Upgrade von Alix-Board
-
Momentan muss die Firewall lediglich an einem 16 MBit ADSL-Anschluss funktionieren, intern derzeit bis zu 10 Nutzer parallel. Das schafft auch das Alix-Board problemlos, nun kommen aber einige openVPN-Clients (3-5) hinzu und man merkt das es bereits schwächelt. Ich möchte das ganze zukunftssicher soweit ausstatten, dass auch ein Anschluss im Bereich von 50 MBit und zwei zusätzliche Site-toSite VPN-Verbindungen problemlos machbar sind. So wie ich das ganze bisher rauslesen konnte, dürfte eine APU hierfür bereits ausreichend sein, ansonsten könnte man natürlich auch zu einem späteren Zeitpunkt noch stärkere Hardware einkaufen. Vermutlich ist es derzeit besser in Ausfallsicherheit (zweite pfsense / LTE Fallback an WAN-Port 2) zu investieren anstatt in zu grosse Einzelsysteme - da man eine Firewall aber nicht allzuoft tauscht, brauchte ich dafür erstmal einen Überblick :)
-
Hallo Michael,
bei VPN Tunneln kommts auch immer darauf an, was da drüber geschoben wird (also in Echtzeit verschlüsselt). Wenn da nicht gerade 1Gbps Vollduplex laufen muss ;) dann sollte eine APU das schon mehr als gewuppt bekommen. Die genannte Kiste vom Appliance Shop ist ja auch eine AMD G-series SOC, allerdings wohl etwas neueren Datums und (angeblich) mit AES Unterstützung. Allerdings kann ich hier nicht bestätigen, ob die Crypto Verschlüsselung unter BSD/pfSense funktioniert oder nicht. Die APU hat zumindest keine. Auf der anderen Seite scheinen deine Anforderungen aber auch nicht SO heiß zu sein, als dass das unbedingt ins Gewicht fiele.
Wenn du also momentan eher ein (ausfall-)sicheres Setup bauen möchtest, wäre vllt. eher eine Doppel-APU 1HE Büchse was für dich.
Wenn HA/Ausfallsicherheit weniger problematisch sind - das kann ich so natürlich nicht beurteilen - dann könnte man auch die Appliance Kiste nehmen.Aber: wie gesagt bekämst du für die Kosten dieser AMD Kiste bei Applianceshop andernorts bereits eine kleine Intel Rangeley Kiste. Im Bereich zwischen 400 und 450€ könnte ich dir da bereits einen Atom C2358 Rangeley mit 4 NICs anbieten, der dann auch AES-NI hat, QuickAssist (siehe letzter pfSense Newsletter, es wird ja daran gearbeitet Intel QuickAssist Verschlüsselungsbeschleunigung nativ auf FreeBSD und pfSense zu portieren) und ganz gute Reserven. Mit einem C2758 ist es ja jetzt schon durchaus möglich, 1Gbps IPSEC zu schieben, somit sollte ein C2358 spätestens mit QuickAssist ebenfalls sehr hohe Datenraten via VPN schaffen ohne einzubrechen und damit mehr als genug Ressourcen für dich bieten :)
Wenn du mehr Details möchtest kannst du mich auch gern via PN kontaktieren :)
Grüße
Jens -
Hallo,
da ich hier auch gerade vor dem Problem der Aufrüstung von Alix zu potenterer Hardware stehe und bei uns in der Firma ähnliche Preisvorstellungen herrschen ( ;) )wollte ich euch mal fragen, wo ihr denn hierzulande den C2758 respektive den barebone wie den SYS-5018A-TN4 bzw. ein Komplettsystem für einen guten Preis kauft?
Ich hab dazu noch nicht wirklich viel gefunden, bzw. nur Händler die ich bisher nicht kannte, würde mich da über Erfahrungen und Empfehlungen freuen. -
Ahoi,
die Supermicro Kisten waren eine Zeit lang bei Amazon verfügbar, ansonsten bei Sona oder Jacob Electronic, je nachdem ob es die FTN oder TN sein soll. Andernfalls sollte das aber auch jeder Supermicro Distributor liefern können.
Ansonsten gibt es den C2758 auch in anderen Kisten. Bspw. die FW-7573 oder auch die FW-7525 wenn es der kleine Bruder mit 2- oder 4-Kernen (C2358 oder C2558) sein darf.Grüße
-
Danke schon mal dafür.
Was mir jetzt noch fehlt: gibt es irgendwelche Inkompatibilitäten mit der "fehlenden" Hardware RAM und Festplatte, bzw. SSD?
Sona kann da nichts zu sagen, die haben noch nie pfsense aufgespielt (eine Schande ;-)
Oder andersrum, gibt es Listen kompatibler Hardware für pfsense? -
Ja gibt es auf der Webseite, aber ich verstehe nicht ganz wo du Inkompatibilitäten suchst?
Bei RAM solltest du eher bei Supermicro nachschauen, was die an Kompatibilität vorschreiben, denn RAM ist eher vom Board abhängig. Kein OS das ich kenne hat bislang mit RAM rumgemuckt (außer er war defekt). Und HDD oder SSD ist dem OS zum Großteil auch wumpe, sofern es das Board Schnittstellen-seitig richtig anbindet.
Insofern kauf dir RAM, der mit der Appliance zusammen spielt und ansonsten dann eben ne SSD oder nen USB für deinen Einsatzzweck (meines Wissens hatten die 5018er alle nen OnBoard USB Port für solche mini-USB Stecker, die man dann direkt booten kann bspw. wenn man Baremetal-Hypervisoren installiert wie ESX o.ä. und dafür keinen 2,5" / 3,5" Schacht opfern will).
-
Moin,
(meines Wissens hatten die 5018er alle nen OnBoard USB Port für solche mini-USB Stecker, die man dann direkt booten kann bspw. wenn man Baremetal-Hypervisoren installiert wie ESX o.ä. und dafür keinen 2,5" / 3,5" Schacht opfern will).
Leider ist der 'interne' USB Port ein USB3 und wird von ESXi bis mindestens 5.5U2 nicht unterstützt.
pfSense 2.2.1 lässt sich hier jedoch gut installieren und nach den Anpassungen in der /boot/loader.conf.local bezüglich der NICs läuft sie unauffällig.MfG hornetx11
-
Leider ist der 'interne' USB Port ein USB3 und wird von ESXi bis mindestens 5.5U2 nicht unterstützt.
Ah interessant :) Ich habe die Kisten bislang nur für pfSense verwendet, aber gut zu wissen, dass die wohl erst für ESXi 6 zu gebrauchen wären - oder man nimmt Xen/KVM und Co ;)
War auch eher als Beispiel gedacht, aber so lernt man wieder was dazu!pfSense 2.2.1 lässt sich hier jedoch gut installieren und nach den Anpassungen in der /boot/loader.conf.local bezüglich der NICs läuft sie unauffällig.
Welche Anpassungen musstest du noch vornehmen? Bei 2.2.1 sollte doch zwischenzeitlich alles alleine laufen und keine mbuf oder sonstigen Hacks mehr notwendig sein?Grüße
-
Ah interessant :) Ich habe die Kisten bislang nur für pfSense verwendet,
Ich verwende die SYS-5018A-FTN4 mit ESXi 5.5 für Mailserver / S/Mime, GPG Gateways in "unkritischen" Umgebungen.
Welche Anpassungen musstest du noch vornehmen? Bei 2.2.1 sollte doch zwischenzeitlich alles alleine laufen und keine mbuf oder sonstigen Hacks mehr notwendig sein?
Spaßeshalber habe ich gestern mal pfSense 2.2.1 vom Stick installiert.
Noch während der, im Gegensatz zur 2.1.5, problemlosen Installation wurden "igb3: Could not receive structures" angezeigt.
Nach Erweiterung der /boot/loader.conf.local mitkern.ipc.nmbclusters="131072"
hw.igb.num_queues=1traten die Fehler nicht mehr auf.
Zugegeben die Kiste ist so nicht in den Einsatz gekommen, so das ich hier auch keine Langzeit Ergebnisse liefern kann.
MfG hornetx11
-
OK das ist auf jeden Fall gut zu wissen. Werde das aber ggf. mal beim Team anfragen, warum das nach wie vor ein Problem ist, denn eigentlich hatte ich das Changelog so verstanden, dass die Queues und Buffer Geschichten jetzt mit 10.x und den neuen Treibern endlich out of the box laufen.
Danke dafür :)