PfSense Planung



  • Guten Tag pfSense-Forum,

    da ich ganz neu hier bin, kurz zu meiner Person:
    Ich bin ein in paar Tagen 19 jähriger Student (1. Semester in Elektrotechnik und Informationstechnik) der als Hobby sehr gerne und inzwischen auch etwas erfahrener mit Computern und Servern arbeitet. Ich habe schon mehrere PCs zusammengebaut und bin auch im Umgang mit Linux und einer Konsole kein Neuling. Allerdings habe ich noch nie mit pfSense gearbeitet.

    Mein Plan: Unser Netzwerk im Haus verbessern und absichern durch die Nutzung von pfSense auf einem dafür angepassten PC (muss noch gebaut werden). Da ja pfSense "eigentlich" nur eine Routersoftware ist und nicht so UTM versiert ist, dachte ich an die Nutzung von Proxmox um auf dem selben PC gleichzeitig Endian laufen zu lassen, da ich denke, dass da die Oberfläche besser ist und mehr Funktionen vorhanden sind. Bitte korrigiert mich, falls das falsch ist! (Das könnt/sollt ihr bitte bei allem machen, was ich schreibe  ;) )

    Bei der Hardware für den PC dachte ich an folgende SoC:
    1. ASRock Rack J1900D2Y
    2. Supermicro X10SBA-L
    3. Gigabyte GA-J1900N-D3V
    Nehme auch gerne weitere Vorschläge entgegen, allerdings sollte alles "wie immer" am besten möglichst günstig aber natürlich möglichst perfekt sein  ;D

    Zu unserem vorhandenen Netzwerk habe ich einen Plan angehängt. Darauf sollte alles erkennbar sein. Momentan übernimmt die FB 7390 die Einwahl in unser Telekom VDSL 50 Internet. Ebenso ist sie unsere DECT Basis, diese sollte auch mit pfSense noch genutzt werden. Entertain TV wird genutzt und soll auch nutzbar bleiben.

    Jetzt meine Fragen an euch: Was brauche ich für dieses Projekt? Wie teuer wird das ungefähr? Geht das für <500€? Könnt ihr mir konkrete Umsetzungsvorschläge machen?

    Danke schon im Voraus und einen guten Rutsch heute Nacht!
    Mit freundlichen Grüßen
    Stefan Müller

    EDIT:
    Habe noch folgendes Board hier im Forum gefunden:
    http://m.aliexpress.com/item/32421366325.html?adminSeq=200404477&productId=32421366325&productId=32421366325&shopNumber=800900&productSubject=4-ethernet-ports-motherboard-J1900-fanless-J1900-2-5-HDD-inboard-BYPASS-supported-High-performance-Router&detailNewVersion=2&tracelog=wwwdetail2mobilesitedetail

    Was haltet ihr davon?


  • LAYER 8 Moderator

    Hallo Stefan,

    Mein Plan: Unser Netzwerk im Haus verbessern und absichern durch die Nutzung von pfSense auf einem dafür angepassten PC (muss noch gebaut werden). Da ja pfSense "eigentlich" nur eine Routersoftware ist und nicht so UTM versiert ist, dachte ich an die Nutzung von Proxmox um auf dem selben PC gleichzeitig Endian laufen zu lassen, da ich denke, dass da die Oberfläche besser ist und mehr Funktionen vorhanden sind. Bitte korrigiert mich, falls das falsch ist! (Das könnt/sollt ihr bitte bei allem machen, was ich schreibe  ;) )

    pfSense zu virtualisieren steht dir natürlich frei. Allerdings ist es doch meistens gerade im Heimnetzwerk dann doch ein Thema, ob da eine große Kiste den ganzen Tag über Strom saugt, oder es eher eine kleine Routing Appliance machen zu lassen, die mit ihren einstelligen Wattzahlen dem Stromzahler bei euch nicht den Blutdruck hoch pumpt ;)
    Davon abgesehen halte ich eigentlich recht wenig davon, eine Security Appliance wie pfSense noch vor oder hinter eine zweite Appliance wie Endian zu packen, da man sich damit meist das Leben noch schwerer macht als es ohnehin sein muss.

    Was die Oberfläche angeht, drücke ich es mal so aus: die ist zwar nicht mehr ganz zeitgemäß, aber a) wird sie mit 2.3 bereits bald abgelöst durch eine neue WebUI die auf einem Bootstrap Theme aufbaut und recht schick daher kommt und b) ist es eigentlich recht egal, was die Oberfläche angeht: Wenn dir die Begriffe nichts sagen, kann die UI noch so schön sein, du wirst nicht damit klar kommen. Sprich: Beschäftigen muss man sich so oder so damit, da ist die UI recht egal. Ob Endian nun mehr oder weniger kann, hängt eigentlich nur von deinem gewünschten Nutzen ab. WLAN lasse ich einen ordentlichen Access Point selbst machen, da ist jeder Eigenbau der Erfahrung nach eh schlechter im Empfang als sich bspw. eine günstige TP-Link Kiste mit OpenWRT hinzustellen. Das hat zusätzlich den Charme, dass sich dann mit halbwegs flottem WLAN die Clients auch noch mittels VLAN separieren lassen.

    Da die FB 7390 vorn auch die Telefonie macht, würde ich das typische Doppel-NAT Konstrukt fahren: pfSense hinter die FB bauen und dahinter dann das eigentliche LAN. Damit ist die IP Telefonie dann vornedran abgehandelt und den Rest kann man dahinter veranstalten. Da du allerdings auch noch eine WLAN Brücke mit einer zweiten FB eingezeichnet hast, wird das wohl nicht so einfach funktionieren. Alternativ: ein VDSL Modem vorn ranpacken, die pfSense selbst die Einwahl machen lassen und die VoIP Daten dann in die FB hinter der pfSense eintragen. Beiträge zum einen oder anderen Thema gibts hier sicher genug und auch Leute die das eine oder andere System am Laufen haben.

    Ob das mit ~500€ machbar ist liegt schlicht daran, was du alles anbauen und ausprobieren willst. Gehts nur um pfSense mit reinnehmen und spielen, wäre eine APU/APU2 möglich, bei VDSL50 reicht die Performance locker. Da wären dann auch nochmal ~100€ für nen eigenen WLAN AP drin, den man mit OpenWRT bespaßen kann (ggf. 2 dann kann man ne ordentliche Funkbrücke ohne die Fritten bauen. Wenn du da allerdings mit größerer Hardware rumklabautern willst und das Virtualisieren anfangen, dann kann das eng werden. Die J1900 Celeron Kisten haben dazu "nur" VT-X, kein VT-D bei Virtualisierung, damit kann also auch nicht Hardware direkt durchgeschleift werden. Zumal ich auch schon das ein oder andere negative Kommentare zu den günstigeren J1900 Asia-Boards aufgeschnappt habe, aber das hängt natürlich mit am Hersteller.

    Grüße
    Jens



  • Vielen Dank für deine Antwort Jens!

    Ich habe mich jetzt inzwischen auch schon wieder weiter informiert und folgende Komponenten bisher herausgesucht:

    1. Jetway NF9HG-2930 (Intel Bay Trail-M)
    https://www.mini-itx.de/Mini-ITX-Mainboards-Mini-ITX-mit-CPU-Intel/Jetway-NF9HG-2930-Intel-Bay-Trail-M::392959.html

    2. 4GB Corsair ValueSelect DDR3L-1333 SO-DIMM CL9 Single
    http://www.mindfactory.de/product_info.php/4GB-Corsair-ValueSelect-DDR3L-1333-SO-DIMM-CL9-Single_936649.html

    3. 60GB Kingston SSDNow mS200 mSATA 6Gb/s MLC asynchron (SMS200S3/60G)
    http://www.mindfactory.de/product_info.php/tab/reviews/60GB-Kingston-SSDNow-mS200-mSATA-6Gb-s-MLC-asynchron–SMS200S_904728.html#reviews

    An das VT-d hatte ich leider nicht gedacht. Klappt das auch ohne? Sonst werde ich halt Endian vergessen müssen :( Aber du kannst mir doch sicher sagen, ob man selbiges auch nur mit pfSense hinbekommt (Antivirus für HTTP und HTTPS). Die oben genannten Komponenten in einem kleinen Case verpackt sollten auch  nicht zu viel Strom fressen…

    Die neue Oberfläche klingt ja schon mal sehr gut.

    Die WLAN-Brücke, ist so nicht ganz richtig. Da unser Haus schon etwas älter ist und weder Leerrohre noch Hohlwände hat war es für mich nur möglich einigermaßen ordentlich ein LAN Kabel in das obere Geschoss zu legen. Darüber bekommt auch die FB 7270 ihr Netzwerk und gibt das wiederum über WLAN weiter. Also handelt es sich hier nicht um eine WLAN Brücke.

    Wie würdest du, bei Doppel-NAT, das WLAN im Keller erstellen? Und wenn man ein Modem nutzt, dachte ich an den Speedport 300HS, aber der kann kein Vectoring. Und andere Modems (Vigor 130) sind so teuer. Gibt es da nichts mit Vectoring was irgendwie günstiger ist?^^

    Mein Ziel des ganzen ist unser Netzwerk sicher zu machen und pfSense auf Dauer zu nutzen. Ebenso soll eventuell VLAN eingerichtet werden. In Zukunft sollten auch noch 100Mbit oder mehr abgedeckt werden. Und nein, größere Hardware kommt nicht in Frage, es sollte alles auch stromsparend sein. Oben genanntes System sollte das ja erfüllen und vermutlich so bei ~300€ liegen.



  • Ich kann den Reiz dieser China-Boards nur bedingt nachvollziehen, denn außer dem Preis an der Ali-Kasse kostet Dich das Board dann noch mindestens zusätzlich 19% Einfuhr-Umsatzsteuer, wenn Du keine weiteren Zölle bezahlst.
    Die Steuer bezieht sich immer auf Artikelpreis plus Porto! (ab Summe >21 Euro oder so).

    Und dann hast Du ein Problem, wenn das Board früher oder später nicht mehr läuft.
    Kaufe lieber vernünftige Hardware wie vom JeGr beschrieben in Deinem Heimatland - dann ist durch den Importeur auch die WEEE bereits bezahlt. Selbstverständlich sind dann Defekte auch viel einfacher zu händeln.
    Ob das nun ein APU Board oder die gerade von JeGr beschriebene Hardware von Lanner ist oder gleich eine fertige Hardware von pfSense/Netgate ist dabei ziemlich egal. Auch ein "alter" PC mit mehreren vernünftigen Netzwerkkarten tut hier seinen Dienst. Der ist jedoch idR nicht so stromsparend wie extra dafür gebaute Geräte.

    Was die AccessPoints angeht, so verwende ich inzwischen nur noch Ruckus ZoneFlex 7363 von eBay oder XClaimwireless.com, was sozusagen die Consumer-sparte von Ruckus ist.
    Dieses OpenWRT Geraffel ist halt auch nur gepimpte Consumerware. Mich hat sie weder daheim noch bei Kunden überzeugt. Und wenn Du viele Geräte per WLAN anbinden willst oder musst, dann ist ein gescheiter AP die beste Investition überhaupt, wenn es um Datendurchsatz geht. Und Ruckus spielt da ganz weit vorne mit.

    Gescheite Switche sind ein Thema für sich, speziell dann, wenn man per VLAN Netzwerke separieren will (Gast-WLAN zB?). Die Swicthe müssen dafür gemanagt sein, was sie erst einmal deutlich teurer macht. Später wirst Du über die Investition bestimmt froh sein. Been there, done that.
    Der Klassiker ist sicherlich momentan die SG-300er Serie von Cisco, aber auch von TP-Link gibt es sehr brauchbare Geräte. Ich benutze selbst reichlich TL-SG3210 daheim sowie bei Kunden. Das einzige Problem, das bei den Geräten von TP-Link gelegentlich auftreten kann ist, dass sie nach einem Stromausfall ihre Config vergessen haben… da hilft dann ein Backup derselben und etwas Zeit zum Einspielen.
    Ganz interessant dürften auch die D-Link DGS-1510-20 sein, da sie bereits einen 10G SFP+ Port für vergleichsweise wenig Geld mitbringen.

    Was die VDSL-Modems angeht, so kannst Du sicherlich eins der Speedports verwenden. Kaufe Dir dann am besten gleich ein Zweites dazu, wenn das Erste aussteigt (gibt es von der Telekom überhaupt noch reine Modems?).
    Das Vigor 130 ist wohl für Vectoring sehr ok, selbst habe ich es nicht probiert. Ich nutze noch ein Allnet ADSL2+ Modem in Ermangelung von VDSL. Es gibt von Allnet auch ein vectoring-fähiges Modem, das allerdings deutlich teurer ist als das Vigor. Also hat es in Deiner Betrachtung keinen Vorteil.

    Am Ende läuft jede Hardware-Anschaffung immer auf den einen Punkt hinaus: you get what you pay for.
    Einmal richtig investiertes Geld ist langfristig viel zufriedenstellender und auch günstiger, weil man nicht nur Zeit gespart hat sondern auch nicht mehrfach kaufen musste.

    Ach ja, die Hardware zu virtualisieren ist für Zuhause mit einem VDSL-Anschluss doch leicht übertrieben, meinst Du nicht?
    Solltest Du später einmal Frau und Kinder haben, dann wirst Du wissen, warum ein stabil laufendes Netzwerk sehr zur allgemeinen Zufriedenheit beiträgt. Und das funktioniert mit K.I.S.S. am besten (keep it simple stupid)
    Arbeitet Dich in die Bedienung von pfSense ein, was nicht schwer ist. Ob Dir die Oberfläche gefällt ist Geschmackssache, sollte aber nicht relevant sein. Große Switch zB konfiguriert man eigentlich ausschließlich über die Kommandozeile und nutzt deren Web-Oberfläche (sofern überhaupt vorhanden) nur zur Statusabfrage - so viel zum Thema GUI.  ;)
    Selbst in Windows wird die PowerShell aus gutem Grund ja auch wieder viel relevanter.

    Viel Erfolg!



  • Auf welche/s Board/s beziehst du dich? Das Jetway könnte ich für ca. 200€ in Deutschland kaufen. Ohne Import…

    Was die AccessPoints angeht, werde ich wohl lieber bei günstigeren bleiben  ;D

    Als Switche betreibe ich gerade ausschließlich die TP-Link. Ich werde vermutlich auch erstmal nicht auf VLAN setzen, daher denke ich, dass ich da erstmal nicht neu investieren muss. Das lässt sich ja zur Not auch noch später machen.

    Ok, dann werde ich so ein Teil wohl als Modem einplanen müssen. Es widerstrebt mir ein wenig so alte Hardware zu kaufen :-\

    Ja das ist mir schon bei meinem PC schmerzhaft bewusst geworden…naja, jetzt habe ich halt eine Entertainment-Heizung  ;D

    Bei der Virtualisierung hatte ich speziell daran gedacht, dass sich Backups leichter erstellen und wiederherstellen lassen. Auch kann ich dann ohne besondere Hardware auf die "Konsole" von pfSense über ein Webinterface zugreifen. Das ist m.M.n. doch ganz praktisch. Und bisher schien mir Proxmox eher unproblematisch.



  • @jahonix:

    Was die VDSL-Modems angeht, so kannst Du sicherlich eins der Speedports verwenden. Kaufe Dir dann am besten gleich ein Zweites dazu, wenn das Erste aussteigt (gibt es von der Telekom überhaupt noch reine Modems?).

    Du kannst so ein Teil auch von der Telekom mieten und damit bei testen sowie eine Entscheidung für eine Anschaffung verzögern.

    Nachdem die Telekom jetzt das Entertain (wolltest du glaube ich nutzen?) mit dem Internet zusammen in einem gemeinsamen VLAN 7 ausliefert (statt wie vorher in einem getrennten VLAN 8 ), kann man auch ein Gerät verwenden, was im PPPoE-Passthrough-Modus die VLAN-Tags gleich entfernt. Das war vorher noch ein Problem. Damit gehen halt auch ältere Speedports. An welchen Anschlüssen das mit den VLANs jetzt so ist, weiß ich aber noch nicht genau. Bei mir kam das bei VDSL2 so mit, vorher bei ADSL 16.000 hatte ich Entertain noch im VLAN 8.

    @jahonix:

    Das Vigor 130 ist wohl für Vectoring sehr ok, selbst habe ich es nicht probiert.

    Ich habe so ein Teil und das hat perfekte Übertragungsraten an einem VDSL2 mit 100 Mbit.

    -flo-



  • @Das_Pflanze:

    Als Switche betreibe ich gerade ausschließlich die TP-Link. Ich werde vermutlich auch erstmal nicht auf VLAN setzen, daher denke ich, dass ich da erstmal nicht neu investieren muss. Das lässt sich ja zur Not auch noch später machen.

    Es treibt mir ja jedesmal die Schamesröte ins Gesicht, wenn ich das hier erwähne, aber ich bin ganz zufrieden mit Netgear Switches für ca 30 Euro das Stück: 8 GigabitPorts, VLAN-fähig, kann IGMP-Snooping, überschaubarer Stromverbrauch. "Management" (mittlerweile) per Web-Konsole (ältere Geräte mußten noch per Windows-Software administriert werden, das war uncool).

    Das IGMP-Snooping im Switch kann u.U. helfen, wenn Dir beim Fernsehen die WLAN-Performance einbricht.

    -flo-


  • LAYER 8 Moderator

    Bei der Virtualisierung hatte ich speziell daran gedacht, dass sich Backups leichter erstellen und wiederherstellen lassen

    Wenn du dich mit pfSense mal auseinander setzt, wirst du sehen, dass das Backup in einer einzelnen XML Datei besteht. Der Rest ist: USB Stick rein, neu installieren, config wieder einspielen, das wars. Mehr ist völlig unnötig und das XML File zu exportieren auch nicht sonderlich schwer (Menü Diagnostic, Backup/Restore).

    Grüße



  • @-flo-:

    Ich habe so ein Teil und das hat perfekte Übertragungsraten an einem VDSL2 mit 100 Mbit.

    Ok gut zu wissen. Dann schau ich mir das mal näher an.

    @-flo-:

    Es treibt mir ja jedesmal die Schamesröte ins Gesicht, wenn ich das hier erwähne, aber ich bin ganz zufrieden mit Netgear Switches für ca 30 Euro das Stück: 8 GigabitPorts, VLAN-fähig, kann IGMP-Snooping, überschaubarer Stromverbrauch. "Management" (mittlerweile) per Web-Konsole (ältere Geräte mußten noch per Windows-Software administriert werden, das war uncool).

    Das IGMP-Snooping im Switch kann u.U. helfen, wenn Dir beim Fernsehen die WLAN-Performance einbricht.

    Haha da brauchst du dich nicht schämen ;) Danke für den Tipp, an IGMP hatte ich gar nicht mehr gedacht. Sollte man mit einplanen!

    @JeGr:

    Bei der Virtualisierung hatte ich speziell daran gedacht, dass sich Backups leichter erstellen und wiederherstellen lassen

    Wenn du dich mit pfSense mal auseinander setzt, wirst du sehen, dass das Backup in einer einzelnen XML Datei besteht. Der Rest ist: USB Stick rein, neu installieren, config wieder einspielen, das wars. Mehr ist völlig unnötig und das XML File zu exportieren auch nicht sonderlich schwer (Menü Diagnostic, Backup/Restore).

    Grüße

    Mein Fehler ::) Hab nicht daran gedacht, dass es da ja eigentlich nichts für ein Backup gibt  ;D



  • 1. Jetway NF9HG-2930 (Intel Bay Trail-M)
    https://www.mini-itx.de/Mini-ITX-Mainboards-Mini-ITX-mit-CPU-Intel/Jetway-NF9HG-2930-Intel-Bay-Trail-M::392959.html

    Das Board bringt ~900/920 MBit/s am WAN Port als Durchsatz und ist auch ganz nett für eine UTM
    mit Squid & SquidGuard, Snort, ClamAV und pfBlocker-NG, aber dann bitte mit 8 GB RAM und nicht
    4 GB! Da die CPU von 1,8GHz - 2,4GHz "geht" würde ich aber auf jeden Fall PowerD (hi adaptive)
    einschalten damit je nach Last die CPU auch gefordert wird und vor allen Dingen auch "liefert".

    2. 4GB Corsair ValueSelect DDR3L-1333 SO-DIMM CL9 Single
    http://www.mindfactory.de/product_info.php/4GB-Corsair-ValueSelect-DDR3L-1333-SO-DIMM-CL9-Single_936649.html

    Mach lieber 8 GB daraus und dann kannst Du wenigstens die mbuf Größe falls notwendig erhöhen und
    Squid ein wenig mehr RAM als die "default" 256 MB mehr zuweisen.

    3. 60GB Kingston SSDNow mS200 mSATA 6Gb/s MLC asynchron (SMS200S3/60G)
    http://www.mindfactory.de/product_info.php/tab/reviews/60GB-Kingston-SSDNow-mS200-mSATA-6Gb-s-MLC-asynchron–SMS200S_904728.html#reviews

    Kann man nehmen, aber ich würde dazu die TRIM Unterstützung aktivieren, damit die mSATA länger lebt.

    M350 Gehäuse und ein externes Netzteil dazu und gut ist es, das wird dann direkt auf dem Board
    angesteckt (ganz links) und man braucht weiter nichts mehr dazu, es sei denn man möchte noch
    WLAN dazu haben.



  • @Das_Pflanze:

    @-flo-:

    … Schamesröte ... Netgear Switche ...

    Haha da brauchst du dich nicht schämen ;) Danke für den Tipp, an IGMP hatte ich gar nicht mehr gedacht.

    Netgedöns ist bei einigen Personen hier im Forum aus eigenen, suboptimalen Erfahrungen nicht sonderlich beliebt.
    Vermutlich stehe ich mit meiner Antipathie da ziemlich weit vorne.
    Von 6 (oder 8 ) Geräten, die ich in den Fingern hatte, lebt genau eines noch. Der Rest war entweder neu-defekt oder verstarb innerhalb der ersten Betriebsstunde. Einer wollte auch dringend eine neue Firmware haben, um danach mit diesem komischen Konfigurationsprogramm arbeiten zu können, und wurde seither nie wieder gesehen, geschweige denn gepingt.

    Selbst mit einem vermeidlich günstigen Anbieter wie TP-Link habe ich da deutlich weniger (äh, keine?!) solchen Probleme gehabt.
    Und IGMP können deren Geräte auch prima, ich nutze einen TL-SG5412F als Fiber-Concentrator in einer größeren IP-TV Installation, dessen Konzept völlig darauf aufbaut. Der Hersteller (wir waren Errichter) lässt sonst nur Cisco Catalyst Switche zu…


  • LAYER 8 Moderator

    @Bluekobold: Ich hinterfrage nochmal: Wofür so übermäßig viel Performance, die locker Gigabit schaffen würde, aber der "Kunde" hier grad mal VDSL 50 hat?!? Deshalb sage ich an der Stelle unnötig große Hardware für den Heimeinsatz. Nett zum Spielen, aber sowohl Power Usage als auch mit Reserven viel zu hoch gegriffen. Ich kann mir auch nen kleinene Xeon E3 hinstellen, der auch nur TDP von 19-25W hat, aber wofür? Selbst wenn Unitymedia bei mir nächstes Jahr auf ~300-350MBit erhöht, habe ich das immer noch a) nicht synchron und b) immer noch kein Gigabit. Und momentan wuppt selbst mein Atom D510 noch locker die 200MBit Leitung. Egal ob 2, 4 oder 8GB RAM. Natürlich brauchen Spielerein wie Squid und Co Performance und RAM, aber wir reden hier trotzdem über VDSL 50 + Heimeinsatz.

    Ansonsten kann ich jahonix beipflichten, ich habe selbst leidige Erfahrung mit den Netgear Geräten gemacht. Wackliger Stromanschluß, der beim leichten Wackeln plötzlich wahllose Ports kurzschließt oder resettet. Geräte die plötzlich kein LAN mehr haben (ausstecken - einstecken - läuft wieder) und lauter solcher Terz. Dann HP 1810 v2 gekauft dafür - läuft toll. Nach den vielen positiven Stimmen hier zu TP Link (günstig für zu Hause) dann noch einen kleinen Switch fürs Media Rack gekauft und gestaunt was die da für kleinen Preis alles reinpacken. Ist zwar nun auch einer, der leider ne Windows Software zum managen braucht, aber ich habe eh eine WinVM für sowas. Dafür einmal konfigurieren und nicht mehr anfassen, alles gut :)



  • @JeGr:

    HP 1810 v2

    Die Geräte habe ich auch häufig bei Kunden installiert und selbst genutzt.
    Probleme hatte ich damit nie, nur die fehlende Konsole (sowohl seriell als auch Telnet/ssh) machen langfristig keinen Spaß.
    OK, früher™  habe ich die Konsole auch nur benutzt, um die IP einzustellen. Den Rest dann über das Web-Interface. Nachdem ich einen Switch-Management Lehrgang bei der Avanis in Bielefeld mitgemacht habe, hat sich das schlagartig geändert. Den Lehrgang ich jedem, der sich mit der Materie beruflich beschäftigt, nur empfehlen!



  • @Das_Pflanze

    Da ja pfSense "eigentlich" nur eine Routersoftware ist

    Das ist sie nicht sie ist eine Software Firewall, das was Du meinst sind mehr DD-WRT, OpenWRT und FreeWRT
    oder Tomato.

    _Eine Firewall trennt ein Netzwerk von einem oder mehreren anderen Netzwerken.
    Eine Router routet Pakete von einem in ein oder mehrere andere Netzwerke.

    Und bloß weil beide NAT machen oder routen können macht es sie noch lange nicht zu Geräten
    oder Software der gleich Klasse und/oder Liga!_

    und nicht so UTM versiert ist, dachte ich an die Nutzung von Proxmox um auf dem selben PC gleichzeitig Endian laufen zu lassen, da ich denke, dass da die Oberfläche besser ist und mehr Funktionen vorhanden sind.

    pfSense & Squid (Proxy) & SquidGuard (URL redirector) & Snort (IDS) & HAVP (ClamAV) stellen für
    mich sehr wohl eine richtige UTM dar die nicht nur 50MBit/s am WAN Port wuppen muss sondern
    dann schon den richtigen "Antrieb" haben sollte um einen vernünftigen Durchsatz noch zu ermöglichen.
    Das lässt sich sicher alles auch mit einer PC Engines APU1D4 machen und erledigen nur wenn der AVScan
    auch noch mit dabei ist hätte ich eben gerne 4 statt zwei CPU Cores und auch lieber 8 GB anstatt 4 GB RAM
    fest verlötet und auch 2GHZ anstatt 1GHz sind nicht schlecht, dazu noch 4 Intel anstatt RealTek Ports und
    die Sache läuft rund.

    Bitte korrigiert mich, falls das falsch ist! (Das könnt/sollt ihr bitte bei allem machen, was ich schreibe  ;) )

    Also mittels pfSense kann man sehr wohl eine UTM Appliance realisieren und benötigt auch sonst nicht weiter
    dazu als ein paar Pakete oder sagen wir es einmal so herum man braucht keine Endian, Sophos oder Untangle
    UTM dazu die man dann auf etwas wie Proxmox laufen lässt! pfSense läuft auf der Hardware die Du Dir weiter
    oben ausgesucht hast völlig fehlerfrei!

    @Bluekobold: Ich hinterfrage nochmal: Wofür so übermäßig viel Performance, die locker Gigabit schaffen würde, aber der "Kunde" hier grad mal VDSL 50 hat?!?

    Weil er eine UTM Lösung sucht und da schaue ich nicht nur auf den WAN Durchsatz sondern eher auf
    alles was noch installiert werden soll und zusammen mit dem AVScan, IDS und einem Proxy wie Squid
    würde ich lieber zu dem Jetway Board greifen wollen. Die beiden Lösungen liegen im selben Preissegment
    und bei dem Jetway Board hat man halt fast alles doppelt!
    2 CPU Kerne vs 4 CPU Kerne
    1GHz vs 2GHz
    4 GB vs 8 GB
    3 miniPCIe + SIM vs 2 miniPCIe + SIM
    3 Realtek GB LAN Ports  vs 4 Intel GB LAN Ports die noch auf bis zu 16 erweitert werden können, sicherlich
    nicht in einem mini-ITX Gehäuse aber in einem 19" Gehäuse von Varia-Store.

    nett zum Spielen, aber sowohl Power Usage als auch mit Reserven viel zu hoch gegriffen.

    Also ein aktuelles PC Engines APU Bundle aus Gehäuse und Board und Netzteil kostet bei Varia-Store ~239 €
    was bei ~200 € bis 250 € angesiedelt ist und sein Board & Gehäuse & RAM & mSATA & Netzteil liegen bei
    etwa ~280 € bis 300 € je nachdem wo er es alles kauft. Und die CPU Leistung liegt bei 7,5 Watt (TDP).

    Natürlich brauchen Spielerein wie Squid und Co Performance und RAM, aber wir reden hier trotzdem über VDSL 50 + Heimeinsatz.

    Klar nur wir reden, oder zumindest redet der TO auch von UTM und nicht nur Snort, Squid und Firewall
    und meiner Meinung nach ist er halt besser mit dem Jetway N2930 Board beraten als mit einem APU1D4
    wenn es um eine UTM mit AVScan geht. Kann ja auch jeder für sich selber abmachen was er wem rät
    nur ich würde lieber das Jetway Board nehmen und 50 € mehr ausgeben als später kaum Durchsatz
    übrig zu haben bei einer UTM mit zu wenig RAM und zu kleiner SSD/mSATA.


  • LAYER 8 Moderator

    @Bluekobold: Mag schon stimmen, ich bin allerdings im Heimumfeld pragmatisch. Man kann da viel spielen wollen, schlußendlich wirds meist doch weniger ;)
    Aber jedem wie er möchte, da habe ich keine Anteile dran. Aber diese immer wieder empfholenen Jetway Celeron Kisten haben eben trotz allem (mehr GHz, mehr Kerne) kein AES oder Quickassist. Und mit einem Atom C2358 oder 2558 ist man in einem recht ähnlichen Preissegment und hat dabei nicht nur annähernd gleiche Taktung und Kernzahl (wenns da unbedingt drauf ankommt), sondern auch noch ordentliche CPU Entlastung sobalds um Verschlüsselung geht. Und wenn ein full scale IDS wirklich von Interesse ist, dann sollte derjenige auch VPN/IPSEC nicht außer Acht lassen und dafür sind IMHO diese Celerons nur bedingt geeignet.

    Just my 2c


Log in to reply