Hardware für Anbindung Aussenstelle?
-
Hallo zusammen,
wir haben nun bei uns in der Firma eine Aussenstelle dazubekommen, welche wir nun per (Open)VPN, mittels Site-2-Site, koppeln wollen.
Da wir aber auch große Datenmengen kurzzeitig übertragen wollen, stellt sich die Frage, was wird an Hardware nehmen könnten.
Die Zentrale hat einen Glasfaseranschluss, die Aussenstelle hat derzeitig einen 400MBit Kabelanschluss.
Wir benötigen keine Rackfähige Hardware.Wäre die SG-3100 was?
Was für Transferrate schafft man mit einer SG-3100 mittels OpenVPN?
Die SG-3100 hat noch einen ARM CPU - ist dieser 64Bit? Bzw. sind die 2 Cores ausreichend?Oder habt ihr andere Hardware als Vorschlag?
Danke für eure Infos,
Gruß Sebastian
-
Moin,
ich kenne die SG-3100 nicht und weiß nicht ob es einen AES-Chip auf dem Teil gibt. Im Zweifel einfach eine Anfrage an Netgate stellen.
Rine m.E. recht gute Übersicht über die VPN-Performance verschiedener HW findest Du hier: http://calexium.com/fr/produits/tests-de-performance.html
Da kann man dann sehen in welche Richtung es geht. ;)
Grundsätzlich sind deine Angaben etwas schwach, da bei einer Site2Site immer auch die Rahmenbedingungen passen müssen.
Sind die 400 MBit in der Filiale symetrisch?
Wie ist Eure Zentrale angebunden?
Was habt Ihr in der Zentrale für eine Maschine im Einsatz?Gruß
Dirk -
Wäre die SG-3100 was?
Kann man so pauschal nicht sagen. Was ist denn die Anforderung? Du schreibst nur dass es einen 400er Kabelanschluß gibt. 400/20? Soll der maximal genutzt werden? Was ist Zielstellung für die HW?
Was für Transferrate schafft man mit einer SG-3100 mittels OpenVPN?
Schwer zu sagen. 100MBit/s und mehr verschlüsselt (synchron) waren in der Vergangenheit eher bei der 2440 bzw. 4860 zu finden. Da die 3100 laut Aussagen zwischen 2220 und 2440 angesiedelt ist, ist das nicht so leicht festzustellen. Ich hatte bisher auch nur eine in der Hand, konnte die aber nicht messen.
Die SG-3100 hat noch einen ARM CPU - ist dieser 64Bit? Bzw. sind die 2 Cores ausreichend?
Bei den 64bit bin ich mir nicht sicher. 2 Cores reichen für das Gerät aus, aber das hängt davon ab, was man damit macht. Wie immer. Soweit ich weiß ist bei den ARM Plattformen noch zusätzlich ein Crypto Beschleuniger mit an Bord, der die Funktion von AES-NI übernimmt, da es die bei ARMs nicht gibt.
Ich muss sagen, dass ich persönlich und privat nicht ganz so angetan war von der Kiste. Ist aber mein subjektiver Eindruck. Zwar eine massive Basisplatte aus Metall, aber drumherum überall dünner klappriger Kunststoff. Die Idee mit dem 4 Port Switch integriert ist zwar nett, aber in der Oberfläche für mich noch ziemlich roh und fummelig eingebaut und hinterlässt eher "?" als ein Aha! Die 2,5GBit Anbindung des Switches dürfte für die meisten typischen "FritzBox" Nutzer ausreichen, die eh nie 4x Gigabit brauchen, aber es ist schade, damit ein Gerät zu ersetzen, dass 4 echte Gigabit Ports hatte (2440). Alles in allem war mein Eindruck sehr durchwachsen.
Ich würde bei dem Ausbau der Außenstelle von schon 400MBit/s und bei Gigabit in der Zentrale eher was größeres in Betracht ziehen um genug Ressourcen für jetzt und später zu haben. Ich würde da eher in Richtung SG-4860 oder vergleichbarer Hardware schauen (bspw. scope7-7525).
Grüße
Jens -
Hallo Dirk,
danke für die Rückmeldung.
Die Zentrale hat aktuell 100Mbit symetrisch, die Aussenstelle 400 (down) / 25 Mbit (up).
In der Zentrale läuft zZt. noch eine APU (?), muss ich aber noch genauer schauen. (habe es "geerbt", da ich dort erst seit Ende verg. Jahres arbeite …)
Wird aber wahrscheinlich auch noch ersetzt werden (müssen).Mir geht es jetzt nicht um die Zentrale, ich will jetzt nur direkt für die Aussenstelle dafür sorgen, das wir auch zukünftig gut aufgestellt sind, da wir dort noch nichts haben.
Die Firewall in der Zentrale steht aber auch schon auf der Liste ...Es sollte in der Aussenstelle möglich sein, aktuell vll. 20-25MBit (?) via OpenVPN nutzen zu können. In den nächsten Jahren 50MBit oder gar mehr.
Die Anbindung der Aussenstelle werden wir auch nochmals durchleuchten, da wir auch dort wahrscheinlich noch Änderungen machen werden.
Aktuell ist noch alles in der Planungsphase ...Gruß Sebastian
-
@sanches: die genannte Hardware könnte das problemlos umsetzen. Wir haben die 7525 bspw. bei Kunden mit 100-200MBit synchron laufen.
-
Aha,
na damit kommt man doch schon weiter! :)
Ich bin kein großer Freund davon 'Leistung' auf Vorrat zu kaufen (im Gegensatz zu Jens) 8). Bei 100/100Mbit in der Zentrale ist die ohnehin Euer Bottenleck. Mehr wie 100 Mbit sind da ja ohnehin nicht drin. Wenn Ihr in der Zentrale jetzt kurzfristig nicht die Anbindung aufstocken wollt, würde eine APU2C4 für den Außenstandort durchaus ausreichen.Wichtig wäre natürlich zu klären, was Ihr genau für eine APU in der Zentrale am Laufen habt! Wenn es sich nur um eine APU(1) handelt gibt es keine Verschlüsselungsunterstützung seitens der CPU (AES-NI). Dann macht VPN nicht viel Spaß! Sollte sich ja recht einfach klären lassen, da dass ja im pfsense-Dashboard angezeigt wird
Also erstmal genau prüfen, was für HW am Start ist.Gruß
Dirk -
Ach Mist, hab Glasfaser = Gigabit gelesen statt 100MBit/s. OK dann täte es ne Nummer kleiner auch. ABER - und da bin ich eben aus Erfahrung macht Schlau mit Firmen inzwischen weiter ;) - auf "Vorrat" ist nicht so verkehrt, denn oft genug sind solche Teile bei Firmen eben 3-5 Jahre in der Abschreibung und müssen so lange herhalten. Und wir sehen, wie sich Bandbreiten und Nutzung entwickeln. Plötzlich will man doch das neue AppID Filtering nutzen und die CPU reicht nicht mehr um 100MBit/s sym. gleichzeitig noch zu verschlüsseln (o.ä.), daher würde ich nie auf "jetzt Stand" kalkulieren, sondern in Betracht ziehen, was sich die nächsten Jahre noch tut bzw. wo man hin will.
Und 100MBit/s sym. sind jetzt auch nicht viel, Angebote mit mehr gibts schon und da muss nur Gigabit Glasfaser kommen, dann wäre es plötzlich total schön, wenn die Kiste auch 400MBit wenigstens in eine Richtung verschlüsseln kann - und dann macht das Ganze plötzlich nen Sprung von ~20-25 auf 200-400 :D
Wenn da in der Zentrale aber noch ne APU werkelt - wirklich bitte prüfen! - dann wäre die eh schon ziemlich unterdimensioniert für alles außer Routing bei 100 symmetrisch. Das ist dann schon unteres Ende der Nahrungskette! Da würde ich eher überlegen die ggf. erst mal in die Außenstelle zu packen und mir ne 7525 o.ä. ins Haupthaus zu holen. :)
-
Danke nochmals für euren Input.
D.h. ihr würdest sagen das die SG-3100 ausreichen sollte? Oder die APU2C4?
Der Glasfaseranschluss in der Zentrale hat zZt. nur einen Tarif mit einer 100MBit Leitung.
Wenn wir mehr brauchen, kann problemlos auf 1000MBit hochgestuft werden.
Ist aber derzeitig nicht geplant, jedoch haben wir uns gerade durch diese Option für die Zukunft für diesen Anschluss entschieden.@Dirk:
Folgendes finde ich im Dashboard:2.3.3-RELEASE (amd64)
nanobsd (4g)
pfsense0 / da0s1(rw)
AMD G-T40E Processor 2 CPUs: 1 package(s) x 2 core(s)Gruß Sebastian
-
Ok,
dann habt Ihr in der Zentrale nur eine PC-Engnes APU (kein AES-NI). Für VPN nicht gut geeignet, da recht langsam und eine hohe CPU-Last weil eben ohne AES-NI. Noch dazu Nano-Installation!
Mit der Nano-Installation ist mit der pfsense 2.3 Schluss. pfsense 2.4 ist nur mit mit einer Vollinstallation möglich. Das bedingt i.d.R. auch eine SSD.
Insofern würde ich dann doch überlegen, die Hardware komplett zu erneuern. Evtl. macht (übergangsweise) auch der Vorschlag von Jens Sinn. Zumindest wenn das Budget eher schmal bemessen ist.
Wenn es günstig sein soll, würde ich mir 2 APU2C4 Kits holen (mit SSD). Dann kannst Du auch gleich die pfsense 2.4.x installieren. Eine komplettes APU2C4-Kit bekommst Du für ~ 200€.Zur SG-3100 kann ich keine Aussagen treffen, da ich noch keine hatte! Mußt mal schauen, ob Du Erfahrungsberichte zur VPN-Performance einer SG-3100 findest. Ob das aber günstiger wird als eine APU2C4 glaube ich nicht. Vorteil wäre hier natürlich der pfsense-Gold-Support für 1 Jahr den es bei Kauf der SG-3100 gibt.
Gruß
Dirk -
Ob das aber günstiger wird als eine APU2C4 glaube ich nicht.
Nein ist es nicht.
Ich würde mir bei der Konstellation aber dringend überlegen - OK natürlich abhängig vom Budget - ob ich in der Zentrale mit eine 7525 hinstelle - gerade wegen Upgrade auf größere Geschwindigkeiten noch mehr Reserven - und in der Außenstelle eine 1020 (oder wenn Kosten klein sein müssen eben das APU2C4 Bundle). Aber gerade in Punkto Zuverlässigkeit bei Firmen sind uns die beiden bislang wesentlich positiver aufgefallen als die APUs. Was bitte genauso zu verstehen ist - unser subjektiver Stand. Aber ich empfehle inzwischen gerade für sensible Einsatzorte keine APUs mehr, auch wenns mir selbst weh tut. Sind uns einfach schon im Verhältnis zu viele ausgefallen. von 1010, 1020 oder 7525ern noch gar keine bis heute. Lediglich eine 1010er ist bislang gestorben an Überspannung. Das hätte aber jeden getötet ;)
Grüße
-
Ok,
dann habt Ihr in der Zentrale nur eine PC-Engnes APU (kein AES-NI). Für VPN nicht gut geeignet, da recht langsam und eine hohe CPU-Last weil eben ohne AES-NI. Noch dazu Nano-Installation!
Mit der Nano-Installation ist mit der pfsense 2.3 Schluss. pfsense 2.4 ist nur mit mit einer Vollinstallation möglich. Das bedingt i.d.R. auch eine SSD.Moin,
das ist eine altes Alix Board mit einem AMD G-T40E Prozessor.
Dies ist vor allem ein 32Bit Prozessor und wird ab Versin 2.4 nicht mehr unterstützt.Hornetx11
-
Aus aktuellem Anlaß nochmals:
ALIX != APU. Die Aussage oben war schon korrekt, es IST eine alte APU(1).
-> https://www.pcengines.ch/apu.htmBitte ggf. nachlesen, ALIX und APUs werden hier leider immer wild durcheinander gewürfelt und auch wenn die APU1 das inzwischen gleiche Schicksal teilt, was EOL angeht, ist sie dennoch für andere Anwendungen durchaus noch eine ganz annehmbare Plattform. Die ALIX ist hingegen schon seit Jahren mehr als überholt und lief auf einer alten Geode LX CPU mit ~500MHz
-> https://www.pcengines.ch/alix.htm -
Sorry mein Fehler
HornetX11
-
Kein Problem, ich wollte nur weiteren ALIX APU sonstwas Verwechslungen nochmal vorbeugen ;)
-
Hallo an alle,
vielen Dank für eure Infos und euren Input.
Ich werde nun mal die 1020 anfragen und im Laufe des Jahres auch mal die "alte" Firewall in der Zentrale angehen.Gruß Sebastian
