Hardware für PFSENSE - J1900 ausreichend



  • Hallo zusammen

    Hat jemand schon mal erfahrungen mit den auf den diversen China Plattformen angebotenen Firewall PC´s gemacht ?
    Ich finde die ganz Charmant da man ohne große bastelei und Vlan 4 oder 6 Lan Ports bekommt.

    Die basieren ja meist auf den Intel SOC´s - z.b: 1037U oder J1900 usw... Die meisten dieser CPU´s haben leider kein AES-NI - was zumindest für PF 2.5 wohl noch kein Thema sein wird - aber wer weiß ...

    Wir setzten aktuell Custom PC Hardware ein um VDSL Anschlüsse der Teledumm lokal ins lan zu bekommen das sind teilweise pro Filiale 2 Anschlüsse (Loadbal. / Failover) - dazu kommt dann noch Gäste Wlan - dann sind 4 Ports voll ...

    Zudem baut jede Client Box eine OpenVPN Verbindung (1 Tunnel) zu einem im Netz stehenden zentralen OpenVPN Server auf (RDP+Smb)

    Hier stellt sich die Frage ob dazu AES-NI (Hardware Crypto) sinnvoll ist .... - das sind bei RDP ja keine hohen Datenraten - eher ist eine niedrige Latenz wichtig ...

    Evtl hat jemand Erfahrung damit gesammelt - wäre toll wenn hier jemand Erfahrungen posten könnte.

    CU
    GTR


  • Rebel Alliance Moderator

    Hat jemand schon mal erfahrungen mit den auf den diversen China Plattformen angebotenen Firewall PC´s gemacht ?

    Viele / einige sind Murks, die Garantie ist mitunter schwer einzutreiben und generell gilt wie so oft: wer (zu) billig kauft, kauft zwei Mal.

    Ich finde die ganz Charmant da man ohne große bastelei und Vlan 4 oder 6 Lan Ports bekommt.

    Naja drauflöten kann man viel. Wie es angebunden ist, ist der Punkt. Und der günstige Preis kommt sicher nicht nur von Herzensgüte und Billiglohn ;)

    Wir setzten aktuell Custom PC Hardware ein um VDSL Anschlüsse der Teledumm lokal ins lan zu bekommen das sind teilweise pro Filiale 2 Anschlüsse (Loadbal. / Failover) - dazu kommt dann noch Gäste Wlan - dann sind 4 Ports voll ...

    Kommt vor. Dafür gibts auch 6-Port Boxen mit ordentlich Wumms unter der Haube. Aber gerade im Firmenumfeld dann Billig-Schrot(t) aus China einzukaufen ist dann schon ein dickes "?" für mich. Ich hatte bislang keinen Firmenkunden, der bei sowas - meist auf 3-5 Jahre gerechnet - dann rumargumentiert, dass ~150-300€ pro Jahr abzuschreiben jetzt die Mega-Summe wäre. Aber wenn so ein Billig-Ding abfackelt und mal ein paar Tage nicht läuft, sind da meist andere Zahlen im Raum, die dann anfallen.

    Langer Auftakt, kurzes Fazit bei der Überschrift: J1900 ist alt/veraltet, kein wirklich guter Chipsatz für Netzwerk und hat kein AES-NI -> das ist bei uns tot bzw. war noch nie im Spiel. Und gerade wenn man ggf. Richtung 3+ oder gar 5+ Jahre kalkuliert kauft das kein Mensch ein - viel zu wenig Leistung für zukünftige Entwicklungen.

    Grüße



  • Hallo

    das ganze ist ein SOHO Umfeld und wird ohnehin von mir betreut ...

    Ich bin eigentlich auch kein Kein fan von Kauf in China - aber in dem FAll gibst in Europa in der Richtung einfach nix gescheites ...

    Zum Thema Qualität - da kann man darüber streiten - ich betreue auch viele andere Netzwerke/Systeme und musste feststellen dass auch hochwertige FW Lösungen regelmäßig ausfallen mit teurer Marken Hardware.

    Im Endeffekt ist es je nach Austausch Programm bisher immer so gewesen dass wenn diese ausfallen alles steht denn bis auf großfirmen legt sich niemand eine 2. FW auf Lager für den fall der Fälle um diese dann nach 4 Jahren wegen veraltert weg zu werfen ...

    Bei den Preisen für solche Fernost hardware könnte man sich so ein teil für den Notfall auf Lager legen ...

    Haltedauer ist auch so ein Thema: MIt 5 Jahren rechne ich überhaupt nicht mehr - eher mit 2-3 Jahren ..

    Die j1900 waren nur ein Beispiel für eine Geräteklasse - es gibt auch genügend Anbieter die SOC Chips drauf löten welche deutlich mehr "BUMS" haben und auch AES-NI können..

    Um jetzt wieder zurück zu Pfsense zu kommen.

    Für mich gibts aktuell nur die Option mit original Netgate Hardware (SG1100 und SG3100) - Eigenbau Haredware/Server und solchen fertigen System ...

    CU
    GTR


  • Rebel Alliance Moderator

    @gtrdriver said in Hardware für PFSENSE - J1900 ausreichend:

    Wir setzten aktuell Custom PC Hardware ein um VDSL Anschlüsse der Teledumm lokal ins lan zu bekommen das sind teilweise pro Filiale 2 Anschlüsse (Loadbal. / Failover) - dazu kommt dann noch Gäste Wlan - dann sind 4 Ports voll ...
    Zudem baut jede Client Box eine OpenVPN Verbindung (1 Tunnel) zu einem im Netz stehenden zentralen OpenVPN Server auf (RDP+Smb)

    Also bei dem Aufgabenfeld bin ich ganz sicher weder bei SG1100 noch bei irgendwas mit J1900...
    Da würde ich eher überlegen, ob ich wirklich in der Ecke SG-3100 schaue oder was Vergleichbares zur/die SG-5100. Und im Gegensatz zu dir muss ich sagen, dass bei ordentlicher Hardware uns bislang in 3+ Jahren mit pfSense eigenen und alternativen Lösungen nicht eine ausgefallen ist. Und das liegt m.E. schon mit daran, dass wir eben nicht die billigsten Fernost-Geräte einkaufen.

    Dazu kommt, dass ich einige China-Lösungen ziemlich gefressen habe, da das genau die Klitschen sind, die u.a. mit der Grund dafür sind, warum die Lizenzgeschichte um pfSense und Netgate angefangen hat. Weil dort halbgare pfSense Boxen mit "offiziellem" Label vertickt worden sind, die nicht mal sauber installiert waren - wenns überhaupt ein offizielles Image war. Da hab ich einfach auch ganz persönlich wenig Schnitte, denen dafür auch noch Geld dafür zu geben, dass sie einem andernorts das Leben schwer machen. :)



  • Hallo

    ich tue mich momentan schwer das hier nach zu vollziehen wenn ich ganz offen bin...

    Zu Punkt1: Leistung:

    Ich hatte letztes Jahr mit diversen VM/Hypervisor Geschichten experimentiert ebenso wie mit Hochwertiger Xeon Hardware aber auch mit hier liegender PC Hardware (wirklich schwache Hardware) und für das was ich PFSENSE hier einsetzte - einen VPN Tunnel (S2S und Klassisches Routing/FW) hat alles getestete locker und 3x ausgereicht...

    Es gibt sicher Einsatzgebiete die ich im PFSENSE Umfeld bisher noch nicht verwendet hatte - aber wenn ich überlege - ich habe hier am Standort aktuell zwei Glasfaser Anschlüsse mit einer PFSENSE Box marke eigenbau (AMD Onboard CPU) - 2 getrennte LANS, ein Gastlan und die 2 WAN´s - egal welchen Traffic ich hier produziere - die CPU langweilt sich eigentlich immer ..

    Zu Punkt2:

    Die Chinesen verkaufen hier nackte Hardware im sinne eines MINI PC mit 4 LAN Ports und verkaufen das als Firewall PC - ich kann da auch OPNSense Ipfire und zig andere Systeme drauf machen.

    Was das mit der Lizenz Politik von PFSENSE zu tun hat kann ich nicht nachvollziehen.

    Das ist dann ein Grundsatz Thema ob eine Software frei vertrieben wird oder nicht - da können ausnahmsweise die Chinesen nix dafür ...

    Nur meine Meinung ...


  • Rebel Alliance Moderator

    @gtrdriver said in Hardware für PFSENSE - J1900 ausreichend:

    Was das mit der Lizenz Politik von PFSENSE zu tun hat kann ich nicht nachvollziehen.
    Das ist dann ein Grundsatz Thema ob eine Software frei vertrieben wird oder nicht - da können ausnahmsweise die Chinesen nix dafür ...

    Weil sie es jetzt nicht mehr tun (dürfen) und u.a. geklagt wurde. Ist aber das gleiche Spiel wie bspw. bei den "Kodi Boxen". Anyway soll nicht Thema sein, aber macht mir persönlich eben keine Lust mit den Kindern zu arbeiten, zumal es andere Alternativen gibt.

    @gtrdriver said in Hardware für PFSENSE - J1900 ausreichend:

    Es gibt sicher Einsatzgebiete die ich im PFSENSE Umfeld bisher noch nicht verwendet hatte - aber wenn ich überlege - ich habe hier am Standort aktuell zwei Glasfaser Anschlüsse mit einer PFSENSE Box marke eigenbau (AMD Onboard CPU) - 2 getrennte LANS, ein Gastlan und die 2 WAN´s - egal welchen Traffic ich hier produziere - die CPU langweilt sich eigentlich immer ..

    Gut ich kenne deinen Eigenbau nicht. Aber ich weiß, dass sich in 3 Jahren anschlußtechnisch auch einiges tun kann. Und wo heute nach deiner Beschreibung zwei Anschlüsse liegen über die RDP gemacht wird, läuft in 2 Jahren ggf. zwei dickerere Leitungen die die Anwendungen, die über VPN geschoben werden, werden größer. Bei sowas plane ich ja für ~50% und nicht auf 100% Auslastung, damit noch ordentlich Luft ist. Dann kommt jemand mit Proxy, IDS, Geoblocking oder whatever und schon hat die Kiste mehr zu tun.
    Desweiteren plane nicht nur für die CPU. Wird gern gemacht, ist aber nicht der einzige Kandidat, der mitspielt. Einiges läuft single-core bound. Da kommts auf Taktung an. Aber auch Interrupt Handling vom verbauten SOC/Board spielt da mit rein. Was nutzt dann bspw. 6x LAN was schön ist, wenn du intern den Traffic auf VLANs aufdröselst aber wegen mieser Bus Anbindung dann gar nicht Gigabit von einem ins andere Netz bekommst. An sowas denke ich da.

    Natürlich kennst du deine Anforderungen am Besten und wenn du sagst "hey die guffeln mit 2x 16Mbps ADSL rum und bekommen auch in 3 Jahren nicht mehr" dann ist da sicherlich der Range zwischen 1100 und 3100 absolut richtig. Aber wenn sich da wie gesagt technisch vielleicht was entwickeln könnte/sollte, ist es nie schlecht Raum nach oben zu haben in der Kapazitätsplanung. :)



  • @gtrdriver
    Hallo,

    ich habe mir ein solches China-Kistchen als sparsamen Virtualisierungshost für zuhause zugelegt. Ist aber mit einem i5-4200U bestückt, 4 Intel I211 NICs.
    Der wurde auch mit pfSense ausgeliefert, das dauerte bei mir mehr als 4 Wochen, weil es irgendein Problem gab. Lizenzrechtlich sicher nicht in Ordnung, hinterher ist es aber auch egal, ich habe das installierteSystem ohnehin nicht eingesetzt.
    Auf Linux und KVM läuft darauf nun seit 15 Monaten meine pfSense und ein Cloudserver. Für meine privaten Zwecke, VDSL Internet, Routing, Packet Filter, OpenVPN zur Fernadminstration, reicht das allemal. Und für deine Anforderungen sollte es auch reichen.
    Doch für den professionellen Einsatz würde ich das Gerät nicht nehmen.

    Jens hat schon Recht mit seinem Zweifel an der Busanbindung der NICs. Die ist nicht optimal ausgeführt. Hab mit das mal angesehen, habe es aber nicht mehr im Kopf, doch auf die 4 mal 1 Gbit/s konkurrent wird das Ding nicht kommen, brauch ich aber auch nicht.

    Eine VPN wird wohl auch ohne AES-NI kein Problem sein, zukunftsorientiert ist das aber wirklich nicht. Zudem, wie schon erwähnt, ist der J1900 eher niedrig getaktet, wodurch die Singlecore-Performance auch nicht gerade herausragend ist.
    Und die CPU hat lediglich 4 PCI-Lanes, von da her ist die Gesamtleistung des Systems auch deutlich eingeschränkt.

    Grüße



  • Habe J1900 im Einsatz. Für die Firewall einwandfrei, für Verschlüsselung zu dünn. Ein paar MBit bekommt man natürlich hin. Will man aber Gas geben, brauchts AES-NI. J3455 sei da empfohlen.



  • Hallo zusammen

    ich denke nach einigen gelesen Rev´s dass J1900 und Co für unsere Zwecke zu schwach sind ...

    Aber die Dinger mit AES-NI schauen interessant aus ...


  • Rebel Alliance Moderator

    @viragomann Danke für das Feedback, schön zu sehen, dass ich da auch beim ein oder anderen Gerät nicht falsch lag mit der Vermutung.

    N3010 oder J3455 sind kleine SOCs, die für kleine Hardware gern genutzt werden um einerseits aktuelle Geschichten wie AES-NI am Start zu haben und andererseits keine riesigen Löcher ins Budget zu brennen. Auf der anderen Seite wäre auch die ARM Kiste (SG3100) sicher einen Blick wert.

    Mir gings primär um die Punkte die man durchspielen und beachten sollte, und gerade IRQ Handling, PCI lanes und MB Layout etc. sind oftmals viel zu wenig beachtet wenn man mit reiner CPU Leistung argumentiert. Ob der NIC dann später überhaupt Leistung bringt weil vielleicht schlecht implementiert, falsch angebunden, etc. kann man an solchen Kennzahlen einfach nicht sehen. Prinzipiell lohnt es sich da dann schon, nach Geräten zu schauen, die für den Netzwerk Einsatz gedacht sind, da dort eben genau diese Punkte oftmals besser gelöst/angebunden sind :)



  • @tpf said in Hardware für PFSENSE - J1900 ausreichend:

    Will man aber Gas geben, brauchts AES-NI.

    Das ist viel zu kurz gesprungen. Dieses Thema wurde aber hier im Forum bereits
    ausführlich diskutiert.

    LG


Log in to reply