Hardware Anforderungen ausreichend?



  • Guten Abend zusammen,

    ich habe mich nun etwas in Pfsense eingearbeitet und bin erstaunt, was damit alles möglich ist.
    Ich nutze aktuell als System ein SOC Prozessor (Intel N3150) mit 8 GB RAM und 500 GB HDD (Die lag noch hier rum😁 )

    Nun habe ich gemerkt, das mein System für einige dinge zu langsam zu sein scheint.

    Was ich gerne machen möchte:

    DHCP Server
    DNS Server
    PfblockerNG
    Squid Proxy
    Squid Cache
    Webproxy mit ClamAV
    Snort
    OpenVPN Roadwarrior

    Nun habe ich das Problem, das mir Squid und der Virenscanner in einigen Situationen die Firewall lahm legen.

    Wenn ich größere Sachen herunter lade, z. B. ein Spiel auf Steam, dann ist der Prozessor so ausgelastet das erst das Internet weg ist und die Firewall nicht mehr reagiert und sich dann aufhängt.

    Jetzt stellt sich mir die Frage, ist mein System einfach zu schwach oder habe ich etwas falsch konfiguriert?
    Oder ist vielleicht die Kombination aus alles Programmen ungünstig gewählt?

    Was sind den so die Hardware Empfehlungen für den Betrieb einer PFSENSE?
    Es sind hier nur ca. 3 User die aktiv im Netz arbeiten. Hauptsächlich Surfen, Gaming und Videos schauen

    Für eure Ratschläge wäre ich euch Dankbar

    Schönen Abend wünsche ich euch ☺

    Grüße

    Pfsense_User2019


  • Rebel Alliance

    Nabend.

    Es kommt auf deine Bedürfnisse an. Mit Squid, ClamAV und Snort hast Du alles installiert, was richtig Ressourcen benötigt. Je nach deiner Anbindung könnte es ein I5, XEON oder äquivalent werden.
    Da Du ja erst mit pfSense einsteigst, denke ich mir Du willst sehen was geht :). Ob Du wirklich alles brauchst wirst Du später selber herausfinden.

    Der permanente Datenstrom beim zocken oder bei VOD Diensten reisst das System runter, da ClamAV jedes File checkt, ist ja nicht nur alle paar Minuten ein Email-Anhang scannen, ClamAV hat permanent zu tun. Du kannst unter Squid oder ClamAV, weiss es nicht mehr genau, eine Whitelist erstellen, welche IPs nicht gescannt werden sollen.
    Wenn das nicht hilft, einfach alle Dienste deaktivieren und sie nach und nach zuschalten und die Sense im Auge behalten um zu sehen wie es looft.

    Da Du von IPFire kommst, konnte IPFire das so wuppen?

    Mike


  • LAYER 8 Moderator

    Das System ist mit dem kleinen DualCore da sicher überfordert.

    Zudem verstehe ich den Ansatz nicht: Einerseits lese ich da von Squid als Cache und Proxy (finde ich etwas overdosed aber du schreibst nichts über dein Internet wie breit das ist). Gerade jeden Murks im Cache zu speichern... nun ja. Dann aber zusätzlich den ganzen Kram noch zu scannen (wobei man sich dann fragen muss wie gut oder schlecht da ClamAV ist ... ist nicht gerade für höchste Leistung bekannt was AV Scanning angeht) und als Kirsche on top dann - das ganze noch durch Snort jagen. WTF - wozu? Ich lese gerade nur was von OpenVPN Roadwarrior. Wofür zum Geier braucht man dann SquidProxy+AV-Scanning plus noch Snort obendrauf? Und komm mir jetzt keiner was von ausprobieren.

    Das ist so wie in den '00ern oder späten '90ern, wo sich Leute zwei AVs oder gleich 2 Personal Firewalls auf den Rechner geworfen haben um ganz ganz sicher zu sein... Nur lief dann hinterher fast gar nix mehr ;) Im Prinzip hast du da nen Low-Cost embedded DualCore Prozessor dem du aufbürdest für deine Verbindung eingehend (und ggf. sogar ausgehend) jedes einzelne verdammte Paket anzuschauen, abzutasten, nacktzuscannen, Gepäckcontrolle und dann komplettes Fingerprinting und Inventar zu erstellen, weil es könnte ja ggf. nochmal vorbei kommen, und dann können wir das fertige Double schon lossenden während der Rest nochmal gescannt wird. Da ist die chinesische Mauer (Firewall) nix gegen ;)



  • Guten Abend zusammen ☺

    @mike69
    Ja erstmal will ich bisschen Testen was so möglich ist. Ob ich das alles brauche wird sich noch raus stellen ☺

    Mit der IPFire hatte ich tatsächlich keine Leistung bzw. Auslastung Probleme. Dort hatte ich auch Squid mit Transparentem Proxy im einsetzt, Squid Cache mit ClamAV und Snort. Ich Spürte hier keine Probleme. Lag eventuell auch daran, das IPFire nicht alles an Dateien gecachetd hat wie z.B. Steam Spiele.

    Ich wollte hier nur mal nachfragen, da ich gesehen habe das es z.B auch die SG-5100 ,die auch einen Atom Prozessor verbaut hat, für einen höheren 3 stelligen Betrag zu kaufen gibt. Ob der Prozessor jetzt allerdings schneller als meiner ist konnte ich so nicht heraus finden.

    @JeGr

    Den Squid Cache würde ich gerne benutzen, da ich so die Windows Updates und die Linux Updates Cachen kann. Mir geht es hier nicht darum, kleinere Webseiten oder ähnliches zu Cachen sondern größere Dateien. Um dies aber nutzen zu können brauche ich ja auch Squid als Proxy, da er sonst die Daten nicht abfangen kann.

    Da ich viel mit VMs rumhantiere ist es schön, wenn ich nicht alle Updates immer wieder neu Herunterladen müsste.
    Ich habe zwar eine 200 Mbit/s Leitung die das allemal schafft, jedoch ist es schöner wenn ich die Daten auch mit 80 MB/s von der Firewall laden kann 😉 Ich habe gesehen, das sogar die Spiele von Steam gecached werden. War so nie geplant, ist aber auch nicht tragisch. Der Platten platz ist ja da 😬
    Einen WSUS Server will ich hier für meine Zwecke nicht aufsetzten, da dieser sich nicht lohnen würde.

    Der ClamAV Scanner ist wirklich nicht der beste, ich habe jetzt auch beschlossen, diesen nicht mehr zu benutzen da es eh nix bringt. Ist da geplant mal einen anderen Scanner in die Pfsense einzubringen?

    Die Kombination SquidProxy+AV-Scanning plus noch Snort ist erstmal nur zum Ausprobieren. Das dies so viel Leistung benötigt hätte ich nicht gedacht. Eigentlich würde ich es aber gerne doch so betreiben.

    Da ja quasi nur die Firewall zwischen mir und dem Internet steht, wäre ein AV auf der Firewall nicht verkehrt. So machen das die großen Firewall Hersteller ja auch.
    Snort finde ich eine Interessante Lösung. Eine Firewall sollte Angriffe ja auch gleich Blocken können wenn Sie welche bemerkt.

    Ich kann deinen Einwand aber verstehen ☺

    Ich habe jetzt mal den AV weggelassen und die Firewall scheint dies nun zu Packen.

    Ansonsten muss ich mir doch etwas Stärkere Hardware zulegen.

    Schönen Abend wünsche ich euch

    Grüße

    Pfsense_USer2019


  • LAYER 8 Moderator

    @PFsense-User2019 said in Hardware Anforderungen ausreichend?:

    Ich wollte hier nur mal nachfragen, da ich gesehen habe das es z.B auch die SG-5100 ,die auch einen Atom Prozessor verbaut hat, für einen höheren 3 stelligen Betrag zu kaufen gibt. Ob der Prozessor jetzt allerdings schneller als meiner ist konnte ich so nicht heraus finden.

    Uiuiui du vergleichst aber kleine Äpfel mit großen Orangen. Einen N3150 (kleiner last-gen Atom für embedded appliances etc.) mit einem aktuellen Atom C3558 (4-Kern, höhere Taktrate, AES + Quickassist und für Netzwerk Einsatz gebaut und optimiert) zu vergleichen ist schon ein bisschen an der Kante ;) Da könntest du auch sagen "Naja ich hab mit meinem Intel i5 nie Probleme bei Spielen, da kann der E7 ja kaum besser sein" - außer dass der eben ein Xeon ist mit ganz anderem Chipsatz, RAM Anbindung, Bus usw ;)

    Um dies aber nutzen zu können brauche ich ja auch Squid als Proxy, da er sonst die Daten nicht abfangen kann.

    Agreed. Das war so aber nicht erkenntlich. Wenn wir von Update Proxy reden, ist das was anderes, aber dann hast du mit einer kleinen Box auch so deine Probleme, denn die meisten 3150er die ich kenne sind sehr kleine embedded Boxen. Da hängt jetzt keine große Platte drin. Also entweder muss schon vom Start weg ne größere SSD rein oder zusätzlich ne HDD für die Updates und das Caching. Zumal du damit auch wesentlich mehr Disk Writes produzierst und die SSD ausnudelst. Gut, du hast jetzt eh eine 500er HDD aber als Information dazu :)

    Da ich viel mit VMs rumhantiere ist es schön, wenn ich nicht alle Updates immer wieder neu Herunterladen müsste.

    Nachvollziehbar. :)

    jedoch ist es schöner wenn ich die Daten auch mit 80 MB/s von der Firewall laden kann

    Da haben Sie streng genommen aber nichts zu suchen. Firewall Job ist es im Normalfall eher nicht, deine Steam/Windows/Linux Updates zu cachen ;) Dafür gibts Proxies die aus solchen Gründen wie oben nicht auf der gleichen Maschine liegen.

    Der ClamAV Scanner ist wirklich nicht der beste, ich habe jetzt auch beschlossen, diesen nicht mehr zu benutzen da es eh nix bringt. Ist da geplant mal einen anderen Scanner in die Pfsense einzubringen?

    Nein, weil es nichts mit pfSense zu tun hat. Zum Einen ist das die Sache des Packages, welches AV nutzen will, zum anderen ist das ein Lizenzpunkt: es gibt mir bekannt keinen anderen Virenscanner der FREI lizensiert ist und einfach mit BSD/Apache Lizenz kompatibel gebundelt werden könnte. Du müsstest den also händisch nachinstallieren und da sind wir wieder wie oben bei der SSD beim Punkt "Das hat nichts auf einem SECURITY Gateway zu suchen". Also nicht genau der Virenscanner, sondern das selbst gebastelte händische installieren. Klar, ist für zu Hause etc. etc. blabla. Aber das ist eben ein Sonderfall. Fängt man jetzt an das generell so zu handhaben, hast du nachher einen einzigen Flickenteppich, aber keine stabile/sichere Software mehr. Klar kann man alles mögliche dranflanschen, aber es sollte eben möglichst sinnvoll/sicher sein. Wenn dazu der User erst nochwas selbst installieren muss, irgendwelche Lizenzen abnicken etc. dann wirds haarig. Und ja, es gibt natürlich noch andere Scanner Engines aber wie gesagt - auch wenn die kostenlos sein mögen, sind die meisten mit kommerziellen Lizenzen gebundelt und können nicht einfach so mit anderen Produkten ausgeliefert werden ohne entsprechende Lizenzen zu haben.
    Vielleicht klappt es tatsächlich mal, dass sich die zuständigen für Proxy und Co. Richtung anderer Virenscanner Engine umsehen und vielleicht gibts dann auch ne Einigung dass das gebundelt werden darf. Ist eben für diverse Linuxe einfacher, da andere Lizenz und die Hersteller haben den Kram für Linux oft schon gebaut/fertig. Für FreeBSD eher weniger.

    So machen das die großen Firewall Hersteller ja auch.

    Naja. Manche. Andere nicht, hat auch seine Gründe. Viele machen es aber nicht via irgendwelcher Proxies, sondern via IPS. Ciscos ASA macht das m.W. so. Wenn man AV Lizenz kauft, wird automatisch auch IDS/IPS aktiv und ab dann Traffic tiefengescannt.

    Eine Firewall sollte Angriffe ja auch gleich Blocken können wenn Sie welche bemerkt.

    Bis einer weint ;) IDS/IPS wie Snort wollen gepflegt und angelernt werden. Sie sind kein "Ui jaa Sicherheit! Klick!" Fire&Forget Tool, was viele sehr gern und schnell vergessen. Zudem ist gerade ein IDS/IPS eben ein Leistungsfresser. Und wir reden da nicht mal unbedingt (aber auch) über CPU, sondern auch Interrupt Handling, Anzahl Pakete pro Sekunde im Processing, CPU0 Switching Capability etc.

    Nur ein Hinweis, warum sowas eine ziemliche Rolle spielt (und warum das immer wieder vergessen und mit CPU Last/Load gleichgesetzt wird): Die CPU kann deine 200 Mbit/s vielleicht mit deine, ganzen aktiven Toolset gut wuppern. Im Normalfall. Gehen wir vom schönsten Fall aus, sind wir bei 200Mbps bei ~17.808 Paketen pro Sekunde (bei 1472er Paketgröße, reden wir mal von einfachem UDP). Klingt noch ganz OK. Also 17,8k Mal pro Sekunde Pakete angucken, bewerten, durchs IDS pusten, prüfen, gegen Paketfilter halten, State checken, durchwinken, etc. etc.

    Fein. Wir haben aber Pakete. Die sind auch mal kleiner. Oder fies und gemein. Dann haben wir bspw. 28 Byte Paketgröße (minimale UDP packet size bei 0 Byte Payload und nur Frame drumrum. Dann haben wir bei 200Mbps... mmmh... holy moly! 936.228pps. Also knapp im Bereich von 1Mpps. Plötzlich also nicht mehr "nur" ungefähr achtzehntausend Mal nicken und Wegpolizei spielen, sondern fast eine Million mal. Ups!

    Und genau deshalb sind alle Packages, die massiv in den Paketfluß eingreifen wie eben Proxy, IDS/IPS und Co. solche Performance Killer/Bremsen und schlagen auf die CPU. Weil je nach Paketgröße und Beschaffenheit oder Einsatzzweck man plötzlich mit einer Skalierung von Faktor 10-50 leben können muss. Schwanken PPS von ~20k mal auf 200K oder gar 1M hoch oder runter dann ist das stressig fürs System, wenn aber bspw. nur der Paketfilter damit klarkommen muss ... joa einfach. Der nutzt ja schon stateful um genau mit der Flut eben gut klar zu kommen. IDS/IPS? Not so much. Die können nicht einfach stateful sagen "Tjaaa ich hab den Traffic ja schonmal reingelassen. Muss ich ihn nicht mehr durch den Filter hauen. Einfach gegen Statetable und gut!" Nö. Die müssen jedes Mal in den Kram reinschauen, denn vielleicht ist beim 20. Mal doch in der Verbindung ein sprichwörtlicher Wurm drin.

    Interessant ist dann einfach nur die Frage "Brauche ich das?" - Vielleicht steh ich da allein, aber ich sehe IDS/IPS sehr sinnig dann, wenn ich selbst Dienste anbiete um Angriffe abzufangen. Blocke ich eh das meiste von außen -> wofür stresse ich dann meine CPU und Netzwerk Interrupts? Klar zum Spielen und ausprobieren nett, aber wenn mein Netz innen ordentlich segmentiert ist, ich meinen Clients halbwegs traue und schöne Blocklisten und DNSBL nutze, sehe ich keinen großen Gewinn darin, von Innen das LAN mit einem IDS abzuschnorcheln ;)

    Aber das ist meine Sicht darauf :)

    Grüße


  • Rebel Alliance

    Moinsen.
    Eigendlich hat @JeGr schon alles gesagt, für die Aufgaben zu schwache Hardware. Zum Thema Hardwareunterstützung, BSD hängt Linux in manchen Bereichen hinter her, dennoch wird auch bei einem Stream unter Linux ClamAV das System runterziehen. Bezweifle, dass Linux das besser macht.

    @PFsense-User2019 said in Hardware Anforderungen ausreichend?:

    Guten Abend zusammen
    @mike69
    Ja erstmal will ich bisschen Testen was so möglich ist. Ob ich das alles brauche wird sich noch raus stellen

    Ok.
    Hatte es auchmal mit Squid und ClamAV probiert, bin dann bei pfBlockerNG hängen geblieben, da der Fokus sich dahin verschoben hat, weniger Infos von innen nach aussen zu führen. Smart TVs, vor allem Samsung, quatschen gerne nach Hause. Zumal Netflix und Co nicht vernünftig laufen und der Proxy bei uns Rules ausgehebelt hat, wenn du mehrere Netze hast.

    Snort war nie wirklich interessant für mit Privatfuzzi mit zwei offenen Ports. Und wie @JeGr es schon erwähnt hat, das muss gepflegt werden. Diese Pflege wird irgendwann in den Hintergrund treten, willst ja lieber zocken als schrauben. :)

    Am Ende ist nur pfBlockerNG und ein sauberes segmentiertes Intranet übrig geblieben.

    Mike



  • Uiuiui du vergleichst aber kleine Äpfel mit großen Orangen. Einen N3150 (kleiner last-gen Atom für embedded appliances etc.) mit einem aktuellen Atom C3558 (4-Kern, höhere Taktrate, AES + Quickassist und für Netzwerk Einsatz gebaut und optimiert) zu vergleichen ist schon ein bisschen an der Kante ;) Da könntest du auch sagen "Naja ich hab mit meinem Intel i5 nie Probleme bei Spielen, da kann der E7 ja kaum besser sein" - außer dass der eben ein Xeon ist mit ganz anderem Chipsatz, RAM Anbindung, Bus usw ;)

    Ich gebe zu, ich kenne diese CPU nicht und habe auch keinen Wirklichen vergleich zu meiner CPU gefunden ☹
    Ich war der Meinung die sind auf einem ähnlichen Leistungsniveau. Wieder was dazu gelernt ☺

    jedoch ist es schöner wenn ich die Daten auch mit 80 MB/s von der Firewall laden kann

    Da haben Sie streng genommen aber nichts zu suchen. Firewall Job ist es im Normalfall eher nicht, deine Steam/Windows/Linux Updates zu cachen ;) Dafür gibts Proxies die aus solchen Gründen wie oben nicht auf der gleichen Maschine liegen.

    Auch da gebe ich dir Recht, ich möchte jedoch nicht für jeden Dienst einen eigenen Rechner laufen lassen. Kostet ja auch Strom und wenn die Firewall eh den ganzen Tag läuft und fast nix zu tun hat, dachte ich mir, warum nicht 😋

    Ich habe eure Ratschläge nun beherzigt.
    Snort habe ich nun wieder runter gehauen, dafür ist mein System eindeutig zu schwach. die Pfsense hängt sich beim Downloaden großer Dateien einfach auf und Reagiert nicht mehr.
    Auch das Cachen mit Squid werde ich mir nochmals überlegen. Dies funktioniert nicht ganz so wie ich das wollte 😞

    ClamAV kommt nicht mehr zum Einsatz.

    Eigendlich hat @JeGr schon alles gesagt, für die Aufgaben zu schwache Hardware. Zum Thema Hardwareunterstützung, BSD hängt Linux in manchen Bereichen hinter her,

    Ich wollte meine Firewall sowieso mal aufrüsten, da die Hardware nun auch schon etwas älter ist.

    Wisst Ihr zufällig, ob die Hardware unter FreeBSD unterstützt wird?

    CPU: Intel Pentium Gold 5400
    Mainboard: ASRock H370M-ITX/AC, Mainboard [https://www.alternate.de/ASRock/H370M-ITX-AC-Mainboard/html/product/1438263?]

    Wichtig wäre auch, das die Stromspar Funktionen des Boards greifen würden. Ich möchte nicht das ständig 40 Watt aus der Dose gezogen werden.

    Schönen Abend wünsche ich euch :)

    Grüße

    Pfsense_User2019


  • Rebel Alliance

    Sooo schlecht ist oder alt deine Hardware nicht für ne 200er Leitung, damit kannst Du eigentlich alles wuppen.

    Der 370er Chipsatz sollte mit der aktuellen 11.2 laufen, bin mir aber nicht 100%ig sicher. Ist aber nicht die ideale Hardware für eine Selbstbau FW, GPU und Sound sind hier nicht gefragt.


  • LAYER 8 Moderator

    Wisst Ihr zufällig, ob die Hardware unter FreeBSD unterstützt wird?

    CPU: Intel Pentium Gold 5400
    Mainboard: ASRock H370M-ITX/AC, Mainboard [https://www.alternate.de/ASRock/H370M-ITX-AC-Mainboard/html/product/1438263?]

    Wichtig wäre auch, das die Stromspar Funktionen des Boards greifen würden. Ich möchte nicht das ständig 40 Watt aus der Dose gezogen werden.

    Schönen Abend wünsche ich euch :)

    Grüße

    Pfsense_User2019

    hast du die Hardware rumliegen oder willst du das neu kaufen? Ich würde aus Stromspargründen (wenn das das Anliegen ist) eher in Richtung Atom 3000 gehen (3258 oder 3558) und das dann mit 4-6 Interfaces garniert, ist alles was du brauchst, da gehen ~500Mbps problemlos drüber. Wenn du die Hardware hast - OK das ist was anderes. Der Gold ist eben ein super-kleiner Desktop Dualcore. Hoher Takt, klar, aber er ist auf kleinen Desktops zu Hause, daher auch seine TDP. Nur mal ein grober Vergleich mit einem Atom C3558 SoC:

    http://www.cpu-world.com/Compare/992/Intel_Atom_C3558_vs_Intel_Pentium_Dual-Core_G5400.html

    Da hast du schon 58W vs 16W TDP ;) Klar weniger Spitzentakt, aber der C3000 Denverton SoC ist ja auch nicht für den Desktop gebaut, sondern für embedded networking. Und da performt er großartig.
    Und wie Mike schon schrieb, Sound, GPU und Co. sind da unnötige Speicher- und Stromfresser die es für den Job nicht braucht :)

    Grüße



  • Guten Abend ☺

    @mike69

    Da hast du recht, ich bin aktuell aber etwas in der Erweiterbarkeit des Systems eingeschränkt.
    Ich hätte für dieses System dann eine andere aufgabe ☺

    @JeGr said in Hardware Anforderungen ausreichend?:

    Wisst Ihr zufällig, ob die Hardware unter FreeBSD unterstützt wird?

    CPU: Intel Pentium Gold 5400
    Mainboard: ASRock H370M-ITX/AC, Mainboard [https://www.alternate.de/ASRock/H370M-ITX-AC-Mainboard/html/product/1438263?]

    Wichtig wäre auch, das die Stromspar Funktionen des Boards greifen würden. Ich möchte nicht das ständig 40 Watt aus der Dose gezogen werden.

    Schönen Abend wünsche ich euch :)

    Grüße

    Pfsense_User2019

    hast du die Hardware rumliegen oder willst du das neu kaufen? Ich würde aus Stromspargründen (wenn das das Anliegen ist) eher in Richtung Atom 3000 gehen (3258 oder 3558) und das dann mit 4-6 Interfaces garniert, ist alles was du brauchst, da gehen ~500Mbps problemlos drüber. Wenn du die Hardware hast - OK das ist was anderes. Der Gold ist eben ein super-kleiner Desktop Dualcore. Hoher Takt, klar, aber er ist auf kleinen Desktops zu Hause, daher auch seine TDP. Nur mal ein grober Vergleich mit einem Atom C3558 SoC:

    Ich würde die Hardware neu kaufen, habe aktuell nichts mehr hier rum liegen.

    Grafik und Sound sind mir egal. ich habe das Board zwecks der beiden LAN Anschlüsse und dem WLAN ausgesuch,
    😀
    Als Alternative hätte ich da noch zu Auswahl das Asrock J5005-ITX https://www.asrock.com/mb/Intel/J5005-ITX/index.de.asp gedacht. Das ist mit dem Intel Quad-Core Pentium Processor J5005 (up to 2.8 GHz)

    Hier müsste ich halt noch ne Netzwerkkarte nachrüsten

    Da hast du schon 58W vs 16W TDP ;) Klar weniger Spitzentakt, aber der C3000 Denverton SoC ist ja auch nicht für den Desktop gebaut, sondern für embedded networking. Und da performt er großartig.

    Das hört sich garnicht schlecht an. Wieviel Stromverbrauch habt ihr den so mit euren Systemen im Schnitt?
    Meine Pfsense bracht im Idel 16 - 17 Watt und unter Last 20 - 22 Watt.

    Habt ihr hier Mainboards die ihr weiter empfehlen könnt? Mit denen Ihr schon Erfahrung gesammelt habt?
    Das Supermicro A2SDi-4C-HLN4F hab ich mir schon angeschaut, sieht nicht schlecht aus.

    Gürße

    Pfsense User2019


  • Rebel Alliance

    Kaufempfehlungen sind immer so eine Sache, abhängig von den eigenen Bedürfnissen und dem finanziellen Spielraum.


  • LAYER 8 Moderator

    @PFsense-User2019 said in Hardware Anforderungen ausreichend?:

    Grafik und Sound sind mir egal. ich habe das Board zwecks der beiden LAN Anschlüsse und dem WLAN ausgesuch,

    Kein WLAN. Du willst kein WLAN in pfSense. Punkt. Und onboard LANs würde ich eher danach prüfen, ob sie ordentliche Chips sind und kein Realtek oder halbgarer Broadcom Salat.

    @PFsense-User2019 said in Hardware Anforderungen ausreichend?:

    Als Alternative hätte ich da noch zu Auswahl das Asrock J5005-ITX https://www.asrock.com/mb/Intel/J5005-ITX/index.de.asp gedacht. Das ist mit dem Intel Quad-Core Pentium Processor J5005 (up to 2.8 GHz)

    Nein, das ist doch der gleiche Murks in grün. WLAN unter pfSense ist Unfug, vergesst es. Ansonsten ist es ein Desktop Prozessor mit nem Desktop Board. Wenn du nen Router baust, dann nutze auch SOCs/Boards für Router, das macht für dich auf lange Sicht am meisten Sinn. Außer es kommt dir massiv auf die Kosten an, dann OK, aber dann suche was Sinnvolles aus, was keinen unnötigen Krimskrams hat, was du eh nicht brauchst.

    Eigentlich suchst du sowas:

    https://lo.ops.to/3eY3
    https://lo.ops.to/p586
    https://lo.ops.to/pPN3
    https://lo.ops.to/pkPL

    wenn dus unbedingt selbst bauen willst, oder sowas in fertig:

    https://lo.ops.to/scope7-1510

    Außer es muss nicht ganz so viel Krams drauf laufen, dann wäre ein N3350 en miniature auch noch ganz OK. Kann man aber sehr schöne Miniatur Boxen mit bauen:

    https://lo.ops.to/scope7-6907

    Das wären meine Tipps dazu :)


  • Rebel Alliance

    @JeGr said in Hardware Anforderungen ausreichend?:

    Außer es muss nicht ganz so viel Krams drauf laufen, dann wäre ein N3350 en miniature auch noch ganz OK. Kann man aber sehr schöne Miniatur Boxen mit bauen:
    https://lo.ops.to/scope7-6907
    Das wären meine Tipps dazu :)

    Na das ist ja ein kleines Schmuckstück :). Wie ist der Kurs?

    Ein APU2XX wollte ich nicht vorschlagen bei 200 Mbit/s. Normales "natten" mit paar Rules würde es wahrscheinlich hinkriegen, pfblockerNG eventuell auch, bin mir aber nicht so sicher.

    Und bei den ersten beiden Angeboten von Supermicro fehlen noch RAM und Speicher, oder?

    Nutze selber das A2SDi-4C-HLN4F, was leider nicht läuft ist das ALTQ, Falls Traffic Shaper erwünscht ist. Ist ne Treibersache , die laufen nicht sauber, deswegen deaktiviert.

    Aber Fragen kostet ja nichts. :)


  • LAYER 8 Moderator

    @mike69 said in Hardware Anforderungen ausreichend?:

    Na das ist ja ein kleines Schmuckstück :). Wie ist der Kurs?

    Kommt drauf an als was man das Dingens ordert. Die scope7 Serie sind ja immer für Firmen getrimmt, da wird im Normalfall dann auch mal anderer Storage und RAM verbaut. Für daheim kann man da sicher auch andere Bestückungen wählen oder versuchen an das Teilchen als Barebone ranzukommen. Ich glaube default sind da 4GB RAM und die onboard 8GB eMMC drin. Konsole eingebaut (also nur USB Kabel ran, kein Serial Adapter notwendig), HDMI mit drin, USB3, etc. mit Garantie für 2 Jahre liegt IMHO irgendwo um die 360€ Netto (also ~430€ Brutto) als Hausnummer. Ja ist mehr als eine APU4 (weil 4 Ports zum Vergleich), die als Komplettbox inzwischen auch schon auf ~260-280€ geklettert ist, aber wissen wir ja, dass RAM und Co die letzten Monate teurer wurden. Aber zum Vergleich (weil der sonst automatisch von irgendwem wieder kommt ;)): die APU hat kein Video (was für ne kleinen Box zu Hause schon recht praktisch ist zum Debuggen), hat einen (für meine Verhältnisse) inzwischen viel zu laschen SOC/Prozessor (der 1GHz QuadCore AMD Jaguar Kern ist halt auch schon ziemlich alt) und die wird meist mit SD-Karte angeboten. Wer mSATA verbaut, löhnt dann nochmal etwas mehr als die ~265€. Der onboard eMMC ist dabei gefühlt recht fix im Vergleich. Wer mehr braucht, baut sich dann eben in beide Boxen ne größere mSATA ein. Der N3350 taktet mit min. 1,1GHz und geht bis 2,4GHz im Turbo - da kommt dann schon etwas mehr Saft auf die Schnittstellen ;) Zuletzt ist die Box auf 8GB erweiterbar, da hier ein DDR3L Modul zum Einsatz kommt statt fertig gelötete Bausteine wie bei der APU -> RAM kann also gewechselt/ausgetauscht werden. Dabei ähnliche TDP wie die APU von ~5-6W ergibt echt ein schlagkräftiges Paket.

    Wen Vergleichsbilder interessieren: wir haben im Zuge von Hardwaretests für unsere Partner und Kunden mal die neue SG-1100, die scope7-6907 und einen HW Prototypen mit Denverton im Test gehabt.

    Grüße



  • Guten Abend zusammen :-)

    ich danke euch für die Tipps welche Hardware man hier nehmen könnte ☺ 👍

    Ich habe nun entschlossen meine Hardware zu tauschen, da ich leider immer mehr Probleme mit meiner aktuellen Hardware bekomme. Bei längeren großen Downloads über Steam z. B. ein Spie mit 80 GB, hängt sich meine Firewall wegen Temperaturprobleme komplett auf ☹

    Ich vermute VPN wird hier nicht gut Funktionieren wenn nebenbei noch ein Download läuft. Ich habe mich ja schon auf nur pfBlocker und Squid beschränkt.

    Ich habe mich nun entschieden das ich zum A2SDi-4C-HLN4F greifen werde. Schön ist hier, das ich 4 LAN Anschlüsse habe :-) Verbauen werde ich es mit dem 8GB G.Skill Aegis DDR4-2400 DIMM CL15 Dual Kit
    Die 500 GB Festplatte sowie mein Inter-Tech ITX-601, HTPC-Gehäusemit Netzteil kann ich weiterverwenden. 60 Watt sollten hier wohl für ausreichen.
    Würde dem System eine SSD besser tun als eine HDD? merkt man hier einen unterschied?

    Meine Frage an euch wäre nun noch

    Wie viel Watt zieht die Firewall so im schnitt bei euch? Meine liegt aktuell bei 18 - 20 Watt
    Wie ist die Hitze Entwicklung wenn die Firewall etwas arbeitet? Ich würde die Firewall gerne Passiv betreiben, ohne Lüfter.
    Wie ist bei euch so im schnitt die durchschnittliche Auslastung des Systems? Kommt ihr da öfter mal über die 1 oder seit ihr meistens darunter?

    Vielen Dank für eure Hilfe 😊

    Grüße

    PFSense User2019


  • Rebel Alliance

    @PFsense-User2019

    Schönes Board. 😀

    Ein kleiner Tip zum RAM, das Board unterstützt Registered ECC RDIMM, deshalb wäre das hier imho die bessere Wahl. Vor allen, wenn die Büchse monatelang läuft. Ansonsten ist an dem Board nichts auszusetzen, und IPMI wirst du lieben.

    Zu den Temperaturen, Core wird ohne Zirkulation ca 70°C warm im Leerlauf bei 26°C Raumtemperatur, die CPUgibt mehr wärme ab als ein N3070 oder J3455. Um die Bauteile zu schützen wird hier aktiv gekühlt. Kann sein, dass dein Netzteil dafür ausreicht, musst Du sehen.

    Ansonsten viel Spaß. 👍


Log in to reply