Nov 18, 2023

4270

Hardware für Firewall

Hallo,

ich betreibe derzeit 2 UTMs in meinen 2 Wohnungen.
Da mir das Board abgeraucht ist und bei Utm eol bereit steht 2026 ca, dachte ich gleich auf die XG zu wechseln.

Jetzt suche ich noch passende Hardware.
Bevorzugt wo ich die XG SW direkt installieren kann ohne Hypervisor.
Gibts dazu empfehlungen?
Je Gerät max. 300 Euro.
Es sollte die Leistung der XG ausnutzen mit den 6GB Ram.
Jeweils 4 Lan Ports haben und Vlan Fähig.

Ich habe bereits 2 Mini PCs eigentlich gekauft, welche aber zurück gehen.
Ich bekomme dort keine XG ohne esxi zum laufen, wäre zwar nicht das KO, aber KO ist, die Kiste macht kein Vlan mit.
Habe es mit Utm, XG versucht sowie BM Installation mit pfsense. Nichts zu machen, kommt kein Vlan am Switch an.
Die Hardware haben jeweils Intel N100 und intel I226V Netzwerkports.
Warum dort kein Vlan geht, keine Ahnung.

Please also mark the comments that contributed to the solution of the article

Content-Key: 53720255279

Url: https://administrator.de/contentid/53720255279

Printed on: April 27, 2024 at 07:04 o'clock

31 Comments

Latest comment

https://www.amazon.de/STRHIGP-Firewall-OPNsense-Ethernet-Computer/dp/B09 ...
https://www.ipu-system.de
https://www.varia-store.com/de/produkt/690959-apu4d4-bundle-board-netzte ...

Hier steht wie es mit dem VLAN geht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Und hier mit ESXi, Proxmox und Co.
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
Pfsense in Proxmox als Router

Was hat denn VLAN mit der HW-Basis eines Rechners zu tun?
Ein VLAN wird im Betriebssystem oder im NIC-Treiber definiert. Oder über die Konfiguration in der Firmware. Dem HW-Port der NIC ist das ziemlich egal. (Siehe Frame-Aufbau bei Ethernet)

Jürgen

Jein, das 226V wird kein Vlan von intel Angegeben. Dementsprechend gibts wohl auch keine Treiber.
Gibts so ne Hardware nit etwas mehr Power?

Diese China Teile wie du mir verlinkt hast, habe ich bereits hier liegen.
226v nic... bekomme da kein Vlan hin

Zitat von @opc123:

Jein, das 226V wird kein Vlan von intel Angegeben. Dementsprechend gibts wohl auch keine Treiber.
Gibts so ne Hardware nit etwas mehr Power?

Moin,

du schraubst doch eh ne Sophos drauf. Da hat es doch damit nix zu tun.

Gruß
Spirit

Naja doch....

Zitat von @opc123:

Naja doch....

Das erklär mal..

Wenn Intel schreibt, dass diese Nic keine Vlans kann, was hat das mit der Sophos zu tun? Die Software kann es dann auch nicht ändern.
Das Nic ist laut Datenblatt nicht kompatibel.

Zitat von @opc123:
Wenn Intel schreibt, dass diese Nic keine Vlans kann, was hat das mit der Sophos zu tun? Die Software kann es dann auch nicht ändern.
Das Nic ist laut Datenblatt nicht kompatibel.

Nabend.

Bitte mal einen Link zu dem Datenblatt, wo diese Einschränkung stehen soll.

Aktuell finde ich auf der offiziellen Intel Seite weder zur Intel 225 noch zur 226 NIC irgendeinen Hinweis dahingehend.

+1 @Spirit-of-Eli

Gruß
Marc

https://www.intel.de/content/www/de/de/support/articles/000096004/ethern ...

Ob eine NIC hardwaretechnisch VLANs verarbeiten kann, hängt nur von der Größe des verbauten RAMs ab: ein getaggter Ethernet-Frame ist 4 Byte größer als ein normaler Frame.

Und laut Datenblatt kann die NIC 1588-Byte Frames.
Die Treiber unterstützen das aber wohl nur unter Linux.

Aber Sophos basiert doch auch auf Linux.

Warum soll das also nicht gehen?

Mal 'ne andere Frage: wie hast du den festgestellt, dass VLANs nicht gehen?
Sophos installiert und dann?

Jürgen

Zitat von @opc123:
https://www.intel.de/content/www/de/de/support/articles/000096004/ethern ...

Zitat von der Website:

"Ethernet VLANs are virtual LANs that separate and isolate a physical network at the data link layer (OSI layer 2). 3rd party software is required."

Ich habe in meinem MinisForum HM90 auch eine Intel 225V NIC verbaut und diese funktioniert ganz wunderbar mit mehreren VLANs.

Das Datenblatt lässt hier leider etwas Klarheit links liegen, muss man ja zugeben.

Gruß
Marc

Moin ...

Zitat von @opc123:

Jein, das 226V wird kein Vlan von intel Angegeben. Dementsprechend gibts wohl auch keine Treiber.

unter Linux etc.. kei. Problem

Gibts so ne Hardware nit etwas mehr Power?

mehr Power für was genau?

Warum dort kein Vlan geht, keine Ahnung.

dann hast du dort defizite, ich kann dir versichern, das es mit pfsense und intel 226V ohne Probleme geht.

Frank

Bei mir funktioniert es nicht.
Normale Utm sowie vm auf anderer Hardware funktioniert.
Sobald eine FW VM oder Pfsense mit der Hardware angeschlossen ist, kein Traffic mehr.
Alle Pakete gehen ohne Vlan ID raus.

Sophos lässt sich dort nicht BM installieren. Ich habe es zumindest nicht hinbekommen. Display bleibt schwarz.
Prozess hängt nach boot auswahl.

Moin,

Wäre es eine Option, eine gebrauchte XG Appliance zu kaufen?
Gebrauchte 210Rev3 Hardware gibt es teilweise schon für < 300€ bei Kleinanzeigen…

Zitat von @opc123:
Bei mir funktioniert es nicht.
Normale Utm sowie vm auf anderer Hardware funktioniert.
Sobald eine FW VM oder Pfsense mit der Hardware angeschlossen ist, kein Traffic mehr.

Male mal bitte auf, wie, was, wo installiert und konfiguriert ist.

Alle Pakete gehen ohne Vlan ID raus.

Wie sieht denn deine Interface Konfiguration aus? Welches Switch kommt eigentlich zum Einsatz und wie sind da die Ports konfiguriert, welche zur Firewall gehen?

Ich habe seit mehreren Jahren APU und IPU Systeme im Einsatz mit PFSense und da klappen VLANs wunderbar. OPNSense und OpenWRT wurden auch erfolgreich getestet.

Gruß
Marc

Info kommen ende der Woche.

Zitat von @aqui:

https://www.amazon.de/STRHIGP-Firewall-OPNsense-Ethernet-Computer/dp/B09 ...
https://www.ipu-system.de
https://www.varia-store.com/de/produkt/690959-apu4d4-bundle-board-netzte ...

Hier steht wie es mit dem VLAN geht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Und hier mit ESXi, Proxmox und Co.
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches
VLAN mit Cisco SG220, ESXIund Pfsense
Pfsense in Proxmox als Router

Ich bin auch gerade auf der Suche nach einer vernünftigen Hardware für eine OPENSense, jedoch macht mir das erneute Intel Thema sorgen.....
CVE-2023-23583
https://www.intel.com/content/www/us/en/developer/topic-technology/softw ...

Jetzt gab es in der jüngsten Vergangenheit, schon mehrerer große und auch kleine CPU Lücken und ich frage mich, macht es wirklich Sinn sowas dann als Firewall / Router zu nutzen. (Geräte auf Intel Basis)

Einen "Schweizer Käse" als erste Sicherheitsinstanz zu nutzen?

Gibt es brauchbare Alternativen, die auch leistbar sind? Oder bleibt uns nichts anderes übrig als immer wieder zu patchen und zu hoffen das nicht neues aufkommt?

Edit:
Ich schwanke zwischen einem DEC740 und dort den RAM tauschen oder einem APU.4D4, wenn es um den reinen Preis gehen würde.

Gibt es brauchbare Alternativen, die
auch leistbar sind? Oder bleibt uns
nichts anderes übrig als immer wieder
zu patchen und zu hoffen das nicht
neues aufkommt?

Solange die CEOs von Intel und den anderen BigTech-Unternehmen nicht mit ihrem Privat-Vermögen haften leider JA.

Aber im Ernst: Es wird nie fehlerfreie Hard- oder Software geben. Dazu sind die Systeme viel zu komplex.
Eine gute "Fehler-Kultur" mit Offenheit und schneller Reaktion (Patch) ist die einzige Lösung.

Jürgen

Wenn es das denn nun war:
How can I mark a post as solved?
nicht vergessen!

Also, ich komme nicht weiter.
Habe jetzt 2 so ne Mini Teile hier mit N100 und dem 226V
Habe es mit Esxi und darauf XG, Utm sowie Pfsense BM Installation versucht. Ich bekomme kein Vlan durch. Am Switch liegt es nicht... da an meiner Hardware Utm alles mit läuft.

Gesucht wäre für mich eine Hardware mit 8 GB RAM bevorzugt.

Ich bekomme kein Vlan durch.

Die entsprechenden ESXi Tutorials dazu hast du alle gewissenhaft gelesen und umgesetzt?
VLAN mit Cisco SG220, ESXIund Pfsense
Sophos Software Appliance UTM - VLAN - CISCO SG Series Switches

Ein paar mehr Infos, Screenshots usw. deines vSwitch Setups im ESXi wären schon hilfreich um nicht immer kristallkugeln zu müssen.

Gesucht wäre für mich eine Hardware mit 8 GB RAM bevorzugt.

Was hat das denn nun mit einem korrekten vSwitch Setup im ESXi zu tun?

Ja Trunkport im Esxi usw....
Das spielt doch keine Rolle.
Wenn selbst Baremetal kein Vlan durch kommt fehlts erstmal an passender Hardware.
Der Switch ist ganz normal eingerichtet... Port 1 als Trunk und entsprechend Ports als Member für das jeweilige Vlan.
Nochmal... am Switch liegt es nicht. An vorhandener Utm funktioniert es.

Irgend was scheint da bei dir nicht zu funktionieren. Bei mir würde die ganze HW ohne tools wie HyperV oder PfSense auch keine VLans supporten.
Daher schlicht die Frage wie du das konfiguriert hast. Da muss irgend wo der Wurm drin sein.

Nochmal, das hat nichts mit der Schnittstelle zu tun.

Wenn selbst Baremetal kein Vlan durch kommt

Das geht auch generell ohne den entsprechenden Treiber nicht! Guckst du hier:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren

Der Switch ist ganz normal eingerichtet...

PVID VLAN bzw. Native VLAN hast du auch korrekt definiert auf dem Trunkport?

Ja, die sind alle drin.
Wie erwähnt: noch mal:

Meine Umgebung Utm, Switch bereits seit vielen Jahren vorhanden.
Sobald ich die Utm gegen eine der boxen mit: pfsense, utm virtuell auf der HW tausche, Funktiert es nicht, wohl wegen fehlenden Treiber?
Ja und wie installiere ich den Treiber nach beim Esxi? Bisher war dort immer alles enthalten.

Erkennt denn deine ESXi-Installation die in der HW vorhandenen Komponenten, namentlich die Netzwerkkarten?
Wenn die NICs in der HW-Liste von VMware aufgeführt werden, bringt die Installation des ESX die notwendigen Treiber mit! Einige HW-Hersteller haben eigene Images mit den Treibern für ihre spez. HW.
Ansonsten musst du die notw. Treiber selber in das Installations-Image integrieren.

Wenn die NICs vom ESX erkannt werden, dann sind in der Regel auch die passenden Treiber installiert. Und dann kann man am vSwitch auch VLANs konfigurieren.

Also sind die NICs in der ESX-Netzwerkumgebung aufgelistet oder nicht?

Jürgen

Ein Esx ohne Vlans würde auch wenig Sinn machen.
Wenn die Nic also erkannt wird, soll das wohl funktionieren.

Das ist ja die große Frage an die Kristallkugel.

Werden die HW-NICs vom ESX erkannt und sind installiert oder nicht?

Dazu schweigt der TO ja bisher.

Jürgen

Sinnvoll wäre ja wenn der TO überhaupt erst einmal einer seiner VMs testweise auf dem vSwitch einen VLAN Tag mitgibt und direkt an der Hypervisor Host NIC generell mit dem Wireshark nachsieht ob dort die VM Frames entsprechend mit einem VLAN Tag ankommen. Hier im Trace z.B. mit dem VLAN Tag 14:

Auf diesen einfachen und banalen Test kommt auch ein Laie.

Dies würde zumindestens erstmal sicherstellen das das VLAN Tagging am vSwitch prinzipiell sauber klappt.
Es ist schwer vorzustellen das VmWare NIC Treiber betreibt die kein Tagging supporten was den Betrieb eines Hypervisors eines kommerziellen Produkts ja ad absurdum führen würde, da diese Funktion ja zugesichert wird und eine wesentliche Eigenschaft ist. Die Aussage des TOs gehört sehr wahrscheinlich ins Reich der IT Märchen und es ist davon auszugehen das der TO weiterhin einen Kardinalsfehler bei der Konfiguration der VLAN Tags am internen vSwitch des Hypervisors macht!

Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
How can I mark a post as solved?

German Question Firewall