PfSense 2.0 e hardware embedded.



  • Ciao a tutti.
    Uso con estrema soddisfazione pfsense 2.0 da qualche mese su vecchi pc.
    Sto ora valutando di passare ad una soluzione con hardware dedicato un pò più professionale.
    Ho visto sul sito che esistono varie soluzioni del titpo ALIX e Soekris.
    In genere ne parlano bene, ma qualcuno di voi le ha provate con pfSense 2.0?

    So che la richiesta è starana, ma qualcun di voi ha trovato una soluzione 1U rackmount con 10 nic?
    In più con tutte quelle nic da gestire avrei bisogno di un Atom a bordo…
    qualcuno mi sa dire dove posso trovare qualcosa del genere?

    Grazie a tutti in anticipo.

    Ciao
    Alex



  • Ciao, dipende molto dalle tue necessità; io non ho mai provato degli appliance con pfSense ma proprio per l'esiguità rappresentato dall'hardware io ho sempre considerato queste soluzioni adottabili in aziende con davvero poche necessità o in ambito casalingo. Pfsense sicuramente funziona egregiamente, su questo non c'è alcun dubbio.

    Grandi aziende molto spesso hanno esigenze di Multiwan, di failover, di content filtering con un proxy magari, di NAT complessi, di Snort, di DMZ in VLAN, molto spesso su reti Gigabit e quindi ampiezza di banda ecc.. ecc..

    Questo genere di richieste comportano giustamente hardware adeguato e affidabile, cose che dal mio punto di vista si sposa maluccio con una soluzione tipo Alix. Se magari ti guardi il forum non sono in molti che usano embedded in grandi aziende o in ambiti professionali impegnativi. discorso diverso invece è il mettersi un pfsense in casa e allora gli embedded possono andare bene. Troverai invece molto spesso di veri computer desktop o server adattati o dedicati che svolgono proprio dei compiti che una soluzione embedded non può proprio assolvere per insufficienza di potenza. Ad ogni modo valuta sempre il rapporto tra le tue esigenze e la capacità dell'hardware a cui ti rivolgi.

    In qualche thread prima del tuo ho indicato qualche store che distribuisce appliance e schede embedded, puoi darci un'occhiata.
    Ciao.



  • ciao, effettivamente ho usato il termine embedded in modo non appropriato.
    Intendevo dire una piattaforma studiata per essere un firewall hardware.
    Mi spego meglio. In installazioni un po complesse ho usato dei server 1U della intel. Con questa soluzione non riesco ad andare oltre le 6 nic (2 sulla board + 4 su scheda dedicata).
    Questa soluzione mi costa più di 1000 € solo di harware. Tra l'altro se guardo le CPU vedo che i core si girano sempre i pollici :-) anche con un bel po di utenti.
    E' anche vero che le macchine non fanno nulla di particolare, al max un po di filtraggio contenuti e un captive portal per la gestione della connettività wireless, fail over sulle WAN, ecc…
    La mia ricerca è orientata su una soluzione multi NIC compatta, l'ideale sarebbe 1U, rackmount, con una decina di nic. Non che la macchina debba fare chissà cosa e che nellu'ultima installazione che mi richiedono ho bisogno di:
    1 nic per WAN1
    1 nic per WAN2 (failover)
    1 nic LAN
    1 nic DMZ -> 1 server web
    1 nic dedicata agli apparati wireless (metto in ascolto il captive portal)
    1 nic per lan separata dove mettere un videoserver accessibile solo dall'esterno + 10 telecamere ip.
    1 nic DMZ2 -> server intranet con applicativo web (regole diverse rispetto al DMZ precedente :-( )
    1 nic per il CARP (mi pare che ricieda una nic dedicata ma no sono sicuro).

    • 2 NIC per usi futuri.
      effettivamente la connettivià non è elevata ed il carico non sarà mai granchè... ma abbiamo bisogno di interfacce.
      Visto che la soluzione che mi richiedono deve essere ridondata se dovessi compare 2 server sarei rovinato dai costi dell'dardware e non mi basterebbero le nic.
      Adesso vado a vedere i post precedenti e vediamo se trovo qualcosa... grazie comunque per la risposta.
      Comunque complimenti agli sviluppatori di pfSense... senza di loro non saprei cosa fare :-) (tutto a manina da 0 sarebbe un mel po lungo :-) )


  • In effetti rimanere sul rackmount a 1 unità e avere più di 4 nic è una bella sfida e sono d'accordo con te che i costi lievitano. Tuttavia si possono fare 3 cose in questo caso senza dover per forza stravolgere tutto:

    1. se il tuo server lo permette puoi prendere quelle schede Intel pci-x quad port, si aggirano sulle 350€, sono pienamente supportate e funzionano bene. L'inconveniente è l'aumento del costo.

    2. Segmentare la rete con delle VLAN, in questo modo non hai bisogno di comprarti decide di schede ethernet ma vai a crearti dei segmenti virtuali, anche solo con 2 nic reali. Il costo rimane molto più basso ma hai come requisito assoluto la necessità di avere degli switch che supportano VLAN, stesso discorso anche per le nic che monti sul server.

    3. Virtualizzare Pfsense con parecchie incognite, ovvero il supporto hardware che trovi con l'hypervisor. Molto spesso bisogna accontentarsi di avere connettività 10/100, purtroppo dipende dall'hypervisor. Vmware vsphere pare funzioni egregiamente ma è una soluzione piuttosto professionale, hyper-v ha il problema del nic a 10/100 e Virtualbox per me è ancora troppo indietro per essere usato seriamente. Ma se riesci a superare questo scoglio hai virtualmente N sistemi con N nic con una varietà di applicazioni possibili che trovi solo nei datacenter, tanto per fare un esempio pensa al CARP e al failover. Oltretutto consumi, rumori, gestione cavi diventano problemi che impattano quasi a zero. Pensaci magari.

    Io opterei comunque per la VLAN, sia perchè la configurazione è piuttosto semplice sia perchè tutti gli switch di una certa qualità supportano questo standard e ti permettono di fare un lavoro molto in fretta, diversamente la virtualizzazione non si può fare a tentativi e richiede una certa dose di pianificazione prima di tutto.

    Ciao.



  • Ciao,
    effettivamente la VLAN non è male come soluzione ma come dicevi anche tu non sempre percorribile.
    Devo dire che con la virtualizzazione ho fatto de buoni lavori.
    Già che ci siamo segnalo che pfSense 2.0 su ESXi hipervisor 5 va che è una meraviglia! Anche qui però richiede macchine potenti. Così siamo da capo, solito server sottiletta e pronti a spendere 1000 euri (magari un po meno perchè virtualizzo le schede di rete).
    Qualcuno di voi a già provato i prodotti di questo sito: firewallhardware.it ?
    Questo prodotto mi interessa http://www.firewallhardware.it/appliance_utm_evoluto.html
    Sul sito non ci sono i prezzi… proverò a chiedere.
    Tu conosci (o qualcuno conosce) altre soluzioni?

    Ciao



  • Purtroppo soluzioni in rack dedicate o embedded che siano non ne conosco, ho avuto solo installazioni su degli HP Proliant o PC a cui ho aggiunto poi delle schede ethernet.

    Avevo già visto quella soluzione che hai segnalato ma l'avevo scartata immediatamente perchè monta delle schede Realtek, tra l'altro abbastanza sconsigliate ovunque, e perchè montano gli Intel Atom che per me non sono assolutamente sufficienti nel momento che vuoi dare servizi come Snort oppure anche IPsec.



  • Interessante!
    effettivamente ho sentito da che le schede Realteck non sono idonee per certe installazioni. Hai della documentazione in merito? qualche link?
    Ebbene si, in questo mestiere ci vuole sempre una buona dose di umiltà (parlo oer me :-) )! Effettivamente in merito non ho grande competenza… vorrei capire bene perchè le Realteck non sono sufficenti e quali limiti hanno.
    Ho utilizzato parecchio le Realteck senza problemi, ma sempre per gestire situazioni non complesse, ma pursempre con un sacco di nic (PC farciti di NIC :-) ). Effettivamente mai con IPSec e Snort.
    Per quanto riguarda l'Atom devo spezzare una lancia a suo favore... per i test che ho fatto su schede mini itx Intel mi sono trovato bene. Sono daccordo con te che non è una soluzione da datacenter o da multinazionale (loro possono comprarsi un bel server 1U Intel e farcirlo di schede), ma forse per quello che devo fare io (post precedente sopra) può essere sufficente.

    Se li trovi e/o hai dei link te ne sarei grato.
    Ciao
    Alex


Log in to reply