pfSense selbst bauen



  • Hallo zusammen!

    Da meine Firewall Hardware (Lanner FW-7541) schon etwas in die Jahre gekommen ist und darüber hinaus AES-NI nicht unterstützt (was für v2.5 voraussichtlich erforderlich ist), suche ich langsam nach Ersatz. Die günstigste Rackmount Lösung von Netgate kostet 1000 €. Daher mein Gedanke das Teil selbst zu bauen. Im Netz habe ich dazu allerdings nicht allzuviel gefunden.

    Ich habe mir mal folgende Konfiguration zusammengestellt und würde gerne Eure Meinung dazu hören.

    Mainboard
    Supermicro A2SDi-4C-HLN4F retail - 310,20
    RAM
    Crucial DIMM Kit 8GB, DDR4-2133, CL15, reg ECC - 105,45
    SSD
    Intel SSD 760p 128GB, M.2 - 62,86
    Gehäuse
    Yakkaroo 19" 1HE Server-Gehäuse IPC-C125B incl. 250W - 139,90

    In Summe komme ich damit auf rund 600 €, also deutlich weniger.

    Würde diese Konfig passen?

    Danke schon mal für Eure Tipps.

    Beste Grüße
    Thomas



  • Ab pfSense 2.4.4 sollte das Board unterstützt werden.

    So steht es geschrieben.

    Die Plattform C3000 ist relativ neu in pfSense/FreeBSD. Erfahrungen im Eigenbau dürften deshalb rar sein.

    LG



  • Der C3558 ich auch in der XG-7100 1U Appliance von Netgate verbaut.


  • LAYER 8 Moderator

    Richtig, die C3000-Teile sollen erst mit 2.4.4 und dem neuen FreeBSD Unterbau sauber unterstützt werden. Ob das so ist, kann man ggf. nur mit einem Snapshot vorab testen. Daher sind die eigenen Kisten (SG-5100) auch noch nicht ausgeliefert, sondern nur vorbestellbar bislang.

    Allerdings muss ich subjektiv(!) sagen, dass die Supermicro Teilchen zwar laufen, aber so wahnsinnig dolle kommen sie mir nicht vor. Für den Firmeneinsatz (ich weiß ja nicht ob das privat oder Firma ist), würde ich mir lieber ne komplette Appliance anschaffen. Wir haben das selbst schon gesehen, dass die Supermicro Teile eben eher als Server konzipiert sind, denn als Netwerk Appliance (haben gerade selbst unsere liebe Not mit den Xeon-D Kisten von SM bis hin zu Eprom neu flashen nach Firmware Update weil es mit Netzwerk Controllern Probleme gab). Kann natürlich mal wieder Einzelfall sein, aber ist nicht wirklich schön. Und gerade bei C3000 sieht es schon sehr danach aus, dass man den Chipsatz sehr auf das abstimmen muss, was man damit anstellen will - und da ist SM eben recht generisch und Server- statt Netzwerk-zentrisch.

    Just another opinion ;)



  • Danke für die umfassende Info. Dann wird's wohl nichts mit dem Selbrebauen ... schade.

    Was wäre den ein vernünftiger Nnchfolger für meine Lanner FW-7541? Nütze das Ding privat, sollte aber trotzdem genug Leistungsreserven haben.

    LG
    Thomas



  • @esquire1968-0 said in pfSense selbst bauen:

    Was wäre den ein vernünftiger Nnchfolger für meine Lanner FW-7541?

    Als ich meine alte APU1D in Rente schicken wollte stand ich auch vor der Frage nach einem
    leistungsfähigeren System. Da ich gerne "bastle" habe ich mir um ein Jetway-Board
    (siehe Signatur) ein neues Teil aufgebaut. Eine APU2C4 schien mir in Bezug auf die
    OpenVPN-Leistung nicht mehr erste Wahl zu sein. Belastbare Aussagen zu OpenVPN
    gibt es hier.

    Nachteile im Vergleich zu einer APU2C4:

    • nur zwei Ethernetports (Intel i211)
    • mit rund 370 EUR preislich nicht so günstig

    Das Teil ist lüfterlos und ist recht sparsam im Energieverbrauch.
    Läuft seit Wochen ohne Probleme.

    LG


  • LAYER 8 Moderator

    @esquire1968-0 said in pfSense selbst bauen:

    Was wäre den ein vernünftiger Nnchfolger für meine Lanner FW-7541? Nütze das Ding privat, sollte aber trotzdem genug Leistungsreserven haben.

    Naja du hast bislang ja auch noch Nullkommanix zu dem geschrieben, was du zu Hause nutzt. Wie soll man da dann auch eine Empfehlung aussprechen 😉

    Denn wenn ich die HW von Gladius lese, dann muss ich dran denken, dass es die scope7-1020 bzw. NCA-1020 auch mit 3 Ports (Intel) und stromsparend als Barebone um den Dreh gibt. Kommt also drauf an was man möchte und das Budget hergibt 😄



  • Sorry, hätte ich früher sagen sollen.

    Aktuell verwende ich auf meiner FW-7541 1x WAN und 3x LAN, daher währen 4 NIC's das absolute Minimum (aktuell habe ich 6).

    Aktuell laufenden Anwendungen:
    max 35 Clients
    4 permanente IPsec Verbindungen + mobiler Zugriff
    3 permanente OpenVPN Verbindungen
    FreeRadius
    pfBlockerNG
    Snort
    Proxy als Test (Squid + SquidGuard)

    Gebe gerne etwas mehr aus, dafür sollten genug Reserven da sein. Meine aktuelle FW ist letztlich auch oversized ...


  • LAYER 8 Moderator

    Hmm witzig, dass die meisten Leute immer mit Clients argumentieren. Wichtig ist doch eher, was kann der Anschluß an Bandbreite bringen bzw. was muss die Firewall dann an Mega/Gigabit und Pakete pro Sekunde verarbeiten ;) Das und natürlich was davon rechenintensiv wie VPN oder Snort und Co reinschlägt. Aber selbst Snort und VPN sind bei bspw. 2MBit/s pillepalle, das packt dann jede APU1 noch im Schlaf ;)

    Daher: Nicht Clients sondern Bandbreite ist mit das Hauptargument und ob ihr die volle Bandbreite auch abrufen wollt/müsst (bspw. bei VPN). 400/20Mbps Kabel Internet im Down/Up? Klar kein Problem. Das auch Vollverschlüsseln? Oh wait... 400Mbps bei kleinen Paketgrößen also ordentlich pps ist schon anstrengend, da kommt auch der C2000 Atom schon ein wenig ins Schwitzen (je nach VPN). Daher ist das eigentlich eher die Nenngröße, nach der ich meistens die Geräte schonmal grob vorselektiere :)

    Also wenn du noch was warten kannst und dein Budget ausreizt ... soll da bald eine sehr sehr schöne C3000 Denverton Alternative zur SG5100 erscheinen. Wird zwar teuer aber nicht so teuer wie die SG5100 nach dem was mir zu Ohren kam - und damit hättest du einen sehr ordentlich schnellen Chipsatz, 4/2 oder 6 Gigabit Ports (4 RJ45/2 SFP oder 6 RJ45) und sicher viel Spaß ;)

    Ich bin mit meiner scope7-7525 extrem zufrieden. Teures Spielzeug, sicher. Und 6 Gigabit Ports sind sicher auch oversized. Aber für meinen Betrieb sicher die nächsten Jahre nicht kleinzukriegen. Ist zwar noch der "alte" C2558 4-Kerner, aber der wuppert auch ordentlich was durch den Äther. Wenn ich jetzt suchen würde, würde ich aber ggf. auf die 3000er warten und dann in Zukunft + Ruhe investieren :)

    Gruß


Log in to reply