Umzug Pfsense von ESXI Host -> Dedicated



  • Hallo Leute,

    ich wollte auf diesem wege einmal kurz um eure Unterstützung bitten.

    Nach längerer Überlegungszeit möchte ich nun gerne meine Pfsense firewall auf eine Dedizierte Hardware umziehen.
    Aktuell läuft diese Tadellos auf einem ESXI Host.
    (System: Celeron G1840 // 24GB Ram // 2 NIC'S)

    Aufgrund von "bedenken" möchte ich diese nun gerne auf eine dedizierte Hardware umziehen. Leider aber bin ich mir noch unsicher, welche Hardware anforderungen ich benötige. Ich hoffe ich könnt mir dabei weiterhelfen.

    Anforderungen.

    1. Ein bis zwei dauerhafte VPN Verbindungen (site to site) (Gegenstelle ist aktuell leider nur mit 6 Mbit/s angebunden)
    2. Ausnutzen meiner Internetbandbreite (100 / 40 Mbit/s)
      --> Nuzter: 4-5 Personen (direkt mit dem PC) Handys und Tablets lasse ich nun mal ausen vor.
    3. Die Möglichkeit ca. 2 Parallele VPN Tunnel von externen Geräten auf die Firewall aufzubauen
    4. Nutzen von Blacklisten um die Personen von vorgegebenen Internetseiten fern zu halten.
    5. "Routing" bzw. Bereitstellung des "Internet" für 3 Vlans (Intern / Gast / Testnetz)

    Bei meinen Internetrecherchen bin ich immer wieder über das sogenantne APU2C4 Board gestolpert, welche mit der Firewall wohl auch funktionieren soll. Auch die AES Ni erweiterung soll auch drin sein.

    Nun stellt sich mir jedoch die Frage, ob die Rechenleistung von dem Stromsparenden Board ausreichend ist.

    Danke schon einmal im Voraus.



  • Was spricht gegen Hardware direkt vom Hersteller der Software?
    Unterstützt das Projekt und ist zu 100% im Support und getestet.

    -Rico



  • Hey,

    danke für den Hinweis. Hatte ich bis jetzt noch nicht auf dem Schirm.

    Wenn ich das richtig deute, wäre die einzige aktuell Unterstütze Hardware dann die SG-3100. Oder Irre ich mich da ?



  • Für deinen Einsatzzweck würde die SG-3100 auf jeden Fall in Frage kommen. Vielleicht noch die MinnowBoard:
    https://store.netgate.com/MBT-2220-system.aspx
    https://store.netgate.com/MBT-4220-system.aspx

    -Rico



  • Danke.

    Aber was mich ein wenig wenig wundert ist, dass die ganze Hardware so wenig Ram hat. Ist das wirklich ausreichend?

    Ich mein, wenn ich das APU2c4 gegenüberstelle, dann hat dieses 4 Gb Ram und einen Quadcore mit 4x 1Ghz.

    Sorry für die blöde fragen, aber möchte halt nicht einfach "blind" kaufen.


  • Moderator

    Da würde ich entweder die SG5100 ins Auge fassen - kommt immer drauf an, ob das jetzt alles ist oder in Zukunft noch wächst und der Erfahrung nach wachsen solche Sachen eher als dass sie so bleiben - oder wenns Original und klein sein soll die SG3100.

    Ich teile da allerdings die Auffassung, dass zwar der 3100 der RAM sicher reicht, bin aber auch eher ein Freund von 4GB+. Allerdings schreibst du nicht dazu ob das ein Privatprojekt ist oder eher semi-Pro/Firmeneinsatz sein soll.

    Ich würde daher für den Einsatz eher Richtung scope7-1020 tendieren. Für Privat dann ggf. die APU2x4 wenn das genügt. Aber das hängt eben auch vom Faktor Privat/Business und vom Budget ab.



  • @jegr said in Umzug Pfsense von ESXI Host -> Dedicated:

    Ich teile da allerdings die Auffassung, dass zwar der 3100 der RAM sicher reicht, bin aber auch eher ein Freund von 4GB+. Allerdings schreibst du nicht dazu ob das ein Privatprojekt ist oder eher semi-Pro/Firmeneinsatz sein soll.

    Ich würde daher für den Einsatz eher Richtung scope7-1020 tendieren. Für Privat dann ggf. die APU2x4 wenn das genügt. Aber das hängt eben auch vom Faktor Privat/Business und vom Budget ab.

    Hallo, danke für die Rückmeldung.
    Sorry, hatte den Anwendungsfall wirklich vergessen. Es handelt sich um einen Privathaushalt.
    Also es ist kein Professioneller Einsatz oder Firmeneinsatz geplant.

    Die Sachen dienen in erster Linie "nur" dazu um zum einen Erfahrungen zu Sammeln und um das Heimnetzwerk von außen etwas abzusichern.

    Da es sich halt um einen Privathaushalt handelt, spielt natürlich das Thema Preis/Leistung eine größere Rolle.
    Möchte halt ungern etwas kaufen, was in einem halben Jahr wieder ersetzen muss, da es zu Leistungsschwach ist.

    Gruß
    Mario



  • Kommt hauptsächlich darauf an wieviele und welche Packages du brauchst/willst. Mit z.B. Suricata, dicker Squid und noch dem ein oder anderen Monitoring Tool können 2 GB eng werden.
    Du hast doch aktuell eine pfSense Installation in VM laufen, da kannst du doch deinen aktuellen Ressourcenverbrauch prüfen.

    -Rico



  • Da ich pfsense noch nicht also lange einsetzte, wurden bis jetzt noch kaum plugins getestet.

    Bei der VM habe ich der Sense aktuell 2 Cores und 6 Gb Ram zugewiesen. Denke jedoch, dass das Ram technisch gesehen etwas zu viel ist.

    Bin bei aktuellen Recherchen auf nachfolgende Hardware gestoßen:

    ZOTAC ZBOX CI527 NANO ca 300€
    oder
    ZOTAC ZBOX CI327 NANO ca 180€

    Wäre das nicht sinnvoller, da es flexibel erweiterbar ist?



  • Also wenn du mit dem Umzug keinen Zeitstress hast würde ich an deiner Stelle einfach noch abwarten und mit der virtualisierten pfSense herumspielen, bis du einen angestrebten Zustand mit allen deinen Einstellungen und Packages fertig hast. Danach kann man sich dann viel besser für eine Hardware entscheiden.
    Im Moment habe ich den Eindruck du weiß noch gar nicht so richtig was du alles machen kannst oder willst, da ist dann auch auch eine Empfehlung schwierig. :-)
    Für den Betrieb zuhause wäre natürlich auch die APU2C4 völlig in Ordnung, ich bin nach deinem ersten Posting u.A. wegen Site-to-Site Verbindungen etc. von einer kleinen Firma ausgegangen, da würde ich persönlich jedenfalls dann von irgendwelchen Bastellösungen absehen.

    -Rico



  • @rico

    Danke für die Aussage.
    Ob man für einen Privathaushalt eine Firewall benötigt ist auch eine Ansichtssache ^^, da mich aber das Thema interessiert, wird bei mir halt auch viel getestet. Und das Hauptproblem ist, wie du es anfangs schon richtig geschrieben hast, dass man die Möglichkeiten alle erst nach und nach entdeckt. ;)

    Somit wollte ich mir an dieser Stelle halt nicht den Billigsten Ramsch und die kleinste CPU holen.

    Was ich jetzt aktuell noch gelesen habe ist, dass es wohl empfehlenswert ist, wenn Netzwerkkarten mit Intel Chipsatz verbaut wurden.

    Stimmt diese Aussage?



  • @mayo89 said in Umzug Pfsense von ESXI Host -> Dedicated:

    Bei meinen Internetrecherchen bin ich immer wieder über das sogenantne APU2C4 Board gestolpert

    Kaum zu glauben, daß diese betagte Hardware noch so hoch im Kurs steht.
    Intensive Nutzung von OpenVPN an einem schnellen Internetzugang und
    schon bald ist Schicht im Schacht.

    Das Teil ist nach meiner bescheidenen Meinung nichts für die Zukunft.

    LG



  • @mayo89 said in Umzug Pfsense von ESXI Host -> Dedicated:

    Was ich jetzt aktuell noch gelesen habe ist, dass es wohl empfehlenswert ist, wenn Netzwerkkarten mit Intel Chipsatz verbaut wurden.

    Ja unbedingt, das ist so eine FreeBSD Sache... ;-)

    -Rico



  • Also Wir verwenden für kleinere Projekte die APUC4 Boards! Diese laufen sehr stabil, haben das eine oder andere schon seit 3 Jahren im Einsatz und noch nie neu starten müssen weil es hängengeblieben ist oder der gleichen!
    Für größere Projekte nehme ich immer Supermicro Boards mit 19"Gehäuse!

    Ich kann das APU für ein paar VPN Verbindungen nur absolut Empfehlen!

    Hoffe ich konnte Dir ein bisschen weiterhelfen!



  • @gladius said in Umzug Pfsense von ESXI Host -> Dedicated:

    @mayo89 said in Umzug Pfsense von ESXI Host -> Dedicated:

    Bei meinen Internetrecherchen bin ich immer wieder über das sogenantne APU2C4 Board gestolpert

    Kaum zu glauben, daß diese betagte Hardware noch so hoch im Kurs steht.
    Intensive Nutzung von OpenVPN an einem schnellen Internetzugang und
    schon bald ist Schicht im Schacht.

    Das Teil ist nach meiner bescheidenen Meinung nichts für die Zukunft.

    LG

    Hallo,
    Aber was mich wundert ist, dass es keine passende alternative mit "moderner" Hardware gibt ^^
    Oder hast du eine Stromsparende alternative?



  • @mayo89 said in Umzug Pfsense von ESXI Host -> Dedicated:

    Oder hast du eine Stromsparende alternative?

    Ja, siehe Signatur.

    Für den Hausgebrauch sind genügend Reserven vorhanden. Ist aber kein Teil von der Stange
    und deshalb wohl nicht für die Mehrheit der Nutzer geeignet.

    Meine Erfahrung zum Betrieb des Teiles:
    Nur Mißerfolge bei der Suche nach Problemen an einem VDSL100 Anschluß der Telekom.

    LG



  • @gladius

    @gladius said in Umzug Pfsense von ESXI Host -> Dedicated:

    Für den Hausgebrauch sind genügend Reserven vorhanden. Ist aber kein Teil von der Stange
    und deshalb wohl nicht für die Mehrheit der Nutzer geeignet.

    Meine Erfahrung zum Betrieb des Teiles:
    Nur Mißerfolge bei der Suche nach Problemen an einem VDSL100 Anschluß der Telekom.

    LG

    Hey, danke. Habe hier ein ähnliches Board rumliegen. Das war jedoch ausgeschieden, da die Netzwerkkarten von Realtek sind.
    Wusste aber gar nicht, dass es das auch mit Intel NICs gibt.

    Wenn ich mal so die Einzelheiten anschauen, sehe ich hier den Vorteil aber "nur" bei der Skalierbarkeit es Rams. Stromtechnisch sollte es denke ich mehr verbrauchen (wegen NT Pico etc). Oder irre ich mich hier?

    Ansonsten eine Super Idee

    In bezug auf deinen letzten Satz schein ich vermutlich etwas am Schlauch zu stehen. Meinst du damit, dass alles problemlos läuft ?

    Danke



  • @mayo89 said in Umzug Pfsense von ESXI Host -> Dedicated:

    Meinst du damit, dass alles problemlos läuft ?

    Ja. Bis jetzt ist alles im grünen Bereich.

    Es ist nicht so einfach für dieses Teil eine belastbare Empfehlung zu geben.
    Ich habe ja nicht zig Teile davon in Benutzung. Es ist eben ein Exot.

    Andererseits kann ich aber auch nicht davon abraten, weil es eben ohne zu
    zucken bei mir läuft.

    LG