Firewall (pfSense) selbst bauen oder virtualisieren

E

esquire1968

Experte
Thread Starter
Mitglied seit
30.03.2015
Beiträge
170
Hallo zusammen!

Da meine Firewall Hardware (Lanner FW-7541) schon etwas in die Jahre gekommen ist und darüber hinaus AES-NI nicht unterstützt, suche ich langsam nach Ersatz. Die günstigste Rackmount Lösung von Netgate kostet 1000 €. Daher mein Gedanke das Teil selbst zu bauen. Im Netz habe ich dazu allerdings nicht allzuviel gefunden.

Ich habe mir mal folgende Konfiguration zusammengestellt und würde gerne Eure Meinung dazu hören.

Code: 
Mainboard ... Supermicro A2SDi-4C-HLN4F retail ....................... 310,20
RAM ......... Crucial DIMM Kit 8GB, DDR4-2133, CL15, reg ECC ......... 105,45
SSD ......... Intel SSD 760p 128GB, M.2 ..............................  62,86
Gehäuse ..... Yakkaroo 19" 1HE Server-Gehäuse IPC-C125B incl. 250W ... 139,90

In Summe komme ich damit auf rund 600 €, also deutlich weniger.

Alternativ überlege ich statt einer eigenen Hardware die Firewall zu virtualisieren - einen entsprechend ausgestatteten Server habe ich, der auch noch genug Reserven hätte. Was spricht dafür/dagegen?

Danke schon mal für Eure Tipps.

Beste Grüße
Thomas
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
...gegen virtualisieren spricht mMn nur, wenn Du an Deinem Server oft mal bastelst und ihn dafür ausschalten musst...in der Zeit hat dann niemand Zugriff auf die Netzwerkressourcen, die vom pfsense verwaltet werden...beim I-Net ist das auf jeden Fall der WAF Killer ;-)

Ansonsten wird es da eher günstiger, wobei ich nur "echte" NICs nehmen würde, also per vt-d durchreichen (würde zB in eine I350-T Quad investieren, gebraucht um die 60EUR).
Habe es selbst so, aber mit einem MikroTik CHR, laufen.
 
Ist schon ein Argument. WAF-Killer?

6 echte NICs hätte ich.
 
Wife Acceptance Factor - WAF - wird bei so einer Aktion gegen NULL gehen...Du bastelst und freust Dich, während die Familie den Lynchmob rausholt.
Für solche Aktionen habe ich immer noch eine "echten" Mikrotik mit der gleichen Config im Regal...muss ich nur 4 Ports umstecken und kann basteln...brauche ich aber nur so 1x alle zwei Jahre ;.-)

...mehr als 4-5NICs brauchst Du im Router nicht...gibt ja auch noch VLANs als Möglichkeit...dem Server selbst würde ich immer mind. eine echte NIC lassen, je nachdem wieviele Netzsegmente der bedient und zB VLANs auf einem NIC nicht genug Bandbeite für alle zulassen würden.
 
WAF :lol: kannte ich nicht ...

Naja, die "alte" pfSense gibt's ja weiter. Wenn ich das anständig aufsetze, muss ich nur das WAN Kabel umstecken.
Wenn ich richtig verstehe, wäre die Empfehlung Virtualisieren?
 
Wenn Geld und auch Stromverbrauch (und evtl. Geräuschpegel bei einem 1HE) keine Rolle spielen, dann nimm die Hardware Lösung...da bist Du was Security und Verfügbarkeit angeht auf der sicheren Seite.
Virtualisieren dann, wenn Du andere Prios hast.

Bei mir musste ein kleiner Server her (die grossen laufen nur bei Bedarf, wegen Strom/Lautstärek = WAF) um diverse ARM basierte Gizmos im Haus zu ersetzen.
Da der damit 24x7 lief und (immerhin nur) 11W im idle zieht, konnte ich mit dem virtualisierten Mikrotik 5-6W wieder einsparen ;-)...und mit den drei RPis und Odroids weitere 12W...also bin ich im Plus, inkl. zentraler Verwaltung aller Services der "alten" Geräte.
Für mich ein Gewinn....muss aber jeder selbst entscheiden.
 
eine primäre FW sollte man nicht virtualisieren, wenn nur um nachfolgende Routing / FW fpr teilbereiche geht, ist das was anderes
 
esquire1968 schrieb:
OK! Macht die Konfig Sinn?
Zum Vergrößern anklicken....

Ich bin von den Atom Proz nach wie vor nicht überzeugt....die konnten früher nicht richtig runtertakten...waren immer stromsparend, aber immer gleich.
Wenn Deine FW immer viel zu tun hat, OK, aber wenn sie oft im idle ist, würde ich eher auf einen "richtigen" Prozessor gehen...viel braucht es da nicht, mit AES und ECC Support halt...

Board aus der Auswahl...hat schon 2xLAN: Intel Xeon mit Formfaktor: Mini-ITX, PCIe 3.0 x4 oder htzung Preisvergleich Geizhals Deutschland ...und mind 1x PCIex4 für eine weitere I350-T Quad....zB...

Edit: Mein Favorit wäre das SM Board: Supermicro X11SSH-LN4F retail ab Preisvergleich Geizhals Deutschland (microATX, 4x LAN) mit Intel Pentium Gold G4560, 2x 3.50GHz, boxed ab Preisvergleich Geizhals Deutschland (AES, ECC*und* HT für unter 50EUR)...da hast Du Reserven gegenüber dem Atom.
 
Zuletzt bearbeitet:
..ja, gibt es ja auch was von MikroTik (Hex-S: MikroTik RouterBOARD hEX S aber nicht pfsense....dafür muss man eben selbst bauen.
Wenn man nicht irrsinnige Connections/Sec in der FW hat, wird so ein Ubiquiti oder MikroTik locker reichen und viel günstiger wegkommen...aber das weiss nur der TE.
 
ich kenn die Preise von Pokini nicht, aber das FS6 das ich hier hatte, machte nen Soliden Eindruck - war zwar ein anderes Einsatzgebiet...

Aber die IPCs werde ich mir Beruflich demnächst auch mal anschauen und anbieten lassen.
 
Hab jetzt Mal ne ZOTAC ZBox bestellt. Lag bei um die 180€. Hat zwei LAN Ports und der Celeron hat auch AES...
 
MiB2001 schrieb:
Der Ansatz ist da wohl richtig.

Wenn jedoch eine NIC, natürlich ab 2 Ports, direkt durchgereicht wird ist es vollkommen egal ob die Firewall virtualisiert wird oder nicht.
Dann geht nicht ein Paket durch das Hostsystem.
Darum ist dann die Diskussion überflüssig.
Zum Vergrößern anklicken....

dann lies mal die VM anfälligkeit der Intels :)

ich will meine PRIMÄRE FW nicht in einer VM haben (nichtmal auf BSD)
 
Zuletzt bearbeitet:
Ich habe unsere momentan auf einem Dell R620 mit Hyper V virtualisiert. Läuft prinzipiell sehr gut.
Außer das unsere Unitymedia Leitung echt instabil ist zur Zeit. Hoffe immer inständig, dass das nix mit dem Hyper V zu tun hat. ;)
Neue Hardware ist aber bestellt. Da werde ich die pfSense nativ installieren.
 
pumuckel schrieb:
dann lies mal die VM anfälligkeit der Intels :)

ich will meine PRIMÄRE FW nicht in einer VM haben (nichtmal auf BSD)
Zum Vergrößern anklicken....

Einigen wir uns einfach darauf das es keine 100%ige Sicherheit gibt. Egal wie, es gibt immer eine Möglichkeit.

Ob es nun eine dedizierte FW ist wo keiner den code kennt, der ggf. komprottimiert ist, eine FW die so super vom user konfiguriert ist das man auch gleich keine mehr benötigt usw. usw.
Das beste ist Kabel draussen lassen.
 
Zuletzt bearbeitet:
MiB2001 schrieb:
Einigen wir uns einfach darauf das es keine 100%ige Sicherheit gibt. Egal wie, es gibt immer eine Möglichkeit.

Ob es nun eine dedizierte FW ist wo keiner den code kennt, der ggf. komprottimiert ist, eine FW die so super vom user konfiguriert ist das man auch gleich keine mehr benötigt usw. usw.
Das beste ist Kabel draussen lassen.
Zum Vergrößern anklicken....

jup, die beste FW ist immernoch der Airgap :)
 
Veto! Bei WLAN steckt auch kein Kabel und dat is trotzdem unsicher! :d
 
Du kannst auch eine https://store.netgate.com/SG-3100.aspx nutzen.
In der alten Firma hatte ich selber eine pfSense auf einen "normalen" Rechner aufgesetzt und für die Außenstelle eine Aplliance gekauft.
War mit beiden Lösungen zufrieden aber bei der Netgate musste ich am Anfang das Update über die CLI machen, anders gab es Fehler.
 
OK, dann scheidet Virtualisierung der FW aus.

pfSense ist für mich allerdings eine Bedingung. Nicht zuletzt auf Grund der vielen Anwendungen die ich verwende (pfBlocker, Snort, Radius Server, OpenVPN, IPsec, Captive Portal) und die alle sampt perfekt laufen.

Daher noch immer die Frage nach der geeigneten Hardware ...
 
Meine neue 19" Hardware ist gerade noch auf dem Weg. Dann kann ich dir da noch mehr sagen. Die kleine Zotac Box sollte auch Montag da sein.
Aber gegen deine Auswahl spricht doch eigentlich nix. Vielleicht reichen auch 4GB aber da kommts ja nun auch nicht drauf an, oder?

Mal ne Frage zu deinem RADIUS Server. Ist der mit einem AD gekoppelt? Und hast du da irgendwo eine gute Anleitung bereitliegen?
 
Ram kostet nicht all zu viel - daher zuviel gibt es ja nicht ;)
Nein, mein Radius Server ist nicht mit AD gekoppelt - sorry.
 
Zuletzt bearbeitet:
Kann mir jemand sagen, was eine separate Hardwarefirewall hinter einer meist vorhandenen Hardwarefirewall im Modem(oft eine Fritzbox) bringt? Mehr Sicherheit? Mehr Kontrolle?
 
Bei mir ist das Modem nur ein Modem, d. h. alle FW-Funktionalitäten ausgeschaltet. Die FW (in meinem Fall pfSense) über nimmt die Einwahl, NAT usw.
pfSense bietet viel mehr Möglichkeiten hinsicht FW-Regelwerk sowie zusätzliche Sicherheits-Features wie z. B. Snort, pfBlockerNG etc. - somit (für mich) mehr Sicherheit und Kontrolle.
Weiters managed die FW OpenVPN, IPsec, Captive Portal, Radius Server, Proxy wenn gewünscht, VLANs ...
Ganz abgesehen von der Möglichkeit mehrere getrennte Netze zu betreiben ...
 
Die Fritzbox macht ja quasi nur NAT. Mit der pfSense kannst du auch Datenverkehr von innen nach außen unterbinden bzw einschränken was mit der Fritzbox ja nicht geht. Ebenso Paketfilter wie Snort sind mit der Fritzbox nicht machbar.
 
Anmelden, um zu antworten.

Ähnliche Themen

AliManali
19" Selbstbau Firewall, max 3HE
2 3
Antworten
80
Aufrufe
6K
pwnbert
pwnbert
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh