Hardware Planung



  • Hi,

    Ich plane eine pfSense Lösung. Als Prozessor soll ein i3-2100T werkeln dazu 8 GB DDR3 RAM.
    Nun bin ich beim Board und den NIC's unschlüssig. Ich benötige 3 WAN, 1 DMZ und 2 LAN Ports, also insgesamt 6 Ports.

    1. Wäre es besser eine Intel Quad und eine Dual zu nehmen oder 3 dual NIC's?
    2. Welche Intel NIC's empfehlt Ihr PCIe 2.0 oder 2.1?
    3. Sind eventuell multiport NIC's von anderen Herstellen zu empfehlen?

    lg
    Frank



  • ich schliesse mich der Frage an…



  • Also ich benutze Intel Quad NICs ohne Probleme. Kann dir noch eine gebrauchte Intel Dual NIC anbieten (PCIe)



  • 8 GB RAM ist heftig, habe in meinen Dell R310 zwar auch riesige 4 GB drin, davon werden aber nur wenige 100 MB genutzt.

    Aus meiner Sicht ist es immer sinnvoll auf vielen Beinen zu stehen dazu Gürtel und und Hosenträger zu haben.

    Nim lieber 3x Intel oder Broadcom Dual Port NICs und dann je 1x WAN pro NIC.

    Bei den NICs ist es nicht zwingend notwendig die teuren der Markenhersteller zu kaufen, weil FoE und iSCSI Offloading ist hier unnütz.



  • Wie viele Benutzer hängen den dahinter? Welchen Datendurchsatz muss das Ding meistern?

    Wenn dir der Stromverbrauch relativ egal ist: Bei eBay gibt es 1he Server mit Quad Xeon und 4GB Ram für ca.150-200€ dann noch 1 oder 2 QUAD INTEL / Broadcom NICs (je nachdem viele Steckplätze der Server hat) für ca. 100€/stk. und du hast einen top Server.

    Wenn du unbedingt was neues haben willst hier gibt es paar pfsense Server die die Community so zuhause stehen hat.Vielleicht ist was für dich dabei: http://forum.pfsense.org/index.php/topic,57028.0.html



  • Hi,

    bin etwas verwundert, dass erst 3 Monate nach Stellung meiner Frage Antworten kommen, die aber dann trotzdem beantwortet werden - vielen Dank. War etwas mit meiner Anfrage nicht in Ordnung oder habe ich etwas falsch gemacht?

    Okay - das Projekt ist mittlerweile durch und funktioniert bislang einwandfrei. Ich habe eine Quad (auf x16 Slot) und eine Dual Intel NIC (auf x4 Slot) verbaut. Auf der Quad liegen 3 WAN und 1 DMZ, auf der Dual 2 LAN.

    Es hängen ca. 80 Clients in den beiden LAN's: PC's, Server, SPS'sen, POS Systeme. Darum auch der große Speicher (wird im 24h Schnitt zu 50% mit ausgelastet), da sehr viele Verbindungen in den ip_conntracks stehen. Über WAN 1 laufen bis zu 155 MBit/s, WAN 2 bis zu 40 MBit/s und WAN 3 max. 1 MBit/s. Bis zu 2 TB an Traffic pro Tag gehen zwischen dem beiden LAN's und der DMZ durch.

    Als erwähnenswerte Dienste laufen Squid und OpenVPN, momentan suche ich noch eine Variante, nicht_gerootete Android Geräte zu verbinden (L2TP oder IPsec?). Für OpenVPN muß man ja die Androids rooten.

    Da ich noch das alte Gateway (IP Cop) im Netz habe mal ne blöde Frage:
    Unter Windows kann man mehrere Gateways eintragen, über welche man die Daten ins Internet schickt - die Metrik entscheidet.
    Geht das auch unter Linux? Eigentlich gibt es ja nur EIN Default Gateway.

    lg
    Frank



  • @digidax:

    Als erwähnenswerte Dienste laufen Squid und OpenVPN, momentan suche ich noch eine Variante, nicht_gerootete Android Geräte zu verbinden (L2TP oder IPsec?). Für OpenVPN muß man ja die Androids rooten.

    Android 4 muss man nicht mehr rooten.
    https://play.google.com/store/apps/details?id=de.blinkt.openvpn
    http://doc.pfsense.org/index.php/Android_VPN_Connectivity#Android_4.0_.28Ice_Cream_Sandwich.29_IPsec

    @digidax:

    Geht das auch unter Linux? Eigentlich gibt es ja nur EIN Default Gateway.

    Es kann immer nur einen default gateway geben.
    Du kannst aber auf der Pfsense für bestimmte Ports einen anderen Gateway in der Firewall rule setzen.



  • Und da rebellieren die Galaxy S2 User bei uns: bei einem User haben wir auf ICS ubdatet: wesentlich kürzere Akkulaufzeit. Leider gibt es bislang keine Möglichkeit wieder auf Gingerb. down zu graden…



  • @digidax:

    Hi,

    bin etwas verwundert, dass erst 3 Monate nach Stellung meiner Frage Antworten kommen, die aber dann trotzdem beantwortet werden - vielen Dank. War etwas mit meiner Anfrage nicht in Ordnung oder habe ich etwas falsch gemacht?

    Der englische Teil ist wesentlich aktiver.

    Da ich noch das alte Gateway (IP Cop) im Netz habe mal ne blöde Frage:
    Unter Windows kann man mehrere Gateways eintragen, über welche man die Daten ins Internet schickt - die Metrik entscheidet.
    Geht das auch unter Linux? Eigentlich gibt es ja nur EIN Default Gateway.

    pfSense ist nicht linux ;)

    Was du machen kannst:
    Wie slu schon erwähnte, kannst du die multiWAN Fähigkeit von pfSense nutzen.
    Erzeuge von Hand unter "System–>Routing" einen neuen Gateway.
    Diesen kannst du nun in den Firewallregeln verwenden um Traffic an einen bestimmten Gateway zu forcen.
    Alternativ kannst du auch einen loadbalancing/failover pool erzeugen in dem dein neuer gateway und der alte drin sind um beide zu nutzen.

    Google mal nach pfSense und multiWAN, da findest du viele Guides und Anleitungen.



  • Die Multi-WAN Fähigkeit nutze ich ja bereits.
    Mir geht es um einen Linux Host 192.168.1.1 der im LAN Subnetz ist, in welchem es ein Gateway (Router) mit der 192.168.1.254 und ein Gateway mit 192.168.1.253 gibt. Über beide Router komme ich ins Internet (inkl DNS Forwarding).

    Mann kann nun als Default Route entweder:

    0.0.0.0        192.168.1.254 0.0.0.0        UG    0      0        0 eth0
    oder
    0.0.0.0        192.168.1.253 0.0.0.0        UG    0      0        0 eth0

    hinterlegen. Aber wäre diese Konstruktion möglich?:
    0.0.0.0        192.168.1.254 0.0.0.0        UG    0      0        0 eth0
    0.0.0.0        192.168.1.253 0.0.0.0          U    0      0        0 eth0

    Der host sucht sich also selbst aus (per Zufall?) welches Gateway er für Pakete außerhalb seines Subnetzes nutzt bzw. leitet er wenn ein Gateway ein Portforwarding von außen nach innen macht dann auch über das betreffenden Gateway wieder die Pakete nach außen?



  • Nein das ist nicht möglich.
    Wozu willst du das denn machen?
    Befindet sich im Subnetz vor diesem zweiten Gateway etwas, auf das du zugreifen können musst?



  • Einfach als failover Lösung, wenn das GW .254 nicht erreichbar ist, dann das .253 nehmen.
    Für eine eingehende Portweiterleitung hätte ich dann auch zwei GW's - falls mal das eine nicht funktioniert.


  • Moderator

    Eine Failover Lösung wird nicht im Client gebaut. Das ist von Netzwerkersicht her Blödsinn (technisch, ich meine nicht euch damit :)).

    Wenn ihr eine Failover Lösung bauen wollt, dann implementiert das sinnvoll in pfSense. Diese bekommt zwei WANs definiert, einen Failover-Pool und das Standard Gateway wird auf den Failover Pool gesetzt. Done. Fällt eine Strecke aus, wird die andere genommen. Wenn man das Ganze als LoadBalancing definieren möchte (ich vermute mal so wird es nach wie vor gemacht, mein letzter LB/HA Pool ist ein Weilchen her), nutzt man 2 Failover Pools, jeder mit der jeweils anderen Strecke als primary und der zweiten als secondary (also einmal WAN1,WAN2 und einmal WAN2,WAN1). Dann nimmt man diese beiden FailOver Pools und steckt sie in ein LB-Pool. Et voilà :)

    Das ganze kann dann via Firewall Regeln auch noch für einzelne IPs oder ganze IP Ranges definiert werden, wer welches Gateway bekommen soll.

    Grüßend
    Jeg



  • So habe ich das auch implementiert, sogar noch mit einem 3 WAN Interface (UMTS Surfstic) und die Failover Pools nach Services gegliedert. Demnach würde dann nur noch Email und die MySQL Replikation im schlechtesten Fall (WAN 1+2 beide down) über den Surfstick (WAN 3) laufen, FTP und alles andere nicht mehr.

    Was aber, wenn z.B. das Netzteil der pfSense Appliance einen Treffer hat? Dann bleibt nur noch CARP oder? Hat jemand schon einmal CARP probiert? Wenn ich z.B. ein Portforwarding in der einen Appliance einrichte, repliziert die andere dann automatisch die Konfiguration der Ersten?

    lg
    Frank


  • Moderator

    Hat jemand schon einmal CARP probiert?

    Ist das eine ernst gemeinte Frage? ;) Schließlich ist Clustering/HA eines der Kernfeatures von pfSense!
    Ja natürlich hat das schon "jemand" getestet. Die Frage ist eben immer, wie die WAN Anschlüsse implementiert sind. Ein Multi-WAN über bspw. 2x PPPoE Anschlüsse ist schwierig(er) in einem HA Setup herzustellen als (halbwegs) echte Standleitungen.

    Und ja, bei CARP ist ein Gerät Master, eines Slave. Über die HA IP erreicht man das gerade aktive (wenn der Master nicht gerade aus ist, denselbigen). Und man kann natürlich einstellen, was alles auf den/die Slaves gesynct werden soll. Es verhält sich im Normalfall genau so, wie ihr vermutet, dass Einträge auf dem Master direkt nach speichern per XMLRPC auf den Slave gesichert werden. Es werden nur noch Einstellungen am Master nach dem initialen Sync vorgenommen, auf dem Slave ist im Normalfall keine Arbeit notwendig.

    Grüßend
    JeG



  • @digidax:

    Einfach als failover Lösung, wenn das GW .254 nicht erreichbar ist, dann das .253 nehmen.
    Für eine eingehende Portweiterleitung hätte ich dann auch zwei GW's - falls mal das eine nicht funktioniert.

    Ich hatte gerade ein interessantes Gespräch mit einem Mitarbeiter über dieses Thema.
    Unser Ergebnis: ja es ist möglich, aber du willst es eigentlich nicht :)

    Der Hack wäre: permanent ein Skript am laufen haben welches alle Sekunde oder so deinen primären Gateway pingt. Sollte der Gateway einmal nicht mehr antworten, fügt das Skript zwei statische Routen zur routing Tabelle (0.0.0.0/1 und 128.0.0.0/1) welche auf den zweiten Gateway zeigen. Anwortet der Gateway wieder, werden die Einträge wieder entfernt. Ist von Prinzip her dasselbe wie was OpenVPN macht um sämtlichen Traffic durch den Tunnel zu forcen.
    Aber wie gesagt, es ist hackisch und du willst das nicht wirklich.



  • Das ist ja mal ne Klasse Diskussion. Vielen Dank.
    Die Idee mit dem switchen der Routing Tabelle hatte ich auch schon, ich hätte das dann per heartbeat Script realisiert.
    Die CARP Methode ist aber dann die besser, da Änderungen automatisch synchronisiert werden.

    Solle auch gehen, da ich an WAN 1 und 2 jeweils eine öffentliche statische IP habe. WAN 3 wir mit per UMTS router geliefert aber da benötige ich kein eingehendes Portforwarding.

    lg und Vielen Dank,
    Frank


Locked