PfSense mit ARM Hardware?



  • Hi *,

    hat schon jemand erfolgreich pfSense mit einem ARM Board/Prozessor am Laufen?
    Und wenn ja, mit welcher Hardware genau?
    Mit welchem Aufwand war das verbunden? Gab es ein fertiges pfSense oder musstet ihr es selber bauen?

    Danke und ciao.
    Michael.



  • Hallo nobanzai, nicht direkt arm dafür hast du direkt 3 Netzwerkschnittstellen:
    http://pcengines.ch/apu2.htm
    Gruss Peje



  • Hi nobanzai,
    wieso ein ARM Board/Prozessor. Wegen des geringen Stromverbrauchs?? Das können ALIX und APU-Boards auch… <8W
    Ich habe pfSense auf ALIX 2D13 mit einem AMD-Geode laufen. Ist aber technisch veraltet (3x100MBit LAN, WLAN und 500MHz Prozessor) und funktioniert nur bis pfSense-Version  2.3.x. .
    https://www.alix-board.de/produkte/alix2d13.html
    Weiter habe ich ein APU2C4 Board mit aktuellem 1 GHz 64 bit Prozessor, SSD und WLAN, hier läuft pfSense in Version 2.4.xx .
    https://www.pcengines.ch/apu2c4.htm
    Du solltest natürlich bei 2.Variante mit ca. 200 €uro rechnen.
    Und hier eine super Anleitung, um das Ding zum laufen zu bekommen....
    https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall-eigenbau-fertiggerät-149915.html
    ....für APU aktualisiert. Findet man im Netz auch noch in der ALIX-Variante.
    Zu Deiner Frage "ARM" noch mal. Findet man oft in kleinen Billigheimer-Routern und die sind Hardware-mässig für die pfSense in der Regel unterdimensioniert. Hier stösst selbst schon das ALIX Speicher-seitig an seine Grenzen. Also lass die Finger davon, es lohnt nicht die Mühe. Die laufen notfalls mit DD-WRT oder OpenWRT und erfüllen hier noch eine ordentliche Funktion, die man mit einer original FW nicht annähernd erreicht.
    Gruss orcape



  • Danke für deine Antwort und die Links.

    Warum ARM?
    1. Weil ich hoffe, meinen Turris Omnia auf pfSense umstellen zu können.
    2. Weil mir Intel schon immer und seit Meltdown/Spectre noch mehr auf den Zwirn geht 8-<

    Ciao.
    Michael.



  • @peje:

    Hallo nobanzai, nicht direkt arm dafür hast du direkt 3 Netzwerkschnittstellen:
    http://pcengines.ch/apu2.htm
    Gruss Peje

    Danke, allerdings ist das zu wenig.
    Ich brauche mindestens 4 NICs, ggf. sogar 6.





  • Danke, allerdings ist das zu wenig.
    Ich brauche mindestens 4 NICs, ggf. sogar 6.

    Und wozu kann die pfSense VLAN ??? Switch dahinter und gut iss.



  • @orcape:

    Danke, allerdings ist das zu wenig.
    Ich brauche mindestens 4 NICs, ggf. sogar 6.

    Und wozu kann die pfSense VLAN ??? Switch dahinter und gut iss.

    Ja, klar.
    So hab ich das auch aktuell hier.
    Trotzdem wären mir 4-6 reale Ports lieber.



  • @Grimson:

    https://forum.pfsense.org/index.php?topic=145267.0

    Danke, ja, den hatte ich gelesen.
    Aber der genannte Netgate hat auch nur drei reale Ports, der Rest sind Switchports.



  • Wenn Du unbedingt 4xLAN benötigst und auf VLAN verzichten willst, dann hilft da eventuell ein Industrieboard mit 4 x Gigabit LAN Port Daughterboard. Kommst Du auf 5 oder 6 x LAN, je nach Board.
    http://www.mini-box.com/Jetway-4-x-Gigabit-LAN
    Wird aber nicht ganz so preiswert.  ;)
    Ich hatte da testweise mal etwas zusammengebaut und noch hier herum liegen, mit einem, nicht mehr ganz so brandneuen  mini-ITX von Jetway, Intel-Atom CPU, 1x GB LAN auf dem Board und so ein Daughterboard mit 3x GB Intel-NIC 's. PCI-WLAN-Karte und pfSense auf SSD. Allerdings hab ich das nur mal so getestet und mich dann für ein APU2C4 entschieden. Denn der Stromverbrauch unterscheidet sich doch gravierend zwischen < 8 W beim APU und 35 W beim Atom.
    Gruss orcape



  • @nobanzai:

    hat schon jemand erfolgreich pfSense mit einem ARM Board/Prozessor am Laufen?

    Derzeit gibt es nur die SG-1000 und SG-3100, auf denen eine ARM Version von pfSense läuft.

    @nobanzai:

    Gab es ein fertiges pfSense oder musstet ihr es selber bauen?

    Fertig für ARM gibt es nur die Version für die beiden oben genannten Boards. Für andere müsstest du dir das aus den (angeblich) auf Git verfügbaren Quellen selbst kompilieren. Ich könnte das nicht…
    Dazu braucht es wohl eine "Build chain" oder so, da man die Board-Hardware zum Kompilieren wohl schon konfigurieren muss (wenn ich das richtig verstanden habe). Es wird in der Zukunft von Netgate eine ARM Version für den Espresso.bin geben, an der man gerade arbeitet. Dass das nicht so einfach zu sein schein siehst du auch an der Tatsache, dass es (immer noch) nicht fertig ist.
    https://forum.pfsense.org/index.php?topic=143372.msg781256#msg781256
    https://twitter.com/gonzopancho/status/936441170963570688

    Da scheint auch noch mehr aus der Richtung zu kommen
    https://twitter.com/gonzopancho/status/979910488405442560
    was ein Derivat dieses Boards zu sein scheint: https://www.traverse.com.au/products/five64-arm64-platform/
    (die Bilder sind mit Traverse für den Hersteller und NXP für die CPU untertitelt)



  • @jahonix:

    @nobanzai:

    hat schon jemand erfolgreich pfSense mit einem ARM Board/Prozessor am Laufen?

    Derzeit gibt es nur die SG-1000 und SG-3100, auf denen eine ARM Version von pfSense läuft.

    […]
    Netgate eine ARM Version für den Espresso.bin geben, an der man gerade arbeitet. Dass das nicht so einfach zu sein schein siehst du auch an der Tatsache, dass es (immer noch) nicht fertig ist.
    https://forum.pfsense.org/index.php?topic=143372.msg781256#msg781256
    https://twitter.com/gonzopancho/status/936441170963570688

    Da scheint auch noch mehr aus der Richtung zu kommen
    https://twitter.com/gonzopancho/status/979910488405442560
    was ein Derivat dieses Boards zu sein scheint: https://www.traverse.com.au/products/five64-arm64-platform/
    (die Bilder sind mit Traverse für den Hersteller und NXP für die CPU untertitelt)

    Danke für die Antwort.
    Den SG-3100 hatte ich schon gesehen, aber der hat eben auch nur 3 Routerports, der Rest sind Switchports.

    Leider bestätigst du meine Befürchtungen, dass das alles nicht trivial ist.
    Irgendwas übersetzen könnte ich noch, aber nicht eine komplette Build-Chain mit Cross-Compiler usw. zusammen basteln.

    Naja, dann warte ich mal. Immerhin scheint ja Bewegung in die Sache zu kommen.
    Evtl. sieht das Ganze Ende des Jahres schon besser aus.



  • Der Switch im 3100 ist VLAN fähig, du kannst die Ports also separieren.


  • Moderator

    Die Konfiguration der 3100 ist aber IMHO ein Graus was VLAN etc. angeht. Dazu kommt: wer auf echtes Gigabit angewiesen ist auf JEDEM Port, kann das vergessen. Die SG3100 hat:

    1x WAN
    1x OPT
    (jeweils Gbit)
    4x LAN via 1x Marvell int. phy. NIC Upstream Chip mit 2.5Gbps.

    Somit werden die 4 LANs über den Upstream Marvel auf 2.5Gbps Maximalbandbreite limitiert. Das ganze wird bei der neuen Hardware - der XG7100 - noch lustiger. Hier gibts 8x RJ45 Gigabit Ports, aber:

    1x WAN
    7x LAN via 2x int. Marvel phy NIC. Jeweils wieder mit 2.5Gbps angebunden. es teilen sich also 7 Gigabit auf 5 auf, allerdings je nachdem wie die Ports gesteckt sind mal über den einen 2.5er und mal über den anderen. Je nachdem wie Marvel Treiber liefert und es weitere Treiber gibt, könnte man sich vorstellen die beiden 2.5er zu einem 5er Bond zu bündeln und das damit besser zu balancen, es bleibt aber für mein Verständnis eine unnötige Bastelei, denn wenn ich ein Gerät in der Größenordnung der XG7100 habe, das zudem 2x SFP+ hat, gehe ich im ersten Moment nicht davon aus, dass die 8 Ports da intern wie ein billiger Noname Switch funktionieren. Ja ich kann damit VLANs konfigurieren, allerdings ist die Oberfläche in der pfSense dazu in meinen Augen noch ziemlich … gruselig ... aber trotzdem ist es etwas nervig, dass die Ports dann via Umweg VLAN separiert werden und im ungünstigsten Fall blockiert man sich dann Bandbreite weil man ungünstig über die beiden Bridge Chips Daten schaufelt.

    Dafür flogen aber die 2220, 2440 (4 echte Ports), 4860 (6 echte Ports) und 8860 (dito) aus dem Programm. Hat bei vielen Firmenkunden und uns ziemliches Kopfschütteln ausgelöst, dass man 4/6 Produkte ablöst, durch 2 ersetzt (3100 und 7100) die nicht mal genau das physikalisch können. Und klar, man hat SFP+ und könnte einfach einmal 10G verkabeln, aber nicht jeder hat im Frontend beliebig viel 10G Ports am Switch und möchte seine Infrastruktur umstellen. Und zum Teil sind es auch wirklich getrennte Netze die man einfach getrennt auflegen möchte.

    Trotzdem wären mir 4-6 reale Ports lieber.

    scope7-7525. Kostet, hat mehr Performance aber rockt und hat kein Schnickschnack drumrum. Specs identisch zur EOL SG-4860. Passiv gekühlt, wenig Strom, massiv verarbeitet.

    1. Weil ich hoffe, meinen Turris Omnia auf pfSense umstellen zu können.

    Wirst du in naher Zukunft vergessen können. Es gab schonmal das Statement, dass die ganzen ARM Industrial Abkömmlinge einfach teils zu verschieden sind, als dass man da so einfach "generische" ARM Builds für raushauen kann. Gerade wenns nicht nur laufen soll, sondern eben Security und Performance wichtige Punkte sind. Da wird die Unterstützung von vielen unterschiedlichen Herstellern eher hinten auf der Agenda stehen, ansonsten wäre das sicherlich nicht nur für Espresso angekündigt/diskutiert, sondern auch andere Boards im Auge.



  • …aus dem Portfolio fände ich die NCA-1210A interessanter als FW-7525 - aber NCA kommt halt nicht ebenfalls aus der #9c  ;-)

    Wie schlägt sich denn der Celeron N3010 aus den NCA-1020 im Vergleich zu Atom C2558/C2358?

    Schade, dass der C3000 Denverton Atom aus den NCA-1510 erst ab FreeBSD 11.2 und damit ab pfSense 2.4.4 unterstützt wird.


  • Moderator

    Die 1210 ist kein Gerät, was als Network/Security Gateway Produkt gelistet ist. Zum einen weils ein Comm-Device ist - und ähnlich der APU3 auch wenn das hartnäckig ignoriert wird - für Build mit WLAN/LTE gedacht ist. Zusätzlich hat es einen Lüfter und ist da preislich eher weniger attraktiv.

    Die 1510 ist auch m.W. erst angekündigt. Nur weil da viel Hardware schon definiert ist, heißt es nicht, dass die auch tatsächlich production ready ist :) Auf der Lanner Seite sind oft auch lediglich die Produktsheets von Ankündigungen zu finden. Soweit ich weiß ist da noch kein Denverton für den Security Gateway Bereich momentan wirklich in Massen lieferbar bzw. production ready in use. Was man ja - gerade bei Denverton HW - auch bei Intel und der pfSense eigenen XG-7100 sieht. Das ist ja auch noch ein wenig mit heißer Nadel gestrickt und die Board Layouts und Chipsätze die Intel da liefert sind auch mitunter mehr als strange gestaltet was die interne Ausführung angeht.

    Dass die 7525 noch FW heißt liegt lediglich daran, dass die 1210 einen Ticken neuer ist und deshalb schon ins neue Namensschema mit NCA statt FW fällt. Ansonsten ist die 7525 wesentlich interessanter für die meisten Builds schon allein weil keine beweglichen Teile und Lüfter.



  • @orcape:

    wieso ein ARM Board/Prozessor. Wegen des geringen Stromverbrauchs?? Das können ALIX und APU-Boards auch…

    Dafür gibt es eigentlich sehr viele gute Gründe. M.M.n ist ARM technisch als FW & SW Hardware deutlich prädestinierter als die x86(_64) platform. Ich persöhnlich würde sie meinem APU -so gut es auch ist- sehr gerne vorziehen. Allerdings war der schritt zu 64Bit/AArch64 für ARM schon sehr gross & umfangreich. Ich werde daher auch keinesfalls auf ARM umsteigen solange noch mit ARMv7 (AArch32) rumhantiert wird, und würde entsprechendes auch nicht empfehlen. We hinsichtlich Meltdown/Spectre etwas mehr Sichrheit möchte, sollte sich von Intel fern halten. AMD & ARM sind zwar auch betroffen, aber wenigsten nicht so sehr. ..und man scheint vor allem deutlich einsichtiger!



  • @JeGr:

    Die Konfiguration der 3100 ist aber IMHO ein Graus was VLAN etc. angeht. Dazu kommt: wer auf echtes Gigabit angewiesen ist auf JEDEM Port, kann das vergessen. Die SG3100 hat:

    1x WAN
    1x OPT
    (jeweils Gbit)
    4x LAN via 1x Marvell int. phy. NIC Upstream Chip mit 2.5Gbps.

    Somit werden die 4 LANs über den Upstream Marvel auf 2.5Gbps Maximalbandbreite limitiert.
    […]

    Trotzdem wären mir 4-6 reale Ports lieber.

    scope7-7525. Kostet, hat mehr Performance aber rockt und hat kein Schnickschnack drumrum. Specs identisch zur EOL SG-4860. Passiv gekühlt, wenig Strom, massiv verarbeitet.

    1. Weil ich hoffe, meinen Turris Omnia auf pfSense umstellen zu können.

    Wirst du in naher Zukunft vergessen können. Es gab schonmal das Statement, dass die ganzen ARM Industrial Abkömmlinge einfach teils zu verschieden sind, als dass man da so einfach "generische" ARM Builds für raushauen kann. Gerade wenns nicht nur laufen soll, sondern eben Security und Performance wichtige Punkte sind. Da wird die Unterstützung von vielen unterschiedlichen Herstellern eher hinten auf der Agenda stehen, ansonsten wäre das sicherlich nicht nur für Espresso angekündigt/diskutiert, sondern auch andere Boards im Auge.

    Danke für deine mal wieder sehr hilfreiche Antwort.
    Bekommt man den scope7-7525 auch irgendwo bei einem Onlineshop oder nur beim Hersteller? Irgendwie find ich da nix.
    Und weisst du zufällig, ob es das Teil auch ohne SSD gibt? Da hab ich schon genug hier, da brauche ich nicht noch welche.

    Ciao.
    Michael.


  • Moderator

    Bekommt man den scope7-7525 auch irgendwo bei einem Onlineshop oder nur beim Hersteller? Irgendwie find ich da nix.

    Kein "Onlineshop" aber bei genügend Resellern wie uns schon. Sind im Normalfall aber Geräte die eher für Firmen denn Privatnutzer interessant sind, ich habe mir aber selbst eine gegönnt und möchte sie nicht missen.
    Und nein, die scope7 Devices sind alles fertige Appliances. Natürlich kann man aber auch die Barebone Variante bestellen und ggf. mit RAM vorbestücken/testen lassen, dann wird es ein paar Euro billiger, billig ist sie sicher nicht :D

    Grüße