Hardware für Firewall bis 160 Clients

I

illumina7

Experte
Thread Starter
Mitglied seit
21.09.2014
Beiträge
67
Ort
Oberfranken
Hallo alle zusammen,

ich bin derzeit etwas ratlos und erläutere erstmal meine Anforderungen.
Ich möchte gerne eine Firewall Lösung für ein Jugendheim und Tagungshaus einrichten.

Rahmenbedingungen:
- max. 500€ darf die Hardware kosten
- mindestens 4 NICs (2mal WAN, 1mal Büronetz, 1mal Gästenetz)
- sollte nicht Unmengen an Strom verbrauchen (kein gebrauchten Server z.B.)
- idealerweise sollte IPFire darauf gut laufen
- genug Leistung für maximal 160 Clients mit Bandbreitenmanagement und Filterfunktionen
EDIT:
- eventuell wird in der Zukunft noch eine NAS und Printserver Funktion für das Büronetz benötigt

Jetzt recherchiere ich schon einige Tage, kann mich aber nicht so recht entscheiden. Auch wenn die maximale Auslastung von 160 Clients nur 1 bis 2mal pro Jahr eintritt, sollte dann trotzdem die Performance ausreichend sein. Leider kann ich irgendwie absolut nicht abschätzen welche Power das Teil haben sollte.
Ursprünglich hatte ich vor einen refurbished HP Compaq oder Fujitsu Esprimo (i3/i5, min. 4GB Ram) zu besorgen, die HDD gegen eine 32GB SSD zu tauschen und eine 4 Port PCIe Netzwerkkarte einbauen.
Inzwischen habe ich so viel gelesen, dass ich denke, diese Lösung ist dann doch zu überdimensioniert und verbraucht auch mehr Energie als notwendig. Zu 80% wird die Firewall ca. 60 Clients bedienen müssen und unter 30-40W werde ich mit damit nicht kommen (die aber prinzipiell verschmerzbar wären). Für diese Lösung spricht jedoch der einfache Tausch bei defekter Hardware. Auf ebay kann man immer ein passendes Ersatzmainboard, Arbeitsspeicher oder eine Netzwerkkarte bekommen.

Dann habe ich noch so tolle Spielereien wie diese hier entdeckt:
https://de.aliexpress.com/item/Firewall-industrial-embeddded-motherboard-ITX-M9F-supports-Intel-J1900-2-00GHz-Quad-core-processor-with-1/32767767096.html?spm=2114.01010208.3.29.f4tXcF&ws_ab_test=searchweb0_0%2Csearchweb201602_3_10152_10065_10151_10068_436_10136_10137_10157_10060_10138_10155_10062_10156_10154_10056_10055_10054_10059_10099_10103_10102_10101_10096_10147_10052_10053_10107_10050_10142_10051_10084_10083_10080_10082_10081_10177_10110_10111_10112_10113_10114_10181_10180_10183_10182_10185_10184_10078_10079_10073_10070_10186_10123%2Csearchweb201603_1%2CppcSwitch_5&btsid=4163e3cb-b0ec-467a-99f4-69ff0e2d2468&algo_expid=f7a3503e-16d6-4565-a941-2103bf28f038-4&algo_pvid=f7a3503e-16d6-4565-a941-2103bf28f038
Oder das:
https://de.aliexpress.com/item/4-gigabit-Bay-trail-J1900-MINI-ITX-4-LAN-Motherboard-for-Firewall-Router-Q1900G4-M/32791569234.html?spm=2114.01010208.3.74.f4tXcF&ws_ab_test=searchweb0_0%2Csearchweb201602_3_10152_10065_10151_10068_436_10136_10137_10157_10060_10138_10155_10062_10156_10154_10056_10055_10054_10059_10099_10103_10102_10101_10096_10147_10052_10053_10107_10050_10142_10051_10084_10083_10080_10082_10081_10177_10110_10111_10112_10113_10114_10181_10180_10183_10182_10185_10184_10078_10079_10073_10070_10186_10123%2Csearchweb201603_1%2CppcSwitch_5&btsid=4163e3cb-b0ec-467a-99f4-69ff0e2d2468&algo_expid=f7a3503e-16d6-4565-a941-2103bf28f038-10&algo_pvid=f7a3503e-16d6-4565-a941-2103bf28f038
Oder jenes:
https://de.aliexpress.com/item/Mini-PC-Quad-Core-Celeron-J1900-4-LAN-Router-Firewall-Fanless-J1800-Mini-Computer-Deaktop-Windows/32813348470.html?spm=2114.010108.3.95.zrY8Tb&ws_ab_test=searchweb0_0,searchweb201602_4_10152_10208_10065_10151_10068_5330011_10193_10194_10304_10136_10137_10060_10302_10155_10062_437_10154_10056_10055_10054_10059_303_100031_10099_5320011_10103_10102_10101_10096_10052_10053_10107_10050_10142_10051_10084_10083_10080_10082_10081_10177_10110_519_10111_10112_10113_10114_10180_10182_10184_10078_10079_10073_10186_10123_10189_142,searchweb201603_1,ppcSwitch_5&btsid=f04973ef-e40b-4796-91ee-8790782ec4b6&algo_expid=d724f408-5207-4615-93d8-2c545a8eb009-12&algo_pvid=d724f408-5207-4615-93d8-2c545a8eb009
Oder doch lieber das hier (läuft darauf überhaupt IPFire?):
The Ideal pfSense Platform: Netgate RCC-VE 2440 - Stephen Foskett, Pack Rat
Oder reicht doch auch sowas gut aus:
https://www.apu-board.de/produkte/apu4b4.html

Die Firewall müsste 24/7 laufen und idealerweise mindestens 2 Jahre ohne größere Probleme durchhalten.
IPFire bevorzuge ich persönlich, da ich damit schon die letzten Jahre viel gearbeitet habe. Ich lasse mich aber auch gerne auf z.B: pfsense oder eine andere Lösung ein, wenn es dafür eindeutig Argumente gibt.

Vielen Dank schon mal für eure Hilfe!

Gruß
illuminat
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
illumina7 schrieb:
Rahmenbedingungen:
- max. 500€ darf die Hardware kosten
- mindestens 4 NICs (2mal WAN, 1mal Büronetz, 1mal Gästenetz)
- sollte nicht Unmengen an Strom verbrauchen (kein gebrauchten Server z.B.)
- idealerweise sollte IPFire darauf gut laufen
- genug Leistung für maximal 160 Clients mit Bandbreitenmanagement und Filterfunktionen
EDIT:
- eventuell wird in der Zukunft noch eine NAS und Printserver Funktion für das Büronetz benötigt
Zum Vergrößern anklicken....

völlig unrealistisch, für 500 € 160 Clients MIT Bandbreitenmanagement und Filterfunktion und das mit neuer Hardware mit wenig Stromverbrauch?
Das geht in die Richtung großes Projekt und sollte redundant ausgelegt werden. Hardware dann eher Richtung 4000-5000 € wenn es vernünftig sein darf.

Lässt du Bandbreitenmanagement und Filterfunktion raus wirst du ohne Redundanz immer noch um 1000 € liegen für entsprechend (neue) Hardware.
 
Opticum schrieb:
völlig unrealistisch, für 500 € 160 Clients MIT Bandbreitenmanagement und Filterfunktion und das mit neuer Hardware mit wenig Stromverbrauch?
Das geht in die Richtung großes Projekt und sollte redundant ausgelegt werden. Hardware dann eher Richtung 4000-5000 € wenn es vernünftig sein darf.

Lässt du Bandbreitenmanagement und Filterfunktion raus wirst du ohne Redundanz immer noch um 1000 € liegen für entsprechend (neue) Hardware.
Zum Vergrößern anklicken....

Das Budget von 4000-5000€ ist leider nicht vorhanden, 700 oder 800€ für die Hardware bekomme ich vielleicht noch durch, aber das wars dann auch.

Das Bandbreitenmanagement ist der Grund, warum eine Firewall eingesetzt werden soll. Den Webfilter könnte man erstmal weg lassen, der wäre sekundär. Was meinst du wird an CPU und Ram dahingehend ausreichend dimensioniert sein? Wirds ein i7 3. oder 4. gen. mit 8 GB Ram stemmen können? Wie bereits erwähnt, sind die 160 Clients die Ausnahme wenn das Jugendhaus voll belegt ist. In der Regel wird sich das auf 50-80 Endgeräte (Smartphones, Tablets, Notebooks) einpendeln.
 
Streiche ipfire, webfilter usw. Setze einen Mikrotik Router. Abhängig vom Uplink würde für 160 Clients wahrscheinlich ein 100€ RB2011 ausreichen. Hätte gleich noch einen (rudimentären) Hotspot Service drin. Wenn man mehr Geld ausgeben will, könnte man den RB3011 (afaik Hotspot eingeschränkt) oder einen kleinen CCR nehmen.
Ist halt ein Router mit (primär) Layer 2-4 Filterfunktion.
 
also wir haben Seinerzeit mal nen Q8300 mit 8GB RAM für ~ 180 Clients @LAN mit pfSense eingesetzt, das ging ganz ordentlich - Auslastung war im mittleren Bereich.
dem J1900 würd ich das nicht zutrauen...

Mehr RAM ist immer gut, aber zu letzt lief das auf nem HP 380G6 als VM mit 2Kernen und 4GB RAM - ohne Probleme.
 
Nur mal so:
50 Watt entspricht bei 24/7 und 0,28Euro pro kWH lediglich 120 Euro im Jahr.
Wenn du 500 Euro mehr ausgibst um auf 25 Watt zu kommen brauchst du über 8 Jahre um die Mehrkosten rauszuholen.

Ich würde nen günstigen Server (imho. Dell T20/T30, Microserver gen10, ML10 Gen9 usw.) und mit zusätzlicher Netzwerkkarte aufrüsten.
 
Danke für eure Antworten.

Im Prinzip habe ich jetzt den ganzen Querschnitt an Antworten, die ich auch schon bei meiner Recherche gefunden hab. Vom Embedded System bis hin zur redundanten Enterprise-Lösung, jeder erzählt bisschen was anderes.
Ich denke ich werde es erstmal mit der Kiste versuchen:
https://www.gekko-computer.de/Server/Standalone-Server/Fujitsu_Server_Primergy_TX1320_M2_QC_Xeon_E3-1220_v5_3GHz_8GB_35_D3216_i93_21486_0.htm
Da kommt dann eine 32GB SSD und noch eine Dual-Port Netzwerkkarte rein und ich werde dann sehen in welchem Rahmen sich die Systemlast bewegen wird, komplett daneben werde ich damit wohl eher nicht legen und RAM kann ich noch günstig nachrüsten.
 
Wir haben halt das Captive-Portal mit Bandbreitenbeschränkung pro User genommen, da damals die Bandbreite ins Internet einfach kaum vorhanden war ^^

An sich kommt es halt drauf an, was die Anforderungen an die Umgebung sind.
Im Geschäftlichen Umfeld würde ich eher zu einem Hersteller gehen, der mir darauf auch Support bietet und das ganze dann auch Redundant aufbauen kann.
Im Bereich der ehrenamtlichen Tätigkeit würde ich wohl, wie auch bei uns @LAN auf eine Opensource-Lösung greifen und schauen, das sich damit noch 1-2 andere Leute auskennen.
@ Home kann man mit vielem spielen - da tuts dann auch so ein ali-board (hab ich selber noch mit dem Atom im Einsatz - 10 Clients gehen ohne Probleme, aber VPN wird dann langsam sportlich)

ggf. haste ja auch erstmal noch nen alten PC rumliegen, um mal die Anforderung/Auslastung auszuloten?
Die Konfig kann man dann ja ggf. einfach kopieren ;)
 
Entweder eine gebrauchte Sophos UTM220 mit RAM aufrüsten und pfSense drauf oder andere, adäquate Hardware. Falls openVPN verwendet wird ist dringend eine AES-NI-CPU zu empfehlen. Das gilt eigentlich auch allgemein, da pfSense mittelfristig nur noch dafür Aktualisierungen rausbringen wird.
Wir hatten pfSense auf 2x DL360 Gen.6 mit Failover, CARP etc. ging 1A. War im RZ mit 1GBit angebunden und hat 2 volle Racks an Servern dahinter bedient. Im Schnitt sind so 300Mbit drüber gelaufen, ca. 20 gleichzeitige IPSec und openVPN-Verbindungen.

Wenn du es sparsam willst nimm Ebay Nr. 253081268310. Ob der 160 Clients, die gleichzeitig Heavy Traffic machen schafft kann ich dir nicht sagen. Hart wirds immer bei allem mit Crypto. Auch gute NICs mit viel Offloading helfen.

Ich hab hier in meinem Office nen Sophos UTM220 laufen. Wenn du ein Rack hast, in dem die Lautstärke egal ist, eine gute Sache!

Grüße!
 
Zuletzt bearbeitet:
Über welche Bandbreiten sprechen wir denn? Ein Jugendheim in Oberfranken kann 2x DSL light bedeuten, aber auch 2x 500MBit.
 
martingo schrieb:
Über welche Bandbreiten sprechen wir denn? Ein Jugendheim in Oberfranken kann 2x DSL light bedeuten, aber auch 2x 500MBit.
Zum Vergrößern anklicken....

Guter Einwand :d wir sprechen von einer 25 MBit/s VDSL Leitung der Telekom und einer zweiten WAN Anbindung per LTE über 50 MBit/s, die aber per Volumen gedeckelt ist und als Failover Lösung bzw. wenn die VDSL Leitung am Limit ist zugeschalten werden soll.

@dmesg
Die Sophos UTM 220 hat doch eine langsamere CPU als die J1900 verbaut und zusätzlich auch nur 2 GB Ram. Außerdem ist die mit den Standardlüftern wohl auch ordentlich laut. Heavy Traffic werden die Clients wohl nicht erzeugen, wobei an dem Standort nahezu kein Handy-Netz verfügbar ist, wenn überhaupt dann bekommt man minimal Edge in allen Netzen. Somit führen ins Wlan eingebuchte Geräte ihren Cloud-Sync durch, was oft die Leitung über Stunden blockiert. Das soll unter Kontrolle gebracht werden.

@konfetti
Danke für deinen Gedanken, ich suche eben schon nach einer eventuellen Test-Lösung, um die Anforderungen besser abschätzen zu können. VPN wird nicht benötigt, höchstens noch die Möglichkeit eine kleine zusätzliche Festplatte (am liebsten als Raid1 + Backup) als Netzwerkspeicher für das Büro zur Verfügung zu stellen. Aber da reden wir von einigen Office Dokumenten und eventuell mal ein paar Fotos von Veranstaltungen, keine Unmengen an Daten. Mir ist wichtig, dass das Büronetz vom öffentlichen Netz zumindest logisch getrennt wird, derzeit gibts nur ein Subnetz mit einer Bastel-Lösung. Tickets oder gar User für die Webnutzung sind vorerst nicht geplant, dafür ist niemand da der das managen kann.
 
Dann würde ich Ebay Nr. 253081268310 und eine kleine weiße Synology mit 2x 1TB WD Red HDDs nehmen. Offsite Backup der NAS zu irgendeinem Cloud-Dienst oder auf 2.5" HDDs und rotieren. Datenschutzgrundverordnung beachten!
 
Zuletzt bearbeitet:
Ich nutze bei mir aktuell als PFSense (Firewall, Bandbreitenmanagement, DMZ uvm.)
1x Xeon-D 1541, 16GB Ram, 256GB M2 SSD
Angeschlossen sind etwa 300 Server mit je 16 VM's an einer 10GE Leitung.
PFSense ist ausgelastet mit:
CPU 25%
Ram: 85%
SSD: 5% (die hatte ich halt noch rumfliegen)
Kostenpunkt zum damaligen Zeitpunkt: 3500€
Aktuell kosten die entsprechenden Supermicro Boards knapp 700-800€

Dies wäre in dem Fall auch ganz klar meine Empfehlung.
 
Nachdem die Frage nach der Geschwindigkeit der Uplinks geklärt ist, hängt alles einzig und allein an:
illumina7 schrieb:
- genug Leistung für maximal 160 Clients mit Bandbreitenmanagement und Filterfunktionen
Zum Vergrößern anklicken....
Was GENAU stellst du dir da vor. Mit "Filtern" und "Management" kann man beliebig fette Hardware überlasten oder aber mit einem winzigen Rechner hinkommen. Von der Handware abgesehen: Je weniger man eingreift, desto problemärmer dürfte das Endergebnis ausfallen. :)

Um die 2 LANs mit den Uplinks routend zu verbinden, tuts jede beliebige PC-Hardware, die mit günstigen PCIe-Netzwerkkarten (z.B. RTL8168/8111 ab ca. rev E) auf 4 Ports ergänzt wird.
 
Zuletzt bearbeitet:
Hi

Einfach mal der Vollständigkeit halber würde ich eine fertige Firewall Appliance in den Raum werfen.

Ich selber habe eine Zywall 110, die hat recht Dampf. 7 Netzwerkschnittstellen (bis zu 3 WAN) und 400 Mbit/s VPN Durchsatz. Die kostet so um die EUR 500. Allerdings ist das eine reine Firewall (inkl. glaube ich 25 VPN User). Die USG Dienste (Virenschutz, IDS und so was) können dazu lizenziert werden, und laufen dann als kostenpflichtiges Abo. Eine echte USG wär in der selben Leistungsklasse teurer, dafür sind die Abos dann günstiger. Die Zywall 110 ist halt super günstig, was die Hardware Leistung anbelangt. Von der selben Leistung her wie meine Zywall 110 - für eine USG - müsstest Du dann wohl zur USG 110 greifen, die dann aber fast nen Tausender kostet (mit einem Jahr für alle Dienste).

Was Du auch noch nicht erwähnt hast, wie es mit dem WLAN aussieht. Ich nehm mal an, von den Clients im Jugendheim werden viele per WLAN angebunden? Das kann die Zywall super! Mit den dazugehörigen (geflashten) Accesspoints (kosten gut EUR 100) kann man dann die WLAN Netzwerke zentral verwalten. Die Accesspoints haben dann auch gar keine Zugriffsmöglichkeit mehr, das geht dann nur noch über die Zywall.

Von der Leistung her für einmal 25- und einmal 50 MBit/s, bei 160 Clients; das schluckt die Zywall zum Frühstück ^^ Falls Du Interesse hast, kann ich Dir Mal die Adresse von nem Zyxel Crack geben.

Falls Du trotzdem IDS und Virenschutz willst, kannst Du auch mal die Endian testen. Ich habe die Endian seit Jahren in Betrieb. Früher als Appliance, jetzt noch 2x virtuell. Die ist recht einfach zu bedienen. Und es fallen keine Abokosten an.

Gibt eine deutsche Community dazu:

Endian Forum

Allerdings weiss ich nicht, was da die modernen Appliances von denen leisten und kosten.

Des weiteren würde ich noch FortiGate in den Raum werfen. z.B. die Fortinet FortiGate-60D soll recht Wumms haben. Bei meinem Kumpel haben die eine Zyxel USG 200 (die hat etwas weniger Leistung wie meine Zywall 110) mit einer FortiGate-60D ersetzt. Kostet was ich gesehen habe auch nicht mehr wie meine Zywall. Und die haben echt geschwärmt von dem Gerät. Hatte ich aber noch nie in meinen Händen.

btw. : Was hast Du denn als Switch angedacht, bzw. was ist vorhanden? Du willst da ja 160 Clients anhängen?
 
Zuletzt bearbeitet:
Wow - Danke für die vielen ausführlichen Antworten.

Ich denke ich werde es mit dem Fujitsu Microserver versuchen. Preislich ist die Kiste im Rahmen, aufrüsten lässt sie sich noch gut, eine zusätzliche Festplatte für etwas Netzwerkstorage ist kein Problem und insgesamt ist die Hardware auch noch nicht alt.

Fortigate und Zywall sind schon interessant, aber definitiv zu teuer, gerade hinsichtlich der Abo-Kosten. Auch kenne ich mir mit der Konfiguration nicht aus und müsste dafür mehr Zeit aufwenden.

In meiner engeren Wahl für das System sind derzeit: IPFire, pfsense und die Endian Community Wall. Persönlich tendiere ich nach wie vor stark zu IPFire, da ich davon schon mehrere Walls seit längerem fast ohne Probleme betreibe. Der Community Support und die Erweiterungsmöglichkeiten sind auch top.

Switches und AccessPoints sind schon vorhanden und auch im Einsatz. Die meisten Clients melden sich ja über die APs ein (derzeit entsprechend konfigurierte Fritzboxen, werden es mangels Budget aber vorerst auch bleiben müssen).
 
Moin,

wenn Du wirklich Filtern willst ist der Fujitsu vermutlich eine gute Wahl.
pfSense läuft hier an einem 200Mbit Anschluss auf einer APU2 mit einigen VLan (6 aktiv genutzt) und kommt bei vollem Durchsatz auf ~40%CPU Last.
Um meine Zwerge davon abzuhalten den kompletten Anschluss lahm zu legen habe ich noch Limiter am laufen und nie Probleme mit der Performance der pfSense verspürt.

Andere Überlegung: Reicht Dir Filterung auf Basis jugendschutzkonformer Nameserver? Dann könntest Du dafür ja locker einen externen DNS nehmen und brauchst dafür keine Rechenleistung einplanen ...

Switches und AccessPoints sind schon vorhanden und auch im Einsatz. Die meisten Clients melden sich ja über die APs ein (derzeit entsprechend konfigurierte Fritzboxen, werden es mangels Budget aber vorerst auch bleiben müssen).
Zum Vergrößern anklicken....

Bitte hier mal konkreter werden, denn hier befürchte ich eher Engpäße! Fritten sind für den Heimbedarf durchaus brauchbar, aber wenn da einige Clients zusammen kommen wie willst Du das managen? Dafür sind Fritten nicht gebaut.

Die WLan APs sollten hier schon von einem Controller gemanagt werden. Von der Anzahl der Clients her geschätzt 3 Unifi APs eventuell mehr je nach abzudeckender Fläche und Anzahl der Räume.

-teddy
 
Zuletzt bearbeitet:
magicteddy schrieb:
Moin,

wenn Du wirklich Filtern willst ist der Fujitsu vermutlich eine gute Wahl.
pfSense läuft hier an einem 200Mbit Anschluss auf einer APU2 mit einigen VLan (6 aktiv genutzt) und kommt bei vollem Durchsatz auf ~40%CPU Last.
Um meine Zwerge davon abzuhalten den kompletten Anschluss lahm zu legen habe ich noch Limiter am laufen und nie Probleme mit der Performance der pfSense verspürt.
Zum Vergrößern anklicken....

Das kannst du aber nicht mit 160 Clients vergleichen. Ich habe hier Standorte mit mehr als 100 Usern (wenig Traffic) und 20-30% CPU Dauerlast bei größeren Appliances (Sophos). Der APU wäre bei 160 Usern und Traffic Management denke ich hoffnungslos überlastet. Auch in Hinblick auf Traffic Spitzen.

Was hier oft vergessen wird ist das die Hardware evtl. auch für 2-3 Jahre in der Zukunft noch ausreichen soll, Internetanschlüsse werden tendenziell schneller (wenn man Glück hat) bzw. Nutzer Bandbreitenhungriger (mehr Content in Form von Video etc)

Mich fasziniert es dann irgendwo doch immer wieder das man in so einem großem Umfeld (Bandbreitenmanagement und Filterfunktionen für bis zu 160 Clients) für "Jugendheim und Tagungshaus" mit so lächerlichen Budgetvorstellungen ankommt. Der Hilfsbereitschaft in allen Ehren sollte man hier dann an einen Fachbetrieb verweisen und sich selbst als "Admin" nicht in eine Kostendrucksituation setzen lassen (Threadersteller), so wird das Budget von den Verwantwortlichen auf Dauer auch nur auf kleiner Flamme gehalten nach dem Motto "geht ja sonst auch irgendwie" anstatt auf vernünftigte Lösungen zu setzen. Ich kann mir hier hier auch irgendwas zusammen suchen und rumbasteln bis eine Lösung rauskommt die halbwegs passt, muss dann aber damit leben das Probleme aufkommen mit denen ich vorher nicht gerechnet habe (NIC die Probleme macht, kein Hardware Support, kein Hersteller Support etc) und schon rächt sich das ganze Modell. Redundanz gehört in einem größeren Umfeld dann eigentlich schon selbstverständlich mit dazu.
 
Zuletzt bearbeitet:
Naja, in einer Jugendherberge ärgern sich dann halt die Gäste, wenn mal das Internet spinnt und werden es im Zweifel auf zu viele gleichzeitige Nutzer schieben... ;)

Das ist eine ganz andere Hausnummer, als wenn der Ausfall 160 VIPs in einem Unternehmen (Vorstand, Vertrieb & Co.) trifft, die dann entsprechend Radau machen. :d
 
besterino schrieb:
Naja, in einer Jugendherberge ärgern sich dann halt die Gäste, wenn mal das Internet spinnt und werden es im Zweifel auf zu viele gleichzeitige Nutzer schieben... ;)

Das ist eine ganz andere Hausnummer, als wenn der Ausfall 160 VIPs in einem Unternehmen (Vorstand, Vertrieb & Co.) trifft, die dann entsprechend Radau machen. :d
Zum Vergrößern anklicken....

Das ist ja die aktuelle Situation und die soll sich nach Möglichkeit verbessern. Die 160 Clients sind, wie im Eingangspost erwähnt, die Spitzenbelastung, die während einiger kurzer Zeiten auftreten. Über das Jahr verteilt werden im Regelfall so 50-80 Clients das Wlan im Schnitt benötigen.
Die Fritzboxen will ich nach und nach gegen dafür geeignetere Geräte austauschen, z.B. Unify APs.
Ein Problem ist, dass das Jugendhaus vor wenigen Jahren für eine Millionensumme saniert worden ist, man auch an eine Netzwerkverkabelung gedacht hat, aber sich keine Gedanken über die Internetverfügbarkeit für die Gäste gemacht. Jetzt hat der Leiter etwas "zusammengebastelt" und Budget ist nach der Sanierung keines mehr vorhanden, da sich die Einrichtung trotz guter Auslastung gerade so selbst tragen kann. Da dort aber hin und wieder auch mal Schulungen abgehalten werden, muss eine halbwegs stabile Lösung her. Derzeit können einfach vereinzelte Geräte die Leitung komplett auslasten und anschließend kann niemand mehr die Internetverbindung nutzen. Das möchte ich jetzt erstmal mit dem Bandbreitenmanagement unter Kontrolle bringen sowie das Büronetz vom Gästenetz logisch trennen. Wenn das erstmal gut läuft soll es möglich sein bei Bedarf relativ einfach einen Jugendschutzfilter zu aktivieren, danach kann man anfang 2019 über einen Wlan-Ausbau nachdenken.
Wie @Opticum schon schreibt, soll die Hardware mindestens 2-3 Jahre vermutlich eher die nächsten 5 Jahre laufen. Deshalb möchte ich eben mit Standardhardware eine gewisse Ersatzteileverfügbarkeit haben. Dass das Projekt so nicht "Enterprise"-Standard entspricht ist mir bewusst, aber erstmal muss es die Gesamtsituation verbessern und vielleicht ist in 2-3 Jahren vom Träger mal genug Budget vorhanden um eine professionelle Lösung in Betracht ziehen zu können.
 
Im Grunde ist die Zahl der Teilnehmer mit max 160 mehr als überschaubar. Bei dem Budget und den gestellten Anforderungen, würde ich jedoch von x86 Hardware absehen.

Für 500 Euro bekommst du eine Unifi USG Firewall, 2x Unifi AC-PRO Accesspoints und einen Cloud Key zwecks Management. Deine Anforderungen samt Webfilter sind mit einer USG recht simpel realisierbar.
 
+1 für UniFi.

Ich betreue nebenberuflich eine Unifi-Umgebung, sie ähnlich aufgebaut ist. 1x USG, 1x US-16-150W, 3x UniFi AC Mesh Pro. Controller läuft als VM aus dem NAS. Internet gibt leider nur 16 Mbits her.

Die Unifis nutze ich auch (mit anderer Firmware) für Freifunk an vielen Orten. Zuverlässig und Stabil.
 
der Cloud Key von Ubiquiti taugt m.M. nach garnix. Langsam ohne Ende besonders wenn viele Clients unterwegs sind. Nur Probleme und Ärger damit gehabt (selbst und beim Bekannten), kann nur 'ne VM empfehlen.
 
Bezüglich Performance könnte ich nichts negatives zum Cloud Key sagen. Ubiquiti hat ja diverse Skalierungs/Performance Guides, mehr als 25 AP´s und 1000 Endpoints werden pro Cloud Key nicht empfohlen. Unser größtes Setup hat 20 AP´s und eine USG Pro. Bei Kongressen kommen da durchaus 400 Gäste zusammen, was der Cloud Key ohne Probleme schafft. Eine VM ist mMn natürlich die schönere Lösung, dazu muss halt auch die Infrastruktur vorhanden sein.
 
was heisst "schafft"; das Netz wird laufen, auch ohne Cloud Key. Probleme waren meist das der Cloudkey einfror, neustart war nötig, software updates hängten und logging /reporting waren irre langsam. Auch in kleinen Umfeldern. Der Cloudkey ist ja nur ein Verwaltungstool.
 
Kein Controller, kein Gast Portal - bei einem Hotel oder Jugendherberge eher schlecht fürs Geschäft ;)

Die Stabilität war bei diversen älteren Firmware Versionen tatsächlich grauenhaft, fast noch schlimmer wie bei den NVR. Wie gesagt, für eine VM braucht es Infrastruktur die kaum ein Hotelbetreiber hat.
 
Moin,

Opticum schrieb:
Das kannst du aber nicht mit 160 Clients vergleichen. Ich habe hier Standorte mit mehr als 100 Usern (wenig Traffic) und 20-30% CPU Dauerlast bei größeren Appliances (Sophos). Der APU wäre bei 160 Usern und Traffic Management denke ich hoffnungslos überlastet.
Zum Vergrößern anklicken....

Die Sophos stellt wohl deutlich höhere Anforderungen an die Hardware, reines Routing sollte die APU2 locker abfrühstücken, siehe auch:
https://forum.pfsense.org/index.php?topic=147382.msg801665#msg801665 und
https://www.administrator.de/contentid/373675#comment-1283340

-teddy
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh