Austausch vorhandenen Firewallrouter gegen pfSense



  • Hallo,

    ich möchte meine vorhandene Zywall gegen eine neue Hardware austauschen, nach dem meine vorhandene Hardware bereits zweimal ausgefallen ist.

    Zur Zeit habe ich folgende Funktionen/Dienste an der Zywall am Laufen:

    • 2x WAN mit Load balancing, 1x KabelBW mit Kabelmodem, 1x Telekom TDSL mit Speedportmodem und extra Switch und VLAN-ID 7
    • 3x LAN mit DHCP und jeweis einem Alias
    • VPN
    • Firewall

    Ich möchte die Zywall durch eine neue Hardware ablösen, um auch diese Hilfsschaltung mit Speedmodem und extra Switch aufzulösen.

    Mir wurde eine SG 4860 1U angeboten, die finde ich aber ganz schön teuer.

    Software installieren und einrichten würde ich selber machen. Im Internet habe ich eine Supermicro SYS-5018A-FTN4 gefunden. Inwieweit ist die identisch mit der C2758 von pfSense?

    Von der Performance müsste die SYS-5018A-FTN4 dann doch besser sein als die SG 4860 1U?

    Hat jemand Erfahrung mit der SYS-5018A-FTN4 und pfSence oder hat jemand diese Kombination im Einsatz? Brauche ich noch zusätzliche Hardware z.B. Festplatte?

    Danke für Eure Hilfe.
    Christian  ???



  • Moin,

    was willst Du durchs VPN schieben? Welche Geschwindigkeit erwartest Du?
    Reicht es nicht auch eine Nummer kleiner in Richtung Lanner FW-7525A? Sollte für ~450€ beziehbar sein
    Nicht das Deine Kiste an Langerweile eingeht  ;D

    -teddy



  • ich suche was für 19`Zoll, mit den Anschlüssen vorne



  • Wie wäre es mit einem APU1D4 im 19" Gehäuse?

    sieht gut aus, sollte Leistungsstark genug sein, alle Anschlüsse sind vorne, und Stromsparend ist es auch ;-)



  • Hallo,

    Mit einem Alixboard hab ich schlechte Erfahrungen gemacht.



  • Moin,

    @be1001:

    Mit einem Alixboard hab ich schlechte Erfahrungen gemacht.

    Hier wäre interessant zu Wissen in welcher Hinsicht.
    APU1d4 ist der Nachfolger das einizige was mir ein wenig missfällt sind die Realtek RTL8111E LAN Ports, aber nicht weil sie mir wirklich negativ aufgefallen sind sondern weil ich eine Abneigung gegen Realtek habe. Das Problem könnte sicher aber schon aus der Anzahl der Netzwerk Ports ergeben, die Kiste hat nur 3 und wenn Du dann zwischen den Netzen größere Datenmengen schubst wird es schnell etwas enger. Du müßtest Dir halt über einen managed Switch und ausreichen VLans die benötigten Schnittstellen "bauen"
    Ich habe es zu Hause im Einsatz, 1x Wan 7 VLans.

    -teddy



  • Bei meinem Alixboard war ein ziemlich instabiles Gehäuse das bei und ständig hatte die CF-Karte eine Wackler.

    Kennt den niemand die SYS-5018A-FTN4 und kann mir sagen ob die Baugleich mit der fpsense C2758 ist.

    Danke



  • Moin,

    die C2758 ist eine Supermicro 5018A jedoch wohl mit diversen Anpassungen in der pf config.
    Neben denen aus dem doc https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards
    schweigt sich hier der Hersteller leider aus.

    Für die pf Version gibt es einen extra Software Download. Leider nicht öffentlich.

    MfG HornetX11



  • Moin

    @be1001:

    Bei meinem Alixboard war ein ziemlich instabiles Gehäuse das bei und ständig hatte die CF-Karte eine Wackler.

    Ich habe auf dem APU eine mSata in Verwendung, man muss die mSata mit Nachdruck einsetzen, dann sitzt sie bombenfest im Sockel. Auch der Transport über 1000km mit der Bahn im aufgegebenem Gepäck zu einem Kumpel in der Schweiz hat nichts gelockert.

    bei meinem Lanner  ist z.Z. noch eine CF-Karte verbaut, dafür wurde extra eine Schraube mitgeliefert damit die CF fixiert ist.

    nur fürs Protokoll  :D, da kein 19"

    -teddy



  • Hallo,

    heißt das es gibt ein pfSense Software für gängige Hardware, und wenn man beim Hersteller der Software kauft gibt eine Software die mehr kann?

    Macht es dann Sinn sich eine Supermicro 5018A zu kaufen und die allgemeine Software aufzuspielen.

    Ich wollte eigentlich davon weg, Hard.- und Software vom selben Hersteller.

    Ich wollte eine zukunftssichere Hardware, die ich auch noch bei Bedarf erweitern kann und eine unabhängige Software.



  • Moin,

    @be1001:

    Hallo,

    heißt das es gibt ein pfSense Software für gängige Hardware, und wenn man beim Hersteller der Software kauft gibt eine Software die mehr kann?

    Äääääähhhh jaein

    Die Software ist wohl die gleiche. Es wir wohl lediglich  über die normalen Tuningmöglichkeiten die Hardware optimal angepasst.

    Hornetx11



  • Hallo,

    kann mir vielleicht jemand noch andere Hardware empfehlen, sollte halt 19`Zoll sein und Erweiterbar, bzw. möchte in absehbarer Zukunft zwei Außenstandorte über VPN zur Datensicherung anbinden.



  • Hallo,

    habe mir nochmal die APU angeschaut, hat wenn ich richtig liege 3 LAN-Anschlüsse.

    Ich brauche aber 5 2xWAN, 3xLAN.

    Wer kennt noch eine Hardware die ich nehmen kann?

    Danke :-\



  • Moin,

    ich komme mit den Kisten von Landitec zurecht.
    Der Vertrieb ist Kompetent und recht flexibel.

    Eine kleine Auswahl findest Du hier:

    http://www.landitec.com/Open-Source-Appliance-Solutions/scope7-Open-Source-Firewall:::56_57.html

    Zuletzt habe ich bei einem Kunden eine scope7-8758 eingesetzt.
    Mit SSD und 8 GB RAM zieht die schon was vom Teller.

    Hornetx11



  • Software installieren und einrichten würde ich selber machen. Im Internet habe ich eine Supermicro SYS-5018A-FTN4 gefunden. Inwieweit ist die identisch mit der C2758 von pfSense?

    Das kann Dir nur jemand sagen der so eine C2758 1U Appliance hat, es können rein theoretisch
    3 unterschiedliche Board von Supermicro sein oder wieder so ein selber hergestelltes von ADI oder
    Netgate.

    Ich brauche aber 5 2xWAN, 3xLAN.

    Passt nicht die Appliance hat nur 4 LAN Ports, also müsste dann dort auch wieder eine
    zusätzliche Karte rein. Am besten eine Dual oder Quad GB Port Karte von Intel (Server Adapter).

    habe mir nochmal die APU angeschaut, hat wenn ich richtig liege 3 LAN-Anschlüsse.

    Ja das ist richtig, allerdings kommt es auch auf die folgenden Umstände an;

    • Wie viele Benutzer sollen damit bedient werden?
    • Was für Internetzugänge sind dort vorhanden (MBit/s)?
    • Welche Dienste werden angeboten?
    • Welcher Durchsatz wird erwartet bzw. benötigt?
    • Was für Pakete werden da noch zusätzlich installiert?

    was willst Du durchs VPN schieben? Welche Geschwindigkeit erwartest Du?
    Nicht das Deine Kiste an Langerweile eingeht  ;D

    Die C2758 1U Appliance kann;

    • OpenVPN (AES-256) - TCP 116 MBit/s und UDP 208 MBit/s
    • IPSec (AES-256) - TCP 151 MBit/s und UDP 156 MBit/s

    Allerdings sind das Werte die mit einer Standardkonfiguration zustande gekommen,
    und wenn nun noch zusätzliche Pakete installiert werden und noch weitere Dienste
    laufen sollen, werden sich diese Werte wohl eher noch nach unter korrigieren.

    Kennt den niemand die SYS-5018A-FTN4 und kann mir sagen ob die Baugleich
    mit der fpsense C2758 ist.

    Einfach mal dort eine Mail hinschreiben, oder?

    heißt das es gibt ein pfSense Software für gängige Hardware, und wenn man beim Hersteller
    der Software kauft gibt eine Software die mehr kann?

    Die Software ist natürlich ein und die selbe, gar keine Frage, nur bei den Sachen die der pfSense
    Store selber verkauft wissen die Leute vom pfSense Team natürlich was alles verbaut wurde und
    von daher kann man dort auch schon einmal einige Tuning Optionen aktivieren bzw. einstellen.

    Macht es dann Sinn sich eine Supermicro 5018A zu kaufen und die allgemeine Software aufzuspielen.

    Klar warum nicht nur man sollte vorher eben auch abwegen was man denn so will, braucht, benötigt oder
    möchte. Was nützt Dir eine Appliance mit einem Board wo Dir viele Leute sagen das ist ja der Hammer
    überhaupt und nachher bringt das Board rein gar nichts hinsichtlich Deiner Erwartungen und Bedürfnissen.

    Ich wollte eigentlich davon weg, Hard.- und Software vom selben Hersteller.

    Ist schon richtig nur hier eben völlig deplatziert! Das will heißen man kann sicher auf OpenSource
    setzen, nur man kann auch auf der anderen Seite sicher sein wollen, das die Hardware unterstützt
    wird und man sie auch wieder nachkaufen kann.

    Ich wollte eine zukunftssichere Hardware, die ich auch noch bei Bedarf erweitern kann und eine unabhängige Software

    Es zwingt Dich ja niemand die SG oder XG Geräte zu kaufen, lade Dir einfach pfSense herunter und
    baue Dir einfach etwas zusammen und gut ist es.

    kann mir vielleicht jemand noch andere Hardware empfehlen, sollte halt 19`Zoll sein und Erweiterbar, bzw. möchte in absehbarer Zukunft zwei Außenstandorte über VPN zur Datensicherung anbinden.

    Wir sind auf VPN Server in der DMZ umgestiegen und wollen auch nicht wieder zurück, so kann die Firewall
    machen wofür sie da ist und der VPN Server fackelt dann das gesamte VPN Krams ab.


  • Rebel Alliance Moderator

    Die C2758 1U Appliance kann;

    • OpenVPN (AES-256) - TCP 116 MBit/s und UDP 208 MBit/s
    • IPSec (AES-256) - TCP 151 MBit/s und UDP 156 MBit/s

    Sorry Frank, aber das kann unmöglich richtig sein und wenn dann nur mit einer (sehr) alten Version. Selbst die pfSense Jungs haben schon berichtet, dass sie mit einem C2000er Atom locker auf Gigabit Sättigung mit VPN kommen (IPSEC mit AES-GCM). Die Werte die du da hast - vermute ich - sind mal aus dem alten Shop o.ä. rausgenommen.

    Kennt den niemand die SYS-5018A-FTN4 und kann mir sagen ob die Baugleich
    mit der fpsense C2758 ist.

    Sagen wirs so: Specs und Bilder sehen exakt baugleich aus. Aus den Forenthreads der Performance Diskussions geht heraus, dass es ein 8-Kerner C2000er Atom ist. Ich würde sagen: zu 95% ist es die gleiche Kiste. Es wurden wohl ein zwei Tuning Optionen gesetzt, wie auch per der re-labelten APU die verkauft wird. Das ist aber kein Beinbruch deshalb die Kiste nicht zu kaufen. Und mit pfSense 2.2+ sind auch nicht mehr viele Optionen zu setzen. Notfalls kauft man sich dann eben Gold Membership und vielleicht mal ne Stunde Support und lässt es tunen, wenn es wirklich an irgendein Limit kommt.

    Das Problem wird aber eher sein, dass du von 5 Interfaces sprichst, die Kiste aber nur 4 hat. Frage ist eher, brauchst du wirklich 2x Gigabit WAN oder 3x Gigabit LAN oder tuts auf einer Seite auch VLANs am entsprechenden Switch?

    kann mir vielleicht jemand noch andere Hardware empfehlen, sollte halt 19`Zoll sein und Erweiterbar, bzw. möchte in absehbarer Zukunft zwei Außenstandorte über VPN zur Datensicherung anbinden.

    Prinzipiell gibt es viele Appliances mit optinalen 19" Wings. Lanner bzw. via Reseller Landitec kann für viele Kisten (FW-7525 bspw.) auch 19" Brackets liefern.



  • Sorry Frank, aber das kann unmöglich richtig sein und wenn dann nur mit einer (sehr) alten Version. Selbst die pfSense Jungs haben schon berichtet, dass sie mit einem C2000er Atom locker auf Gigabit Sättigung mit VPN kommen (IPSEC mit AES-GCM). Die Werte die du da hast - vermute ich - sind mal aus dem alten Shop o.ä. rausgenommen.

    Diese Werte stehen heute noch so im pfSense Shop!
    pfSense Shop

    Tests im Labor oder lokal vor Ort sind auch immer etwas anderes als wenn man das in richtigen
    Leben ausprobiert hat. Hier ließ Dir das hier bitte einmal durch (nur diesen einen Post nicht den
    ganzen Beitrag) Und dort geht es nicht einmal um VPN, sondern nur um den einfachen Durchsatz
    am WAN Interface, aber dort ist eben eine echte GBit/s Internetleitung vorhanden
    WAN Durchsatz C2758

    Kennt den niemand die SYS-5018A-FTN4 und kann mir sagen ob die Baugleich
    mit der fpsense C2758 ist.

    Was meinst Du denn was die im pfSense Shop verkaufen wollen und im pfSense Forum daher dazu sagen werden?
    Man kann ja auch einmal das ganze locker aufrollen, es gibt da mehrere 1U Appliances im Shop
    und wenn man die Daten von allen vergleicht kann nur noch die C2758 1U gleich der von Dir
    benannten Appliance sein, klar oder? Denn eine SG-8860 1U passt nicht mit den miniPCIe Slots
    und wenn man sich einmal die Mühe macht bei Supermicro die Bilder anzusehen oder aber auch
    via Google Suche danach sucht ist das schon fast zu 95% sicher das es sich um das selbe Board
    handeln muss was verbaut wurde. SYS-5018A-FTN4

    kann mir vielleicht jemand noch andere Hardware empfehlen, sollte halt 19`Zoll sein und Erweiterbar, bzw. möchte in absehbarer Zukunft zwei Außenstandorte über VPN zur Datensicherung anbinden.

    Die XG-1540 ist ja auch noch da und kann sicherlich auch mit Chelsio Karten erweitert werden!



  • Also ich kann von dem C2758 mit einem Supermicro-Board berichten…

    Benutze die Standard-Software und habe bisher eigentlich nur die MBUF-Usage verdoppelt. Damit läuft die jetzt schon seit etwa 4 Monaten durchweg. Habe die mir von einem Online-shop zusammenbauen lassen mit einem 19"-Gehäuse von Supermicro wo die Anschlüsse nach vorne zeigen, außer der Kaltgerätestecker. So richtig auslasten konnte ich dieses Setup noch nicht wirklich, da es bei diesen Leistungsreserven schwierig ist. Bisher betreibe ich folgende Sachen.

    • Bind
    • 2x OpenVPN
    • 2x IPsec VPN
    • DHCP
    • allgemeine Gateway und Firewall Aufgaben

    Später soll noch eine Zweite als HA dazu kommen um ein performantes und hochverfügbares VPN-Gateway-Cluster zu bilden. Bisher konnte ich keine Probleme feststellen.

    Setup:

    http://www.supermicro.com/products/system/1U/5018/SYS-5018A-FTN4.cfm - auch selbes Gehäuse.

    • 4 Gb RAM
    • 4 Gb SATA-DOM

    Vorallem die IPMI-Geschichte ist sehr nützlich und zu den 4 NIC´s braucht man nicht viel zu sagen.


  • Rebel Alliance Moderator

    @BlueKobold

    Siehe https://forum.pfsense.org/index.php?topic=81862.msg470372#msg470372
    Das war ein früher Post Pre-2.2 wo bereits mit den ersten Varianten von AES-GCM weit mehr als 150-200MBit/s per VPN geschoben wurden. Später hatte gonzopancho in einem anderen Thread - den ich leider gerade nicht zu Hand habe - von einer C2750 oder 2758 gesprochen, mit der er bei sich an einem Gigabit Link bereits annähernd Gigabit VPN geschafft hat. Mit welcher Einstellung etc. sei dahingestellt, Fakt ist aber die Zahlen im Shop sind unterstes Level, da es Meßwerte sind aus dem (Ur)alten Shop, wo die Werte noch ohne AES-NI Unterstützung, ohne GCM und mit schlechten Voraussetzungen (alte 2.0er Version) gemacht wurden. Die sind also  überholt. Da du in einigen der Threads auch fleißig mitdiskutiert hast, sollte dir das eigentlich noch bekannt sein ;)


Log in to reply