Hardware Empfehlung Firewall

Preis: ~750€
Umfeld: Heimnetz
Krass... das liegt selbst bei meinen hohen Ansprüchen an eine Heimnetz-Firewall schon 200% über der Schmerzgrenze;) Mal eine Alix APU2 getestet? Einfach nur zum Vergleich?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Was habe ich den für einen Vorteil mit 4 LAN Ports? Bei IPFire kann man ja wie ich gelesen habe das Netzwerk in 4 Segmente einteilen.

Genau, man braucht pro Segment 1 LAN Schnittstelle (wie oben geschrieben heißen diese bei IPFire, GREEN: lokales Heimnetz, RED: Internet, BLUE: Wireless Clients, ORANGE: DMZ).
Was ich gelesen habe, geht es auch mit diversen Workarounds ohne explizite 4 LAN Ports alle Netze zur Verfügung zu stellen, aber das ist meiner Meinung nach nur Gefrimmel/Workaround und viel Zeit für nichts, wenn man im Vorhinein eine klare Vorstellung über die Netzstruktur hat.

Krass... das liegt selbst bei meinen hohen Ansprüchen an eine Heimnetz-Firewall schon 200% über der Schmerzgrenze;) Mal eine Alix APU2 getestet? Einfach nur zum Vergleich?

Leider nein, so etwas habe ich bei mir zu Hause nicht rumliegen :(
Vergleich wäre natürlich interessant ... mir ist auch klar, dass es preislich nicht attraktiv ist, aber das ist bei vielen Dingen so, man braucht auch keinen Sportwagen im Stadtverkehr :d
Hast du auf der Alix APU2 auch OpenVPN laufen? Wenn ja welche Performance weist der OpenSSL Test bei dir auf?
 
Hast du auf der Alix APU2 auch OpenVPN laufen? Wenn ja welche Performance weist der OpenSSL Test bei dir auf?
Ich habe noch eine alte Alix 2D3... aufgrund des eingebauten Crypto-Chips für 128bit AES Nutzung ist die Performance aber recht ordentlich. Messungen dazu findet man aber sicher auch im Internet. Ob die APU2 einen ähnlichen Cryptochip hat bzw. ob die Performance schon über CPU ausreicht, weiß ich leider nicht.
 
Ich habe hier im pfSense Forum einen Speed Test eines Alix Apu2 Boards unter pfSense 2.3-RC - FreeBSD 10.3 - OpenSSL 1.0.1s gefunden, welcher unter den selben Voraussetzungen ausgeführt (AES-NI Kernel Modul nicht geladen und OpenSSL intern wird es trotzdem verwendet):

Code:
openssl speed -elapsed -evp aes-128-cbc
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128-cbc     118951.32k   174348.44k   215569.58k   226972.33k   229908.48k

openssl speed -elapsed -evp aes-256-cbc
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-256-cbc     100858.39k   136414.06k   157968.73k   164130.47k   166958.42k


Hier die selben Tests auf meinem IPFire System (IPFire 2.19 (i586) - Core Update 100), unter den gleichen Voraussetzungen, hier sind die AES-NI Module im Kernel ebenfalls nicht vorhanden, sondern werden nur von OpenSSL dynamisch geladen:

Code:
 openssl speed -elapsed -evp aes-128-cbc
OpenSSL 1.0.2g  1 Mar 2016
built on: reproducible build, date unspecified
options:bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) aes(partial) blowfish(idx)
compiler: gcc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DZLIB_SHARED -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DSSL_FORBID_ENULL -DL_ENDIAN -O2 -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fPIC -fstack-protector-all --param=ssp-buffer-size=4 -march=i686 -mmmx -msse -msse2 -mfpmath=sse -fomit-frame-pointer -DPURIFY -Wall -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-128-cbc     188891.72k   308000.30k   382960.21k   406932.48k   415034.03k

openssl speed -elapsed -evp aes-256-cbc
OpenSSL 1.0.2g  1 Mar 2016
built on: reproducible build, date unspecified
options:bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) aes(partial) blowfish(idx)
compiler: gcc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DZLIB_SHARED -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DSSL_FORBID_ENULL -DL_ENDIAN -O2 -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fPIC -fstack-protector-all --param=ssp-buffer-size=4 -march=i686 -mmmx -msse -msse2 -mfpmath=sse -fomit-frame-pointer -DPURIFY -Wall -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
aes-256-cbc     160444.19k   235246.34k   280396.97k   294554.62k   298595.67k

Edit: Just4Interest: Da vor kurzem eine echte 64-Bit Version von IPFire rauskam, habe ich jetzt auf IPFire 2.19 (x86_64) - Core Update 100 geupdatet, die Benchmark-Werte für OpenSSL blieben dabei gleich.
 
Zuletzt bearbeitet:
Die AMD CPU in der APU2 kann AES-NI, einen extra Kryptochip braucht es also nicht mehr. Ich warte momentan noch ein bisschen, bis die apu2c voll ausgereift ist.
 
Genau, man braucht pro Segment 1 LAN Schnittstelle (wie oben geschrieben heißen diese bei IPFire, GREEN: lokales Heimnetz, RED: Internet, BLUE: Wireless Clients, ORANGE: DMZ).
Was ich gelesen habe, geht es auch mit diversen Workarounds ohne explizite 4 LAN Ports alle Netze zur Verfügung zu stellen, aber das ist meiner Meinung nach nur Gefrimmel/Workaround und viel Zeit für nichts, wenn man im Vorhinein eine klare Vorstellung über die Netzstruktur hat.

Hm, selbst die großen Hardwarefirewalls arbeiten ohne Probleme mit VLANs - wenn einem die 4 Netze reichen - schön - ich hab aktuell 7 und das werden sicher noch mehr ;)
ich würde vlt. eher bei der Wahl der Anschlüsse aufpassen, je nachdem was benötigt wird, bzw. wie die Netz-Struktur aussieht, WAN auf das eine Interface und LAN+WLAN+DMZ per vlan auf das andere Interface, smartmanaged Switche, welche die vlan-konfiguration bieten, gibt es ja schon für schmales Geld...

Daher finde ich selbst die 750€ etwas oversized - Wenn man einen guten Distri hat, oder dort jemand kennt, bekommt man ne Cisco-ASA 5505 als refurbished mit Garantie für um die 500€... oder was neueres für auch nicht soviel mehr, bei 3 Jahren Wartung NBD...
 
Das Ding hat sogar Intel NICS. Schade, wäre genau das, wonach ich schon lange suche, aber der Celeron J1900 kann kein AES-NI und das ist für mich ein Ausschlusskriterium.
 
Das Ding hat sogar Intel NICS. Schade, wäre genau das, wonach ich schon lange suche, aber der Celeron J1900 kann kein AES-NI und das ist für mich ein Ausschlusskriterium.

Eine Alternative ist der AMD A4-5000 (zB HIER). Ein Vierkerner mit AES-NI und sehr sparsam (max. 12 Watt). Dazu ein bisschen RAM und eine 2- oder 4-fach Intel NIC aus der Bucht und fertig.
 
Der Zotac hat halt nur zwei NICS, das ist ein bisschen wenig für eine Firewall und lässt sich vermutlich auch nicht erweitern. Der AMD sieht gut aus. Den hatte ich bisher nicht so richtig auf dem Radar, obwohl ich schon seit letztem Jahr das fitlet-X ansuchte. Die fitlets finde ich aber zu teuer. Schade dass es den AMD nicht gleich als Thin-Mini-ITX gibt bzw. da gab's doch irgendein Nachfolgeformat, das nicht aus den Pötten kommt. Sollte man vielleicht mal noch ein bisschen bei Aliexpress schauen. NICs hatte ich bisher nur nach neuen Karten geschaut und die fand ich auch ziemlich heftig gepreist, aber stimmt, die Bucht ist natürlich eine Option.
 
Der Zotac hat halt nur zwei NICS, das ist ein bisschen wenig für eine Firewall und lässt sich vermutlich auch nicht erweitern. Der AMD sieht gut aus. Den hatte ich bisher nicht so richtig auf dem Radar, obwohl ich schon seit letztem Jahr das fitlet-X ansuchte. Die fitlets finde ich aber zu teuer. Schade dass es den AMD nicht gleich als Thin-Mini-ITX gibt bzw. da gab's doch irgendein Nachfolgeformat, das nicht aus den Pötten kommt. Sollte man vielleicht mal noch ein bisschen bei Aliexpress schauen. NICs hatte ich bisher nur nach neuen Karten geschaut und die fand ich auch ziemlich heftig gepreist, aber stimmt, die Bucht ist natürlich eine Option.

Ja NICs mit 4 Ports können Neu ins Geld gehen. Wie gesagt teilweise gibt es schnäppchen in der Bucht.. einfach mal nach Intel Pro 1000 suchen. Andere Hersteller tuen es zwar auch aber bei Intel ist man auf der richtigen Seite um Kompatiblitätsprobleme zu vermeiden.
 
Moin,

Die AMD CPU in der APU2 kann AES-NI, einen extra Kryptochip braucht es also nicht mehr. Ich warte momentan noch ein bisschen, bis die apu2c voll ausgereift ist.

ich bin vor kurzem von der APU 1D4 auf APU 2C4 umgestiegen, und kann nicht klagen, es läuft wie geschmiert, das pfSense Management Interface ist deutlich fixer als mit der APU1. Probleme:0, Kleinigkeit: Die CPU Temperatur läßt sich momentan mit pfSense nicht auslesen :sick:

-teddy
 
@magicteddy
pfSense kann man seit 2-3 Jahren auch nicht mehr brauchen (IMHO), lieber ein cleanes BSD und alles per Config-Files konfigurieren,
wenn man den Datendurchsatz braucht.
Privat und SoHo installationen mache ich nur noch mit iPFire, hab da viel weniger Probleme und aktuelle Pakete.
 
Moin,

ich habe pfSense auf insgesamt 4 Kisten am Laufen (Lokal APU2 und VM, @Work & @Kumpel, stressfrei.
Aber da meine Quadport Karte mittlerweile im Server verbaut ist kann ich mir IPFire mal anschauen, eine VM ist ja schnell aufgesetzt wenn ich mal ganz viel Zeit habe will ich mir auch vyos mal zu Gemüte führen.

@Shiga: Da Du ja anscheinend fit in Sachen IPFire bist: Ich brauche mehr als 4 Interfaces, teilweise mit VLans, stressfrei machbar oder Umstand?

-teddy
 
Zuletzt bearbeitet:
Hat jemand den Qotom-Q190G4 mit den 4 Intel NICs schon im Einsatz? Bin zuerst auch auf die Zotac Box gestoßen, hab aber eigentlich eher vernommen, dass man sich generell von Realtek Nics fernhalten soll...
 
Das denke ich auch! Gibts auch im dt. Amazon-shop -> https://www.amazon.de/dp/B01GBHC62K/
aber bitte das nicht vergessen. Kann aber auch sein, dass das schon vom Versender beglichen wird. Ansonsten gibts auch viele von denen bei Ali-Express

Danke, habs nun über SpreeNow.com bestellt. (Schon öfters von dort erfolgreich und ohne Probleme bestellt, bestelle aber ansonsten auch viel über aliexpress.


Edit: Url Beschreibung auf leserlich geändert :)
 
Zuletzt bearbeitet:
da zu bestellen wäre mir zu suspekt :confused: aber ..

ich bin auch auf den Geschmack gekommen aber mit dem Prio: esxi zu installieren. Jemand von euch hat geschrieben das es gehen würde.
Sind die Spezifikationen von dem Celeron nicht ein KO Kriterium?

Gruß
 
Läuft da auch die Sophos UTM vernünftig drauf?
Oder gibt es da eine andere Empfehlung im Bereich bis ca. 200€?
 
Gib mal laut was nach steuern noch bei rumgekommen ist. Danke!


Gesendet vom iPhone mit Tapatalk

Wollte mich nochmals melden :)

Paket kam am Donnerstag den 8.9. an. Hinzugekommen sind 21,81€ an Zollgebühren. Produkt wurde mit 66,52USD ausgeschrieben.

Somit bin ich nun auf hochgerundet bei 173€ für das Gerät.

Weitere Ausgaben sind 36€ für den 8GB RAM und 40€ für die 64gb SSD.

Also ingesamt 249€ für diese nette Hardware Firewall.

Hab mich bereits ein wenig mit Sophos UTM virtuell auseinandergesetzt und werde nach ersten Erfahrungen wohl auch bei dem OS bleiben. Hab zwar sonst keine Erfahrungen aber glaube nicht, dass ipfire oder pfsense einfacher zu verwalten wären. Werd ich mir aber noch anschauen :)

lg
 
Zuletzt bearbeitet:
Hat jemand vielleicht direkte Erfahrungen zwischen den einzelnen FW Distris und kann ein wenig darüber berichten in Punkto, Oberfläche, Einfachheit der Konfiguration, Update(problematik)?

Denke da speziell an Sophos UTM, Sophos XG Home, pFsense, ipfire, untangle.

lg
 
nicht mit allen, aber pfsense und ipfire (Sophos utm einmal ausprobiert) ...

ipfire ist imho "einfacher" und pfsense "umfangreicher"

vergiss bitte aber nicht https://opnsense.org/ (fancy)

... wenn man was nutzen will, das einem im leben später was bringt ist pfsense + Zeit die Wahl
 
Zuletzt bearbeitet:
Danke dir, werde mir wohl oder übel auch pfsense und opnsense zu Gemüte führen :) Was mir bei pfsense von anfang an besser gefiel ist die einteilung von zonen also wan lan wlan dmz usw. Geht bei Sophos zwar auch aber ist ein wenig umständlicher.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh