PfSense Firewall Appliance: multiple NIC oder Switch? Throughput Qualität?



  • Hallo Forum, ich brauche bitte eure Hilfe mit einem Thema: Hardware für pfSense. Ich glaube, die Frage wurde vorher gestellt, aber ich möchte wirklich eure Empfehlung:
    1. für zu Hause (Unterstützung für ca. 20-30 Geräte)
    2. ich mache viel mit pfBlockerNG und DNSBL mit mehreren Feeds, dazu kommt auch Suricata
    3. pfSense Appliance wird mit einem Switch angeschlossen (GS724T), wo alle Geräte im Haus angeschlossen sind und mit allem Subnetze konfiguriert sind. (nur ein Punkt zur Erklären: ich habe momentan ein APU2C4 Board im Einsatz, angeschlossen zu diesem Switch mit einem Port, dieser Port vom Board ist mit allen VLAN-ID -ca. 6 Subnetzen - konfiguriert und mit dem Switch angeschlossen).

    Zurück zum Titel: neues Appliance mit multiplen NIC oder ist das richtig so, ein Port mit dem Switch anschließen, und lass das Switch den Rest der Arbeit machen, ich meine Kommunikation zwischen den Geräten?.

    Ich interessiere mich für XG-7100 1U, Intel Atom C3558 mit DDR4 RAM, aber brauche ich so was für zu Hause? es ist echt teuer auch :-(  ich wollte das gleiche CPU selber bauen mit einem Supermicro Motherboard, aber ich habe gelesen dass NIC nicht unterstützt ist -oder immer noch nicht- mit pfSense Community Edition, sondern nur Factory Installation!!!

    Ich danke euch.

    Gruß

    Karl



  • Hi,

    wo hast du das gelesen, dass Supermicro NICs nicht unterstützt werden?
    Bei deiner Konfiguration wird sich sicher ein etwas günstigeres Supermicro System finden lassen.

    Bzgl Switch: Da es ein Smart Switch zu sein scheint, wirst du darüber nicht routen können. Diese Aufgabe wird also die pfSense übernehmen. Da empfiehlt es sich die pfSense mit 2 Lan Ports zum Switch zu verbinden und ein LAGG (LACP) zu spannen.



  • Danke dir für die Antwort…

    Es ist mir echt schwierig alles zu verstehen: Was ist genau die beste Lösung wenn ich einen neuen Router kaufe und wie kann ich weiter mit dem Switch konfigurieren.

    1. Über NIC in Intel Atom C3000 Series:

    https://forum.pfsense.org/index.php?topic=139429.0

    2. Über Multiple NIC oder Managed Switch:

    https://forum.pfsense.org/index.php?topic=119951.0

    3. LAGG: Ja oder Nein? und was für Vorteile und Nachteile:

    https://forum.pfsense.org/index.php?topic=114228.0

    Ich habe die alle drei Punkte in pfSense Forum gefunden, und mehrmals habe ich sie gelesen, was ich am Ende verstanden habe -für mich als Home User-:
    Wenn alle Geräte am gleichen Switch angeschlossen sind, die Kommunikation zwischeneinander geht üder das Switch, und das Firewall hat nichts zu tun mit dem Thema "Troughput". Das Firewall soll nur alles sortieren und die Packete hin und herschicken: Routing aber kein Data transfer zwischen den Geräten. Es bleibt nur eine Funktion für das Firewall unter dem Thema: Throughput, und zwar, WAN-LAN Kommunikation; Wenn ich nur eine Leitung mit 100 Mbs habe, dann wird ein Gbe mir reichen, und wenn ich eine Leitung mit 1000 Mbs gehabt hätte, sollte ich mir überlegen: LAGG usw...

    Ist das richtig? oder?????

    Gruß

    Karl


  • Moderator

    Der C3000 Atom ist noch nicht in allen Einzelheiten und SOCs fertig und final spezifiziert, daher ist auch die XG7100 bspw. ein Vorserienmodell, was auch ein paar Einschränkungen hat bzw. einige Designentscheidungen, die uns bspw. nicht so sehr passen, aber wohl Intel SOC/Chipsatz erzwungen sind. Ich würde daher davon noch die Finger lassen, denn selbst die Netgate eigene Hardware sagt hier noch "Vorserie und noch unter Entwicklung".

    Halte zudem die Kiste für zu Hause für etwas überzogen - 1HE mit aktiven Lüftern? Brrr… ;)

    Bei uns läuft heimwärts ein C2558er in einer scope7 7525. 6 NICs sind zwar ein wenig Overkill aber für Laborbedingungen und schnelle Tests super. Und hatte bislang selbst bei 450MBit/25MBit keine Probleme mit der Last.

    LAGGs würde ich heute eher vermeiden, es gibt durchaus die einen oder anderen Einschränkung, was LAGG Interfaces NICHT können/dürfen und das kann schon nervig sein (bspw. Shaper auf LAGGs sind immer noch... naja.)

    An was für einer Leitung soll den das Teil ran? Bei 20-30 Geräten kann da ja nicht viel Action passieren?



  • @JeGr: danke dir für die Erklärung über C3000. Ich bin der gleichen Meinung, es ist immer noch neu -obwohl ist es im Betrieb seit Oktober 2017, d.h. 6 Monate locker-. Ich habe auch in FreeBSB Forum was gelesen über solche Einschränkung mit LAGG, und wie du geschrieben hast, nicht immer empfohlen.
    Zurück zum Thema "was soll ich kaufen?" Was gutes, zuverlässig, nicht schlimm wenn es teuer ist aber Hauptsache hält -ich vermeide Wechsel alle 2-3 Jahre wegen WAF  ;D :P - . Die Leitung was ich zu Hause habe ist 100/40 Mbs, aber wir haben die Chance am Ende des Jahres auf 300 Mbs zu kommen, und wie ich sagte ich möchte nicht viel wechseln, du hast voll Recht: Ich suche was mit Fanless Design ist, kein Lüfter und mehr Stromverbrauch, aber mann muss nicht an Qualität sparen, ich meine wenn ein Atom C3000 im Betrieb wird und bessere Qualität in der Zukunft bringt, ich bin VOLL dafür.  Nur Gbe Kiste und kein SFP 10Gb: ich behalte mein Switch weiter weil ich denke: mehr als Gbe für zu Hause braucht man definitiv nicht, nur wenn die Internet irgendwann über 1 Gbs wird  :P :P :P oder?
    Wie ich sagte, Das Switch macht alles zu Hause -Die Kommunikation zwischen den Geräten- aber Die Filter für WAN INTERFACE -besonders später wenn die Leitung tatsächlich 300 Mbs wird- mit pfBlockerNG und Suricata werden ein Problem mit diesem Einfluss bringen.
    Wie ich nach einem tel. Gespräch mit einem Mitarbeiter von Landitec verstanden habe, NCA1510 ist unter TEST immer noch, aber es hat bis jetzt überhaupt keine Probleme mit pfSense gemacht, es läuft, aber er hat mir auch empfohlen -wie du am Beginn deiner Post geschrieben hast- zu warten, weil das Appliance immer noch neu ist, und ein paar Monate zur Sicherheit werden nicht schaden  8)


  • Moderator

    Die 1510 ist ein WorkInProgress auf Basis des 7525 Designs, die hat intern ja noch den 4-Kerner C2000 Atom. Ich habe die im Übrigen laufen und für nen 450/25er Anschluß ist die vollkommen ausreichend. Gut ich mach noch keinen Snort und sonstigen Kram, aber trotzdem würde ich nicht damit rechnen, dass die stark in die Knie geht. Somit würde die IMHO noch gut und länger laufen. Daher würde ich momentan zu der tendieren.

    Grüße



  • @JeGr: danke dir für deine Antwort. Ich bin momentan nicht in Eile, ich werde zuerst warten und später gucken: bei welchem Preis wird NCA1510 landen. Zurzeit 7525 kostet ca. 1004,53 EUR, Atom C2000 mit 6 Gbe; und wenn ich mich für NCA1510 entscheiden werde, werde ich die Version A kaufen: C3558 QuadCore mit DDR4 RAM. Bestimmt ist seine Leistung besser, und so bin ich an der sicherer Seite für die Zukunft, es wird mir definitiv für lange Zeit reichen.

    Gruß


  • Moderator

    Ich weiß nicht wo du welche Preise her hast, aber das ist jetzt irgendeine gewürfelte Zahl ohne Hintergrund. Kann ich so nicht stehen lassen, denn hier zählt auch immer Ausstattung, Garantie etc. mit rein.
    Zudem werden nie alle Produktvarianten später auch in großen Mengen genutzt, wenn du also Pech hast und die A Variante für große Stückzahlen keinen Sinn macht (weil andere Geräte besser passen oder eine andere Ausstattung besser ins Portfolio passt), würde ich mir eher ein Fokusprodukt suchen, das dann lange Jahre vorgehalten wird und Support hat - dann wartet man notfalls auch nicht ewig auf ein Tauschgerät, auch wenn wir das noch nie mussten ;)



  • @JeGr: Wie ich verstanden habe, Landitec ist nicht für "End-Consumer" zuständig sondern für die Firmen, und alles läuft über Angebote und Preisanfrage, aber sie haben ein "official reseller" : mini-itx.de . Man kann dort als "End-Consumer" die Produkte von Landitec kaufen.

    https://www.mini-itx.de/Desktop-Appliances/scope7-7525-Open-Source-Appliance-Solution::609363.html

    lt. Internetseite ist 7525 nicht verfügbar, aber der Preis liegt bei 1004,43 EUR.


  • Moderator

    Dann kannst du mit Verlaub den Preis auch vergessen. Ich kenne Jörg (von mini-itx) und die Preise sind alles mal Snapshots von anno-tuk bis ein Gerät mal wieder angefragt wird. Leider war das schon mehrfach ein Problem, dass er steinalte Preise auf der Seite hatte und dann Anfragen kamen, warum er so billig anbietet. Ist auch deshalb schon häufiger mal angesprochen worden, leider macht er das immer noch.

    Da die Preise seit Anfang des Jahres durch den RAM Anstieg im letzten Jahr und im ersten Quartal immer weiter klettern (leider), bezweifle ich ob er wirklich den Preis halten will/kann wenn tatsächlich was angefragt wird. Und es gibt nicht nur "einen" official reseller :P Wir sind z.B. Landitec Silver Partner genauso aber auch pfSense Partner und ein paar andere Sachen eben auch, die für uns einfach eine Runde Sache in Punkto Angebot ergeben. Damit man Alternativen hat und nicht nur eine Antwort geben kann ;)

    Grüße