Hardwareempfehlung wegen AES

mike69

@rose said in Hardwareempfehlung wegen AES:

@mike69
Was wäre Deine aktuelle Empfehlung?

Siehe Signatur, die hat 4 x Gbit LAN, ansonsten wie von @monstermania vorgeschlagen die APU2C4 mit 3 x LAN. Für den Hausgebrauch ausreichend, je nachdem Du vorhast.

Rico

@monstermania said in Hardwareempfehlung wegen AES:

Fakt ist aber, dass nach derzeitigen Stand pfsense ab V2.5 eine AES-NI fähige CPU erfordern wird! Mittelfristig wirst Du daher eine andere Hardware benötigen, oder Dich wieder von pfsense trennen müssen.

Falsch, genau das ist aktuell nicht Fakt.
https://forum.netgate.com/topic/138906/aes-ni-required-in-future-versions/4

-Rico

Gladius

@rose

Eine APU2xy wird bei intensiver Nutzung von OpenVPN an einem schnellen Internetanschluß am Limit arbeiten.
Die Taktfrequenz der 4 Kerne ist zu gering. OpenVPN kann pro Instanz nur einen Kern nutzen.
Da hilft auch AES-NI nicht weiter.

VDSL100 (100MBit/s DOWN und 40MBit/s UP) wird eine APU2xy wohl noch bewältigen. Darüber ist dann
Schicht im Schacht. Diese Fakten sollte man nicht aus dem Augen verlieren, wenn es um die Beschaffung
neuer Hardware geht. Wer Lust und Laune hat kann mich aber gern mit Fakten davon überzeugen,
daß ich die APU2yx bzgl. OpenVPN-Transferleistung zu schlecht bewerte.

Als ich meine alte APU1D ablöste (neue Hardware siehe Signatur) habe ich aus den o. g. Gründen keine
APU2xy als Ersatz beschafft. Ich wollte noch ausreichend Reserven bzgl. OpenVPN-Transferleistung
haben und da habe ich eben nicht nur auf den Geldbeutel geschaut.

LG

monstermania

@Rico
Danke für die Info!
Klar, die V2.5 ist ohnehin noch Zukunftsmusik, aber AES-NI sollte bei einer evtl. Neuanschaffung schon beachtet werden. Gibt ja immer noch HW auf dem Markt, die kein AES-NI unterstützt.

Rico

Klar sollte eine Neuanschaffung Crypto haben, am besten AES-NI.
Aber dem TE ging es doch erst mal darum ob und welche HW er verwenden kann die eh schon herumliegt.
Und bei pfSense ist es zum Glück ja überhaupt kein Problem via Config Backup+Restore in wenigen Minuten Hardware zu tauschen.

-Rico

mike69

@rose said in Hardwareempfehlung wegen AES:

Hallo zusammen,

ich heiße Jan und komme aus dem norddeutschen Raum...

Wie ist denn deine Anbindung? Komme aus dem Braunschweiger Raum in Niedersachsen, da gab es erst vor 3 Monaten die 50 Mbit und das wird sich langfristig hier auch nicht ändern.

Ist für die Hardwareempfehlung auch nicht ganz unwichtig.

rose

Hallo zusammen,

danke für Eure rege Beteiligung!!!

Ich habe derzeitig einen 50MBit VDSL-Anschluss (wohne etwas nördlich von Bremen) und der reicht mir auch völlig. Wenn ich das bisher richtig verstanden habe, nehme ich mit, dass ich für meine Zwecke und die bestehende Internetgeschwindigkeit erstmal hinkommen müsste mit der vorhandenen Hardware.

Ich tendiere dazu, mir darauf mal pfsense zu installieren und erstmal inhaltlich weiter zu gucken, ob ich meine Wünsche damit umsetzen kann. Wenn das dann so passt ist gut und wenn es dann hinterher doch zu einem Flaschenhals kommt, kann ich mir immer noch andere Hardware besorgen...

Habe ich das richtig verstanden, dass ich eine Sicherung von pfsense einfach auf einer firsch installieren pfsense auf anderer Hardware einspielen kann und fertig?

Noch eine ganz andere Frage: Bisher hängt direkt am Internet eine Fritzbox und mein Plan ist, die pfsense mit der WAN-Schnittstelle erstmal daran zu hängen mit den entpsrechenden Portweiterleitungen usw. Aber gibt es auch für evtl. spätere Umbauten, wenn das dann ein Dauerzustand wird, Empfehlungen für reine VDSL-Modems oder macht es Sinn, einfach bei der Fritzbox zu bleiben?

Danke!

Schönen Abend!

Gruß, Jan

mike69

@rose said in Hardwareempfehlung wegen AES:

Habe ich das richtig verstanden, dass ich eine Sicherung von pfsense einfach auf einer firsch installieren pfsense auf anderer Hardware einspielen kann und fertig?

Jein, je nach Hardware werden unterschiedliche Bezeichnung der Interfaces vergeben. Kannste aber händisch in der Config ändern wenn bekannt.

Zum erforschen von pfSense kannst Du hinter der Fritze anschliessen. WAN-Interface/IPv4-Config auf DHCP und die Sense bekommt von der FB eine IP, oder manuell einstellen. Ganz unten die Haken raus, brauchst Du nur, wenn die Sense sich "einwählt", aktuell kümmert sich die Fritze darum.
Auf der LAN-Seite logischerweise einen anderen IP-Bereich bitte, also z.B.: WAN 192.168.178.0/24 und LAN 192.168.2.0/24. Installationguides gibt es zuhauf einfach mal suchen. Es gibt Unterschiede zur Installation bezüglich Direkteinwahl pfSense oder pfSense hinter Router.

Zum Thema FB als Modem, ist bei der aktuellen FW nicht mehr möglich. Die Suche nach einem Moden hier schmeisst paar Kandidaten raus, die Frage kommt regelmässig..

monstermania

Ergänzend zu den Hinweisen von Mike, ist es durchaus sinnvoll auf der FritzBox einen 'Exposed-Host' einzurichten. An den 'Exosed-Host' wird der gesamte Internettraffic direkt weitergeleitet, ohne dass zuvor explizit eine Portweiterleitung auf der FritzBox eingerichtet werden muss.
Spart etwas Arbeit und minimiert eine mögliche Fehlerquelle. Die Funktion von VoIP-Telefonie ist davon übrigens nicht betroffen.

Bei der config-Datei handelt es sich um eine xml-Datei. Die NIC-Interfaces sind innerhalb der Datei mit Ihrem Treibernamen/-nummer bezeichnet z.B.: rl0 -> Realtek-Treiber für NIC1
Hat Deine neue Hardware jetzt andere NIC-Type (z.B. von Intel), dann muss in der config.xml das rl'x' gegen igb'x' getauscht werden.
Am einfachsten einfach eine Basisinstallation von pfsense auf der neuen HW ausführen und gucken, welche Netzwerktreiber verwendet werden. Anschließend dann in der config.xml Deines Setups die alten NIC-Bezeichnungen/-nummern gegen die aktuellen austauschen.
Anschließend kannst Du dann einfach Deine Configuration auf die neue HW übernehmen.

Rico

Die Fritzboxen scheinen wieder PPPoE-Passthrough zu können, hier bei einer 3272 mit aktueller Firmware 06.85:

-Rico