19" Selbstbau Firewall, max 3HE

Haha, habe die Sophos rasch migriert. Sehr geil:

firstSophos.JPG
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hmm also du bist aktuell bei Salt mit deren 10Gbit XG-PON Anschluss?

Hier zum Vergleich Init7 10Gbit mit Ubiquiti UDM Pro mit IDS off und Traffic Identification off

2023-10-25 21_44_24-.png


Hier mit IDS und Traffic Ident on

2023-10-25 21_53_34-Einstellungen.png


Btw. bei mir frisst der Windows Ookla Client keine 50% CPU ;) bzw. meinst du den Speedtest von deinem Rechner über 10Gbit oder?
 
Zuletzt bearbeitet:
Nein, in einer VM auf der Firewall mit dem i3-4130T. Aber direkt am WAN, und ohne das sonst noch was drauf läuft. Sogar Defender habe ich aus gemacht. Mit 2, 3 und 4 Kernen getestet. 2 und 3 waren schneller.

Ja, bin bei Salt leider. init7 wäre das Ziel. Mitte nächstes Jahr dann mal, wenn die Steuern bezahlt sind. Wird dann schon empfindlich teurer, wenn ich wieder Premium TV und Festnetz haben will. Aber bei UPC damals hatte ich auch deutlich mehr bezahlt.

Würdest Du eine SFP+ Karte in die Firewall einbauen, oder einen externen Mediaconverter nehmen? Ich tendiere zum Mediaconverter, dann kann ich im Notfall auch umstöpseln.
Beitrag automatisch zusammengeführt:

Aber, ja, die zwei beiden letzten Speedtests sind auf meinem Desktop, da ist die Win 10 VM natürlich aus. Bisschen verwirrend meine Posts zugegeben, aber habe auch schon eins- zwei geraucht. Da arbeitet das Ding nur als Firewall.
 
Zuletzt bearbeitet:
Hmm also belastest du mit der VM gleich noch die Firewall beim Test. Da würd ich eher direkt ab deinem Client messen über die FW ins Netz, Ookla gibts auch für die Windows CMD da fällt der GUI Schrott weg ;)

Da du 6 10Gbe Anschlüsse hast an der FW würde ich den Converter nehmen. Optik würde ich dann direkt von Init7 bestellen, Fiber7 10 Gbit/s: CHF 99 inkl. MwSt Könnte dir auch meinen Code abgeben, dann kriegst die Optik kostenlos da 111.- Rabatt ;)

Mir reicht halt die Kombi:

Internet 10Gbit 64.75 CHF
TV Zattoo Ultimate 20 CHF
kein Festnetz
Handy 5G Unlimitiert CH 24.95 CHF
Macht bei mir 109.- für alles im Monat
 
Ja, habe noch editiert: die Win 10 VM lief bei den zwei letzen Tests nicht. Nur Sense oder Sophos. Den Speedtest machte ich am Desktop.

CHF 20.- für eine einzelne IP schenkt eben auch noch recht ein. Und einen SIP Anschluss kriegt man leider auch nicht zu günstigen Optionen. Ich hasse Handy.

Komme dann halt auch wieder auf min über 130.-. Weil bei Zattoo fehlen wieder Nat geo&co.
 
Ok such dir mal nen anderen Speedtest Server bzw. versuchs mal mit dem von der WWZ ich hatte bei sunrise nur so 3.5Gbit statt 7Gbit.

Warum die Fixe IP, ich hatte jetzt seit ich im 2021 Init7 aufgeschaltet habe die selbe IP. Somit ist bei mir der Nutzen der Statischen IP bei mir obsolet geworden und falls einen PTR Eintrag benötigst, mache die das auch auf die "Dynamische" IPs.

Zur Telefonie, ja Festnetz stirbt für Privatpersonen langsam aus, da sich die Anbieter bei uns nur noch auf die KMU/Businesskunden konzentrieren.
 
Kann man da NAT machen ohne fixe IP? Bei UPC hatte ich auch immer eigene IP, vor 15 Jahren sogar bis zu 5, und so. Die hat auch nie gewechselt, das würde mir reichen. Selbst wenn die alle paar Monate wechselt, das kann man anpassen. Soviel wichtiges läuft da nicht.

Weil CHF 20.- pro IP sind recht happig.
Beitrag automatisch zusammengeführt:

Salt hat halt auch eben ein bescheidenes peering; ganz im Gegensatz zu init7, denk ich. Weil ich habe Flugsimulator Gäste aus aller Welt. Ausserdem ist der Bofferbloat von dem Modem unterirdisch, die kriegen nicht mal ihr eigenes TV gebacken.

WWZ:

1698267921902.png


Bei Sunrise hatte ich seit jeher immer die besten Ergebnisse beim Speedtest.
 
Zuletzt bearbeitet:
AliManali schrieb:
...meinte eben der Verkäufer dazu. :bigok:
Zum Vergrößern anklicken....
Der richtige Poor-Mans 10G Switch schimpft sich auf den Namen Cisco UCS 6120xp, aka Cisco Nexus 5010 und kostet <100 € gebraucht.
www.ebay.de

Cisco UCS 6120XP Fabric Interconnect Switch, 20 x 10G SFP+ / 6 x FC 8G N10-E0060 | eBay

Cisco UCS 6120XP Fabric Interconnect. Switch wie beschrieben und abgebildet / ohne Transceiver / ohne Stromkabel / ohne Rackmountschienen. 20 x 10G SFP+ / 6 x Fibrechannel 8G. Das Foto ist ein Originalbild.
www.ebay.de

Der switcht dann auch richtig mit eigener ASIC, nicht in Software durch die CPU wie bei deinem Barebone.
 
Den Cisco würd ich mir gar nicht antun wollen. Lief sicher über die NSA Theke. Wobei bei SM ging auch mal das Gerücht um, dass da Chips verbaut sein sollen. Hat sich aber als Hoax herausgestellt. Ausserdem ist das Glas, und kann man sicher auch nicht in einen Gaming Tower einbauen. Würde ich sicher auch für lau bekommen den Cisco. Aber meine Sophos ist eh viel besser. Und in meinem Setting auch passender.

Nuckelt halt im idle schon 60-80W. Wollte eigentlich für Netzwerk und Server mal unter 200W bleiben. Aber konnte schon viel einsparen, weil ich die Bildschirme in den Schlaf schicke, nachts den Desktop aus mache, und bisschen LED installiert habe. Und will nicht wissen, wieviel mein aktuelles Netzwerk aus Zywall, uralt Dell Switch (wird auch noch ersetzt) und Modem nuckelt, nie gemessen. Von daher, wird schon passen.
 
Zuletzt bearbeitet:
Hmm, so ganz durchdacht ist das Konzept noch nicht. Wenn die FW nicht läuft komme ich nicht mal auf den ESXi. Sprich, werde um einen Router davor nicht drum herum kommen, so wie im Moment auch. Kann schon die Firewall einfach in den Autostart legen, aber ob man das will? Zumindest für die Fehlersuche wäre es schon förderlich, wenn ich jederzeit auf den Host kommen würde. Da ist das IPMI noch das kleinere Übel.
Beitrag automatisch zusammengeführt:

Werde da wohl das management Netz aufteilen. Einmal nen billo Router ohne Anbindung für IPMI, ESXi Backup Link und sowas. Dann wenn die Firewall läuft halt den Rest mit NFS, bzw. vSAN und den eigentlichen vmkerneln. Was anderes fällt mir dazu nicht ein. Weil auf einen 10 Gbit Router vor der FW hab ich gar keinen Bock.
Beitrag automatisch zusammengeführt:

Ja, grrrr, dachte ich kann dann mit der 10 Gbit Firewall auf mehrere Strippen zum Desktop verzichten. Weil das suckt extrem, wenn man da immer Adapter de-/aktivieren muss. Aber Bastelbude bleibt halt Bastelbude. Wenn das nicht immer so ausarten müsste...

Anderer Workaround wäre die FW baremetal aufzusetzen. Aber bleibt immer noch das Problem mit dem IPMI, von daher.
 
Zuletzt bearbeitet:
Ne, innerhalb meines Netzwerks. Weil mein die Desktop soll direkt an der Firewall hängen. Wie gesagt, 10 Gbit Switch wird es nicht geben. Da die beiden ESXi, die dazugehörigen IPMI und meine Service Kisten mit einem Router oder Switch separat anzubinden, da werde ich nicht drum herum kommen.

ESXi, vSAN, IPMI, Filer und sowas hängt momentan alles am selben management net, und das ist nur verfügbar, wenn die FW oben ist. Im Moment eine Zywall. vSAN, der Server vmkernel, DMZ, mein Dektop&Copilotensitz und sowas sollen dann direkt and der Firewall mit 10 Gbit hängen, so der Plan. Und 10 Gbit ist erst dann halt erst verfügbar, wenn die FW oben ist.

Also da muss ich schon gröber umbauen dann mit meinen vLANs. Und einen kleinen Switch oder Router, für IPMI und die vmkernel.
 
hmmm keine Ahnung. Der ESXi hat halt ein napp-it, wo die VMs drauf liegen. Die werden dann per NFS an den Host weiter gereicht. Dachte dazu sagt man vSAN?

Xeon ist heute gekommen und eingebaut. Die FW lässt mit aktivierten UTM Gedöns durch, was die Leitung her gibt, so wie ich das abschätze. Bin super zufrieden soweit.
 

VSAN - Wikipedia

en.wikipedia.org en.wikipedia.org
A VSAN abstracts the storage-related operations from the physical storage layer, and provides shared storage access to the applications and virtual machines by combining the servers' local storage over a network into a single or multiple storage pools.
Zum Vergrößern anklicken....
D.h. man nimmt mehrere Hosts mit mehreren Platten und schaltet die durch Netzwerkprotokolle so zusammen, als wäre es ein Host/alle Platten an einer Stelle.
Das was du da hast ist einfach nur ein NAS oder iSCSI/NFS share.
Kannst du auch genauso mit einem standalone Host machen, ist am Ende das Gleiche.
 
Mit der Xeon kann ich sogar die einzelnen Ports der X540 durchreichen. Die drei X540 hängen hinter einem PLX Chip. Dachte, da geht kein Passtrough, zumindest wurde mir das so gesagt.
 
Hmm, das Board ging rein in das CSE-732D4. War aber riesen Bastelaktion. Zum einen passt das I/O Shield nicht, zum anderen kann man nirgends die Lüfter gescheit befestigen. Keine Ahnung, wieso die da zu kleine Löcher gebohrt haben. Da waren so Gummi-Noppel-Dinger drin, noch nie gesehen. Also gab es da überall den Kabelbinder Mod. Ein zum Case mitgelieferter Lüfter hat dauernd einen Fan Error ausgelöst, wodurch die Ventis alle paar Sekunden voll aufdrehten. Der wird noch ersetzt.

Aber es wäre nicht Ali, der sonst immer einen Assistenten braucht zum schrauben, der nicht mal wieder was kaputt gemacht hat: keine Ahnung wie, aber habe wohl eine X540 geschrottet. Sicher Abstandshalter falsch gesetzt, oder so. Lass es dann von meinem Kumpel nochmals auseinander pflücken, und hoffe, dass sie noch geht. Die NICs werden im ESXi noch angezeigt, kriegen aber keinen Link mehr zustande.

Bislang habe ich folgende Teile in das Groschengrab gesteckt:

  • Supermicro CSE815 - X10SLH-LN6TF / N6-ST031 - Barebone 6x 10Gbps RJ45 1U 4x LFF und 32 GB ECC UDIMM - EUR 190.- und CHF 40.- Zoll/Abfertigung
  • Intel Xeon E3-1281 v3 - 53$
  • Seasonic Focus PX 550 W - CHF 135.-
  • Arctic P12 PST Value Pack - CHF 32.20
  • Intertech Argus - CHF 24.60
  • Intel CPU Cooler LGA1200 Fan Stand lga1155/1156/1151/1150 Core-10500 95w (aus China, hat nicht gepasst) - EUR 27.-
  • SUPERMICRO SuperChassis CSE-732D4 - EUR 119.10 + CHF 8.- Zoll
  • 1 TB Evo 870 - CHF 70.80
  • I/O Shield - 12.60$
  • BitFenix Molex zu SATA Adapter - CHF 10.90
Ist jetzt halt ärgerlich, dass es nicht richtig läuft. Mal sehen, wahrscheinlich ordere ich mir nochmals ein oder zwei Boards, damit ich eines auf Ersatz habe. Wieso sich da nicht an Standards gehalten wird (I/O Shield), erschliesst sich mir nicht ganz. Das Supermicro Gehäuse hat mich eh entäuscht in der Hinsicht, typischer OEM Scheiss halt. Dachte das sei schrauberfreundlich. Ich verstehe es auch nicht, wieso überall das Gefummel für werkzeuglose Montage verbaut wird. Früher hat man eine Schraube rein gedreht, und gut war. SSD kann man selbstregend auch nirgends befestigen.

Meine Begeisterung hält sich in Grenzen für den Moment.


PXL_20231221_164304934.jpg


Speedtest.JPG
 
Zuletzt bearbeitet:
AliManali schrieb:
Wieso sich da nicht an Standards gehalten wird (I/O Shield), erschliesst sich mir nicht ganz.
Zum Vergrößern anklicken....
Es gibt bei io shields keinen Standard. Da sieht jedes MB anders aus. Wobei SM da schon einer der besseren ist, weil zumindest bei den Serverboards oftmals eh die gleiche Ausstattung ist, daher sind oftmals die Shield auch kompatibel,

Außerdem ist das bei 1HE oftmals genauso gelöst, weil einfach der Platz fehlt für einen kompletten Rahmen.
Ich bin der Meinung, dass ich bei meinen 1HE Servern auch kein Shield verbaut habe, das sicherlich aus gutem Grund.
 
Was verbraucht Dein Supermicro CSE815 Router denn so im Idle und unter Last?
 
Zuletzt bearbeitet:
Bei mir ist alles noch Haswell-E / Broadwell-E / Haswell / Haswell-M. Sogar eine olle Sandy werkelt noch ab und wann. Wenn der Geldbeutel mehr hergeben würde, gäb es schon mal das ein oder andere Upgrade. Vor allem die Workstation reisst keine Bäume mehr aus. Obwohl ich eher ältere Software nutze.
 
Fintastic schrieb:
Was hättest Du denn genommen?
Zum Vergrößern anklicken....
Halbwegs aktuelle Hardware ?
www.piospartslap.de

Gigabyte Mainboard MC12-LE0 Re1.0 AMD B550 AM4 Ryzen 5000 4000 3000 Server Board NEU / NEW - Piospartslap

GIGABYTE Mainboard für AMD Ryzen 5000 Series / 4000 Series / 3000 Series P/N: MC12-LE0 Rev 1 x microATX (W244 x D244 mm) NEW / NEU Tec
www.piospartslap.de www.piospartslap.de
+ 5600X + 16-32 GB ECC RAM und eine gebrauchte CX2/X520 zb. Oder eine Chinabox mit SFP+ und aktueller CPU. Oder ein Mikrotik CCR Router, …
 
  • Version 1 hat keine 10 Gbit Ports. Mit der gebrauchten X520 immer noch zu wenige.
  • Chinabox mit 6x RJ45 10 Gbit Kupfer darfst Du mir gerne zeigen.
  • Der Microtic CRR Router hat jene 1 Gbit Ports und 4x Glas. Und ich habe jetzt eine Firewall, keinen Router.

Aber falls Du doch eine vernünftige Lösung für meine genannten Anforderungen hast, immer her damit. Und nein, der 7950X, welcher Du mir empfohlen hast ist mir a) zu teuer, und b) musst Du mir da erst mal ein gescheites Setup dazu zeigen. Wird mit IPMI und drei X520 auch auf die 60-80W idle zusteuern, kann das sein? Sofern Du mir ein Board nennen kannst, wo ich die drei Karten auch unterkriege.

Und wie gesagt, Anforderung war das ohne 10 Gbit Switch umzusetzen. Ob das sinnvoll ist, sei mal dahin gestellt, bin mittlerweile auch nicht mehr ganz überzogen von meinem angerissenen Setup. Aber das Kind ist ja schon im Brunnen. Auf jeden Fall ist das Setup die bessere Lösung, als die C612 Bastelkiste, die ich ursprünglich bauen wollte. Weil die hätte sich wohl eher an die 140W im idle genommen, so wie ich das einschätze.
 
AliManali schrieb:
  • Version 1 hat keine 10 Gbit Ports. Mit der gebrauchten X520 immer noch zu wenige.
Zum Vergrößern anklicken....
Dann kaufst dir eben ne 100G NIC mitsamt QSFP+ Transceiver und nutzt das als Breakout auf 4x10G: https://www.mydealz.de/deals/nvidia...abit-ethernet-nic-qsfp28-mcx455a-ecat-2284543
Oder machst es eben gleich richtig, und kaufst ein richtiges 10G SFP+ Switch. Wenn 4 Ports reichen gibts gebrauchte Brocade ICX6450 für ~120 € wie Sand am Meer. Die brauchen im Leerlauf in der non-PoE Variante <30W und haben 4x SFP+.
AliManali schrieb:
  • Chinabox mit 6x RJ45 10 Gbit Kupfer darfst Du mir gerne zeigen.
Zum Vergrößern anklicken....
Kein privater Hobbybastler sollte 10G über Kupfer machen, das macht überhaupt keinen Sinn , ist sowohl in der Anschaffung als auch im Unterhalt teurer und fehleranfälliger als z.B. MM Fiber.
AliManali schrieb:
  • Der Microtic CRR Router hat jene 1 Gbit Ports und 4x Glas. Und ich habe jetzt eine Firewall, keinen Router.
Zum Vergrößern anklicken....
mikrotik.com

CCR2004-1G-12S+2XS | MikroTik

The Connectivity Router - your best companion when it comes to SFP, SFP+ and SFP28 management! 1, 10 and 25 Gbps ports in a single device to make your life easier.
mikrotik.com mikrotik.com
12x SFP+, 2x SFP28. Sollte reichen, hängt deinen Haswell um Lichtjahre ab, bei weniger Stromverbrauch.
Btw. ist RouterOS auch als DPI Firewall nutzbar.
AliManali schrieb:
Aber falls Du doch eine vernünftige Lösung für meine genannten Anforderungen hast, immer her damit. Und nein, der 7950X, welcher Du mir empfohlen hast ist mir a) zu teuer, und b) musst Du mir da erst mal ein gescheites Setup dazu zeigen. Wird mit IPMI und drei X520 auch auf die 60-80W idle zusteuern, kann das sein? Sofern Du mir ein Board nennen kannst, wo ich die drei Karten auch unterkriege.
Zum Vergrößern anklicken....
Aber Geld um dir 1-2 Ersatzboards zu holen hast du, ja ? Mal davon ab, das deine jetzige Kiste niemals 25G, wovon du ursprünglich gesprochen hast und zu der ich den genannten 7950X empfohlen hatte, routen können wird. Das "gescheite" Setup steht ein Post über deinem. 5600X + das B550 Brett + 16 oder 32GB ECC RAM und eine Dualport NIC nach Wahl + ein SFP+-Switch wie das Brocade und du wirst verbrauchstechnisch unter deiner Kiste landen + deutlich mehr Power und flexibilität haben.
 
Ja, Du empfiehlst hier jetzt wieder Glas. Mit 100 Gbit, macht sicher Sinn mit meinen SATA SSDs. Wie gesagt, ich trau Glas nicht in meinem dreckigen Raucherhaushalt. Ausserdem bräuchte ich beim verlinkten R2004-1G-12S+2XS ja auch wieder die ganzen Optiken, und alles. Von dem gewünschten Provider wäre ja der Microtik empfohlen worden. Kann ja sein, dass der für meine Ansprüche besser gewesen wäre. Bin ich immer noch nicht davon überzeugt. Und wäre sicher auch bisschen teurer gekommen, als meine ursprünglich veranschlagten CHF 400.-, meinst Du nicht? Und dass Glas weniger fehleranfällig ist in meiner Umgebung hättest Du gerne mal im Oktober anmerken können, als ich auf Kupfer tendiert habe. Bin ja nicht beratungsressistent. Obwohl mir der von Dir empfohlene 7950X rein aus dem Bauch heraus zu teuer war. Man sieht es ja, die olle Haswell macht den Durchsatz auch. Mit IDS und allem, wer hätte es gedacht?

Und habe auch vergeblich nach 10 GBit RJ45 Switches gesucht im Vorfeld. Kann es sein, dass es da nichts gibt? Vielleicht suche ich auch einfach am falschen Ort. Gibt welche mit 2-3x 10 Gbit Ports, aber das nützt mir halt echt nichts. Weil ich will meine Clients und Server mit 10 Gbit/s anbinden, und muss da nichts im selben VLAN schnell hin und her kopieren. Da liegen die entsprechenden Verbraucher in anderen Netzen, checksch? Habe ich aber auch schon in dem ersten Post so umrissen. Da bringt mir selbst der beste 10 Gbit Switch nichts, wenn es ihn dann gäbe. Schon klar, dass Du das mit dem 50 Euro Mainboard hin kriegst, meins kostete halt einen Hunderter. omg, @MacGiver. Nächstes mal gerne von Anfang an gute Tipps bringen. Weil sehe nach all dem hin und her immer noch keine bessere Lösung, als da noch 1-2 Ersatzboards zu bestellen. Mit den 80-100W im Schnitt lebe ich dann halt. Schlecht beraten worden. Und meine da nicht den underclocker, der konnte mir wenigstens folgen. Meine da Leute die mir 2 Monate nach Kauf noch nen AM4 Board mit 100 Gbit NIC empfehlen.
 
sch4kal schrieb:
Halbwegs aktuelle Hardware ?
www.piospartslap.de

Gigabyte Mainboard MC12-LE0 Re1.0 AMD B550 AM4 Ryzen 5000 4000 3000 Server Board NEU / NEW - Piospartslap

GIGABYTE Mainboard für AMD Ryzen 5000 Series / 4000 Series / 3000 Series P/N: MC12-LE0 Rev 1 x microATX (W244 x D244 mm) NEW / NEU Tec
www.piospartslap.de www.piospartslap.de
+ 5600X + 16-32 GB ECC RAM und eine gebrauchte CX2/X520 zb. Oder eine Chinabox mit SFP+ und aktueller CPU. Oder ein Mikrotik CCR Router, …
Zum Vergrößern anklicken....

Gibt es so ein Board auch rein zufällig mit 2 m2 gen4 und 2 PCiex 16 für 1 Graka für Plex und 1 für 100 gbe Netzwerkkarte?
 
Anmelden, um zu antworten.

Ähnliche Themen

P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
706
Pixolantis
P
AliManali
Bandbreite hinter PLX Chip?
Antworten
4
Aufrufe
373
AliManali
AliManali
M
[User-Review] Switch im Lesertest: Testet den QNAP QSW-M2108R-2C!
Antworten
6
Aufrufe
742
mbrhwl
M
M
Hypervisor+NAS | Umstrukturieren & Speicher Upgrade
Antworten
0
Aufrufe
719
modify6802
M
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh