Hardware Frage



  • Moin,

    ein Bekannter möchte pfSense auch nutzen, jetzt brauch ich bitte mal Nachhilfe in Sachen nötiger Hardware.

    Internetanschluss 100/20 Mbit

    Maximal 2-3 gleichzeitige Tunnel via OpenVPN, die Clients haben eine Upstream von max. 5Mbit, die Tunnel werden nicht dauerhaft zum Arbeiten genutzt sondern für Wartungszugänge externer Firmen was unter Umständen auch mal gleichzeitig passieren kann, Geschwindigkeitseinbußen sind in diesem Fall aber akzeptabel.

    Es soll eine Kiste mit 4 NICs werden, 1x WAN 3xLAN mit jeweils 2-3 Vlans je Port
    Clients: Auf 2 LAN Ports werden je 4-5 Clients und ein Drucker gelegt, je ein LAN Port führt in ein anderen Gebäudeteil, Nachverlegung von Leitungen kommt z.Z. nicht in Frage.
    Der 3 Port führt zu den Servern im Keller.

    Tätigkeiten: Büroarbeit überwiegend mit Word & Excel, Mail und Internetzugang.

    Also eigentlich nichts was man nicht mit 10Mbit locker abfackeln kann.
    Jetzt ist er so ein kleines Spielkalb deshalb brauch ich zumindest für seine Spielerreien so viel "Dampf" das er von einem LAN Port zum Anderen auch mal Gigabit auf Anschlag fahren kann. Also mal ein Image auf den Server kopieren bzw. vom Server saugen, und da er die Geduld eines kaffeesüchtigen ADHS Patienten hat muss das zügig über die Bühne gehen, auch wenn er mal an einen anderen Rechner geht. Deshalb nützt es nichts seinen PC direkt anzubinden, das wäre ja einfach.

    Auf dem Router ist OpenVPN und Squid angesagt und evtl. später noch ein Captive Portal.

    Bei den NICs bervorzuge ich Intel, RTL xyz möchte ich vermeiden, das ganze sollte möglichst in ein 19"  1HE Gehäuse unterzubringen sein. In welcher Liga sollt die verbaute CPU spielen? Hochverfügbarkeit ist nicht gewünscht ($$$) wenn mal was ausfällt gibt es auch genügend PC unabhängige Tätigkeiten bis das System wieder läuft (Seine Aussage! Das diskutiere ich nicht da sinnlos.).

    -teddy



  • Hi,

    ich habe hier pfSense auf einer Watchguard X550e laufen, diese habe ich für 50€ bei eBay gekauft und von 512MB auf 2GB und von Celeron 1,3GHz auf Pentium 1,7GHz erweitert. Sie hat 4 x Gigabit Ethernet; es gibt übrigens noch X750e und X1250e (ich glaube so heissen sie). Sie sind von der Hardware identisch, letztere hat aber 8 x Gigabit Ethernet. Siehe eigenen Thread im Forum (auf englisch).

    Diese Hardware kann problemlos Gigabit-Transfers machen, d.h. das Limit ist nicht die Box.

    Ich hoffe das hilft zur Orientierung.



  • Internetanschluss 100/20 Mbit

    Maximal 2-3 gleichzeitige Tunnel via OpenVPN, die Clients haben eine Upstream von max. 5Mbit, die Tunnel werden nicht dauerhaft zum Arbeiten genutzt sondern für Wartungszugänge externer Firmen was unter Umständen auch mal gleichzeitig passieren kann, Geschwindigkeitseinbußen sind in diesem Fall aber akzeptabel.

    Dafür sollte ein Alix APU 1D4 Board mit einer mSATA ausreichen.

    Es soll eine Kiste mit 4 NICs werden, 1x WAN 3xLAN mit jeweils 2-3 Vlans je Port
    Clients: Auf 2 LAN Ports werden je 4-5 Clients und ein Drucker gelegt, je ein LAN Port führt in ein anderen

    Das sollte dann schon eher eine SG-2440 appliance sein oder aber ein Jetaway fix und fertig mini ITX PC.
    4 GB LAN Port mini ITX PC
    5 GB LAN Port Jetaway mini ITX PC

    Gebäudeteil, Nachverlegung von Leitungen kommt z.Z. nicht in Frage.

    Also wenn das ein und das selbe Gebäude sein sollte ok, aber wenn das unterschiedliche Gebäude
    sein sollten macht man so etwas wegen des Potentialausgleichs eigentlich immer mit LWL und Switchen
    und die Switche werden dann am Router bzw. der Firewall zusammengeführt! Nicht das Du bastelst und
    dann brennt mal das gebäude ab und niemand zahlt dafür, sondern Du bist dann der "Dumme".

    Der 3 Port führt zu den Servern im Keller.
    Tätigkeiten: Büroarbeit überwiegend mit Word & Excel, Mail und Internetzugang.

    Immer noch eine SG-2440 sollte das lösen können.

    Jetzt ist er so ein kleines Spielkalb deshalb brauch ich zumindest für seine Spielerreien so viel "Dampf" das er von einem LAN Port zum Anderen auch mal Gigabit auf Anschlag fahren kann.

    Dann sind wir jetzt aber schon bei einer SG-4860 und/oder einem;
    Intel Celeron G3260 @3,2GHz und 8 GB RAM und SSD bzw. mSATA.

    Also mal ein Image auf den Server kopieren bzw. vom Server saugen, und da er die Geduld eines kaffeesüchtigen ADHS Patienten hat muss das zügig über die Bühne gehen, auch wenn er mal an einen anderen Rechner geht. Deshalb nützt es nichts seinen PC direkt anzubinden, das wäre ja einfach.

    Direkt würde ich an die Firewall oder Router nichts anbinden wollen sondern immer via Switche
    aber das macht auch wieder jeder für sich alleine. Dann sollte da wohl eher ein Server mit einer
    10 GBit/s NIC und einem D-Link DGS1510-20 L3 Switch der auch über 2 SFP+ Ports verfügt mit
    im Spiel sein, denn dann braucht das nicht die Firewall alles alleine zu routen sondern der L3
    Switch und die Firewall wird somit entlastet aber der Netzwerkdurchsatz erhöht.
    Server –- 10 GBit/s --- L3 Switch --- 10 GBit/s --- PCs

    Auf dem Router ist OpenVPN und Squid angesagt und evtl. später noch ein Captive Portal.

    Eine SG-4860 sollte das dann wohl werden oder ein Supermicro Intel Atom C2758 Board und ein Router
    im Eigenbau.

    Bei den NICs bervorzuge ich Intel, RTL xyz möchte ich vermeiden, das ganze sollte möglichst in ein 19"  1HE Gehäuse unterzubringen sein.

    • Nokia IP650 mit IDE SSD & RAM Upgrade
    • Supermicro C2558 oder C2758 Board im Supermicro Gehäuse dazu mit 8GB RAM & SSD oder mSATA.
    • SG-8860 1U, C2758 1U, XG-1540 aus dem pfSense shop können das alle!

    Du sagst uns nur immer was alles benötigt wird aber wie groß das Budget ist wissen wir nicht.

    In welcher Liga sollt die verbaute CPU spielen? Hochverfügbarkeit ist nicht gewünscht ($$$) wenn mal was ausfällt gibt es auch genügend PC unabhängige Tätigkeiten bis das System wieder läuft (Seine Aussage! Das diskutiere ich nicht da sinnlos.).

    Es kommt halt immer darauf an wie man es aufzieht, ich würde da einen Switch dazwischen packen wollen
    der den Server performant anbindet und das LAN Routing selber vornimmt und das nicht alles die Firewall
    machen lassen wollen um sie zu entlasten, denn auch wenn die Firewall dann einmal ein Problem bekommt
    kann das LAN weiter genutzt werden. Aufgrund von Squid, VPN und CP würde ich mal sagen das die pfSense
    schon genug zu tun hat.



  • Moin und Danke für die Infos, jetzt habe ich Anhaltspunkte und kann mal den Bedarf an € anmelden, mal sehen was kommt.
    Budgetplan war so günstig wie möglich ohne in den Bereich billig abzurutschen.

    Zum Gebäude: Keine Angst, es sind nur verschieden Abschnitte im Gebäude, hängt alles am gleichen Trafo der eigenen Mittelspannung mit Potenzialausgleich, größte Leitungslänge 60-70m.
    Einen Switch habe ich im Hinterkopf, wird vermutlich etwas später dazukommen ich denke da an einen Cisco SG 300 und dann ist erstmal Ruhe. Ich bin froh das da überhaupt was passiert, sein W_Lan war bis vor kurzem noch mit WEP verschleiert, dann habe ich es abgeschaltet und mich geweigert es wieder zu aktivieren da der AP kein WPA unterstützt 8). Notfalls hätte ich ihm meinen AP geschenkt …. Ich bin froh das er endlich aufwacht.

    Nächste Baustelle sind einige PCs, da ist noch W2k dabei >:(

    -teddy



  • ich denke da an einen Cisco SG 300 und dann ist erstmal Ruhe.

    Die sind zwar wirklich gut aber das mit dem Server und den ISO Dateien und der Ungedult
    sollte eventuell einen BLick auf den D-Link DGS1510-20 wert sein, da kann man dann nach
    und nach upgraden und dann ist der Server eventuell mit 2 x 10 GBit/s angebunden oder
    aber der Server und der PC sind dann mit 10 GBit/s angebunden.



  • Moin,

    mehr wird da nicht passieren, die Server könnte ich noch mit 10G angebunden bekommen, beim Rest wird es nichts ohne Leitungsverlegung. Dazu wird es aber kaum kommen, weil fremdgenutzte Bereiche gequert werden müßten und das Klima vorbelastet ist. Und mit D-Link habe ich meine persönlichen Probleme die bekommen kein Geld mehr von mir.
    Was für halbgaren Mist die doch verkaufen … mag sein das die abseits vom Heimmarkt brauchbare Produkte vertreiben aber bei mir sind sie halt unten durch.

    -teddy


  • Moderator

    @teddy:

    wenn er auf den Interfaces wirklich Gigabit zu Gigabit schieben will, würde ich ggf. nicht auf die APU setzen, die das zwar auch noch wuppen kann, aber m.E. da manachmal Luft nach oben brauchen könnte. Zudem hat sie nur 3 Interfaces, in den Anforderungen hieß es mind. 4?

    Wenn nicht in den "Billigbereich" abrutschen heißt, dass er dafür auch ein wenig mehr Geld in die Hand nehmen möchte/würde, dann würde ich eher in die Richtung Atom C2358 gehen. Ist zwar gleich eine kleine Ecke teurer, dafür hat man aber wesentlich mehr Spielraum an Ressourcen, da die meisten Kisten mit dem 23er auch AES NI und Intels Quickassist unterstützen und somit auch theoretisch Gigabit per VPN stemmen können ohne ins Schwitzen zu kommen. Das bemerkt man dann schon im Umgang mit dem Gerät.

    Das kommt aber wie gesagt sehr aufs Budget an, bei der APU im Komplettpack (je nach Ausführung) kann man bei ~200€ ankommen, bei der C2358 ist man dann auch schonmal bei ~400-450€.

    Grüße