher allerdings nur mit pfSense hardware für den Privatgebrauch auseinandergesetzt (Hab selbst ne APU).

Das Unternehmen hat nen ganz normalen DSL Anschluss von der Tele mit VOIP und derzeit vlt 15 Rechner im Einsatz, allerdings wächst das Unternehmen schnell und ich gehe in naher zukunft von 30+ aus.

Was haben wir denn Hardware mäßig hier in Europa für Optionen? Was setzt Ihr ein?

Würde evtl auch direkt 2 Kisten für Failover kaufen…

Bin gespannt auf eure Antworten!

Ceo.

JeGr

Was haben wir denn Hardware mäßig hier in Europa für Optionen? Was setzt Ihr ein?

Das hängt eher davon ab, was du alles machen willst (Pakete und Service-technisch) als jetzt extrem von der Anzahl an PCs. Da es hier keine per User/PC Lizenzen gibt ist das einzige was passen muss RAM und CPU für deinen Einsatzzweck. Wenn da bspw. kein VPN im Spiel ist (oder maximal ein Tunnel) Und das langsames DSL mit 16MBit/s ist, könntest du da auch ne APU2 hinstellen und es würde niemand meckern, denn die 16MBit/s maximal kann fast jedes LowCost Gerät wegrouten. Wenns aber mal Richtung VDSL 50/100 oder Kabel/Glasfaser geht und dann noch Wünsche wie Content Filter o.ä. dazukommen, wo Squid und Co. mit an Bord gehen, sollte man sich eher CPU und RAM mäßig auf größere Dinge einstellen.

Gibts denn ein Budget gegen das du arbeiten musst? Wie dick ist denn die Anbindung (DSL)? Inwiefern spielt VoIP da ne Rolle (Telefonanlage o.ä. extra?)

Grüße

ceofreak

Hi JeGr,

hab am Mittwoch erst das erste meeting wo ich gebrieft werde wie die aktuelle Situation is, aber ich geh mal stark von VDSL 50 oder 100 aus. Definitiv werd ich content Filter und Squid einsetzen so wie Snort und sonstige Spielereien. Also Leistung sollte schon da sein.

Es wird extrem hoher Wert auf Sicherheit gelegt und es wird zu beginn vlt 3 Vlans geben.

Budget werd ich erst im Januar rausfinden wenn ich auch wirklich anfange, aber ich bezweifle, dass Sie bei der Firewall sparen wollen.

Wie ist das denn mitm modem? Kann ich Bedenkenloss n Draytek Vigor nehmen?

VOIP ist geplant, wie genau weiß ich nicht, die meinten irgendwas von ner Cloud Voip Lösung für die Zukunft…. Atm macht ne Fritzbox VOIP mit 6 DECT phones.

Am Mittwoch weiß ich mehr, dann kann ich genaueres sagen.

tarakesh

@ceofreak:

aber ich geh mal stark von VDSL 50 oder 100 aus. Definitiv werd ich content Filter und Squid einsetzen so wie Snort und sonstige Spielereien. Also Leistung sollte schon da sein.

Snort ist ein extremer Leistungsfresser. Da wirst du dich wahrscheinlich schon bei einer Dual oder Quadcore Atom CPU bewegen mit 4GB Ram…

Es wird extrem hoher Wert auf Sicherheit gelegt und es wird zu beginn vlt 3 Vlans geben.

Naja das sollte nicht das Problem sein… Kommt halt drauf an ob du für jedes VLAN nen eigenes physikalisches Interface willst oder ob dir auch ein oder zwei tagged interfaces reichen.. Das ist meiner Meinung nach Geschmackssache...

Wie ist das denn mitm modem? Kann ich Bedenkenloss n Draytek Vigor nehmen?

Draytek Vigor 130 ist nen gutes Modem. Wurde in meiner alten Firma standardmäßig bei Kunden eingesetzt und hatten bei VDSL nie wirklich probleme.

VOIP ist geplant, wie genau weiß ich nicht, die meinten irgendwas von ner Cloud Voip Lösung für die Zukunft…. Atm macht ne Fritzbox VOIP mit 6 DECT phones.

Also irgendwie wiederspricht das dem Sicherheitsaspekt… Damit die Telefone raus können muss man wieder die Firewall aufmachen...

Bester Tip: Soweit ich weiß sind die neuen VDSL Anschlüsse alle Dualstack... Lies dich am besten schnellstmöglich in IPv6 ein falls du dich noch nie damit auseinandergesetzt hast... Aus eigener Erfahrung kann ich da sagen das nen Dualstack Netz richtig weh tut am Anfang.. Vorallem wenn man das klassische IPv4 NAT gewöhnt ist und man plötzlich durchroutbare Adressen hat...

JeGr

Snort ist ein extremer Leistungsfresser. Da wirst du dich wahrscheinlich schon bei einer Dual oder Quadcore Atom CPU bewegen mit 4GB Ram…

Stimme ich zu. Gerade wenn das potentiell wachsen soll und ggf. vielleicht bei hohem Nutzungsbedarf (Cloud Voip Lösung hieße bspw. dass man bei der Firewall/Gateway eine hohe Uptime will damit das Telefon nicht abschimmelt). Da würde ich persönlich zu Kisten wie den FW-7525 von Lanner greifen. Sind noch günstiger als gleich mit den 1HE C2758 Atom Servern einzusteigen und ggf. günstiger zu bekommen als das pfSense Hardware Pendant. Ansonsten wäre die pfSense SG-4860 die Kiste.

Da es mit potentiellen SaaS bzw. Cloud Lösungen eher in Richtung Hochverfügbarkeit geht (zumindest meiner Ansicht nach), hätte ich ein Doppel aus 2 FW-7525 im CARP Cluster empfohlen. Aber das hängt natürlich auch am Budget mit dran ;)

Grüße

Bordi

Dual-Core Atom (D510/Z510) hatte ich, die werden bloß heiß und vertragen nichts. Wenn, dann einer der neuen SoC Atom's aus der Intel Silvermont/Airmont Serie (Rangeley, Avoton, Bay Trail, Braswell). Die sind allerdings teuer, und werden ebenfalls heiss. Ich habe mich daher für ein APU2b4 Board von PC-Engines entschieden. Das embedded Board basiert auf einer AMD GX-412TC SOC mit 4GB DDR3 ECC RAM und RTC battery. Ich hab das teil an einer 250M/25M Leitung mit squid / squidGuard, clam und noch ein paar Diensten laufen. Ich hab über VLAN verschieden Netze am Start, mit insgesamt etwa 25-50 Nutzern. Probleme mit überlasst hat ich bisher keine, allerdings ist die Aktivität auch nicht sehr hoch.

Die Hacken: Das APU2A ist End of Life, das APU3a tritt dessen Nachfolge an. Wen du direkt bei PC-Engines bestellst, gibst du deine Bestellung in der Schweiz, und somit außerhalb der EU auf. Bei Ankunft ist dann noch Handarbeit gefordert (der Zusammenbau ist aber leicht). Wermutstropfen: Falls dir an dem Board irgendwas zufiel ist, oder es fehlt, wie beispielsweise der Steckplatz zum Anschluss der internen Stromversorgung oder ähnlich, kannst du dich an PC-Engines wenden. Da sie zugleich Hersteller sind, stehen ihnen die Türen für Sonderwünsche recht weit offen, und diesen Vorsprung nutzen sie wenn immer möglich.
;D

PS: Passende 19" Gehäuse gibt es bei meconet.de

JeGr

Dual-Core Atom (D510/Z510) hatte ich, die werden bloß heiß und vertragen nichts.

Die sind nun wirklich sehr alt, und ja die kenne ich auch. :D

Wenn, dann einer der neuen SoC Atom's aus der Intel Silvermont/Airmont Serie (Rangeley, Avoton, Bay Trail, Braswell).

Avoton etc. sind nicht für Netzwerk Einsatz gedacht (kein AES-NI oder QAT bspw.). Deshalb sollte man da auf die 8er (Rangeleys) gehen bzw. ggf. deren Nachfolger - wobei die Plattform noch einige Jahre supported wird.

und werden ebenfalls heiss.

Kann ich nicht nachvollziehen :) 42° hier bei einer Kiste die nicht wirklich exzessiv gekühlt ist, finde ich nicht wirklich "heiß". Da gibts andere Temperaturen ;)

Wen du direkt bei PC-Engines bestellst, gibst du deine Bestellung in der Schweiz

pcEngines rät aber selbst davon ab, dass man bei Ihnen direkt bestellt aus diversen Gründen (auch bspw. wegen EU Richtlinie für Elektroschrott Entsorgung etc. drektct.)

Das APU2A ist End of Life, das APU3a tritt dessen Nachfolge an

Bist du da richtig informiert? Ich glaube das nicht so ganz. Auf ihrer Webseite schreibt pcEngines ganz klar, dass die APU2(!) ein LTS Gerät ist, das nach wie vor gebaut wird, momentan in Revision APU2C bzw. APU2C4. Die APU3(!) ist ein Testboard und nicht production ready, zumal sie exakt die gleiche Hardware einsetzt wie die APU2 und lediglich für Mobilgeräte Einsatz (LTE) gedacht ist (weshalb 2 SIM Karten Slots verbaut wurden statt 0-1 bei der APU2). Vielleicht hast du ja nähere Infos aber der Status der APU2 ist nach wie vor "ACTIVE" und nicht EOL. Nur die alten Builds (APU2A und APU2B) sind EOL.

Grüße :)

Bordi

..ach JeGr, …

wenn du hier unbedingt den grosse Lanner Mietrammler machen willst, dann mach es doch wenigstens offen und ehrlich mit einem dicken "L" auf'm profil. Aber hier jeden Post zu besudeln nur weil nicht Lanner drauf steht, ist nun wirklich unterste sau. Davon abgesehen sind eigene Meinungen genauso unanfechtbar wie die Meinungsfreiheit.

JeGr

@Bordi:

..ach JeGr, …

wenn du hier unbedingt den grosse Lanner Mietrammler machen willst, dann mach es doch wenigstens offen und ehrlich mit einem dicken "L" auf'm profil. Aber hier jeden Post zu besudeln nur weil nicht Lanner drauf steht, ist nun wirklich unterste sau. Davon abgesehen sind eigene Meinungen genauso unanfechtbar wie die Meinungsfreiheit.

Ach du Witzbold. Weißt du was ich nicht muss? Mich von dir dumm anpflaumen lassen und mir Mist nacherzählen lassen. Mal davon abgesehen, dass ich hier Lanner eingeworfen habe, weil es mit die einzigen Kisten sind - von pfSense selbst abgesehen - die was Fertiges mit C2358 und C2558 anbieten und damit den Midrange bedienen wenn das Setup wächst, könnte ich genauso sagen, dass du doch bitte deinen Paycheck von pcEngines abgeben sollst. Die empfiehlst du auch jedes Mal. Warte! Ich auch?! Wow… Ich arbeite weder für Lanner noch werd ich von denen bezahlt. Hatte ich schon mehrfach geschrieben. Also vor Posting Hirn an, irgendwann reichts echt mal.

Dass eigene Meinungen per se subjektiv sind - so what. Bei mir läuft an nem 160MBit Anschluß immer noch ein "unverträglicher und heißer" Atom D510. Seit 5+ Jahren weil er eben läuft. Soviel zu "kann nix". Der Rest deines Posts ist dann nicht mal mehr subjektiv sondern einfach nur Blödsinn, erstens habe ich sogar freundlich "gefragt" ob deine Infos stimmen und nicht wie du geschrieben "Alter du bist unterste Sau", zweitens hat es nichts mit Meinungsfreiheit zu tun, wenn man Blödsinn verzapft wie du: APU3 ist kein offizieller Nachfolger, sondern ein Testboard das spezifisch auf Telefonie Einsatz getrimmt ist (deshalb baugleich mit APU2C/APU2C4 nur mit mehr integrierten SIM Kartenslots ist). Und die APU2 ist nicht abgekündigt. Dazu müsste man aber APU2A/B/C voneinander unterscheiden. Dass A und B schon lange EOL sind, weil es C gibt, weiß man inzwischen auch. Dafür gibts sogar den Info Post der oben angepinnt ist.

Wenn du also nur zum doofen Rumtrollen angetreten bist - bitteschön aber nicht hier. Deine persönlichen Attacken gegen mich und Abneigungen gegen andere Firmen als dir genehm sind kannst du woanders abladen.

arnog

Ich möchte gerne auch noch darauf hinweisen, dass es bei einigen Usern (bei mir auch) Probleme mit der aktuellen pfSense und IPv6 im BNG-Netz der Telekom gibt. Falls ihr schon darauf umgestellt seid, kann es sein, dass es Probleme beim DHCP6 für das WAN-Interface gibt. Siehe zum Beispiel https://forum.pfsense.org/index.php?topic=119409.0 oder https://forum.pfsense.org/index.php?topic=119439.0.

andipandi

Wenn das noch aktuell ist:

ich wollte auch erst eine dedizierte Box für pfSense holen, mittlerweile habe ich es virtualisiert und schaue nicht mehr zurück. Die CPU Auslastung ist ohnehin stets bei 0% (oder sehr klein), dafür kann man auch ordentliche Desktop- oder Server-CPUs verwenden, z. B. auf einem System, das ohnehin benutzt wird und noch ein wenig RAM frei hat.
Nur mit den Interfaces muß man danach etwas aufpassen, insbesondere, dass alle anderen VMs nur am LAN Interface sind.

Wenn ich irgendwann herausfinden sollte, wie CARP funktioniert: das ist mit Virtualisierung auch (für mich) einfacher, da ich hier keine neue Hardware benötige.

monstermania

@ceofreak:

Es wird extrem hoher Wert auf Sicherheit gelegt und es wird zu beginn vlt 3 Vlans geben.

@andipandi:

ich wollte auch erst eine dedizierte Box für pfSense holen, mittlerweile habe ich es virtualisiert und schaue nicht mehr zurück. Die CPU Auslastung ist ohnehin stets bei 0% (oder sehr klein), dafür kann man auch ordentliche Desktop- oder Server-CPUs verwenden, z. B. auf einem System, das ohnehin benutzt wird und noch ein wenig RAM frei hat.
Nur mit den Interfaces muß man danach etwas aufpassen, insbesondere, dass alle anderen VMs nur am LAN Interface sind.

Hmm,
da der TO ja bereits die Sicherheitsanforderungen als 'sehr hoch' bezeichnet hat, wird er sich wohl kaum eine Firewall als zusätzliche VM auf einen Host packen!
Wenn man im Produktivbereich eines Unternehmens eine FW als VM laufen lässt, sollte diese VM zumindest auf einem exklusiven Host laufen! Ich würde keinesfalls eine Firewall-VM auf einem Produktivhost neben anderen kritischen VM betreiben.
In einer Testumgebung mag das ein probates Mittel sein, aber nicht im Produktivumfeld.

Gruß
Dirk

JeGr

Wenn ich irgendwann herausfinden sollte, wie CARP funktioniert: das ist mit Virtualisierung auch (für mich) einfacher, da ich hier keine neue Hardware benötige.

Mit einer virtuellen MAC Adresse auf die eine IP gebunden wird. Was ist noch unklar? :) Fragen hilft ;)

Ansonsten stimme ich zur Virtualisierung Dirk zu, das würde ich schon auf einem - oder zwei - dedizierten Hosts arbeiten. Aber aus meinen vergangenen Erfahrungen würde ich eher weniger auf virtuellen Maschinen abwickeln, wenn es um Firewalls oder Border Gateways im Allgemeinen geht. Da kams einfach schon zu oft vor, dass jemand den Hypervisor aktualisiert und rebootet hat und kein Internet ging ;)

andipandi

@JeGr:

Ansonsten stimme ich zur Virtualisierung Dirk zu, das würde ich schon auf einem - oder zwei - dedizierten Hosts arbeiten. Aber aus meinen vergangenen Erfahrungen würde ich eher weniger auf virtuellen Maschinen abwickeln, wenn es um Firewalls oder Border Gateways im Allgemeinen geht. Da kams einfach schon zu oft vor, dass jemand den Hypervisor aktualisiert und rebootet hat und kein Internet ging ;)

Zum Thema Sicherheit kann ich nichts Endgültiges sagen.. mir wurde an anderer Stelle versichert, dass es vom Hypervisor sehr unwahrscheinlich zu zusätzlichen Lücken/Risiken kommen wird. Auch Übergriffe zwischen Gästen allein durch den Hypervisor sind sehr unwahrscheinlich und würden eher so ablaufen wie zwischen 2 "normalen" Systemen im LAN.

Interface Zuordnung ist natürlich ein Thema, vor allem, weil diese nach verschiedenen Konfigurationsänderungen im Host/HW-Änderungen ja verloren gehen kann.

Was das Neubooten betrifft: ja, das ist definitiv ein Problem, das ist auch einer der Gründe, warum ich nach einer Lösung mit einer 2. Firewall suche.

JeGr

Zum Thema Sicherheit kann ich nichts Endgültiges sagen.. mir wurde an anderer Stelle versichert, dass es vom Hypervisor sehr unwahrscheinlich zu zusätzlichen Lücken/Risiken kommen wird. Auch Übergriffe zwischen Gästen allein durch den Hypervisor sind sehr unwahrscheinlich und würden eher so ablaufen wie zwischen 2 "normalen" Systemen im LAN.

Dazu habe ich an der Stelle überhaupt nichts gesagt. Der Hinweis bezüglich dedizierter Hosts ist eher dergestalt, als dass man High Volume Traffic auf einem Border Gateway sicher nicht noch mit anderen evtl. ebenfalls stark Traffic-lastigen Anwendungen oder VMs auf dem gleichen Hypervisor haben will. Zudem heißt dedizierter Host hier auch im Hinblick auf Ausfall des Hosts etc. wichtig. Was bringt mir Virtualisierung auf einem oder zwei Hosts, wenn ein Host-Down dann auch meine Routing/Gateway VM mit nimmt ;) Oder durch Failover der andere Host überlastet ist etc.

Interface Zuordnung ist natürlich ein Thema, vor allem, weil diese nach verschiedenen Konfigurationsänderungen im Host/HW-Änderungen ja verloren gehen kann.

Bezüglich was? Interfaces sollten nie verloren gehen, egal ob Zuweisung an die VM, Zuweisung des HVs oder innerhalb der VM in bspw. der pfSense. Wäre das der Fall wäre das ein ziemlicher Pluspunkt, die Firewall gerade nicht zu virtualisieren. Wenn ich eines nicht will, dann dass Traffic wo lang fließt wo er nicht soll. Würden sich Interfaces einfach so verändern, wäre das fatal.

Was das Neubooten betrifft: ja, das ist definitiv ein Problem, das ist auch einer der Gründe, warum ich nach einer Lösung mit einer 2. Firewall suche.

Leider schon viel zu oft erlebt, dass dann aus Kosten- bzw. Effizienzgründen virtualisiert wird - erstmal toll. Und dann wird die Firewall mit draufgeworfen. Weil: soll ja dann nicht doch Geld kosten. Nicht so toll. Da bevorzuge ich einfach dedizierte Hardware aber OK. Aber dann bspw. die Firewall sogar noch als virtueller HA Cluster mit CARP zu bauen und dann eben trotzdem nur einen Hypervisor zu haben -> der geht down und kein Internet funktioniert mehr… das ist eben ein großes NoNo. Kommt aber eben oft in solchen Planungen vor.
Oder Updates vom HV und dann läuft was mit den NICs o.ä. nicht rund und plötzlich gibts kein Internet mehr, weil die Firewalls eben virtuell sind...

Alles schon leidig erlebt.

monstermania

Mal zur Begründung, warum wir im Unternehmen unsere FW virtuell laufen lassen. Nein, handelt sich nicht um pfsense, sondern um eine voll kommerzielle UTM-Lösung!
Vorgabe bei der Beschaffung war seinerzeit der Einsatz einer HA-UTM (Slave-Master). Das hätte 2 x exklusive Appliances des Anbieters erfordert. Da wir zum damaligen Zeitpunkt mindestens 6 NW-Anschlüsse benötigten, hätte jede Appliance rund 2500€ gekostet (vLAN's waren zu deiesem Zeitpunkt keine Option für uns).
Dazu konnte der Anbieter uns aber keinen Vor-Ort-Service für die Hardware anbieten, sondern nur einen Bring-In-Service.

Also kam die Frage auf, lieber eine selbst beschaffte HW für die UTM zu nutzen bei der wir uns selbst die Wartungsoptionen (Vor-Ort-Service, Laufzeit) und die Leistungsfähigkeit aussuchen können.
Problem: Wenn man die UTM-Software des Anbieters nativ auf Fremd-HW installiert verliert man den Support, da der Betrieb nur auf den Appliances des Herstellers oder aber innerhalb einer VM (Hyper-V, VMWare) freigegeben und supportet ist. Da wir ohnehin VMWare für die Virtualisierung im Unternehmen nutzen, war die Lösung für uns naheliegend!

Beschaffung 2'er identischer 1 HE Server mit 8 NW-Karten incl. Vor-Service und Betrieb der UTM als VM's.
Ausschlaggebend war natürlich letztlich das wesentlich bessere Kosten/Nutzen-Verhältnis. Wir haben für etwas weniger Geld leistungstärkere HW mit Vor-Ort-Service bekommen.
Das Ganze läuft inzwischen seit rund 3 Jahren absolut problemlos. Inzwischen reichen auch die 8 NIC's der Server nicht mehr aus (sind ja nur 6 Ports effektiv, da 1 Port für die HA und 1 Port für das VM-Management-Netz), so dass wir per vLAN erweitert haben. Das Charmante beim Einsatz einer FW als VM ist, dass die vLAN-Verwaltung komplett unter VMWare abläuft. Die UTM selbst bekommt für jedes neue Netz einen virtuellen NIC dazu den die UTM natürlich als 'echten' NIC sieht.

Wenn ich mir jetzt vorstellen würde, dass unsere UTM mit auf den produktiven VM-Hosts laufen würde, bekäme ich Schnappatmung.  ::)
Wie viele NIC's müsste ein VM-Hosts haben? VMWare allein nutzt bei uns im HA-Cluster bereits 6 NIC's pro Host! Selbst wenn man fast Alles per vLAN's machen würde bräuchte man doch gerne noch 2-3 NIC's zusätzlich. Versuch mal die ganzen NW-Kabel + 2 x Netzteil + ggf. SAS im Kabelträger eines 1HE Servers unterzubringen!  :o

Klar, für 25 User braucht man so etwas i.d.R. wohl eher nicht.  ;)
Da würde ich eher zu 2 dedizierten HW-Appliances greifen. Gerade auch unter pfsense.

JeGr

Dazu konnte der Anbieter uns aber keinen Vor-Ort-Service für die Hardware anbieten, sondern nur einen Bring-In-Service.

Autsch

Das hätte 2 x exklusive Appliances des Anbieters erfordert. Da wir zum damaligen Zeitpunkt mindestens 6 NW-Anschlüsse benötigten, hätte jede Appliance rund 2500€ gekostet (vLAN's waren zu deiesem Zeitpunkt keine Option für uns).

Doppel-Aua. Für 2500€ x2 wäre NBD (next business day) Replacement das Mindeste gewesen… :/

Das Charmante beim Einsatz einer FW als VM ist, dass die vLAN-Verwaltung komplett unter VMWare abläuft. Die UTM selbst bekommt für jedes neue Netz einen virtuellen NIC dazu den die UTM natürlich als 'echten' NIC sieht.

SCNR: Auch nur so lange lustig, wie man das vCenter nicht wechseln will, dann sind dSwitche plötzlich was verdammt doofes und man ist froh, wenn man es nicht via VLANs in VMware, sondern Trunk in die VM und dort als VM gelöst hat :D Ist aber eher VMware Bullshit ;)

Wie viele NIC's müsste ein VM-Hosts haben?

Naja ganz realistisch müsste man dann sehen, wie viele VMs bspw. über den VMware internen Bus die Kiste bedienen kann - was also überhaupt nicht wirklich durch echtes Netzwerk sondern nur intern über virtualisierte Stacks läuft - und wieviel sie dann tatsächlich rausgeben muss ;) Und ob das dann intern via 10G noch ein großes Thema ist, müsste man gesondert betrachten :)

Da würde ich eher zu 2 dedizierten HW-Appliances greifen. Gerade auch unter pfsense.

Richtig, da kann man dank Hardware Angebot auch durchaus was finden, was NBD mit an Bord hat und man trotzdem als Appliance Art behandeln kann :)