Firewall Appliance im Eigenbau

Hallo,

das Chieftec Netzteil ist nicht das effizienteste. Aber das ist okay, weil der Preis stimmt. Außerdem sind die Bauteile ganz ordentlich. In den passiven LC-Power Netzteilen war 2011 als ich geschaut habe meist nur Schrott verbaut, der sicher nicht all zu lange halten wird.

Übrigens, mit Rohrisolierung (http://www.foerch.de/documents/thumbs/132449474_20091407091219_800x800_Fit_0_0.png) die in der Hälfte durchgeschnitten wird, lässt sich die 2.5" Festplatte in besagtem Chieftec super dämmen was Vibrationen angeht. Das Material ist recht hitzeresistent, sodass es damit keine Probleme gibt und sehr günstig im Baumarkt zu bekommen. Ich habs eingebaut, weil ich nervige Resonanzen gehört habe.

Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Für die 30 Euro mit Sicherheit ok, wenn man nicht eh noch einen Rechner/Router übrig hat. Wegen der Crypto Einheit einer über 7 Jahre alten CPU braucht man diese Thin Clients aber nicht kaufen.
RRZN - OpenVPN
Da wurde der alte 1GHz Via C7 mit Intel Gbit Ethernet Nics getestet. Für 100Mbit/sec reicht es aus, das wars dann aber auch schon. Aktuelle Desktop CPUs kommen auf 400-800Mbyt/sec!
Selbst ein 13 Jahre alter 600MHz P3 schafft ~ 4-6MByte/sec bei ssh.
 
Das ist ja auch eher ne optionale Sache. Normale Routingaufgaben packt das Teil ja spielend und für 30EUR bekommt man einfach keinen vollwertigen Router zum krumbiegen. Als "Neukauf" auf jeden Fall eine günstige und wohl stromsparende Lösung.
 
Ein vollwertiger Router hätte mehr als nur einen Ethernet Anschluss onboard und auch kein IDE mehr.... Soo viel Sparsamer waren zumindest die C3 CPUs vor 8 Jahren nicht...
Interessant wären Verbrauchswerte von dem Igel. Immerhin gab es damals schon einige Zeit lang Pentium4 Systeme. Gegenüber diese war alles andere sparsamer ;)
 
Zuletzt bearbeitet:
Das teil reiht sich in heutige Atomsysteme ein, welche man an dieser Stelle auch einsetzen würde.

Mir persönlich wäre kein Router bekannt, welcher mehr als einen Port hat. Das ist doch alles nur intern geswicht. Und Leute, die den Bedarf für sowas haben, haben mit Sicherheit mehr Geräte als so nen 0815 Router an switched Ports zur Verfügung stellt. (zumal man mit einer PCI Nic auch noch 1-2 Ports nachrüsten kann, für ne DMZ und ähnliches, spätestens da ist bei 99% aller 0815 Router das Licht aus)

Außerdem sei angemerkt, dass dort CF möglich ist.
 
CF ist immer möglich, ist ja im Prinzip IDE da braucht's nur nen rein mechanischen Adapter.
Und für ne klassische Internetfirewall ist man ohne zweite Netzwerkschnittstelle nunmal bescheiden aufgestellt.

Leistung braucht man allerdings nicht wirklich, man bedenke dass kleinere Atomsysteme auch kaum schneller sind als ein mittelprächtiger Pentium III.
 
Die Igel kannste über ne PCI Riser Card noch problemlos um eine Netzwerkkarte erweitern. Das Teil ist halt einfach aufgrund des Preises eine interessante Option und
letztendlich hats Du es ja schon selber richtig gesagt für einen bescheidenen Router der prinzipiell nur n bissel packet filtering NAT und von mir aus noch etwas VPN mit ner Durchsatzanforderung
ADSL -VDSL machen soll sind die Anforderungen ja nun wirklich sehr moderat.
 
Hallo,

das würde ich nicht unterschreiben. VDSL hat schon um die 50Mbit/sec und um die auszureizen reicht ein ALIX mit OpenVPN nicht mehr aus. Da wird bei um die 20Mbit/sec limitiert. Ein VIA C7 mit 1Ghz und AES-Beschleunigung schafft das schon. Bei meinen Experimenten konnte ich die Hardwarebeschleunigung aber nur sinnvoll mit Linux, also weder OpenBSD, noch FreeBSD noch pfSense einsetzen.

Viele haben auch schon Zugang zu Leitungen über 100Mbit, ein neuer Router sollte die auch schaffen können, wenn sie verfügbar sind.

Grüße
 
Man muß hier 2 Dinge trennen. SSH und Co und eben nicht.

@neuer Router
Das sind dann aber meist sehr moderne Router, die deutlich im höhreren Preissegment für Consumer zu suchen sind.
Das Ding(Igel) schafft 100mbit bidirektional zu routen. (ohne Verschlüsselung) -> asym. geht da also noch viel mehr, so 200mbit zB

Und selbst die größten ConsumerRouter bekommst man mit einer 100mbit SSH Verbindung platt, das kann aber nicht das Ziel einer solchen Plattform sein.

Primär ist das Teil durch seinen Preis interessant und kann daher spielend einen normalen Router ablösen, bzw erweiterte Funktionen bereitstellen.

Die Frage ist außerdem, wo geht denn die VPN Verbindung hin? Es wird wohl nur ein ganz geringer Teil der User einer solchen Plattfrom das Teil outbound auf nen VPN Server einwählen. Wer solch eine Anfoderung hat, hat auch entsprechendes Geld, so dass ein 30EUR Router kaum eine Option ist.

Anders sieht es dann bei einer inbound VPN Verbindung aus. Diese sind aber in der Regel mit 10mbit (upload) relativ lahm. Sicherlich ist korrekt, dass eine solche Plattform in 5-10Jahren für diese Anwendung ein Problem hat. Aber bis dahin gibt es auch wieder günstige Lösungen, evtl ein ALIX mit der AES Unit.
 
Zuletzt bearbeitet:
D€NNIS;19042309 schrieb:
Padlock sollte mit PfSense absolut sauber funktionieren.
Zum Vergrößern anklicken....

Das habe ich auch gelesen. Und ich habe mich auch fast zwei Monate mit der Crypto Architektur von FreeBSD und OpenBSD beschäftigt, weil ich gern schnelles AES-OpenVPN ausgehend und eine tolle Firewall wollte. Ergebnis ist leider, dass man Maximaldurchsatz nur mit OpenVPN unter Linux erreicht und selbst dort erst mit halbwegs aktuellem Kernel.

Dafür rockt es unter Linux. Wo pfSense und OpenBSD bei 50-60 Mbit/sec dicht gemacht haben (ohne merkliche CPU-Auslastung), bringt der Debian Router hier im Keller mit Realtek Schrott Chipsätzen and die 230 Mbit/Sec AES-256 OpenVPN Durchsatz. Für einen 200 Euro Rechner beachtlich. Woran es nun liegt, könnte ich aber nicht sagen. Spielte damals für mich keine Rolle.

Für ein bischen Pakete rumkopieren reicht so ein Igel sicher aus. Aber hier geht es doch um eine Firewall Appliance im Eigenbau. Für 10 Firewall-Regeln lohnt sich so ein Selbstbau doch garnicht (?), die schafft sogar eine Fritz!Box.

Grüße
 
Cooles Thema!

Bin auch am Überlegen sowas zu realisieren. Gibt es eigentlich irgendeine Distri die gleichzeitig noch nen WLAN-Controller integriert hat? Möchte diese Distri bestenfalls virtualisieren. Bei Astaro soll das alles möglich sein, die haben sogar eigene AccessPoints die man mit deren Distribution verwalten kann. Also zentrale Firmware-Updates und Konfigurationsverwaltung. Bei mir im Heimgebrauch wären es erstmal 2 APs. Gibt es sowas auch auf OpenSource-Basis? Hatte mich mal eingelesen, RobinDash scheint die Lösung für nen WLAN-Controller zu sein. Gibt es da Erfahrungen? Bei Astaro ist zwar die Firewall kostenlos, aber die WLAN-Controller-Funktion plus 2 APs kostet schon a Bissel was. Bin mir nicht so sicher, ob ich so viel Geld privat ausgeben möchte.

Gibt es Alternativen?

Gruß Hoppel
 
@josen

Interessant, War mir nicht bekannt das die Leistungsunterschiede zwischen BSD und Linuxkernel bei der Verwendung von Padlock so gravierend sind.
Andererseits passt es auch wieder zu der etwas "konservativen" Hardwareunterstützung von BSD ^^
Klar lohnt sich im Prinzip der aufwand nicht einen Selbstbau auf die Beine zu stellen wenn man nur n bissel NAT damit betreiben möchte und nichtmal
großartig aufendige Policies erstellt aber vermutlich werden die Selbstbaurouter im Heimgebrauch genau dafür verwendet ^^
Soll ja auch für viele einfach nur eine Möglichkeit sein sich etwas weiterzubilden :)

@hoppel

Gibt es eigentlich irgendeine Distri die gleichzeitig noch nen WLAN-Controller integriert hat?
Zum Vergrößern anklicken....

Versteh ich nicht ganz möglicherweise wirfst du da etwas durcheinander ^^
WLAN Support ist in allen gängigen Firewall Distris von denen hier die Rede ist vorhanden. Bei PfSense einfach in die Hardware compatibility list schauenauf die das aktuelle Release basiert
Für die aktuelle PFSense Version wäre das FreeBSD 8.1

FreeBSD 8.1-RELEASE Hardware Notes

Allgemein dürfte das Thema Hardwaresupport bei auf Linux basierten Distris wesentlich unproblematischer sein. Verwaltung der WLAN APs über die UI ist natürlich ebenso möglich.
 
D€NNIS schrieb:
Versteh ich nicht ganz möglicherweise wirfst du da etwas durcheinander ^^
WLAN Support ist in allen gängigen Firewall Distris von denen hier die Rede ist vorhanden. Bei PfSense einfach in die Hardware compatibility list schauenauf die das aktuelle Release basiert
Für die aktuelle PFSense Version wäre das FreeBSD 8.1

FreeBSD 8.1-RELEASE Hardware Notes

Allgemein dürfte das Thema Hardwaresupport bei auf Linux basierten Distris wesentlich unproblematischer sein. Verwaltung der WLAN APs über die UI ist natürlich ebenso möglich.
Zum Vergrößern anklicken....

Hm..., bin mir jetzt nicht sicher, ob wir aneinander vorbei reden. Ich möchte gern 2 thinAPs außerhalb meines Servers betreiben, um das ganze Haus besser ausleuchten zu können. Nach Möglichkeit möchte ich mit einer integrierten WLAN-Controller-Funktion Firmwares für diese thinAPs bereitstellen und auch die Konfiguration soll nur zentral erstellt werden und dann automatisch auf meine AccessPoints verteilt werden. Diese APs sollten herkömmliche AP-Hardware verwenden, die aber an sich völlig dumm sind (thin), denn die Intelligenz liegt im Controller. Dies wird sonst auch bei Cisco für WLANs im Business-Umfeld oder auch bei Lancom verwendet. Ich rede nicht davon eine im Server eingebaute WLAN-Nic oder USB-WLAN etc. als AP zu verwenden.

Sowas ist mit Astaro möglich.

Ist sowas mit PFSense möglich? Welche AP-Hersteller werden supported? In deinem Link wird das nicht aufgeführt. Ich denke, wir haben aneinander vorbeigeredet, lasse mich aber gern eines besseren belehren. ;)
 
Zuletzt bearbeitet:
Da haben wir dann tatsächlich aneinander vorbeigeredet ^^
So eine zentrale WLAN Konfiguration wie von Dir beschrieben dürfte mit der PfSense GUI so nicht machbar sein.

Was geht ist halt Routing für verschiedene externe APs. Mit Captive Portal bietet PfSense auch eine gute Authentifizierungsoption mit Bandbreitenbeschränkung per user etc.
Meines Wissens nach bietet die PfSense GUI so etwas nicht "out of box" aber du kannst möglicherweise so etwas auf Konsolenebene manuell realisieren.
 
Zuletzt bearbeitet:
Hallo!

Interessanter Thread, Danke für die bisherigen Anregungen.

Betreibe seit längerem privat ein WRAP (+WLAN-Karte) mit m0n0wall.
Für meinen Internetzugang (10Mbit down/0,5Mbit up) (+WLAN) ist das Gerät ausreichend.

Nun möchte ich mein Heimnetz auf mehrere VLANs aufteilen und
trotzdem den vollen Durchsatz der internen "Gigabit Ethernet"-Verkabelung nutzen.

Als Software würde ich pfSense nehmen,
da wir es in der Arbeit einsetzen und ich daheim damit rumspielen will.

Nun bin ich auf der Suche nach der passenden Hardware.

Sie sollte die selben Vorteile wie mein altes WRAP haben:
- stromsparend
- "Metall"-Gehäuse statt Kunststoff (wirkt feuerschutztechnisch vertrauenswürdiger)
- keine beweglichen Teile (z.B. Lüfter, Festplatte)
- mindestens zwei Gigabit Interfaces
- Möglichkeit WLAN-Karte einzubauen
- Linux-/BSD-kompatibel

Laut pfSense-Durchsatz-Überlegungen brauche ich dafür eine > 3.0 GHz CPU?
Denke die CPU-Werte beziehen sich auf NAT-Durchsatz?
Routing und Paketfilter von einem VLAN ins andere sollten doch mit weniger CPU-Power auskommen?
Hat hier jemand von Euch Erfahrungswerte?

In meine nähere Auswahl sind natürlich die soekris net6501-Produkte gekommen,
weiss allerdings nicht, ob die von der Leistung reichen.

Eine Selbstbaulösung wäre natürlich günstiger, dürfte aber "ohne Lüfter" schnell zu heiss werden.

Weiss jemand, worin sich Intel D2500CC und Intel D2500CCE technisch unterscheiden?
(Ersteres scheint ein Auslaufmodell zu sein.)


Grüße
 
Ein Core2Duo mit 1,86GHz oder neuer sollte schon her mit PCIe Intel Gbit LAN NICs.
Der Atom dürfte schnell überfordert sein.
 
Zuletzt bearbeitet:
@bluesunset:
Danke für die Einschätzung.

Muss noch ein bisschen nach "Durchsatz"-Erfahrungsberichten suchen und
dann kucken, wie/ob ich meine Vorgaben mit Blick auf Preis/Leistung umsetzen kann.

Habe z.B. einen Forumseintrag gefunden,
bei dem jemand den Netzwerk-Durchsatz der soekris 6501-70 / 6501-50 testet.

Dabei kommen beindruckende 814 Mbits/sec zustande.

Allerdings ist der Versuchsaufbau nicht vergleichbar,
da kein Paketfilter aktiv ist und nicht durch das Gerät hindurch-geroutet wird.
 
Die Angaben auf der pfSense Homepage würde ich nicht auf die Goldwaage legen. Wie Du schon selber vermutest hast beziehen sich die Angaben auf den
NAT Throughput in einem repräsentativen Netzwerk d.h PfSense geht dabei sicherlich von mehreren Clients aus die NAT bedürfen als in einem privaten Netzwerk üblich ist.

Davon abgesehen hängt das Ganze natürlich auch sehr von dem Netzwerktraffic und weiteren Features ab.
Bei Filesharing wären u.U größere state tables von Nutzen und wenn VPN Verbindungen mit einem bestimmten Durchsatz gewünscht sind
wird sich das natürlich auch in der CPU Auslastung niederschlagen.

Pauschale Durchsatzangaben sind daher leider recht schwierig.
Von den "bezahlbaren", für den SoHo Bereich in Frage kommenden Appliances finde ich die Soekris aber auch sehr interessant.
Ansonsten mal im PfSense forum nachschauen bzw. in der Mailingliste.

Natürlich würde ich die Diskussion hier gerne fortführen und wenn Du eigene Durchsatzmessungen durchgeführt hast wäre ich sehr dankbar wenn Du diese hier kurz mal reinschreibst ;)
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh