[Kaufberatung] Hardware für Firewall (Pfsense)

S

Sow

Experte
Thread Starter
Mitglied seit
25.04.2013
Beiträge
6
Hallo,

aktuell habe ich die Aufgabe Hardware für eine neue Firewall zusammenzustellen, die potent genug ist eine baldige 200 Mbit Internleitung auszureizen. Die aktuelle Firewall reicht halt gerade für die aktuelle 100Mbit Leitung aus. Leider kenne ich mit Server-Hardware nicht aus, und die sollte für sowas ja benutzt werden.

Die Anforderungen an die Firewall sind folgende:
  • Die 200 Mbit Internetleitung soll der Flaschenhals sein und nicht die Firewall
  • Auf der aktuellen Firewall benutzen wir pfsense. Dies soll auch auf der neuen genutzt werden
  • Im Netzwerk gibt es ca. 200 Geräte. Um ein bisschen Platz nach oben zu haben, sollten 300 Geräte der Firewall keine Probleme bereiten
  • Die Firewall soll auch einen VPN-Server bereitstellen
  • und dann sollen auch noch Standart-Router-Aufgaben erledigt werden wie: DHCP, DNS, Portfreigaben, Portfortwarding, ...
  • mindestens drei Gbit LAN-Anschlüsse haben (4 wären schöner)

Die Budgetgrenze liegt bei 800€.

Ich freue mich über jede Hilfe, Tipps und Anmerkungen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
In der deutschen Rubrik vom pfSense Forum wurde ein "NCA-1010 (Lanner)" vorgestellt. Hardware AES-NI und 5.5 Watt Idle/Schnitt verbrauch. Kostet wohl um die 400-450 € mit ssd und ram.
 
Shiga schrieb:
Alix APU :)
Zum Vergrößern anklicken....

Ich bezweifle mal, dass ein Alix APU ausreicht. Der verbaute AMD G-T40E schneidet in Benchmarks wesentlich schlechter ab, als der AMD Athlon X2 3800+, den wir in unserer aktuellen Firewall haben. Und mit dem haben wir schon tägliche Spitzen von 70% CPU Auslastung. Und das ohne VPN.
 
Dann nimm einen großen Xeon und bau ein paar Quad Netzwerk Nics rein ;)
 
Hi, genau die selbe Frage habe ich mir auch vor kurzem gestellt und habe mich für folgende Hardware entschieden (schick verpackt im 1U Design):

  • CPU/MB (SoC): Supermicro A1SRi-2758F retail (MBD-A1SRi-2758F-O)
  • RAM: 2x Kingston ValueRAM Hynix SO-DIMM 8GB, DDR3L-1600, CL11, ECC (KVR16LSE11/8HB)
  • SSD: Samsung SSD 850 Evo 250GB, SATA (MZ-75E250B)
  • CASE: Supermicro 505-203B schwarz, 1HE, 200W, Mini-ITX
  • Preis: ~750€

Anforderungen ähnlich wie bei dir, allerdings habe ich vor das ganze unter Ipfire laufen zu lassen. Performance-technisch kann ich noch nichts dazu sagen, weil ich noch nicht die Zeit hatte das System entsprechend einzurichten bzw. zu testen. Denke aber mal von den geschriebenen Erwartungen sollte mit diesem "Biest" alles machbar sein.
Geht sicher auch kostengünstiger mit schwächerer Hardware, aber wo bleibt dann der Enthusiasten-Faktor?! :fresse2:
 
bitte im professionellen Umfeld eine Samsung SSD Pro und keine Evo ...
 
Sry wenn das nicht ersichtlich war, aber mit meinem Setup ziele ich ohnehin nur auf ein privates Einsatzgebiet ab ...
Da es im "(Home-) Server/Workstation Forum" gepostet wurde, ging ich auch davon aus, dass das hier nicht für ein (Profi-) Unternehmen benötigt wird.
Für das professionelle Umfeld gebe ich dir natürlich Recht ;)
 
So, habe mal ein bisschen in Intels Xeon-Produktkatalog rumgestöbert. Ich denke mal so ein E3-1230 oder E3-1245 (wegen der integrierten Grafikeinheit) ist von der Leistung in Ordnung und passt auch noch ins Budget mit rein.

Dann müsste da noch ein passenden Board dazu. Sind die von Supermicro zu empfehlel? Bin da bei der Suche nach dem Board, dass Macer89 vorgeschlagen hat drauf gestoßen. Die haben da ein paar interessante Modelle für meinen Zweck.

Generell sieht die Konfiguration von Macer89 auch gut aus, wobei das halt ein SoC ist. Da bin ich persönlich halt ein bisschen abgeneigt gegen.
Dazu habe auch noch ne Frage. Macht es Sinn in einer Firewall eine SSD (wenn dann natürlich die PRO ;) ) einzubauen statt einer normalen Server-Festplatte. Der Vorteil der SSD wäre hauptsächlich der schnellere Start. Und im Idealfall sollte so eine Firewall ja 24/7 laufen, womit dieser Vorteil im Prinzip nichtig ist.
 
Supermicro Boards werden hier im Forum meistens für Server empfohlen, unter anderem wegen dem IPMI (was im übrigen echt Klasse ist, einmal benutzt will man es nicht mehr missen). Ein Montagsmodell kann man immer mal erwischen, aber grundsätzlich gesehen, sehr zuverlässig und empfehlenswert.

SoCs sind immer so ne Sache, ich war auch anfangs skeptisch, aber im Endeffekt ist mittlerweile sowieso fast immer Board + CPU zum tauschen, denn alle 1-2 Generationen kommt eine neue Plattform und da man sich z.B. in 5 Jahren wohl kaum eine neue CPU für so ein altes Board holt, wenn man das Teil 24/7 laufen lässt, spricht eigentlich nichts gegen einen SoC. Was auch zum zweiten Punkt führt, dass SoCs in den meisten Fällen stromsparender sind.
Je nachdem ob du die höhere (Single-Core-)Leistung brauchst, kommst du dann natürlich an einem Xeon nicht mehr vorbei. Bei mir läuft alles Bare-Metal also denke ich mal, dass die Systemleistung für die Zukunft noch reichen wird, selbst wenn irgendwann mal hohe Glasfaserbandbreiten (>= 1GBit/s) verfügbar sind.

Das mit der SSD ist zum einen der schnellere Start wie von der erwähnt und natürlich die Lautstärke/Stromverbrauch...
Da sie ohnehin fast nur für die Log-Files benutzt wird ist der Durchsatz dabei wohl zweitrangig und spricht auch nicht gegen eine HDD. Abseits vom Home wäre mir aber eigentlich ein RAID1 wichtiger als nur eine "Pro" Version.
 
Zuletzt bearbeitet:
schönes Board was Supermicro da rausbringen will :) wäre was für eine all-in-one Lösung :))
 
Zuletzt bearbeitet:
@pumuckel
Was wäre denn der Vorteil des X10SDV-TP8F gegenüber dem A1SRi-2758F, das einen Mehrpreis von 140€ rechtfertigt? . Auf den ersten Blick scheint der C2758 sogar etwas leistungsstärker zu sein als der d-1518.
 
Bei uns werkelt das folgende Setup:

Kontron KTGM45-Flex mit einem Intel Core2Duo T9400 und 8 GB DDR3.

Die Leistung ist ohne weiteres ausreichend für 500MBit/s Anschlüsse.

Allerdings hat es etwas gedauert bis wir eine Händler für die Boards gefunden hatten.

Board mit CPU und Speicher lag bei 349,-
 
Zuletzt bearbeitet:
Sow schrieb:
@pumuckel
Was wäre denn der Vorteil des X10SDV-TP8F gegenüber dem A1SRi-2758F, das einen Mehrpreis von 140€ rechtfertigt? . Auf den ersten Blick scheint der C2758 sogar etwas leistungsstärker zu sein als der d-1518.
Zum Vergrößern anklicken....
Ich versuche grad in meinem Kopf "homeuse" und 200-300 Clients irgendwie zu verstehen :)

Das D1518 hat neben 2*10GBit sfp+ noch 6*1GBit. (aka gut für 200-300 Clients parallel mit evtl 1-2 Main Switches oder einem Fileserver)
Der Preis ist noch nicht in Stein gehauen, da ja erst ab Mai


....die Performance der 2 CPUs verglichen
http://www.servethehome.com/exclusive-intel-xeon-d-1518-benchmarks/

... Einige Pro/Contras
https://forums.servethehome.com/index.php?threads/exclusive-intel-xeon-d-1518-benchmarks.8338/

der 4Core/8Thread D-Xeon ist etwas besser mit OpenSSL und perf/watt ... der C2758 ist aber auch super (wobei dir der C2558 reichte) .... alles eine Frage was du letztendes nutzt an zusatz zu 0815 Routing

Was über haupt mal wichtig wäre ist exakt zu wissen, was genau laufen soll, denn 200 MBit allein ist nun nicht so die Aufgabe ( wenns die Gegenstelle auch beherrscht) .... kommt es aber zu 200-300 Clients, Filtern, Monitoring, SPI etc gehts da fix in auch andere Leistungsregionen

Wenn es rein ein "dummes" routing ist, kann teils auch z.B. ein http://routerboard.com/RB3011UiAS-RM für schon um die 180€ reichen

Daher schreib doch ein bischen mehr :)

p.s.s ich selbst würde wohl eher (wenns ums Geld geht) diese hier angucken: ... wobei wo 2*10GBit SFP+ für z.B. nen Fileserver und nen Switchuplink super sind :) )


https://geizhals.de/supermicro-a1sri-2558f-retail-mbd-a1sri-2558f-o-a1057375.html?hloc=at&hloc=de


Außer Konkurenz wenn du es in des 19" SFF Case haben willst
https://geizhals.de/supermicro-a1sr...srm-ln7f-2358-o-a1186524.html?hloc=at&hloc=de
https://geizhals.de/supermicro-a1sr...srm-ln5f-2358-o-a1186533.html?hloc=at&hloc=de

da effektiv die CPU Last mit AES-NI in Grenzen bleibt .... klar wenn du aber für 200-300 Clients mit Monitoring, Filter , SPI, DPI anfängst dann ..
 
Zuletzt bearbeitet:
pumuckel schrieb:
Ich versuche grad in meinem Kopf "homeuse" und 200-300 Clients irgendwie zu verstehen
Zum Vergrößern anklicken....
Ich wohne halt in einem Studentenwohnheim, wo wir Studenten das Neztwerk selbst verwalten. Das ist alles andere als professionell, und wenn das Netzwerk mal einen Tag nicht funktioniert ist das zwar ärgerlich, aber es geht nicht um Umsatz- oder gar Gewinneinbußen. Bei etwa 90-100 Studenten, die alle Smartphone + Computer besitzen und einige noch ein Tablet o.ä. kommt man auch auf ca. 200 bis 300 Clients.

pumuckel schrieb:
Was über haupt mal wichtig wäre ist exakt zu wissen, was genau laufen soll, denn 200 MBit allein ist nun nicht so die Aufgabe ( wenns die Gegenstelle auch beherrscht) .... kommt es aber zu 200-300 Clients, Filtern, Monitoring, SPI etc gehts da fix in auch andere Leistungsregionen
Zum Vergrößern anklicken....
Aktuell filtern wir nichts. Fürs Monitoring soll ntopng verwendet werden. Dann verwenden wir für QoS den eingebauten TrafficShaper.

pumuckel schrieb:
Der Preis ist noch nicht in Stein gehauen, da ja erst ab Mai
Zum Vergrößern anklicken....
Geplante Arbeiten am Netzwerk legen wir immer in die letzten beiden Wochen eines Semseters oder in die Semesterferien. Der nächste Zeitpunkt ist jetzt ende März und dann erst wieder im August. Da wir die Firewall am liebsten noch im März tauschen wollen und uns sind die Vorteile gegenüber dem anderen Board auch keine aktuell 140€ Wert sind, werden wir dieses Board wohl eher nicht auswählen.

Sind sonst noch Informationen wichtig, die ich vergessen habe?
 
Sow schrieb:
Da wir die Firewall am liebsten noch im März tauschen wollen und uns sind die Vorteile gegenüber dem anderen Board auch keine aktuell 140€ Wert sind, werden wir dieses Board wohl eher nicht auswählen.

Sind sonst noch Informationen wichtig, die ich vergessen habe?
Zum Vergrößern anklicken....

das beantwortete doch alles :)

für nen Studenten WG reicht der http://routerboard.com/RB3011UiAS-RM weit aus ... zwar adhoc nicht auf PFSense aber es würde dir gefallen

... und günstig: https://geizhals.de/mikrotik-routerboard-rb3011-rb3011uias-rm-a1373719.html (geizhals lügt, sind alles GBit Ports ^^ )
 
Zuletzt bearbeitet:
pumuckel schrieb:
für nen Studenten WG reicht der RouterBoard.com : RB3011UiAS-RM weit aus ... zwar adhoc nicht auf PFSense aber es würde dir gefallen
Zum Vergrößern anklicken....
Sow schrieb:
Ich bezweifle mal, dass ein Alix APU ausreicht. Der verbaute AMD G-T40E schneidet in Benchmarks wesentlich schlechter ab, als der AMD Athlon X2 3800+, den wir in unserer aktuellen Firewall haben. Und mit dem haben wir schon tägliche Spitzen von 70% CPU Auslastung. Und das ohne VPN.
Zum Vergrößern anklicken....
die Aussage zur Alix APU passt denke ich mal ganz gut auch zu dem RouterBoard.

und bei knapp 100 Studenten kann man das glaube ich auch nicht mehr WG nennen.

**Edit**
Vielleicht ist es wichtig zu sagen, dass nicht alle Bewohner/Studenten dieses gemeinsame Netzwerk nutzen müssen, sonders es ein paar gibt, die sich einen eigenen Anschluss zulegen. Deshalb haben eine Zugangskontrolle zu dem Netzwerk über eine Radius-Authentifizierung.
 
Zuletzt bearbeitet:
Die Alix APU gibts nun auch mit Jaguar Quad Core.
Also 4x1.0 GHZ, gleiche Architektur wie der bekannte Athlon 5350 bzw. A4-5000.

Der reicht wohl aus (aber eher die 4GB Ram Version).
Oder ein Skylake System mit dem kleinsten Pentium, der hat Power und ist sparsam.
 
Hallo in die Runde,

gerne würde ich zu diesem Thema die scope7-Appliances vorstellen. Wir haben auch die angesprochene NCA-1010 im Portfolio (Bei Bedarf auch als scope7-1010 bereits vorinstalliert und bereit für den Einsatz). Einfach mal unter https://www.landitec.com/products/open-source-appliance-solutions reinschauen - wir haben bei Bedarf auch noch größere Rack-Geräte dabei.

Aktuell sind die kleineren Geräte sogar bis zum Ende des Jahres im Angebot (zwischen 300,00€ - 900,00€). Gerne unterstützen wir auch bei der Wahl des richtigen Geräts, bzw. der richtigen Komponenten. 20 Jahre geballte Hardware Erfahrung :p
 
Landitec: Ich hatte schonmal (über die Firma) nach einer Teststellung angefragt. Wäre auch bereit ein kleines Testreview zu schreiben, eher im Bereich Sophos UTM (auch wenn das hier um pfSense geht) was Stromverbrauch, Durchsatz und VPN angeht. Besteht da aktuell evtl. eine Möglichkeit? Bei der Sophos braucht man ca. 40 GB HD und 2 GB Ram.

Viele User brauchen nur eine kleine Appliance sind sich aber unsicher wie gut/schlecht es läuft. Alles ab 300 € tut für den Privatbereich schon weh. Was in dem Segment fehlt ist eine bezahlbare 3-4 NIC (Intel Chipsatz) Box mit 2 GB Ram und einer halbwegs ordentlichen CPU die auch für PPPoE und VPN etwas Reserve hat.

Gerne vielleicht auch hier etwas konkretere Preise was die kleinen Preise angeht oder ein Hardwareluxx Angebot? ;)
 
Zuletzt bearbeitet:
Hallo Opticum,

vielen Dank für deine Nachricht. Gerne können wir über eine Teststellung sprechen. Wir bieten Firewall Appliances ab 250,00 € an. Ich würde für diese Anwendung eine NCA-1010B empfehlen (Intel Atom Dual Core + bis 8GB Ram, 3 GbE Ports). Gern kannst du uns auch direkt über https://www.landitec.com/contact anschreiben.

Mit besten Grüßen
TEAM Landitec
 
Zuletzt bearbeitet:
Kommen die Dinger denn dann mit OS (pfSense?) oder ohne? Und in der Tat ist der Preis ein Faktor - hab hier wie viele andere eh ein oder zwei ESXi-Dauerläufer, die extra Appliance macht dann nur in einem sehr engen Budgetfenster (und/oder mit sehr schmalen Stromverbrauch-Footprint) Sinn.
 
Hallo Opticum,

die NCA-1010B kostet aktuell 253,08 € + Versandkosten (in DE ca. 8€) + MwSt.. Die Preise schwanken allerdings, da wir Tagesaktuell kalkulieren.

Gruß
TEAM Landitec

- - - Updated - - -

Hallo Besterino,

alle scope7 Produkte werden mit und ohne Vorinstallation angeboten. Die Vorinstallation gibt es kostenlos als Service dabei. Aktuell bieten wir pfSense, OPNSense, IPFire und Untangle an."https://www.landitec.com/products/open-source-appliance-solutions"

Es werden weitere Open Source Projekte folgen. Gerne nehmen wir auch Empfehlungen von euch an und versuchen diese umzusetzen.

Mit besten Grüßen
TEAM Landitec
 
wenn das mit der Teststellung klappt, poste ich ein Review inkl. Stromverbrauch und Durchsatz.
 
Klingt interessant. Teste mal bitte Routing mit 3 Subnetzen plus VPN an einer 100/40mbit Leitung und wenn Du gerade dabei bist inklusive Paketfragmentierung von einem MTU 9000 Subnetz auf Subnetz mit MTU 1500 (oder 1496 oder was PPPOE da war)... :d
 
hab eine 500/100 und 25/5 Leitung zum testen. Denke daraus kann man sich den Rest dann ausrechnen ;) PPPoE sicherlich irgendwie auch...
 
500/100... Du Günstling! :d Aber wenn die Box die 500/100 VPN-verschlüsselt befeuert, reicht mir diese Erkenntnis... ;)

Froi mich schon auf Deinen Bericht!
 
VPN bei der sophos utm ist bei ca. 130Mbit Schluss mittels RED und Site2Site (beide Seiten mit xeon cpu), hab alles Mögliche getestet...
 
Anmelden, um zu antworten.

Ähnliche Themen

O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
106
OsiMosi
O
P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
713
Pixolantis
P
AliManali
19" Selbstbau Firewall, max 3HE
2 3
Antworten
80
Aufrufe
6K
pwnbert
pwnbert
G
Proxmox Hardware Beratung Intel vs AMD / ASRock Deskmeet
Antworten
2
Aufrufe
771
B1naryCoop3r
B
Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh