Hardwareempfehlung wegen AES



  • Hallo zusammen,

    ich heiße Jan und komme aus dem norddeutschen Raum...

    Ich möchte mir mal pfsense angucken. NUn habe ich als Hardware noch 2 verschiedene Geräte hier rumliegen.

    Bei dem einen Gerät sind 4 GB RAM und folgende CPU mit 2 Kernen verbaut: Intel(R) Atom(TM) CPU D525 @ 1.80GHz

    Das andere ist vermutlich das ältere Gerät mit 2 GB RAM und der folgenden CPU mit nur einem Kern: VIA Nano U3500@1000MHz

    Insgeamt soll das Teil "nur" im privaten Haushalt mit 5+- Geräten zum Einsatz kommen, soll aber auch oVPN und IPSec-VPN machen. Wenn ich das richtig recherchiert habe, hat die Atom-CPU keine Hardware AES-Unterstützung, die ältere Via Nano aber schon. Kann die Atom-CPU das durch die höhere Rechenleistung so gut kompensieren, dass es ratsam ist, das erstgenannte Gerät einzusetzen oder ist allein wegen AES und weil die Hardware für mein kleines Szenario ausreicht die zweitgenannte Hardware empfehlenswerter?

    Ich würde mich über die Meinung von ein paar Experten freuen.

    Danke!

    Gruß, Jan



  • Wenn du die Geräte eh da hast probier es einfach aus. Aber erwarte nicht zu viel, beide Systeme sind urig alt und werden gerade bei OpenVPN nicht wirklich viel Durchsatz bringen.


  • LAYER 8 Rebel Alliance

    Der VIA nano ist doch meine ich von 2008, würde mich wundern wenn der irgendeine Crypto Unterstützung hat, jedenfalls eine mit der pfSense irgend etwas anfangen kann.
    Und der Atom ist von 2010 oder 2011, alles in allen wirst du von beiden CPUs keine Wunder erwarten können, speziell bei VPN.
    Aber da du beide schon hast...was spricht dagegen es einfach zu testen?

    EDIT: Grimson war schneller. ☺

    -Rico



  • Moin,
    AES-NI werden bei beiden Plattformen nicht unterstützt. Die VIA Nano-CPU zwar mit 'Padlock' eine ähnliche Funktionalität, diese muss allerdings extra aktiviert werden. Ob die Padlock-Engine bei der aktuellen pfsense 2.4.x noch funktioniert bzw. die Funktion integriert ist vermag ich nicht zu sagen.
    Beim pfsense-fork läßt sich padlock auf jedem Fall noch aktivieren und nutzen... 😉
    Fakt ist aber, dass nach derzeitigen Stand pfsense ab V2.5 eine AES-NI fähige CPU erfordern wird! Mittelfristig wirst Du daher eine andere Hardware benötigen, oder Dich wieder von pfsense trennen müssen.

    Da ich beide von Dir genannten Plattformen kenne (Securepoint Hardware!?), würde ich Dir zum Atom D525 raten. Läuft im direkten Vergleich m.E. um einiges fluffiger als die VIA Nano-Plattform.
    So um die 30 Mbit solltest Du per VPN mit dem Atom auch ohne AES-NI schaffen. Für 5-Geräte ist das Teil auf jedem Fall ausreichend, wenn man denn mit dem VPN-Speed leben kann!

    Habe z.Zt. selbst eine alte Securepoint RC 100 (Atom D525) bei mir am laufen.

    Gruß
    Dirk



  • @rose

    Nimm zum Test von pfSense den Atom D525. Nach bestandenem Test kannst du in Ruhe modernere
    Hardware auswählen. Du wirst ganz sicher was finden.

    Wünsche allen Forenteilnehmern ein friedliches und gesundes 2019.
    Gladius



  • Cool, danke für die zügigen Antworten! Ja, das ist ein Securepoint-Gerät und vermutlich auch ein RC100. Der VPN-Durchsatz reicht mir völlig, darüber verbinde ich mich immer mal per SmartPhone/Laptop von extern in mein Netz und per IPSec würde ich gerne versuchen VPNs zu 2-3 Familienmitgliedern zwecks Wartungsarbeiten aufbauen. Dann teste ich mal mit dem neueren Gerät mit Atom-Prozessor.

    Ich bin vom Typ eher bereit, auf etwas performance zu verzichten, als dafür deutlich mehr Geld in die Hand zu nehmen. Trotzdem wäre meine Frage, welche aktuelle Hardware Ihr empfehlen würdet, die nicht allzu kostenintensiv und mit mindestens 3 Cu-Schnittstellen ausgestattet ist?

    Danke!

    Gruß, Jan



  • @rose
    Die Boards von PC-Engines sind immer einen Blick wert. Einfach nach APU2C4 googeln. Gibt reichlich Händler, die Komplettsets mit Gehäuse, Netzteil und SSD anbieten.
    Kosten ~200€



  • Nabend.

    Die APU2s werden hier gerne verwendet, werden nicht nur @home sondern auch gerne im SOHO-Bereich genutzt.

    edit:
    Zuuuuu laaaangsaaaaam. ☺



  • @mike69
    Was wäre Deine aktuelle Empfehlung?



  • @rose said in Hardwareempfehlung wegen AES:

    @mike69
    Was wäre Deine aktuelle Empfehlung?

    Siehe Signatur, die hat 4 x Gbit LAN, ansonsten wie von @monstermania vorgeschlagen die APU2C4 mit 3 x LAN. Für den Hausgebrauch ausreichend, je nachdem Du vorhast.


  • LAYER 8 Rebel Alliance

    @monstermania said in Hardwareempfehlung wegen AES:

    Fakt ist aber, dass nach derzeitigen Stand pfsense ab V2.5 eine AES-NI fähige CPU erfordern wird! Mittelfristig wirst Du daher eine andere Hardware benötigen, oder Dich wieder von pfsense trennen müssen.

    Falsch, genau das ist aktuell nicht Fakt. 😌
    https://forum.netgate.com/topic/138906/aes-ni-required-in-future-versions/4

    -Rico



  • @rose

    Eine APU2xy wird bei intensiver Nutzung von OpenVPN an einem schnellen Internetanschluß am Limit arbeiten.
    Die Taktfrequenz der 4 Kerne ist zu gering. OpenVPN kann pro Instanz nur einen Kern nutzen.
    Da hilft auch AES-NI nicht weiter.

    VDSL100 (100MBit/s DOWN und 40MBit/s UP) wird eine APU2xy wohl noch bewältigen. Darüber ist dann
    Schicht im Schacht. Diese Fakten sollte man nicht aus dem Augen verlieren, wenn es um die Beschaffung
    neuer Hardware geht. Wer Lust und Laune hat kann mich aber gern mit Fakten davon überzeugen,
    daß ich die APU2yx bzgl. OpenVPN-Transferleistung zu schlecht bewerte.

    Als ich meine alte APU1D ablöste (neue Hardware siehe Signatur) habe ich aus den o. g. Gründen keine
    APU2xy als Ersatz beschafft. Ich wollte noch ausreichend Reserven bzgl. OpenVPN-Transferleistung
    haben und da habe ich eben nicht nur auf den Geldbeutel geschaut.

    LG



  • @Rico
    Danke für die Info!
    Klar, die V2.5 ist ohnehin noch Zukunftsmusik, aber AES-NI sollte bei einer evtl. Neuanschaffung schon beachtet werden. Gibt ja immer noch HW auf dem Markt, die kein AES-NI unterstützt.


  • LAYER 8 Rebel Alliance

    Klar sollte eine Neuanschaffung Crypto haben, am besten AES-NI.
    Aber dem TE ging es doch erst mal darum ob und welche HW er verwenden kann die eh schon herumliegt.
    Und bei pfSense ist es zum Glück ja überhaupt kein Problem via Config Backup+Restore in wenigen Minuten Hardware zu tauschen. ☺

    -Rico



  • @rose said in Hardwareempfehlung wegen AES:

    Hallo zusammen,

    ich heiße Jan und komme aus dem norddeutschen Raum...

    Wie ist denn deine Anbindung? Komme aus dem Braunschweiger Raum in Niedersachsen, da gab es erst vor 3 Monaten die 50 Mbit und das wird sich langfristig hier auch nicht ändern.

    Ist für die Hardwareempfehlung auch nicht ganz unwichtig.



  • Hallo zusammen,

    danke für Eure rege Beteiligung!!!

    Ich habe derzeitig einen 50MBit VDSL-Anschluss (wohne etwas nördlich von Bremen) und der reicht mir auch völlig. Wenn ich das bisher richtig verstanden habe, nehme ich mit, dass ich für meine Zwecke und die bestehende Internetgeschwindigkeit erstmal hinkommen müsste mit der vorhandenen Hardware.

    Ich tendiere dazu, mir darauf mal pfsense zu installieren und erstmal inhaltlich weiter zu gucken, ob ich meine Wünsche damit umsetzen kann. Wenn das dann so passt ist gut und wenn es dann hinterher doch zu einem Flaschenhals kommt, kann ich mir immer noch andere Hardware besorgen...

    Habe ich das richtig verstanden, dass ich eine Sicherung von pfsense einfach auf einer firsch installieren pfsense auf anderer Hardware einspielen kann und fertig?

    Noch eine ganz andere Frage: Bisher hängt direkt am Internet eine Fritzbox und mein Plan ist, die pfsense mit der WAN-Schnittstelle erstmal daran zu hängen mit den entpsrechenden Portweiterleitungen usw. Aber gibt es auch für evtl. spätere Umbauten, wenn das dann ein Dauerzustand wird, Empfehlungen für reine VDSL-Modems oder macht es Sinn, einfach bei der Fritzbox zu bleiben?

    Danke!

    Schönen Abend!

    Gruß, Jan



  • @rose said in Hardwareempfehlung wegen AES:

    Habe ich das richtig verstanden, dass ich eine Sicherung von pfsense einfach auf einer firsch installieren pfsense auf anderer Hardware einspielen kann und fertig?

    Jein, je nach Hardware werden unterschiedliche Bezeichnung der Interfaces vergeben. Kannste aber händisch in der Config ändern wenn bekannt.

    Zum erforschen von pfSense kannst Du hinter der Fritze anschliessen. WAN-Interface/IPv4-Config auf DHCP und die Sense bekommt von der FB eine IP, oder manuell einstellen. Ganz unten die Haken raus, brauchst Du nur, wenn die Sense sich "einwählt", aktuell kümmert sich die Fritze darum.
    Auf der LAN-Seite logischerweise einen anderen IP-Bereich bitte, also z.B.: WAN 192.168.178.0/24 und LAN 192.168.2.0/24. Installationguides gibt es zuhauf einfach mal suchen. Es gibt Unterschiede zur Installation bezüglich Direkteinwahl pfSense oder pfSense hinter Router.

    Zum Thema FB als Modem, ist bei der aktuellen FW nicht mehr möglich. Die Suche nach einem Moden hier schmeisst paar Kandidaten raus, die Frage kommt regelmässig..



  • Ergänzend zu den Hinweisen von Mike, ist es durchaus sinnvoll auf der FritzBox einen 'Exposed-Host' einzurichten. An den 'Exosed-Host' wird der gesamte Internettraffic direkt weitergeleitet, ohne dass zuvor explizit eine Portweiterleitung auf der FritzBox eingerichtet werden muss.
    Spart etwas Arbeit und minimiert eine mögliche Fehlerquelle. Die Funktion von VoIP-Telefonie ist davon übrigens nicht betroffen.

    Bei der config-Datei handelt es sich um eine xml-Datei. Die NIC-Interfaces sind innerhalb der Datei mit Ihrem Treibernamen/-nummer bezeichnet z.B.: rl0 -> Realtek-Treiber für NIC1
    Hat Deine neue Hardware jetzt andere NIC-Type (z.B. von Intel), dann muss in der config.xml das rl'x' gegen igb'x' getauscht werden.
    Am einfachsten einfach eine Basisinstallation von pfsense auf der neuen HW ausführen und gucken, welche Netzwerktreiber verwendet werden. Anschließend dann in der config.xml Deines Setups die alten NIC-Bezeichnungen/-nummern gegen die aktuellen austauschen.
    Anschließend kannst Du dann einfach Deine Configuration auf die neue HW übernehmen.


  • LAYER 8 Rebel Alliance

    Die Fritzboxen scheinen wieder PPPoE-Passthrough zu können, hier bei einer 3272 mit aktueller Firmware 06.85:
    0_1546592465159_PPPoE-Passthrough.png

    -Rico