Austausch vorhandenen Firewallrouter gegen pfSense
-
Hallo,
ich möchte meine vorhandene Zywall gegen eine neue Hardware austauschen, nach dem meine vorhandene Hardware bereits zweimal ausgefallen ist.
Zur Zeit habe ich folgende Funktionen/Dienste an der Zywall am Laufen:
• 2x WAN mit Load balancing, 1x KabelBW mit Kabelmodem, 1x Telekom TDSL mit Speedportmodem und extra Switch und VLAN-ID 7
• 3x LAN mit DHCP und jeweis einem Alias
• VPN
• FirewallIch möchte die Zywall durch eine neue Hardware ablösen, um auch diese Hilfsschaltung mit Speedmodem und extra Switch aufzulösen.
Mir wurde eine SG 4860 1U angeboten, die finde ich aber ganz schön teuer.
Software installieren und einrichten würde ich selber machen. Im Internet habe ich eine Supermicro SYS-5018A-FTN4 gefunden. Inwieweit ist die identisch mit der C2758 von pfSense?
Von der Performance müsste die SYS-5018A-FTN4 dann doch besser sein als die SG 4860 1U?
Hat jemand Erfahrung mit der SYS-5018A-FTN4 und pfSence oder hat jemand diese Kombination im Einsatz? Brauche ich noch zusätzliche Hardware z.B. Festplatte?
Danke für Eure Hilfe.
Christian ???
-
Moin,
was willst Du durchs VPN schieben? Welche Geschwindigkeit erwartest Du?
Reicht es nicht auch eine Nummer kleiner in Richtung Lanner FW-7525A? Sollte für ~450€ beziehbar sein
Nicht das Deine Kiste an Langerweile eingeht ;D-teddy
-
ich suche was für 19`Zoll, mit den Anschlüssen vorne
-
Wie wäre es mit einem APU1D4 im 19" Gehäuse?
sieht gut aus, sollte Leistungsstark genug sein, alle Anschlüsse sind vorne, und Stromsparend ist es auch ;-)
-
Hallo,
Mit einem Alixboard hab ich schlechte Erfahrungen gemacht.
-
Moin,
Mit einem Alixboard hab ich schlechte Erfahrungen gemacht.
Hier wäre interessant zu Wissen in welcher Hinsicht.
APU1d4 ist der Nachfolger das einizige was mir ein wenig missfällt sind die Realtek RTL8111E LAN Ports, aber nicht weil sie mir wirklich negativ aufgefallen sind sondern weil ich eine Abneigung gegen Realtek habe. Das Problem könnte sicher aber schon aus der Anzahl der Netzwerk Ports ergeben, die Kiste hat nur 3 und wenn Du dann zwischen den Netzen größere Datenmengen schubst wird es schnell etwas enger. Du müßtest Dir halt über einen managed Switch und ausreichen VLans die benötigten Schnittstellen "bauen"
Ich habe es zu Hause im Einsatz, 1x Wan 7 VLans.-teddy
-
Bei meinem Alixboard war ein ziemlich instabiles Gehäuse das bei und ständig hatte die CF-Karte eine Wackler.
Kennt den niemand die SYS-5018A-FTN4 und kann mir sagen ob die Baugleich mit der fpsense C2758 ist.
Danke
-
Moin,
die C2758 ist eine Supermicro 5018A jedoch wohl mit diversen Anpassungen in der pf config.
Neben denen aus dem doc https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards
schweigt sich hier der Hersteller leider aus.Für die pf Version gibt es einen extra Software Download. Leider nicht öffentlich.
MfG HornetX11
-
Moin
Bei meinem Alixboard war ein ziemlich instabiles Gehäuse das bei und ständig hatte die CF-Karte eine Wackler.
Ich habe auf dem APU eine mSata in Verwendung, man muss die mSata mit Nachdruck einsetzen, dann sitzt sie bombenfest im Sockel. Auch der Transport über 1000km mit der Bahn im aufgegebenem Gepäck zu einem Kumpel in der Schweiz hat nichts gelockert.
bei meinem Lanner ist z.Z. noch eine CF-Karte verbaut, dafür wurde extra eine Schraube mitgeliefert damit die CF fixiert ist.
nur fürs Protokoll :D, da kein 19"
-teddy
-
Hallo,
heißt das es gibt ein pfSense Software für gängige Hardware, und wenn man beim Hersteller der Software kauft gibt eine Software die mehr kann?
Macht es dann Sinn sich eine Supermicro 5018A zu kaufen und die allgemeine Software aufzuspielen.
Ich wollte eigentlich davon weg, Hard.- und Software vom selben Hersteller.
Ich wollte eine zukunftssichere Hardware, die ich auch noch bei Bedarf erweitern kann und eine unabhängige Software.
-
Moin,
Hallo,
heißt das es gibt ein pfSense Software für gängige Hardware, und wenn man beim Hersteller der Software kauft gibt eine Software die mehr kann?
Äääääähhhh jaein
Die Software ist wohl die gleiche. Es wir wohl lediglich über die normalen Tuningmöglichkeiten die Hardware optimal angepasst.
Hornetx11
-
Hallo,
kann mir vielleicht jemand noch andere Hardware empfehlen, sollte halt 19`Zoll sein und Erweiterbar, bzw. möchte in absehbarer Zukunft zwei Außenstandorte über VPN zur Datensicherung anbinden.
-
Hallo,
habe mir nochmal die APU angeschaut, hat wenn ich richtig liege 3 LAN-Anschlüsse.
Ich brauche aber 5 2xWAN, 3xLAN.
Wer kennt noch eine Hardware die ich nehmen kann?
Danke :-\
-
Moin,
ich komme mit den Kisten von Landitec zurecht.
Der Vertrieb ist Kompetent und recht flexibel.Eine kleine Auswahl findest Du hier:
http://www.landitec.com/Open-Source-Appliance-Solutions/scope7-Open-Source-Firewall:::56_57.html
Zuletzt habe ich bei einem Kunden eine scope7-8758 eingesetzt.
Mit SSD und 8 GB RAM zieht die schon was vom Teller.Hornetx11
-
Software installieren und einrichten würde ich selber machen. Im Internet habe ich eine Supermicro SYS-5018A-FTN4 gefunden. Inwieweit ist die identisch mit der C2758 von pfSense?
Das kann Dir nur jemand sagen der so eine C2758 1U Appliance hat, es können rein theoretisch
3 unterschiedliche Board von Supermicro sein oder wieder so ein selber hergestelltes von ADI oder
Netgate.Ich brauche aber 5 2xWAN, 3xLAN.
Passt nicht die Appliance hat nur 4 LAN Ports, also müsste dann dort auch wieder eine
zusätzliche Karte rein. Am besten eine Dual oder Quad GB Port Karte von Intel (Server Adapter).habe mir nochmal die APU angeschaut, hat wenn ich richtig liege 3 LAN-Anschlüsse.
Ja das ist richtig, allerdings kommt es auch auf die folgenden Umstände an;
- Wie viele Benutzer sollen damit bedient werden?
- Was für Internetzugänge sind dort vorhanden (MBit/s)?
- Welche Dienste werden angeboten?
- Welcher Durchsatz wird erwartet bzw. benötigt?
- Was für Pakete werden da noch zusätzlich installiert?
was willst Du durchs VPN schieben? Welche Geschwindigkeit erwartest Du?
Nicht das Deine Kiste an Langerweile eingeht ;DDie C2758 1U Appliance kann;
- OpenVPN (AES-256) - TCP 116 MBit/s und UDP 208 MBit/s
- IPSec (AES-256) - TCP 151 MBit/s und UDP 156 MBit/s
Allerdings sind das Werte die mit einer Standardkonfiguration zustande gekommen,
und wenn nun noch zusätzliche Pakete installiert werden und noch weitere Dienste
laufen sollen, werden sich diese Werte wohl eher noch nach unter korrigieren.Kennt den niemand die SYS-5018A-FTN4 und kann mir sagen ob die Baugleich
mit der fpsense C2758 ist.Einfach mal dort eine Mail hinschreiben, oder?
heißt das es gibt ein pfSense Software für gängige Hardware, und wenn man beim Hersteller
der Software kauft gibt eine Software die mehr kann?Die Software ist natürlich ein und die selbe, gar keine Frage, nur bei den Sachen die der pfSense
Store selber verkauft wissen die Leute vom pfSense Team natürlich was alles verbaut wurde und
von daher kann man dort auch schon einmal einige Tuning Optionen aktivieren bzw. einstellen.Macht es dann Sinn sich eine Supermicro 5018A zu kaufen und die allgemeine Software aufzuspielen.
Klar warum nicht nur man sollte vorher eben auch abwegen was man denn so will, braucht, benötigt oder
möchte. Was nützt Dir eine Appliance mit einem Board wo Dir viele Leute sagen das ist ja der Hammer
überhaupt und nachher bringt das Board rein gar nichts hinsichtlich Deiner Erwartungen und Bedürfnissen.Ich wollte eigentlich davon weg, Hard.- und Software vom selben Hersteller.
Ist schon richtig nur hier eben völlig deplatziert! Das will heißen man kann sicher auf OpenSource
setzen, nur man kann auch auf der anderen Seite sicher sein wollen, das die Hardware unterstützt
wird und man sie auch wieder nachkaufen kann.Ich wollte eine zukunftssichere Hardware, die ich auch noch bei Bedarf erweitern kann und eine unabhängige Software
Es zwingt Dich ja niemand die SG oder XG Geräte zu kaufen, lade Dir einfach pfSense herunter und
baue Dir einfach etwas zusammen und gut ist es.kann mir vielleicht jemand noch andere Hardware empfehlen, sollte halt 19`Zoll sein und Erweiterbar, bzw. möchte in absehbarer Zukunft zwei Außenstandorte über VPN zur Datensicherung anbinden.
Wir sind auf VPN Server in der DMZ umgestiegen und wollen auch nicht wieder zurück, so kann die Firewall
machen wofür sie da ist und der VPN Server fackelt dann das gesamte VPN Krams ab.
-
Die C2758 1U Appliance kann;
- OpenVPN (AES-256) - TCP 116 MBit/s und UDP 208 MBit/s
- IPSec (AES-256) - TCP 151 MBit/s und UDP 156 MBit/s
Sorry Frank, aber das kann unmöglich richtig sein und wenn dann nur mit einer (sehr) alten Version. Selbst die pfSense Jungs haben schon berichtet, dass sie mit einem C2000er Atom locker auf Gigabit Sättigung mit VPN kommen (IPSEC mit AES-GCM). Die Werte die du da hast - vermute ich - sind mal aus dem alten Shop o.ä. rausgenommen.
Kennt den niemand die SYS-5018A-FTN4 und kann mir sagen ob die Baugleich
mit der fpsense C2758 ist.Sagen wirs so: Specs und Bilder sehen exakt baugleich aus. Aus den Forenthreads der Performance Diskussions geht heraus, dass es ein 8-Kerner C2000er Atom ist. Ich würde sagen: zu 95% ist es die gleiche Kiste. Es wurden wohl ein zwei Tuning Optionen gesetzt, wie auch per der re-labelten APU die verkauft wird. Das ist aber kein Beinbruch deshalb die Kiste nicht zu kaufen. Und mit pfSense 2.2+ sind auch nicht mehr viele Optionen zu setzen. Notfalls kauft man sich dann eben Gold Membership und vielleicht mal ne Stunde Support und lässt es tunen, wenn es wirklich an irgendein Limit kommt.
Das Problem wird aber eher sein, dass du von 5 Interfaces sprichst, die Kiste aber nur 4 hat. Frage ist eher, brauchst du wirklich 2x Gigabit WAN oder 3x Gigabit LAN oder tuts auf einer Seite auch VLANs am entsprechenden Switch?
kann mir vielleicht jemand noch andere Hardware empfehlen, sollte halt 19`Zoll sein und Erweiterbar, bzw. möchte in absehbarer Zukunft zwei Außenstandorte über VPN zur Datensicherung anbinden.
Prinzipiell gibt es viele Appliances mit optinalen 19" Wings. Lanner bzw. via Reseller Landitec kann für viele Kisten (FW-7525 bspw.) auch 19" Brackets liefern.
-
Sorry Frank, aber das kann unmöglich richtig sein und wenn dann nur mit einer (sehr) alten Version. Selbst die pfSense Jungs haben schon berichtet, dass sie mit einem C2000er Atom locker auf Gigabit Sättigung mit VPN kommen (IPSEC mit AES-GCM). Die Werte die du da hast - vermute ich - sind mal aus dem alten Shop o.ä. rausgenommen.
Diese Werte stehen heute noch so im pfSense Shop!
pfSense ShopTests im Labor oder lokal vor Ort sind auch immer etwas anderes als wenn man das in richtigen
Leben ausprobiert hat. Hier ließ Dir das hier bitte einmal durch (nur diesen einen Post nicht den
ganzen Beitrag) Und dort geht es nicht einmal um VPN, sondern nur um den einfachen Durchsatz
am WAN Interface, aber dort ist eben eine echte GBit/s Internetleitung vorhanden
WAN Durchsatz C2758Kennt den niemand die SYS-5018A-FTN4 und kann mir sagen ob die Baugleich
mit der fpsense C2758 ist.Was meinst Du denn was die im pfSense Shop verkaufen wollen und im pfSense Forum daher dazu sagen werden?
Man kann ja auch einmal das ganze locker aufrollen, es gibt da mehrere 1U Appliances im Shop
und wenn man die Daten von allen vergleicht kann nur noch die C2758 1U gleich der von Dir
benannten Appliance sein, klar oder? Denn eine SG-8860 1U passt nicht mit den miniPCIe Slots
und wenn man sich einmal die Mühe macht bei Supermicro die Bilder anzusehen oder aber auch
via Google Suche danach sucht ist das schon fast zu 95% sicher das es sich um das selbe Board
handeln muss was verbaut wurde. SYS-5018A-FTN4kann mir vielleicht jemand noch andere Hardware empfehlen, sollte halt 19`Zoll sein und Erweiterbar, bzw. möchte in absehbarer Zukunft zwei Außenstandorte über VPN zur Datensicherung anbinden.
Die XG-1540 ist ja auch noch da und kann sicherlich auch mit Chelsio Karten erweitert werden!
-
Also ich kann von dem C2758 mit einem Supermicro-Board berichten…
Benutze die Standard-Software und habe bisher eigentlich nur die MBUF-Usage verdoppelt. Damit läuft die jetzt schon seit etwa 4 Monaten durchweg. Habe die mir von einem Online-shop zusammenbauen lassen mit einem 19"-Gehäuse von Supermicro wo die Anschlüsse nach vorne zeigen, außer der Kaltgerätestecker. So richtig auslasten konnte ich dieses Setup noch nicht wirklich, da es bei diesen Leistungsreserven schwierig ist. Bisher betreibe ich folgende Sachen.
- Bind
- 2x OpenVPN
- 2x IPsec VPN
- DHCP
- allgemeine Gateway und Firewall Aufgaben
Später soll noch eine Zweite als HA dazu kommen um ein performantes und hochverfügbares VPN-Gateway-Cluster zu bilden. Bisher konnte ich keine Probleme feststellen.
Setup:
http://www.supermicro.com/products/system/1U/5018/SYS-5018A-FTN4.cfm - auch selbes Gehäuse.
- 4 Gb RAM
- 4 Gb SATA-DOM
Vorallem die IPMI-Geschichte ist sehr nützlich und zu den 4 NIC´s braucht man nicht viel zu sagen.
-
@BlueKobold
Siehe https://forum.pfsense.org/index.php?topic=81862.msg470372#msg470372
Das war ein früher Post Pre-2.2 wo bereits mit den ersten Varianten von AES-GCM weit mehr als 150-200MBit/s per VPN geschoben wurden. Später hatte gonzopancho in einem anderen Thread - den ich leider gerade nicht zu Hand habe - von einer C2750 oder 2758 gesprochen, mit der er bei sich an einem Gigabit Link bereits annähernd Gigabit VPN geschafft hat. Mit welcher Einstellung etc. sei dahingestellt, Fakt ist aber die Zahlen im Shop sind unterstes Level, da es Meßwerte sind aus dem (Ur)alten Shop, wo die Werte noch ohne AES-NI Unterstützung, ohne GCM und mit schlechten Voraussetzungen (alte 2.0er Version) gemacht wurden. Die sind also überholt. Da du in einigen der Threads auch fleißig mitdiskutiert hast, sollte dir das eigentlich noch bekannt sein ;)
