Hardware Erfahrung: Astora ASG 220 Rev. IV



  • Moin,

    ich wollte einfach nur mal meine Erfahrungen zum Thema Hardware Appliance los werden und mit euch teilen.

    Zur Hardware:

    Hersteller: Vertrieb erfolgte durch Astaro oder Sophos, Hardwarehersteller ist eigentlich die Firma NEXCOM
    Modell:

    • Astaro: ASG 220 Rev. 4

    • Sophos: UTM 220 Rev. 5

    • NEXCOM: NSA 3110

    Ab Werk war bei meiner Astaro ASG 220 Rev. 4 ein Intel Celeron Dual Core und 1 GB Ram verbaut.

    Gehäuse: 1HE 19"
    CPU Sockel: Sockel 775
    RAM: 2x DDR3 bis 4GB insgesamt
    LAN: 8x Intel 82541 Gigabit LAN
    Sonstige Anschlüsse: 1x VGA, 2x USB 2.0
    HDD: 1x 3,5" SATA HDD

    Leider hat Astaro oder Sophos die Geräte bei NEXCOM ohne die beschriebene PCI-e 8x Schnittstelle geordert, vielleicht kann man diese noch nachrüsten… dies prüfe ich zur Zeit noch ;)

    Mehr infos zur Hardware gibt es hier: http://www.nexcom.com/news/Detail/nexcom-entry-level-network-security-appliance-with-intel-g41-chipset-nsa-3110

    Hardware Modifikationen:

    Folgende Komponenten habe ich geändert, hinzugefügt oder getauscht…

    CPU: IntelCore 2 Quad CPU Q8400 @ 2.66GHz
    RAM: 2x 2GB DDR3 RAM
    HDD: Intel 160 GB SSD
    Netzteil: Zippy 400W (www.ebay.de/itm/141027701965) da das Originale 170 Watt Netzteil für die Core 2 Quad CPU zu schwach war. Für das Netzteil musste ich allerdings den 3,5" Festplatten Käfig samt der Verschraubungspunkte entfernen.

    pfSense installation

    Ich habe meine pfSense ganz klassisch vom USB-CD-Rom Laufwerk auf der SSD installiert. Hierfür musste lediglich im BIOS die BOOT reihenfolge umgestellt werden. Dank VGA-Anschluss und USB Tastatur war dies nicht schwieriger als bei jeden anderen PC-System. An der pfSense installation an sich musste ich für die Hardware keinerlei Anpassungen vor nehmen oder treiber installieren.

    Selbst die Nutzung des integrierten Displays stellt keine zu große Herausforderung dar, da diesen ohne Probleme mit dem LCDProc Package arbeitet.

    Einsatzgebiet und Nutzung

    Momentan nutze ich die pfSense als "VPN Router" und "SSL-Offloader" in meinem kleinem IT-Systemhaus. Sie bedient als WAN momentan per PPPoE einen ADSL2 16.000 (LANCOM 821+ im Bridge Mode als Modem) und einen VDSL2 100.000 (Draytek Vigor2860 im Bridge Mode als Modem) Anschluss.

    Intern stehen momentan folgende Netze bereit:

    • LAN (Das Unternehmenseigene Netzwerk)

    • LAN II (Getrenntes Netzwerk mit Hotspot für Kundensysteme über die LAN-Anschlüsse in der Werkstatt oder per WLAN

    • LAN DEV (Netzwerk für Projekte zur Erprobung oder Schulung)

    • DMZ (Hier befinden sich verschiedene Server (Ubuntu für icinga2, nextcloud und osticket und unser MS SBS 2011 mit seinen Internetdiensten)

    Die Server in der DMZ sind nur über den haProxy auf der pfSense erreichbar, welcher als SSL-Offloader arbeitet, und mittels ACME Package regelmäßig mit frischen SSL-Zertifikaten versorgt wird. Die SSL-Performance mit den let's encrypt Zertifikaten mit EC-384 Keysize konnte ich noch nicht ermitteln, da weder der Upload als auch die Server in der DMZ wohl genügend Leistung bereitstellen. Also für die 40 Mbit am VDSL2 Anschluss reicht es alle mal :)

    Die Reine Routingleistung unter Beachtung des Firwall Regelwerks von LAN nach LAN II, reizt auf jedenfall eine Gigabit LAN-Verbindung gut aus. Die Übertragungsleistung im per SMB3 lagen bei 111 Megabyte im Durchschnitt. Mehr geht warscheinlich nur theoretisch und auf dem Papier oder per 10 Gigabit LAN ;)

    Des weiteren laufen momentan schon ein paar IPSec VPN's als Standortvernetzung und mehrere openVPN's zu ein paar Mobotix Webcams.

    Noch offene Baustellen

    Hardware:

    • PCI-e 8x Schnittstelle nachrüsten

    • Zweite Astaro ASG 220 Rev. 4 als CARP Member anschaffen und umbauen

    Konfiguration:

    • Site2Site IPSec VPN mit 1:1 NAT

    • CARP Einrichten und Testen

    • MS RDP-Gateway über haProxy zur Verfügung stellen

    • Telekom NGN Telefonie in Verbindung mit der Agfeo ES770 zum laufen bringen (Nicht wichtig da für die Fimra eh ein ISDN Anlagenanschluss genutzt wird, aber nötiges Wissen für die Zukunft)

    Anbei nochmal ein paar Fotos von dem "kleinem DSL-Router" :)

    Gruß
    Ace








  • Moderator

    Hallo Ace,

    erstmal Danke für die Einsichten :)
    Darf ich fragen, warum du die Astaro/Nexcom gekauft hast und dann mit anderen Komponenten umrüstest? Käme es da theoretisch nicht günstiger gleich ein anderes Gerät, eine andere Appliance oder eine Box selbst zu bauen?

    Grüße



  • Hi,

    Das darfst du natürlich :)

    Ich habe einfach nur nichts Preislich attraktives in der Leistungklasse gefunden.

    Folgende Anforderungen gab es meiner seits:

    1HE Gehäuse
    VGA & USB
    8x Gigabit
    Statusdisplay

    Und das ganze bis 500,- Euro.

    CPU, SSD und RAM waren noch vorhanden aus altbeständen… also musste ich bisher nur 150 für die Astaro und 200 für das Netzteil aufwenden.

    Mir wäre jetzt keine andere fertige appliance bekannt die es für so wenig gibt ;)

    Gruß
    Ace