thomas-hn
Aug 03, 2020
view10315
view8
0
Goto Top

PfSense Hardware-Empfehlung

GermanQuestionServer HardwareHardware
Hallo,

ich möchte in Zukunft pfSense als Router/Firewall einsetzen und hierzu eine leistungsfähige, aber dennoch stromsparende, Hardware einsetzen.

Meine aktuellen Anforderungen:
  • Betrieb von pfSense (oder OPNsense)
  • das Gehäuse soll ein Server-Gehäuse für ein 19-Zoll-Rack sein
  • aktueller Internetanschluss 100/40 MBit/s, aber mit Auslegung auf zukünftiges GBit FTTH
  • ich möchte mir die Möglichkeit für Snort/Suricata offenhalten
  • es soll ein DNS-Filter laufen
  • es soll HAproxy laufen
  • max. ca. 6-8 gleichzeitige VPN-Verbindungen mit IPsec/OpenVPN (IPsec hautpsächlich für Windows-Notebooks, OpenVPN hauptsächlich um sich via HTTPS um gewisse Einschränkungen in Netzen zu mogeln)
  • Unterstützung von AES-NI
  • IPMI
  • Das System sollte genug Leistung haben, dass es für mindestens die nächsten 10 Jahre im Einsatz bleiben kann.

Zur Hardware die ich bisher im Blick habe:
  • SuperMicro A2SDi-4C-HLN4F
      • CPU: Intel Atom C3558, 4 Cores
      • 4x GBit-LAN, Intel C3000 SoC
  • Gehäuse SuperChassis 505-203B
  • 8 GB RAM ECC
  • SSD: Samsung EVO

Meine Fragen:
  • Wie sicher sind die SuperMicro-Boards? Im Jahr 2018 wurden auf den SuperMicro-Boards ja chinesische Spionage-Chips entdeckt.
  • Habt ihr Bedenken bzgl. Kompatibilität mit pfSense? Gibt es bekannte Probleme mit dieser Hardware?
  • Würdet ihr andere Komponenten bevorzugen?
  • Es gibt pfSense-Appliances ja auch mit i3, i5, Celeron oder Xeon CPUs.
      • Würden die gegenüber meinem "Intel Atom C3558, 4 Cores" bzgl. Leistung einen großen Vorteil bieten?
      • Wie sieht es dann aber mit dem Stromverbrauch aus (Der Intel Atom C3558 hat TDP 16W)?
      • Bekommen wir mit einer anderen CPU mehr Leistung bei gleichem oder nur minimal höherem Stromverbrauch?
  • Habt ihr Erfahrungen bzgl. der Leistung meines vorgeschlagenen Systems gegenüber den sonst oft verwendeten pfSense-Hardware-Plattformen, wie:
      • APU 2E4/4D4 (da liege ich wahrscheinlich deutlich darüber)
      • IPU662 mit i5-6200U (Skylake Dual Core (4 Threads) 2.3 GHz, Turbo Boost bis zu 2.8 GHz, 15W TDP)
      • Celeron J3160 (4 Cores, 1.6GHz)
      • i5, Celeron, Xeon
  • Wie sind die Netzwerk-Controller (Intel C3000 SoC) des genannten Boards einzustufen? Besser/schlechter/vergleichbar wie z.B. ein Intel i210/i211?

Vielen Dank im Voraus,

Thomas
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 593237

Url: https://administrator.de/contentid/593237

Printed on: April 24, 2024 at 07:04 o'clock

8 Comments
Latest comment
Goto Top
Member: adminst
adminst Aug 03, 2020 at 11:08:11 (UTC)
Goto Top
Hallo Thomas
Ich habe mit dem Supermicro SYS-5018D-FN8T gute Erfahrungen gemacht.
Siehe:
Administrator Forum

Gruss
adminst
Member: aqui
aqui Aug 03, 2020 at 11:15:37 (UTC)
Goto Top
Für die Anforderungen würde aber auch ein APU4 reichen in einem 19" Gehäuse:
https://www.varia-store.com/de/produkt/100957-pc-engines-apu4d2-dualrack ...
Member: Fenris14
Fenris14 Aug 03, 2020 at 11:18:49 (UTC)
Goto Top
Also aus eigener Erfahrung kann ich sagen, das du mit den Denverton und Rangleys auf Dauer nicht zufrieden sein wirst. Geht schon beim reinen Datendurchsatz und paar Firewall-Rules los... da wird ganz schnell aus 1Gbit vielleicht noch 700Mbit. Die Denverton sind ansich eigentlich nur ein Refresh von Rangley. Das Lineup wurde bisschen erweitert, auf mehr Kerne. Ansonsten im Vergleich zwischen C2558 und C3558 wurde bisschen an der Taktschraube rumgedreht und er Support für vollwertige RAM-DIMMs eingeführt.

Wenn du da mal 1Gbit FTTH machen möchtest und dann noch solche Sachen wie DNS-Filter oder Snort installierst, brechen dir 100 Pro die Datenraten ein.
Member: thomas-hn
thomas-hn Aug 03, 2020 at 11:46:13 (UTC)
Goto Top
Hallo adminst,

was frisst das Ding denn an Leistung, wenn es ohne VPN und ohne große Last vor sich hin idlet?
Member: thomas-hn
thomas-hn Aug 03, 2020 at 11:47:21 (UTC)
Goto Top
Hallo Fenris14,

was würdest Du dann als leistungsfähigeres System und dennoch vom Stromverbrauch akzeptabel empfehlen?
Member: Fenris14
Fenris14 Aug 03, 2020 updated at 13:34:19 (UTC)
Goto Top
Eigentlich in Richtung wie es @adminst schon bereits empfohlen hat. Eine Plattform mit SoC in Richtung Xeon D-1518/30/40 oder Xeon D-21xx. Da du etwas mit IPMI suchst, wirst du nur schwer an SuperMicro Boards vorbei kommen und da gibt es unzählige Modelle.

Kommt dann ganz auf den Bedarf an Schnittstellen und Erweiterbarkeit an. Natürlich zuletzt dann auch auf das Budget.

Plattformen mit D-1518 sind mittlerweile sehr günstig zu bekommen und immer noch ausreichend stark um viele Erweiterungen, Firewall Rules, VPNs mit gleichzeitig noch VLAN-Routing zu betreiben ohne einen spürbaren Leistungsverlust zu haben.

Habe hier zum Beispiel eine reine Linux-Firewall mit Xeon D-1518 seit 4 Jahren in Betrieb. Internet-Geschwindigkeit liegt bei synchronen 100Mbit. Da drauf sind fünf OpenVPN Site-to-Site, Firewall mit Iptables und VLAN-Routing mit Boardmitteln ohne das auch bei hoher Belastung nur ein Hauch von Schwäche gezeigt wird. Kein Einbruch des Durchsatzes oder sonst irgendetwas. Läuft einfach.

Letztes Jahr eine Plattform für einen anderen Standort gekauft, mit Xeon D-2123IT mit pfSense. Dort ist ein bisschen Tricki, das der Treiber der mit pfSense für die 10Gbit-Schnittstellen (ixl) kommt, veraltet ist und teilweise zu Problemen führt (vorallem bei Verkabelung für Failover). Diesen kann man sich aber selbst kompilieren. Kein Hexenwerk. Ansonsten läuft das Teil auch ohne Probleme durch.

Edit: Nur mal als Beispiel...

https://direkt.jacob.de/produkte/Supermicro-X10SDV-4C-TLN4F-MBD-X10SDV-4 ...

War mal lange Zeit eine der der Kaufempfehlungen in diesem Bereich und auch jetzt noch für viele Anwendungsbereiche ausreichend. Bisschen Zukunftssicherheit mit 10Gbit hat man auch noch.
Member: monstermania
monstermania Aug 03, 2020 at 14:14:00 (UTC)
Goto Top
Zitat von @thomas-hn:
  • aktueller Internetanschluss 100/40 MBit/s, aber mit Auslegung auf zukünftiges GBit FTTH
  • Das System sollte genug Leistung haben, dass es für mindestens die nächsten 10 Jahre im Einsatz bleiben kann.
  • Wie sicher sind die SuperMicro-Boards? Im Jahr 2018 wurden auf den SuperMicro-Boards ja chinesische Spionage-Chips entdeckt.
Grundsätzlich würde ich keine (Hardware)Leistung auf Vorrat kaufen. Kauf nur dass als Leistung, was Du realistisch planbar überschauen kannst.
Und das mit 10 Jahren kannst Du kaum Ernst meinen! Wie stellst Du Dir die Ausfallsicherheit bei 10 Jahren Betriebsdauer vor!? Und wer weiß schon, welche Anforderungen an die Firewall Ihr in 5 Jahren habt!?
Und bei einer pfsense/OPNsense die Konfiguration auf ein neues System zu übernehmen ist jetzt auch kein Aufwand.

Also. kauf Die jetzt ein System, was Dir die nächsten 2-3 Jahre gut passt und gut ist.

War das mit den Spionagechips auf den Mainboards nicht schlussendlich nur ein ein HOAX!?
Member: fnbalu
fnbalu Aug 24, 2020 at 17:02:38 (UTC)
Goto Top
Hallo

Wenn ich das so lese, dann bedarf es bei höheren Geschwindigkeiten schon etwas Bums.
Wir bekommen demnächst voraussichtlich FTTH über die Deutsche Glasfaser.

Ich werde vorerst den 400er Tarif buchen.

Als Hardware möchte ich demnächst mein https://www.supermicro.com/en/products/system/Mini-ITX/SYS-E200-9B.cfm aktiv einsetzen.

Wenn ich das hier lese, könnte das auch direkt ein Flaschenhals werden?
Von der Gehäuseform finde ich die SuperServer genial.

Das Supermicro Superserver SYS-E300-8D gefällt mir natürlich auch.
Nur ist jetzt die Frage ob meine Hardware zu schwach ist oder ob es da dann auch mehr benötigt.
Theoretisch könnte ich ja 1000/500 buchen.
GermanQuestionServer HardwareHardware
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments