Umstieg auf pfSense mit PowerEdge R415



  • Hi Leute,

    wir planen pfSense auf einem Dell PowerEdge R415 in unserer  Abteilung (ca. 300 Clients) zu installieren. Zur Zeit wird die Firewall mit iptalbes auf einem Debian verwaltet. Nun möchten wir aber auf eine HA Cluster mit Webverwaltung umsteigen. Ggf. weitere Addons wie Snort und Squid nutzen. Laut der Doku kann man pfSense mit CARP als HA Cluster konfigurieren.

    Die Hardware ist bereits vorhanden. Angeschlossen werden soll wieder die DMZ, internes Netz und Internet.

    • Gibt es in dieser Größenordnung (ca. 300 Clients) schon Erfahrungen?

    • Hat jemand schon mal auf dem R415 pfSense zum Laufen bekommen? Wir hatten beim Testen Probleme von einem USB-Stick zu booten.

    VG



  • Hi!

    Wenn die Hardware schon da ist, würde ich es damit einfach mal versuchen. Da hast du ja nicht viel zu verlieren.

    Auf deine erste Frage, ob deine Hardware für dein Vorhaben ausreicht, wirst du hier mit deinen Angaben ohnehin kaum Antworten erhalten. Mehr als den Produktnamen hast du uns ja nicht wissen lassen. Interessant wären zumindest noch Prozessor, Speicher und Netzwerkkarten.

    Aus meiner Erfahrung kann ich nur sagen, wir haben pfSense auf 2 aktuellen DELL R210 II mit XEON E3-1240v2 und 4 GB RAM im HA-Modus laufen und das funktioniert zumindest seit dem letzten Update auf 2.1.2, wo auch Treiber für unsere Intel Quad NICs aktualisiert wurden, ganz gut.
    Wir haben dahinter allerdings nur eine kleine Webserver-Farm in einer DMZ, die nur ein paar hundert User per Authentifizierung ran lässt. Weiters haben wir ein LAN mit Datenbankserver, Domaincontroller und Backupserver und eine Schnittstelle in unser Arbeitsnetz. Der HA-Sync läuft, wie empfohlen, über separate NICs.
    Bislang hatten wir noch nie mehr als 1000 gleichzeitige FW Verbindungen und 6 OpenVPN Verbindungen.
    Die CPU ist so gerade im Prozentbereich und der Speicher (mit Suricata) zu etwa einem Drittel ausgelastet.

    Ihr werdet auf mehrere tausend Verbindungen kommen und mit Sqid und Snort werden bei halbwegs eifriger Internetnutzung zumindest 8 GB RAM nötig sein.

    Grüße



  • Leider kann man pfSense nicht booten. Es kommt nur das Menu mit F1 pfSense usw. danach erhält man keine Fehlermeldung und es geht nicht weiter. Haben es schon per USB-Stick und CD Versucht.

    Die Ausstattung der Hardware ist:
    65 GB Speicher
    AMD Opteron 4238
    2x Broadcom Corporation NetXtreme II BCM5716 Gigabit Ethernet (auf dem Board)
    4x Intel Corporation 82576 Gigabit Network (Karte)

    Wir hatten bei Debian 7 bereits Probleme das in der Netinstall die Firmware für die Broadcom Karte fehlte. Nun weiß ich nicht wie das bei pfSense aussieht, da man auch keine Fehlermeldung bekommt.

    Ich hoffe da kann noch jemand weiterhelfen? :)



  • Also die Broadcom NICs machen bei mir keine Probleme. Ich habe 2 BCM5709C am Board. Die verwenden offenbar denselben Treiber:

    Apr 25 16:30:04 	kernel: Coal (RX:6,6,18,18; TX:20,20,80,80) 0xc0000000-0xc1ffffff irq 17 at device 0.1 on pci5
    Apr 25 16:30:04 	kernel: miibus1: <mii bus="">on bce1
    Apr 25 16:30:04 	kernel: brgphy1: <bcm5709c 10="" 100="" 1000basetx="" phy="">PHY 1 on miibus1
    Apr 25 16:30:04 	kernel: brgphy1: 10baseT, 10baseT-FDX, 100baseTX, 100baseTX-FDX, 1000baseT, 1000baseT-master, 1000baseT-FDX, 1000baseT-FDX-master, auto, auto-flow
    Apr 25 16:30:04 	kernel: bce1: [ITHREAD]
    Apr 25 16:30:04 	kernel: bce1: ASIC (0x57092008); Rev (C0); Bus (PCIe x4, 2.5Gbps); B/C (7.4.0); Bufs (RX:2;TX:2;PG:8); Flags (SPLT|MSI|MFW); MFW (NCSI 2.0.11)
    Apr 25 16:30:04 	kernel: Coal (RX:6,6,18,18; TX:20,20,80,80)</bcm5709c></mii> 
    

    Ja, ich habe die Kiste heute neu gebootet, nachdem einer der beiden baugleichen DELL R210II ztw. einfriert oder rebootet.  >:(
    Auch das BIOS verhält sich seltsam. Bin deswegen schon mit dem Support in Kontakt.

    Die Intel Karte sollte auch soweit funktionieren, dass das Sytem geladen wird.

    Versuche es eventuell mal mit der 32 Bit Version.



  • Für dein Projekt ist die Hardware völlig ausreichend.

    Auf DELL R210, R310 und R320 läuft die pfSense. Sowohl mit dem Perc Raid Controller und den Broadcom und Intel NICs.
    Ich sehe aber bei dem AMD Gedöns keine Probleme, habe es aber nicht probiert.



  • @blackpearl:

    Wir hatten beim Testen Probleme von einem USB-Stick zu booten.

    Erlaubt das BIOS einen USB-Stick zu benutzen?



  • Danke,  für die Hilfe! Haben es nun installiert bekommen :) Scheinbar war wurde die falsche Variante heruntergeladen,  nun hat es mit der VGA Memstick geklappt. Werden es die Tage initial einrichten mit Snort und CARP ggf. noch Squid. Würde mich dann mal melden wie es geklappt hat.

    Gibt es eine Möglichkeit iptables Regeln zu importieren? FwBuilder kommt mit der Konfiguration DMZ, Internet, LAN nicht klar.



  • Toll dass die Kiste nun läuft.

    Gibt es eine Möglichkeit iptables Regeln zu importieren?

    Diese Frage würde ich hier stellen:
        pfSense Forum » pfSense English Support » General Questions

    Da treiben sich die Macher des Systems rum. Die könnten eher was wissen.


  • Moderator

    Ich würde mal darauf tippen, dass es nur durch externe Tools wie FWBuilder und Co möglich ist, da IPTables im Gegensatz zu pf eine andere Verarbeitungshierarchie der Filter hat und die Interfaces mitunter anders betrachtet. Also einen einfachen "Import" wird es wohl nicht geben.
    Allerdings habe ich in der Vergangenheit schon häufiger festgestellt, dass man Regelsätze, wenn man Sie bspw. mal ausdruckt und durchgeht, häufig ausmisten und/oder zusammenführen kann, da pfSense mit den Aliasen etc. recht mächtige Möglichkeiten hat, Regeln auf mehrere Ziele/Quellen/Kombinationen/Listen zu matchen.

    Grüße



  • Ich schließe mich der Aussage an.
    Die Regeln alle manuell durchzugehen und z. B. mit Aliasen usw eine nue Struktur reinzuringen schadet nicht und ist auch für Newcomer eine gute Gelegenheit das neu erlernte in der Praxis einige male zu wiederholen.
    ;)