Hardware Empfehlung Firewall
- Ersteller McTNT
- Erstellt am
Genau, man braucht pro Segment 1 LAN Schnittstelle (wie oben geschrieben heißen diese bei IPFire, GREEN: lokales Heimnetz, RED: Internet, BLUE: Wireless Clients, ORANGE: DMZ).
Was ich gelesen habe, geht es auch mit diversen Workarounds ohne explizite 4 LAN Ports alle Netze zur Verfügung zu stellen, aber das ist meiner Meinung nach nur Gefrimmel/Workaround und viel Zeit für nichts, wenn man im Vorhinein eine klare Vorstellung über die Netzstruktur hat.
Krass... das liegt selbst bei meinen hohen Ansprüchen an eine Heimnetz-Firewall schon 200% über der SchmerzgrenzeMal eine Alix APU2 getestet? Einfach nur zum Vergleich?
Leider nein, so etwas habe ich bei mir zu Hause nicht rumliegen
Vergleich wäre natürlich interessant ... mir ist auch klar, dass es preislich nicht attraktiv ist, aber das ist bei vielen Dingen so, man braucht auch keinen Sportwagen im Stadtverkehr
Hast du auf der Alix APU2 auch OpenVPN laufen? Wenn ja welche Performance weist der OpenSSL Test bei dir auf?
Ich habe noch eine alte Alix 2D3... aufgrund des eingebauten Crypto-Chips für 128bit AES Nutzung ist die Performance aber recht ordentlich. Messungen dazu findet man aber sicher auch im Internet. Ob die APU2 einen ähnlichen Cryptochip hat bzw. ob die Performance schon über CPU ausreicht, weiß ich leider nicht.
Ich habe hier im pfSense Forum einen Speed Test eines Alix Apu2 Boards unter pfSense 2.3-RC - FreeBSD 10.3 - OpenSSL 1.0.1s gefunden, welcher unter den selben Voraussetzungen ausgeführt (AES-NI Kernel Modul nicht geladen und OpenSSL intern wird es trotzdem verwendet):
Hier die selben Tests auf meinem IPFire System (IPFire 2.19 (i586) - Core Update 100), unter den gleichen Voraussetzungen, hier sind die AES-NI Module im Kernel ebenfalls nicht vorhanden, sondern werden nur von OpenSSL dynamisch geladen:
Edit: Just4Interest: Da vor kurzem eine echte 64-Bit Version von IPFire rauskam, habe ich jetzt auf IPFire 2.19 (x86_64) - Core Update 100 geupdatet, die Benchmark-Werte für OpenSSL blieben dabei gleich.
Code:
openssl speed -elapsed -evp aes-128-cbc
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128-cbc 118951.32k 174348.44k 215569.58k 226972.33k 229908.48k
openssl speed -elapsed -evp aes-256-cbc
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256-cbc 100858.39k 136414.06k 157968.73k 164130.47k 166958.42kHier die selben Tests auf meinem IPFire System (IPFire 2.19 (i586) - Core Update 100), unter den gleichen Voraussetzungen, hier sind die AES-NI Module im Kernel ebenfalls nicht vorhanden, sondern werden nur von OpenSSL dynamisch geladen:
Code:
openssl speed -elapsed -evp aes-128-cbc
OpenSSL 1.0.2g 1 Mar 2016
built on: reproducible build, date unspecified
options:bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) aes(partial) blowfish(idx)
compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB_SHARED -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DSSL_FORBID_ENULL -DL_ENDIAN -O2 -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fPIC -fstack-protector-all --param=ssp-buffer-size=4 -march=i686 -mmmx -msse -msse2 -mfpmath=sse -fomit-frame-pointer -DPURIFY -Wall -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128-cbc 188891.72k 308000.30k 382960.21k 406932.48k 415034.03k
openssl speed -elapsed -evp aes-256-cbc
OpenSSL 1.0.2g 1 Mar 2016
built on: reproducible build, date unspecified
options:bn(64,32) md2(int) rc4(8x,mmx) des(ptr,risc1,16,long) aes(partial) blowfish(idx)
compiler: gcc -I. -I.. -I../include -fPIC -DOPENSSL_PIC -DZLIB_SHARED -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DSSL_FORBID_ENULL -DL_ENDIAN -O2 -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fPIC -fstack-protector-all --param=ssp-buffer-size=4 -march=i686 -mmmx -msse -msse2 -mfpmath=sse -fomit-frame-pointer -DPURIFY -Wall -DOPENSSL_BN_ASM_PART_WORDS -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DRMD160_ASM -DAES_ASM -DVPAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256-cbc 160444.19k 235246.34k 280396.97k 294554.62k 298595.67kEdit: Just4Interest: Da vor kurzem eine echte 64-Bit Version von IPFire rauskam, habe ich jetzt auf IPFire 2.19 (x86_64) - Core Update 100 geupdatet, die Benchmark-Werte für OpenSSL blieben dabei gleich.
Zuletzt bearbeitet:
konfetti
Urgestein
Hm, selbst die großen Hardwarefirewalls arbeiten ohne Probleme mit VLANs - wenn einem die 4 Netze reichen - schön - ich hab aktuell 7 und das werden sicher noch mehr
ich würde vlt. eher bei der Wahl der Anschlüsse aufpassen, je nachdem was benötigt wird, bzw. wie die Netz-Struktur aussieht, WAN auf das eine Interface und LAN+WLAN+DMZ per vlan auf das andere Interface, smartmanaged Switche, welche die vlan-konfiguration bieten, gibt es ja schon für schmales Geld...
Daher finde ich selbst die 750€ etwas oversized - Wenn man einen guten Distri hat, oder dort jemand kennt, bekommt man ne Cisco-ASA 5505 als refurbished mit Garantie für um die 500€... oder was neueres für auch nicht soviel mehr, bei 3 Jahren Wartung NBD...
schau mal hier, aber kennst du vll. sogar schon https://www.zotac.com/de/product/mini_pcs/zbox-ci323-nano
Zuletzt bearbeitet:
Eine Alternative ist der AMD A4-5000 (zB HIER). Ein Vierkerner mit AES-NI und sehr sparsam (max. 12 Watt). Dazu ein bisschen RAM und eine 2- oder 4-fach Intel NIC aus der Bucht und fertig.
Der Zotac hat halt nur zwei NICS, das ist ein bisschen wenig für eine Firewall und lässt sich vermutlich auch nicht erweitern. Der AMD sieht gut aus. Den hatte ich bisher nicht so richtig auf dem Radar, obwohl ich schon seit letztem Jahr das fitlet-X ansuchte. Die fitlets finde ich aber zu teuer. Schade dass es den AMD nicht gleich als Thin-Mini-ITX gibt bzw. da gab's doch irgendein Nachfolgeformat, das nicht aus den Pötten kommt. Sollte man vielleicht mal noch ein bisschen bei Aliexpress schauen. NICs hatte ich bisher nur nach neuen Karten geschaut und die fand ich auch ziemlich heftig gepreist, aber stimmt, die Bucht ist natürlich eine Option.
Ja NICs mit 4 Ports können Neu ins Geld gehen. Wie gesagt teilweise gibt es schnäppchen in der Bucht.. einfach mal nach Intel Pro 1000 suchen. Andere Hersteller tuen es zwar auch aber bei Intel ist man auf der richtigen Seite um Kompatiblitätsprobleme zu vermeiden.
also eine 4-Port Intel NIC LowProfile kostet 90€ plus Board, Gehäuse, SSD und RAM 250€, dann doch lieber eine fertige und kleine aber feiner Lösung.
magicteddy
Experte
Moin,
ich bin vor kurzem von der APU 1D4 auf APU 2C4 umgestiegen, und kann nicht klagen, es läuft wie geschmiert, das pfSense Management Interface ist deutlich fixer als mit der APU1. Probleme:0, Kleinigkeit: Die CPU Temperatur läßt sich momentan mit pfSense nicht auslesen
-teddy
ich bin vor kurzem von der APU 1D4 auf APU 2C4 umgestiegen, und kann nicht klagen, es läuft wie geschmiert, das pfSense Management Interface ist deutlich fixer als mit der APU1. Probleme:0, Kleinigkeit: Die CPU Temperatur läßt sich momentan mit pfSense nicht auslesen
-teddy
Shiga
Enthusiast
- Mitglied seit
- 26.05.2006
- Beiträge
- 1.358
@magicteddy
pfSense kann man seit 2-3 Jahren auch nicht mehr brauchen (IMHO), lieber ein cleanes BSD und alles per Config-Files konfigurieren,
wenn man den Datendurchsatz braucht.
Privat und SoHo installationen mache ich nur noch mit iPFire, hab da viel weniger Probleme und aktuelle Pakete.
pfSense kann man seit 2-3 Jahren auch nicht mehr brauchen (IMHO), lieber ein cleanes BSD und alles per Config-Files konfigurieren,
wenn man den Datendurchsatz braucht.
Privat und SoHo installationen mache ich nur noch mit iPFire, hab da viel weniger Probleme und aktuelle Pakete.
magicteddy
Experte
Moin,
ich habe pfSense auf insgesamt 4 Kisten am Laufen (Lokal APU2 und VM, @Work & @Kumpel, stressfrei.
Aber da meine Quadport Karte mittlerweile im Server verbaut ist kann ich mir IPFire mal anschauen, eine VM ist ja schnell aufgesetzt wenn ich mal ganz viel Zeit habe will ich mir auch vyos mal zu Gemüte führen.
@Shiga: Da Du ja anscheinend fit in Sachen IPFire bist: Ich brauche mehr als 4 Interfaces, teilweise mit VLans, stressfrei machbar oder Umstand?
-teddy
ich habe pfSense auf insgesamt 4 Kisten am Laufen (Lokal APU2 und VM, @Work & @Kumpel, stressfrei.
Aber da meine Quadport Karte mittlerweile im Server verbaut ist kann ich mir IPFire mal anschauen, eine VM ist ja schnell aufgesetzt wenn ich mal ganz viel Zeit habe will ich mir auch vyos mal zu Gemüte führen.
@Shiga: Da Du ja anscheinend fit in Sachen IPFire bist: Ich brauche mehr als 4 Interfaces, teilweise mit VLans, stressfrei machbar oder Umstand?
-teddy
Zuletzt bearbeitet:
Ist derzeit wohl "die" beste Firewall Lösung wenn man nicht auf AES-NI angewiesen ist
Danke für die Links.Das denke ich auch! Gibts auch im dt. Amazon-shop -> https://www.amazon.de/dp/B01GBHC62K/
aber bitte das nicht vergessen. Kann aber auch sein, dass das schon vom Versender beglichen wird. Ansonsten gibts auch viele von denen bei Ali-Express
Danke, habs nun über SpreeNow.com bestellt. (Schon öfters von dort erfolgreich und ohne Probleme bestellt, bestelle aber ansonsten auch viel über aliexpress.
Edit: Url Beschreibung auf leserlich geändert
Zuletzt bearbeitet:
Danke, habs nun über SpreeNow.com bestellt. (Schon öfters von dort erfolgreich und ohne Probleme bestellt, bestelle aber ansonsten auch viel über aliexpress.
Edit: Url Beschreibung auf leserlich geändert
Was hast du jetzt effektiv bezahlt?
da zu bestellen wäre mir zu suspekt 
aber ..
ich bin auch auf den Geschmack gekommen aber mit dem Prio: esxi zu installieren. Jemand von euch hat geschrieben das es gehen würde.
Sind die Spezifikationen von dem Celeron nicht ein KO Kriterium?
Gruß
aber ..ich bin auch auf den Geschmack gekommen aber mit dem Prio: esxi zu installieren. Jemand von euch hat geschrieben das es gehen würde.
Sind die Spezifikationen von dem Celeron nicht ein KO Kriterium?
Gruß
Derzeit sind es ca 150 USD also hochgerechnet 135€.
Edit: Kleines Update: Int. Versandkosten von 16€ sind dazugekommen somit bin ich auf 151€.
Zuletzt bearbeitet:
Gib mal laut was nach steuern noch bei rumgekommen ist. Danke!
Gesendet vom iPhone mit Tapatalk
Holzlenkrad
Neuling
- Mitglied seit
- 21.10.2013
- Beiträge
- 84
Läuft da auch die Sophos UTM vernünftig drauf?
Oder gibt es da eine andere Empfehlung im Bereich bis ca. 200€?
Oder gibt es da eine andere Empfehlung im Bereich bis ca. 200€?
Wollte mich nochmals melden
Paket kam am Donnerstag den 8.9. an. Hinzugekommen sind 21,81€ an Zollgebühren. Produkt wurde mit 66,52USD ausgeschrieben.
Somit bin ich nun auf hochgerundet bei 173€ für das Gerät.
Weitere Ausgaben sind 36€ für den 8GB RAM und 40€ für die 64gb SSD.
Also ingesamt 249€ für diese nette Hardware Firewall.
Hab mich bereits ein wenig mit Sophos UTM virtuell auseinandergesetzt und werde nach ersten Erfahrungen wohl auch bei dem OS bleiben. Hab zwar sonst keine Erfahrungen aber glaube nicht, dass ipfire oder pfsense einfacher zu verwalten wären. Werd ich mir aber noch anschauen
lg
Zuletzt bearbeitet:
Hat jemand vielleicht direkte Erfahrungen zwischen den einzelnen FW Distris und kann ein wenig darüber berichten in Punkto, Oberfläche, Einfachheit der Konfiguration, Update(problematik)?
Denke da speziell an Sophos UTM, Sophos XG Home, pFsense, ipfire, untangle.
lg
Denke da speziell an Sophos UTM, Sophos XG Home, pFsense, ipfire, untangle.
lg
nicht mit allen, aber pfsense und ipfire (Sophos utm einmal ausprobiert) ...
ipfire ist imho "einfacher" und pfsense "umfangreicher"
vergiss bitte aber nicht https://opnsense.org/ (fancy)
... wenn man was nutzen will, das einem im leben später was bringt ist pfsense + Zeit die Wahl
ipfire ist imho "einfacher" und pfsense "umfangreicher"
vergiss bitte aber nicht https://opnsense.org/ (fancy)
... wenn man was nutzen will, das einem im leben später was bringt ist pfsense + Zeit die Wahl
Zuletzt bearbeitet:
Danke dir, werde mir wohl oder übel auch pfsense und opnsense zu Gemüte führen Was mir bei pfsense von anfang an besser gefiel ist die einteilung von zonen also wan lan wlan dmz usw. Geht bei Sophos zwar auch aber ist ein wenig umständlicher.
Was mir bei pfsense von anfang an besser gefiel ist die einteilung von zonen also wan lan wlan dmz usw. Geht bei Sophos zwar auch aber ist ein wenig umständlicher.