Upgrade von Alix-Board



  • Hallo,

    ich habe hier pfsense auf einer Appliance von Applianceshop.eu im Einsatz, die kleinste Variante mit AMD Geode LX 500Mhz Prozessor und 3x 100 MBit Ports. Über die Jahre lief das alles sehr gut, mittlerweile fängt die Firewall aber insbesondere beim Einsatz von OpenVPN an zu schwächeln. Der momentane DSL-Anschluss hat zwar auch nur 16 MBit derzeit, hier möchte ich allerdings auch etwas Puffer für die Zukunft schaffen (Gigabit-Ports).

    Über die pfsense Wiki-Seiten bin ich auf die Watchguard-Systeme aufmerksam geworden, insbesondere auf die XTM 5 Serie. Hat jemand diese bereits im Einsatz und kann eventuell einen Erfahrungsbericht abgeben? Mich interessiert insbesondere, wie stabil das ganze läuft und ob die Lautstärke aufgrund der eingebauten Lüfter noch erträglich ist. Die neue Appliance soll dann ebenfalls wieder im 19" Wandschrank verbaut werden, ich hoffe in dem Zusammenhang natürlich, dass dies in Sachen Einbautiefe und Gewicht noch klappt.

    Gibt es denn noch andere, empfehlenswerte und vergleichbare Systeme in dem Bereich (welche nicht von Watchguard stammen)?

    Grüsse,

    Michael


  • LAYER 8 Moderator

    Über die pfsense Wiki-Seiten bin ich auf die Watchguard-Systeme aufmerksam geworden

    Darf ich dich ganz doof fragen, welche Seiten du meinst? Ich hab weder ein Wiki (außer den Docs) auf dem Schirm noch irgendwas, was ansatzweise die Watchguards promoted. Im Gegenteil, das meiste was ich bislang von den Dingern gelesen hatte waren Leute die Probleme damit hatten (bei der Installation oder wenn RAM ausging o.ä.).

    Ich weiß zwar nicht wie du an die preislich kommst, aber ich glaube eine APU oder eine Kiste mit C2000er Atom (Rangeley) wären zukunftssicherer als Watchguard Kisten - zumal die ersteren auch aktiv von pfSense / ESF / Netgate selbst vertrieben werden und damit von der Hardware sicher besser supportet sind, als Kisten, die eigentlich für Software eines anderen Herstellers gedacht war ;)

    Das aber mal nur als generelle Frage von deinen Preisvorstellungen und wo du die Empfehlung her hast :)

    Grüße



  • @JeGr:

    Darf ich dich ganz doof fragen, welche Seiten du meinst? Ich hab weder ein Wiki (außer den Docs) auf dem Schirm noch irgendwas, was ansatzweise die Watchguards promoted. Im Gegenteil, das meiste was ich bislang von den Dingern gelesen hatte waren Leute die Probleme damit hatten (bei der Installation oder wenn RAM ausging o.ä.).

    Gemeint war diese Seite:
    https://doc.pfsense.org/index.php/PfSense_on_Watchguard_Firebox

    Ich weiß zwar nicht wie du an die preislich kommst, aber ich glaube eine APU oder eine Kiste mit C2000er Atom (Rangeley) wären zukunftssicherer als Watchguard Kisten - zumal die ersteren auch aktiv von pfSense / ESF / Netgate selbst vertrieben werden und damit von der Hardware sicher besser supportet sind, als Kisten, die eigentlich für Software eines anderen Herstellers gedacht war ;)

    Ich bin derzeit aktiv auf der Suche nach einem Ersatzsystem für die bestehende Hardware und dachte mir, dass es nicht sonderlich schwer sein würde, ein Alix 2C3 Board in Sachen Performance zu schlagen - eine konkrete Empfehlung gab es noch nicht, daher frage ich diese an dieser Stelle an :) Ich habe auch die Möglichkeit, über den damaligen Shop eine neuere Appliance mit AMD G-SERIES SOC GX-210JA 1.0Ghz Dual Core CPU, 2 GB RAM und 3x GBit-Ports einzukaufen, das liegt dann preislich bei um die 600,00 EUR. Es muss sich aber nicht zwingend um aktuellste Neuware handeln, sondern lediglich den gedachten Einsatzzweck erfüllen und etwas Puffer für die Zukunft bieten. Der pfsense Shop liefert nicht von Europa aus wenn ich das richtig gesehen habe, oder gibt es dafür spezielle Verkäufer / Distributoren?

    Grüsse,

    Michael



  • Moin,

    habe auf der Arbeit eine Watchguard laufen, siehe Signatur, also ne alte Kiste läuft zwar mit ein wenig Einsatz, aber die Installation auf der APU ging stressfreier, das Ding ist kleiner und unhörbar, braucht weniger Strom.
    Einen Preisvergleich kannst Du ja selber machen  ;D. Bisher kein Punkt der für eine Watchguard spricht ::)
    Die OVPN Gegenstelle ist nicht sonderlich gut angebunden (12/0,6Mbit), bringt die APU aber nicht an die Grenzen :-), auch wenn ich vom schnellen FTP-Server sauge kommen der gerne mal 8-10 MByte rüber, meine Zwerge sind absolute Youtube Freaks, alles easy going.

    Hätte die Box ne Nase, Arme, Hände und Finger könnte sie nebenbei noch beidhändig für Reinlichkeit im Zinken sorgen ;D. Für den privaten Bereich ist es ein guter Kompromiss zwischen Preis, Leistung und Energieverbrauch

    -teddy



  • @teddy:
    Danke für deine Rückmeldung :) Die APU's hatte ich mir noch nicht im Detail angeschaut, da es zum Zeitpunkt der Erscheinung noch keine Rackmount-Lösungen gab (Stichwort CPU-Kühlung über das Gehäuse). Jetzt habe ich bereits ein Produkt im Preisbereich von 315 EUR mit einem APU1D4 Board gefunden, für 1 GHz mit 4 GB RAM hört sich das nicht schlecht an. Zudem kann man wohl eine mSATA/SSD nachrüsten, falls die SD-Karte nicht mehr ausreichend sein sollte. Wenn die Performance damit spürbar besser ist als mit der jetzigen Alix-Lösung und die Stabilität gewährleistet ist, dann wäre das wohl einer Watchguard-Appliance vorzuziehen.

    Grüsse,

    Michael


  • LAYER 8 Moderator

    Hallo Michael,

    Ich bin derzeit aktiv auf der Suche nach einem Ersatzsystem für die bestehende Hardware und dachte mir, dass es nicht sonderlich schwer sein würde, ein Alix 2C3 Board in Sachen Performance zu schlagen - eine konkrete Empfehlung gab es noch nicht, daher frage ich diese an dieser Stelle an :) Ich habe auch die Möglichkeit, über den damaligen Shop eine neuere Appliance mit AMD G-SERIES SOC GX-210JA 1.0Ghz Dual Core CPU, 2 GB RAM und 3x GBit-Ports einzukaufen, das liegt dann preislich bei um die 600,00 EUR. Es muss sich aber nicht zwingend um aktuellste Neuware handeln, sondern lediglich den gedachten Einsatzzweck erfüllen und etwas Puffer für die Zukunft bieten. Der pfsense Shop liefert nicht von Europa aus wenn ich das richtig gesehen habe, oder gibt es dafür spezielle Verkäufer / Distributoren?

    Also wenn du um die 600€ herum am Schauen bist(?) dann ganz sicher keine Watchguard. Das macht keinen Sinn, denn für das Geld bekommst du bspw. (als Firma einkaufend) nen Supermicro Server mit C2758: http://www.supermicro.com/products/system/1U/5018/SYS-5018A-TN4.cfm. Oder für privat dann ggf. eine Büchse mit C2350/C2358 Rangeley. Also sowas wie die neue Box, die pfSense in den Store gebracht hat.

    Der ist nahezu (wenn nicht sogar exakt) baugleich mit dem pfSense Gerät aus deren Store. Die APU aus dem Store ist bspw. bei Varia o.ä. zu finden, dort auch gegen Aufpreis mit 19" Rackmount-Gehäuse und wenn dus dir richtig geben willst und einen CARP Cluster aus den Teilen bauen möchtest, gibts sogar ein 19" Gehäuse mit 2 APUs in einer HE. Und selbst damit lägst du noch unter 600€.

    Grüße



  • Ein Rackmount-Gehäuse muss es in jedem Fall sein. Der Leistungsunterschied zur jetzigen Hardware soll spürbar sein, aber auch nicht so überdimensioniert das die Firewall so gut wie nichts zu tun hat - dann nutze ich lieber 2 Rechner und setze auf Ausfallsicherheit. Den pfSense-Server auf Basis der APU habe ich bei Varia bereits gefunden, dort ist dieser aber derzeit nicht erhältlich (ich müsste auf neuen Hardware-Zulauf warten).

    Bei Applianceshop gibt es beispielsweise diesen Rechner:
    https://www.applianceshop.eu/security-appliances/19-rack-appliances/pfsense-based-6/sense-a10-dual-core-rack-edition.html

    Ist die CPU / das Board darauf soviel leistungsstärker als ein APU1D4-Board mit 4 GB RAM? Der Preisunterschied zu dem Angebot bei Varia beträgt immerhin ganze 234 EUR, dafür könnte man sich schon fast 2x APU1D4 im 19" Gehäuse kaufen. Ein SuperServer 5018A-TN4 sieht natürlich schick aus vom Leistungsumfang, aber ich befürchte das ist für meine Zwecke doch etwas überdimensioniert :)

    Grüsse,

    Michael


  • LAYER 8 Moderator

    aber ich befürchte das ist für meine Zwecke doch etwas überdimensioniert :)

    Kannst du ein paar Rahmendaten nennen, was du machen möchtest bzw. die Hardware wuppern soll? Dann kann man vielleicht eher was dazu sagen :)



  • Momentan muss die Firewall lediglich an einem 16 MBit ADSL-Anschluss funktionieren, intern derzeit bis zu 10 Nutzer parallel. Das schafft auch das Alix-Board problemlos, nun kommen aber einige openVPN-Clients (3-5) hinzu und man merkt das es bereits schwächelt. Ich möchte das ganze zukunftssicher soweit ausstatten, dass auch ein Anschluss im Bereich von 50 MBit und zwei zusätzliche Site-toSite VPN-Verbindungen problemlos machbar sind. So wie ich das ganze bisher rauslesen konnte, dürfte eine APU hierfür bereits ausreichend sein, ansonsten könnte man natürlich auch zu einem späteren Zeitpunkt noch stärkere Hardware einkaufen. Vermutlich ist es derzeit besser in Ausfallsicherheit (zweite pfsense / LTE Fallback an WAN-Port 2) zu investieren anstatt in zu grosse Einzelsysteme - da man eine Firewall aber nicht allzuoft tauscht, brauchte ich dafür erstmal einen Überblick :)


  • LAYER 8 Moderator

    Hallo Michael,

    bei VPN Tunneln kommts auch immer darauf an, was da drüber geschoben wird (also in Echtzeit verschlüsselt). Wenn da nicht gerade 1Gbps Vollduplex laufen muss ;) dann sollte eine APU das schon mehr als gewuppt bekommen. Die genannte Kiste vom Appliance Shop ist ja auch eine AMD G-series SOC, allerdings wohl etwas neueren Datums und (angeblich) mit AES Unterstützung. Allerdings kann ich hier nicht bestätigen, ob die Crypto Verschlüsselung unter BSD/pfSense funktioniert oder nicht. Die APU hat zumindest keine. Auf der anderen Seite scheinen deine Anforderungen aber auch nicht SO heiß zu sein, als dass das unbedingt ins Gewicht fiele.

    Wenn du also momentan eher ein (ausfall-)sicheres Setup bauen möchtest, wäre vllt. eher eine Doppel-APU 1HE Büchse was für dich.
    Wenn HA/Ausfallsicherheit weniger problematisch sind - das kann ich so natürlich nicht beurteilen - dann könnte man auch die Appliance Kiste nehmen.

    Aber: wie gesagt bekämst du für die Kosten dieser AMD Kiste bei Applianceshop andernorts bereits eine kleine Intel Rangeley Kiste. Im Bereich zwischen 400 und 450€ könnte ich dir da bereits einen Atom C2358 Rangeley mit 4 NICs anbieten, der dann auch AES-NI hat, QuickAssist (siehe letzter pfSense Newsletter, es wird ja daran gearbeitet Intel QuickAssist Verschlüsselungsbeschleunigung nativ auf FreeBSD und pfSense zu portieren) und ganz gute Reserven. Mit einem C2758 ist es ja jetzt schon durchaus möglich, 1Gbps IPSEC zu schieben, somit sollte ein C2358 spätestens mit QuickAssist ebenfalls sehr hohe Datenraten via VPN schaffen ohne einzubrechen und damit mehr als genug Ressourcen für dich bieten :)

    Wenn du mehr Details möchtest kannst du mich auch gern via PN kontaktieren :)

    Grüße
    Jens



  • Hallo,

    da ich hier auch gerade vor dem Problem der Aufrüstung von Alix zu potenterer Hardware stehe und bei uns in der Firma ähnliche Preisvorstellungen herrschen ( ;) )wollte ich euch mal fragen, wo ihr denn hierzulande den C2758 respektive den barebone wie den SYS-5018A-TN4 bzw. ein Komplettsystem für einen guten Preis kauft?
    Ich hab dazu noch nicht wirklich viel gefunden, bzw. nur Händler die ich bisher nicht kannte, würde mich da über Erfahrungen und Empfehlungen freuen.


  • LAYER 8 Moderator

    Ahoi,

    die Supermicro Kisten waren eine Zeit lang bei Amazon verfügbar, ansonsten bei Sona oder Jacob Electronic, je nachdem ob es die FTN oder TN sein soll. Andernfalls sollte das aber auch jeder Supermicro Distributor liefern können.
    Ansonsten gibt es den C2758 auch in anderen Kisten. Bspw. die FW-7573 oder auch die FW-7525 wenn es der kleine Bruder mit 2- oder 4-Kernen (C2358 oder C2558) sein darf.

    Grüße



  • Danke schon mal dafür.
    Was mir jetzt noch fehlt: gibt es irgendwelche Inkompatibilitäten mit der "fehlenden" Hardware RAM und Festplatte, bzw. SSD?
    Sona kann da nichts zu sagen, die haben noch nie pfsense aufgespielt (eine Schande ;-)
    Oder andersrum, gibt es Listen kompatibler Hardware für pfsense?


  • LAYER 8 Moderator

    Ja gibt es auf der Webseite, aber ich verstehe nicht ganz wo du Inkompatibilitäten suchst?

    Bei RAM solltest du eher bei Supermicro nachschauen, was die an Kompatibilität vorschreiben, denn RAM ist eher vom Board abhängig. Kein OS das ich kenne hat bislang mit RAM rumgemuckt (außer er war defekt). Und HDD oder SSD ist dem OS zum Großteil auch wumpe, sofern es das Board Schnittstellen-seitig richtig anbindet.

    Insofern kauf dir RAM, der mit der Appliance zusammen spielt und ansonsten dann eben ne SSD oder nen USB für deinen Einsatzzweck (meines Wissens hatten die 5018er alle nen OnBoard USB Port für solche mini-USB Stecker, die man dann direkt booten kann bspw. wenn man Baremetal-Hypervisoren installiert wie ESX o.ä. und dafür keinen 2,5" / 3,5" Schacht opfern will).



  • Moin,

    @JeGr:

    (meines Wissens hatten die 5018er alle nen OnBoard USB Port für solche mini-USB Stecker, die man dann direkt booten kann bspw. wenn man Baremetal-Hypervisoren installiert wie ESX o.ä. und dafür keinen 2,5" / 3,5" Schacht opfern will).

    Leider ist der 'interne' USB Port ein USB3 und wird von ESXi bis mindestens 5.5U2 nicht unterstützt.
    pfSense 2.2.1 lässt sich hier jedoch gut installieren und nach den Anpassungen in der /boot/loader.conf.local bezüglich der NICs läuft sie unauffällig.

    MfG hornetx11


  • LAYER 8 Moderator

    Leider ist der 'interne' USB Port ein USB3 und wird von ESXi bis mindestens 5.5U2 nicht unterstützt.
    Ah interessant :) Ich habe die Kisten bislang nur für pfSense verwendet, aber gut zu wissen, dass die wohl erst für ESXi 6 zu gebrauchen wären - oder man nimmt Xen/KVM und Co ;)
    War auch eher als Beispiel gedacht, aber so lernt man wieder was dazu!

    pfSense 2.2.1 lässt sich hier jedoch gut installieren und nach den Anpassungen in der /boot/loader.conf.local bezüglich der NICs läuft sie unauffällig.
    Welche Anpassungen musstest du noch vornehmen? Bei 2.2.1 sollte doch zwischenzeitlich alles alleine laufen und keine mbuf oder sonstigen Hacks mehr notwendig sein?

    Grüße



  • @JeGr:

    Ah interessant :) Ich habe die Kisten bislang nur für pfSense verwendet,

    Ich verwende die SYS-5018A-FTN4 mit ESXi 5.5 für Mailserver / S/Mime, GPG Gateways in "unkritischen" Umgebungen.

    @JeGr:

    Welche Anpassungen musstest du noch vornehmen? Bei 2.2.1 sollte doch zwischenzeitlich alles alleine laufen und keine mbuf oder sonstigen Hacks mehr notwendig sein?

    Spaßeshalber habe ich gestern mal pfSense 2.2.1 vom Stick installiert.
    Noch während der, im Gegensatz zur 2.1.5, problemlosen Installation wurden "igb3: Could not receive structures" angezeigt.
    Nach Erweiterung der /boot/loader.conf.local  mit

    kern.ipc.nmbclusters="131072"
    hw.igb.num_queues=1

    traten die Fehler nicht mehr auf.

    Zugegeben die Kiste ist so nicht in den Einsatz gekommen, so das ich hier auch keine Langzeit Ergebnisse liefern kann.

    MfG hornetx11


  • LAYER 8 Moderator

    OK das ist auf jeden Fall gut zu wissen. Werde das aber ggf. mal beim Team anfragen, warum das nach wie vor ein Problem ist, denn eigentlich hatte ich das Changelog so verstanden, dass die Queues und Buffer Geschichten jetzt mit 10.x und den neuen Treibern endlich out of the box laufen.

    Danke dafür :)


Log in to reply