[Sammelthread] Sophos UTM-Sammelthread

[needles78]

Nabends,

nur mal für die die es noch interessiert, Zotac hat jetzt ein Board draussen was preislich meiner Meinung nach auch sehr interessant ist für die UTM9.1
http://geizhals.de/zotac-nm70-itx-nm70itx-c-e-a995498.html
Ist der Nachfolger vom C847 nur mit 2x1,5GHz. Zusätzlich hat dieses Board aber noch dual LAN, aber eine aktive Kühlung wird also nicht ganz Geräuschlos sein vermute ich mal.
Ich habe meine UTM im Moment notgedrungen (da mein altes Atomboard das zeitliche gesegnet hat) als VM auf einem WHS2011 laufen. Als Untergrund dient ein Biostar Board mit dem C847 (2x1100MHz). Ich erreiche sogar die vollen 50Mbit meiner VDSL-Strecke, allerdings ohne IPS und über die VPN-Performance muss man auch nicht diskutieren, halt nicht so dolle. Bin aber froh das ich mein Internet überhaupt gewuppt wird. Könnte zwar Exposed Host deaktivieren und meine FB3370 verwenden, aber ich benutze Astaro schon seit der V6 und bin seitdem ein Fan davon. Werde mir aber denke ich demnächst mal das Zotac-Board zulegen.

Danke übrigens für den Tipp mit der neuen Lizenz, ich hatte mich schon über die 2 AV-Lizenzen gefreut aber 10 sind natürlich noch besser

Gruß

Needles

 

[daheym]

Wenn die FB3370 mit seiner popeligen Lantiq VR9 500 MHz CPU die 50MBit gestemmt bekommt, wird dein Celeron das ja wohl locker schaffen

Was haste denn an VPN Durchsatz?

 

[needles78]

Schon klar, das habe ich auch nicht bezweifelt, allerdings ist auf der Hardware wie beschrieben der WHS2011 installiert und auf dem WHS die UTM9 in einer VM. Da könnte man schon vermuten das die Hardware sehr schnell an ihre Grenzen stößt. Das geht aber noch (der WHS hat aber auch nicht viel zu tun).
Genaue Performancedaten habe ich vom VPN nicht, es ist "gefühlt" alles langsamer was mich aber generell nicht verwundert. Als Notlösung läuft es aber besser als erwartet.

 

[EvoluT1oN]

ich verfolge diesen Thread jetzt schon seit längerem, und möchte ebenfalls eine kleine UTM bei uns im Unternehmen implementieren.
Momentan fungiert unsere fritzbox noch als Modem/Router. Habe mir bereits die Möglichkeiten angeschaut und gesehen, dass ich entweder die UTM als exposed Host eintrage, oder den only-Modem Betrieb an der Fritz aktiviere (ist verfügbar, bereits geprüft).

Zu meiner Frage: wir haben keine externe Telefonanlage da uns dies unser TK Anbieter nicht erlaubt aus technischer Sicht. Sind jedoch Anbieter-gebunden und mir stellt sich die Frage, ob das Telefon (VoIP) im Modem-Only Betrieb der Fritzbox problemlos weiterlaufen würde?

 

[daheym]

Dann müsstest du die Fritzbox 2-Beinig anstöpseln. 1x ans WAN Interface der UTM und 1x ans internal Interface/Switch und eine entsprechende Route auf der FB eintragen.
Ist nicht schön aber geht. Exposed Host ist da schöner, da hast du allerdings einen Hop mehr.

 

[needles78]

So weit ich es aus meiner Erfahrung sagen kann, geht das VoIP nicht mehr (zumindest wenn die Fritzbox auch die Telefonie managed) wenn er als Modem eingestellt ist (Kein Firmwareupgrade fahren sonst ist die Einstellung weg ;-) ). Ich hatte es halt mit einer 2. alten FB gemacht die hinter der Astaro/Sophos installiert war. Entsprechend VoIP-regeln definiert und durchgereicht das ging. Was mir an der Exposed Host geschichte besser gefällt ist das ich die Firewall rebooten kann ohne das davon die Telefonie betroffen ist.
Die Variante von Daheym kann ich mir im Moment nicht vor Augen führen weil ich der Meinung bin das alle Funktionen der FB ausgehebelt werden wenn er als reines Modem läuft. Weiß ich aber so nicht mehr genau. Es sei denn die Telefonieanlage ist gesondert vorhanden dann geht die Variante natürlich auch.

 

[daheym]

Es gehen alle Funktionen der FB, solange du ihr ein Gateway ins Internet gibst.

 

[xzwr]

Guten Abend,

ich versuche gerade mein Multi-Wan Setup auf die UTM umzustellen, habe aber folgendes Problem:

Ich habe meine Download- und Streamingserver über eine Multipath Rule dem zweiten Wan zugewiesen.
Wenn jetzt jedoch das zweite Wan down geht, dann möchte ich nicht, dass automatisch das erste Wan benutzt wird.
Gibt es da eine Möglichkeit das zu unterbinden?

 

[MrDeluxe]

UTM 9, Benachrichtigugnsprobleme

Guten Abend,

ich habe Probleme mit der Benachrichtigungsfunktion. Ich weiß nicht ob es an meinem Mailanbieter (GMX) oder an meiner Konfiguration liegt.
Mein letzter Daily-Report ist vom 19.06.2013 mit der Firmware-Version 9.101-12. Nun habe ich die Version 9.105-9.

Muss ich den Smarthost aktivieren unter Emailprotection --> SMTP --> Erweitert ???

Der SMTP-Server ist: mail.gmx.net Port 25 , Typ: DNS-Host



Ich bitte um Rat! Danke!

 

[daheym]

Die Notification hat nichts mit der Mail Protection zu tun.

Schau mal unter Management -> Notifications -> Advanced

 

[MrDeluxe]

Also unter Management -> Notifications -> Advanced finde ich nichts ungewöhnliches.

Da ist der SMTP-Server eingetragen (mail.gmx.net als DNS-Host) , Port 25, Authentifizierung mit meinen Credentials und TLS deaktiviert. Was nun?

 

[layerbreak]

Danke übrigens für den Tipp mit der neuen Lizenz, ich hatte mich schon über die 2 AV-Lizenzen gefreut aber 10 sind natürlich noch besser

@needles78,

wo hast du diesen Tipp her, ich kann ihn nicht finden.
Wie kann man eine bestehende Lizenz (erstellt März 2011) auf eine Neue bekommen?

 

[layerbreak]

Dann schieb ich doch noch eine Frage hinterher.

Zur Zeit läuft bei mir die UTM9.x als VM unter ESXi5.1. Im Server ist noch eine Supermicro AOC-SG-i4 4-nic-Intel-Netzwerkkarte verbaut.

Die UTM soll jetzt eine eigene Hardware bekommen. Die Netzwerkkarte ist eine PCI-e x8 low profile Karte, die soll auch mit umziehen.
Port1 WAN 100/6 Mbit
Port2 WAN 2/0,5 Mbit als Reserve
Port3 LAN1
Port4 LAN2
Die angeschlossenen Rechner sind in 2 verschiedene Subnetze aufgeteilt, so dass IMHO eigentlich aller Verkehr über die UTM laufen müsste, wenn z.B. vom Datengrab in LAN1 ein Film in LAN2 angeschaut wird.
Laut Tagesberichte haben wir einen 'verarbeiteten Datenverkehr' von 5-14 GB/Tgl. Die Top-Anwendungen sind meistens Http/s, Cifs und Youtube.

Es laufen alle UTM-Dienste (IPS, Firewall, WebProtection, POP3 Proxy, auch Wireless Protection mit 2 AP10.

Jetzt weis ich nicht, wie leistungsfähig die neue Hardware sein soll und frag euch mal hier. Da die Kiste 24/7 läuft, wäre was richtig stromsparendes das Richtige.

 

[needles78]

Ich weiß nicht auf welcher Seite aber einer hier hat es gepostet das man einfach seine Lizenz erneuern kann, dann bekommt man statt 2, 10 AV-lizenzen. Du musst dich bei https://myutm.sophos.com/ einloggen und dann eine neue Homelizenz im Portal erstellen. Wenn du keine neue erstellen kannst musst du vorher deine alte löschen. Die Homelizenz lässt sich unten auf der Seite nach einem Klick auf "View Licences" erstellen. Wie gesagt du musst vorher deine alte löschen dann wird die auch die Option "Create new homelicense" angeboten.

 

[needles78]

Also unter Management -> Notifications -> Advanced finde ich nichts ungewöhnliches.

Da ist der SMTP-Server eingetragen (mail.gmx.net als DNS-Host) , Port 25, Authentifizierung mit meinen Credentials und TLS deaktiviert. Was nun?

Hast du mal bei den Protokollen und Logs geschaut was bei deinen Admin-Benachrichtigunden auftaucht?
Ich verwende übrigens im Thunderbird mail.gmx.net port 465 mit TLS das funkt...

Du musst auch die Benachrichtigungen begrenzen oder einen anderen Mail-Provider als GMX evtl suchen, ich bin mir ziemlich sicher das GMX und Web.de beide die häufigkeit der Emailabrufe stark eingrenzen, du verschickst zwar aber vielleicht begrenzen sie dort auch irgendwas. Das sollte dir aber das Log der Admin-Benachrichtigungen Preisgeben.

 

[needles78]

Dann schieb ich doch noch eine Frage hinterher.

Zur Zeit läuft bei mir die UTM9.x als VM unter ESXi5.1. Im Server ist noch eine Supermicro AOC-SG-i4 4-nic-Intel-Netzwerkkarte verbaut.

Die UTM soll jetzt eine eigene Hardware bekommen. Die Netzwerkkarte ist eine PCI-e x8 low profile Karte, die soll auch mit umziehen.
Port1 WAN 100/6 Mbit
Port2 WAN 2/0,5 Mbit als Reserve
Port3 LAN1
Port4 LAN2
Die angeschlossenen Rechner sind in 2 verschiedene Subnetze aufgeteilt, so dass IMHO eigentlich aller Verkehr über die UTM laufen müsste, wenn z.B. vom Datengrab in LAN1 ein Film in LAN2 angeschaut wird.
Laut Tagesberichte haben wir einen 'verarbeiteten Datenverkehr' von 5-14 GB/Tgl. Die Top-Anwendungen sind meistens Http/s, Cifs und Youtube.

Es laufen alle UTM-Dienste (IPS, Firewall, WebProtection, POP3 Proxy, auch Wireless Protection mit 2 AP10.

Jetzt weis ich nicht, wie leistungsfähig die neue Hardware sein soll und frag euch mal hier. Da die Kiste 24/7 läuft, wäre was richtig stromsparendes das Richtige.

Ohne mich allzuweit aus dem Fenster zu lehnen, würde ich mal sagen das unter anderem das oben von mir gepostete Mainboard deinen Traffic wuppen müsste. Bei nem TDP von 17Watt wäre er auch sparsam. Allerdings kann ich nur Vermutungen anstellen. Bei Sophos selber schreiben sie das die Besten Ergebnisse mit Hardware >= Intel Dual/Quadcore mit 2GHz oder mehr erzielt werden. Wobei sie dort wahrscheinlich auch eine größere Unternehmensstruktur meinen. Wenn du jetzt nicht unbedingt zwischen den beiden LANs IPS machst, sollte der Durchsatz reichen, da die UTM ja lediglich das routen zwischen den beiden LANs machen muss.

 

[daheym]

Also unter Management -> Notifications -> Advanced finde ich nichts ungewöhnliches.

Da ist der SMTP-Server eingetragen (mail.gmx.net als DNS-Host) , Port 25, Authentifizierung mit meinen Credentials und TLS deaktiviert. Was nun?

Schau mal unter Support -> Tools -> DNS lookup ob du mail.gmx.net auf die richtigen Adressen auflösen kannst.

Das mit den Static DNS Entries hat sich seit 9.1 geändert und werden jetzt in den Network Object mit gepflegt, was u.U. zu Fehlern führen kann.

 

[Lightflasher]

Nutzt hier wer eine UTM mit einer Fritzbox als Modem?

 

[xzwr]

Nutzt hier wer eine UTM mit einer Fritzbox als Modem?

Ja
UTM 9.1 plus Fritzbox 7240

Brauchst aber leider eine recht alte Firmware für die Fritzbox, da das bei allen neuen Versionen entfernt wurde.
Alternative ist die Fritzbox als Modem/Router mit der UTM als exposed host.

 

[Lightflasher]

Ja
UTM 9.1 plus Fritzbox 7240

Brauchst aber leider eine recht alte Firmware für die Fritzbox, da das bei allen neuen Versionen entfernt wurde.
Alternative ist die Fritzbox als Modem/Router mit der UTM als exposed host.

Mh ok das Problem ist eher das ich das WLAN von der Box bräuchte :/

 

[xzwr]

Daran bin ich bisher gescheitert einen vernünftige Lösung zu finden.
Auch mit Freetz war das alles nicht so erfolgreich, Wlan und die Lan-Bridge zu trennen oder ein Vlan einzurichten.
Im Endeffekt habe ich aufgeben, auch weil mir das Wlan der Fritzbox zu langsam war.

 

[MrDeluxe]

Schau mal unter Support -> Tools -> DNS lookup ob du mail.gmx.net auf die richtigen Adressen auflösen kannst.

Das mit den Static DNS Entries hat sich seit 9.1 geändert und werden jetzt in den Network Object mit gepflegt, was u.U. zu Fehlern führen kann.

PING 212.227.17.190 (212.227.17.190) 56(84) bytes of data.
64 bytes from 212.227.17.190: icmp_seq=1 ttl=50 time=36.5 ms
64 bytes from 212.227.17.190: icmp_seq=2 ttl=50 time=38.4 ms
64 bytes from 212.227.17.190: icmp_seq=3 ttl=50 time=33.9 ms
64 bytes from 212.227.17.190: icmp_seq=4 ttl=50 time=35.6 ms
64 bytes from 212.227.17.190: icmp_seq=5 ttl=50 time=39.1 ms

schaut gut aus...

Hast du mal bei den Protokollen und Logs geschaut was bei deinen Admin-Benachrichtigunden auftaucht?
Ich verwende übrigens im Thunderbird mail.gmx.net port 465 mit TLS das funkt...

Du musst auch die Benachrichtigungen begrenzen oder einen anderen Mail-Provider als GMX evtl suchen, ich bin mir ziemlich sicher das GMX und Web.de beide die häufigkeit der Emailabrufe stark eingrenzen, du verschickst zwar aber vielleicht begrenzen sie dort auch irgendwas. Das sollte dir aber das Log der Admin-Benachrichtigungen Preisgeben.

Ich kann mir jetzt vorstellen, wo das Problem sein könnte. Als Emailversender habe ich 'Astaro@firewall.de' angegeben, welchen es sicher nicht gibt. Was habt ihr da eingetragen?

 

[needles78]

PING 212.227.17.190 (212.227.17.190) 56(84) bytes of data.
64 bytes from 212.227.17.190: icmp_seq=1 ttl=50 time=36.5 ms
64 bytes from 212.227.17.190: icmp_seq=2 ttl=50 time=38.4 ms
64 bytes from 212.227.17.190: icmp_seq=3 ttl=50 time=33.9 ms
64 bytes from 212.227.17.190: icmp_seq=4 ttl=50 time=35.6 ms
64 bytes from 212.227.17.190: icmp_seq=5 ttl=50 time=39.1 ms

schaut gut aus...



Ich kann mir jetzt vorstellen, wo das Problem sein könnte. Als Emailversender habe ich 'Astaro@firewall.de' angegeben, welchen es sicher nicht gibt. Was habt ihr da eingetragen?

Ich habe dort utm@meinelocaldomain.local gibt es auch nicht. In dem adminlog steht nichts drin? Ich hatte anfangs mein Passwort falsch eingetragen da tauchte in dem Log entsprechend die Meldung auf das die Auth fehlgeschlagen ist. Der smarthost von mir ist allerdings auch mein eigener VServer im Web.
Ich werde mal nachher testhalber auch mal den Smarthost via gmx einrichten, dann schau ich mal ob's klappt. Ich meld mich mit dem Ergebnis.

 

[MrDeluxe]

Das Problem ist "schon" beseitigt. Ich habe meinen 2.GMX-Accountnamen eingetragen und nun kommen die Benachrichtigungen. Echt tückisch
Ich danke euch =)

 

[needles78]

Mh ok das Problem ist eher das ich das WLAN von der Box bräuchte :/

Das WLAN funkt trotzdem, ich hatte bei mir DHCP von der Sophos eingestellt und auf der FB deaktiviert hat wunderbar funktioniert. Auch wenn die FB nur als Modem fungiert. Ich Hatte bevor meine Alte Hardware flöten gegangen ist auch die FB als Modem und dahinter die Sophos die dann die Einwahl übernahm. Jetzt habe ich allerdings auf Exposed Host gewechselt weil ich wie erwähnt die Telefonie von der Sophos trennen konnte. Der eine Hop den ich mehr habe stört micht nicht, auch nicht beim zocken. Ich merke so keinen Unterschied. Selbst jetzt wo die Fritzbox ich einem gänzlich anderen Netzwerk ist als die Sophos und der Clients (naja natürlich auch so nicht ganz korrekt die UTM hat natürlich ein Beinchen in beide Netze aufgrund der Gatewaydefinition) funktioniert WLAN wunderbar. Das Routing macht die UTM völlig automatisch.

 

[xzwr]

Das klingt interressant, wie ist denn dein Aufbau genau?

Fritzbox Wlan Bridge -->
________________________Fritzbox Lan Port --> Sophos WAN Port --> Sophos Lan port --> Restliches Netz
Frittzbox Modem/Router-->

Wenn so, dann frage ich mich, wie du:

A. Den DHCP-Server der UTM auch am WAN Port der UTM hast.
B. Das Wlan und den Router/Modem Teil der Fritzbox getrennt hast.

 

[needles78]

Im Moment ist es wie folgt:
Fritzbox 3370 mit der IP 192.168.178.1 macht die Einwahl Kein DHCP aktiv. Auf der Fritzbox ist bei Freigaben exposed Host definiert (auf die IP 192.168.178.10). Die UTM hat 2 Interfaces (logischer weise) Internal/External, Internal hat die IP 192.168.100.200 External die IP 192.168.178.10 mit aktiven Gateway 192.168.178.1. Da die Fritzbox in meinem jetzigen Fall die VDSL-Einwahl managed ist ganz normal am LAN-Port ein Patchkabel was auf weitere Switches gesteckt ist. Je nach größe kannst du natürlich mit deinem Client direkt an den LAN-Port der Fritzbox rangehen. DHCP auf der Sophos für Internal definieren dann sollte es schon gehen. Die FB sollte für sein WLAN über die UTM DHCP-Requests verteilen. Dadurch das die UTM ein Beinchen in beide Netze hat kannst du auch auf die Fritzbox noch rauf. Je nach dem wie restriktiv du arbeitest musst du gegebenenfalls Firewallregeln erstellen, bei mir hier zuhause ist Internal --> any --> any. Habe keine DMZ und musste keinerlei Regelanpassungen machen um auf beide Netzbereiche zugreifen zu können. Aber selbst wenn du restriktiver bist sollte das auch kein Problem sein. Im Moment habe ich den DHCP-Server über meinen WHS laufen, allerdings hatte ich vorher einige Tage DHCP über die UTM, machte keinen Unterschied. funktionieren tut beides.

2.(Meine alte Konfig) Wenn die FB hat als Modem agiert, stellst du es so ein und lässt aber auch hier WLAN aktiv, DHCP auf der FB aus. Dann halt WAN der Fritzbox an dein External-Interface der UTM und Internal an einem LAN-Port der FB. DHCP auf der Sophos auf Internal und auch hier hatte ich nie irgendwelche Probleme. Meine Telefonie wurde und wird noch immer von einer weiteren FB gemanaged die über LAN1 ein vorhandenes Gateway mitbenutzt hat (in dem Fall die Internal IP der UTM). Bei dieser Konstellation hatte ich immer den DHCP der Astaro/UTM verwendet.

Hoffe du kannst es so nachvollziehen

 

[layerbreak]

Ich weiß nicht auf welcher Seite aber einer hier hat es gepostet das man einfach seine Lizenz erneuern kann, dann bekommt man statt 2, 10 AV-lizenzen. Du musst dich bei https://myutm.sophos.com/ einloggen und dann eine neue Homelizenz im Portal erstellen. Wenn du keine neue erstellen kannst musst du vorher deine alte löschen. Die Homelizenz lässt sich unten auf der Seite nach einem Klick auf "View Licences" erstellen. Wie gesagt du musst vorher deine alte löschen dann wird die auch die Option "Create new homelicense" angeboten.

Danke, für den Tipp. Übrigens ich hab nur eine einzige AV-Lizenz. Vielleicht liegt es daran, dass im März 2011 Astaro nur Einzellizenzen vergeben hat.

Ohne mich allzuweit aus dem Fenster zu lehnen, würde ich mal sagen das unter anderem das oben von mir gepostete Mainboard deinen Traffic wuppen müsste. Bei nem TDP von 17Watt wäre er auch sparsam. Allerdings kann ich nur Vermutungen anstellen. Bei Sophos selber schreiben sie das die Besten Ergebnisse mit Hardware >= Intel Dual/Quadcore mit 2GHz oder mehr erzielt werden. Wobei sie dort wahrscheinlich auch eine größere Unternehmensstruktur meinen.

Du meinst das Zotac NM7-ITX? Nicht so mein Ding, nicht erweiterbar bzw. ausbaufähig.
Ich dachte an einen Intel Pentium der Haswell-Generation (G3220T oder G3420T). Die T-Versionen sind z.Zt. noch nicht verfügbar, ist aber egal, da meine Anschaffung auf Ende Okt13 geplant ist.
Macht sich die niedrigere TMP bei der UTM überhaupt, mit geringerem Stromverbrauch bemerkbar? Ferner konnte ich noch nichts finden, ob die UMT, die ja auf Basis des SuseLinux11 ist, mit dem Haswell klar kommt. Ist das was bekannt?

Wenn du jetzt nicht unbedingt zwischen den beiden LANs IPS machst, sollte der Durchsatz reichen, da die UTM ja lediglich das routen zwischen den beiden LANs machen muss.

Bei IPS ist unter Allgemein alle meine Netzwerke eingetragen.
Unter Ausnahmen müsste ich dann wohl folgende Ausnahmeregel erstellen?:
Prüfung auslassen: IPS
Für alle Anfragen--Aus diesen Quellnetzwerken kommend--LAN2
UND Diese Dienste verwendend--cifs/445
UND zu diesen Zielen gehend LAN1

 

[xzwr]

Da die Fritzbox in meinem jetzigen Fall die VDSL-Einwahl managed ist ganz normal am LAN-Port ein Patchkabel was auf weitere Switches gesteckt ist.

D.h. aber, dass bei dir der External-Port der UTM und der Internal-Port der UTM über einen Switch verbunden sind?

Die T-Versionen sind z.Zt. noch nicht verfügbar, ist aber egal, da meine Anschaffung auf Ende Okt13 geplant ist.
Macht sich die niedrigere TMP bei der UTM überhaupt, mit geringerem Stromverbrauch bemerkbar?

Macht sich im Idle und bei geringer Last nicht (oder nur sehr gering) bemerkbar.
Bei den T-Version ist die TDP begrenzt, sodass sie oben heraus nicht so hoch takten können.
Ansonsten ist da eigentlich kein Unterschied zwischen den beiden Versionen. Macht imho also keinen Sinn auf eine T-Version zu setzen.

 

[needles78]

D.h. aber, dass bei dir der External-Port der UTM und der Internal-Port der UTM über einen Switch verbunden sind?

Macht sich im Idle und bei geringer Last nicht (oder nur sehr gering) bemerkbar.
Bei den T-Version ist die TDP begrenzt, sodass sie oben heraus nicht so hoch takten können.
Ansonsten ist da eigentlich kein Unterschied zwischen den beiden Versionen. Macht imho also keinen Sinn auf eine T-Version zu setzen.

Korrekt, theoretisch ist das so. Da es aufgrund von defekter Hardware eine VM ist, ist es virtuell erledigt. Wenn ich meine neue Hardware habe wird die utm über einen Switch mit internal und external verbunden. An die FB kann ich nicht direkt gehen da sie zu weit entfernt ist und ich mein Haus vernetzt habe. Es sind mehrere switche im Betrieb. Keiner der switche sind VLAN tauglich, ich erwarte generell das es weiter so funktionieren wird.

@Layerbreak ich habe schon mit dem gleichen Gedanken gespielt, nach dem Bericht aus der aktuellen CT wo sie einen 10watt PC mit einem aktuellen I5 bauen, Scheinen sie sehr sparsam zu sein. Leider sind hier auch wieder Boards mit Dual LAN onboard und mini itx selten oder teuer. das ist es mir nicht wert, bei mir hat die Firewall generell nicht viel zu tun, das
ändert sich vielleicht wenn meine Kinder größer werden . Ich hätte auch gerne ein Gehäuse wie das Antec ISK110 dafür muss das Board 2x LAN onboard haben.
Im übrigen kann ich das geschriebene von xzwr zum Thema T-Modell bestätigen, in der CT haben sie exakt das geschrieben was er schreibt. Idle kein Unterschied und nach oben eben sparsamer weil sie einfach nicht so hoch takten.
Zum IPS-Filter: Hier würde ich ebenfalls zustimmen (ohne es 100%ig zu wissen weil ich es eben nicht selber benutze) allerdings solltest du es nochmal vice versa definieren damit es in beide Richtungen greift. So würde er nur von LAN2 in LAN1 greifen.