Pfsense oder Sophos UTM Home
Hi zusammen,
wie im Titel schon beschrieben, bin ich noch unschlüssig was die Software, bzw. noch mehr was die Hardware angeht.
Habe jetzt schon einige Threads durch gelesen, auch die Anleitungen und wollte aber jetzt noch ein mal fragen wer mit welcher der Beiden Lösungen Erfahrungen bzw. noch besser wer mit beiden Systemen schon zu tun hatte.
Was die Hardware habe ich noch keine Finale Meinung.
Für pfsense würde sich natürlich das APU1D4 Board bestens eigenen, wenn ich jedoch gerne auch beide Lösungen testen wollen würde, wäre dieses Board jedoch zu schwach für die Sophos.
Deswegen habe ich zwei Threads von Dobby gefunden in denen folgende Hardware empfohlen wird:
https://www.mini-itx.de/Barebones-luefterlos-mit-CPU-Intel/Jetway-JBC390 ...
https://www.sona.de/411736
Diese beiden wären sowohl für Sophos als auch pfsense, laut Systemanforderungen gut geeignet. Jetzt habe ich jedoch einen anderen Thread gesehen, das aqui vom J1900 SoC abraten würde, jedoch war dort keine Erklärung warum.
Ich hätte also gerne eine Hardware, worauf beide Systeme flüßig und ohne Einschränkungen laufen würde, gerade im Hinblick später Webfilter usw. laufen zu lassen.
Anwendungsgebiet ist komplett privat, etwas mehr über Firewalls und deren Möglichkeiten zu lernen.
Gruß und Danke für den Input
wie im Titel schon beschrieben, bin ich noch unschlüssig was die Software, bzw. noch mehr was die Hardware angeht.
Habe jetzt schon einige Threads durch gelesen, auch die Anleitungen und wollte aber jetzt noch ein mal fragen wer mit welcher der Beiden Lösungen Erfahrungen bzw. noch besser wer mit beiden Systemen schon zu tun hatte.
Was die Hardware habe ich noch keine Finale Meinung.
Für pfsense würde sich natürlich das APU1D4 Board bestens eigenen, wenn ich jedoch gerne auch beide Lösungen testen wollen würde, wäre dieses Board jedoch zu schwach für die Sophos.
Deswegen habe ich zwei Threads von Dobby gefunden in denen folgende Hardware empfohlen wird:
https://www.mini-itx.de/Barebones-luefterlos-mit-CPU-Intel/Jetway-JBC390 ...
https://www.sona.de/411736
Diese beiden wären sowohl für Sophos als auch pfsense, laut Systemanforderungen gut geeignet. Jetzt habe ich jedoch einen anderen Thread gesehen, das aqui vom J1900 SoC abraten würde, jedoch war dort keine Erklärung warum.
Ich hätte also gerne eine Hardware, worauf beide Systeme flüßig und ohne Einschränkungen laufen würde, gerade im Hinblick später Webfilter usw. laufen zu lassen.
Anwendungsgebiet ist komplett privat, etwas mehr über Firewalls und deren Möglichkeiten zu lernen.
Gruß und Danke für den Input
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 299058
Url: https://administrator.de/forum/pfsense-oder-sophos-utm-home-299058.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
11 Kommentare
Neuester Kommentar
Hi
ich habe den Sophos UTM schon umgebaut um damit ein pfsense, bzw IPfire (Admin war eher Linux Anhänger) zu testen und dann auch umzusetzen da viele Funktionen in der Astaro (=UTM) ganz anders liefen als die GUI das angezeigt hat. Teils ging dann kein Forwarding mehr und Co.
Welche Boards sich eignen ist meist dem BSD Support für die NICs geschuldet. BSD kann sehr eigen sein und oft mit (zurecht!) Stolzu behaupten das deren (meist selbst geschriebenen) Treiber superstabil sind. Was auf closed Source macht (NVidia als Beispiel) geht dann halt einfach nicht oder bei Realtek einfach nur schrottig (hohe IRQ LAst und Co). Da auf den Billigboards meist irgendein NIC drauf ist, gibt es spezielle Boards.
Kurz: ich würde dir in jedem Fall zu pfsense raten. Alles was ich die letzten sechs Jahre damit beraten habe geht heute noch wie geschleckt und dank BSD auch sehr stabil und resourcenschonend. Die APUs habe ich bereits einmal eingesetzt und fand sie nicht langsam. pfsense und ARM habe ich noch nicht getestet, da gibt es aber wieder die Frage des NICs und was willst du da drauf los lassen das du so viel Leistung brauchst.
Da ich seit kurzem 500MBit Fibre (zu 50MBit UL) im Hause habe baue ich gerade auch meinen Router aus, da der E4200 (unter dd-wrt) jetzt einfach mit max 220MBit Durchsatz zu schwach wird (sind ja nur 64MB RAM und 300MHz MIPS). Die APU haben da deutlich mehr power.
Dobby dürfte da viel mehr wissen; Router sind nur mein Randgebiet zu dicken Switches. Habe derzeit auch ein dickes Projekt am laufen wo wir eine ganze Infrastrutur (10Gbit bis zum Arbeitsplatz) auf pfsense (oder wieder IPfire oder Juniper) aufbauen.
pfsense ist auch wegen dem BSD Unterbau wichtig, da es zeigt wie die ISPs arbeiten. Das macht sich auch auf Bewerbungen gut, wenn es auch sicher nicht "der Grund schlechthin" ist. Mein erstes privates Routersystem (vorher ISDN Router in Fertigbauweise) lief mit Stolz und viel Anleitung unter openBSD und war mein alter 486er PC (mit ipfw). Ich hatte da viel mehr Möglichkeiten als mit dem sechs Jahre später teuer bezahlten Cisco 3600 (da habe ich meine IOS Scheine darauf gemacht) daheim.
Gruß
SAm
ich habe den Sophos UTM schon umgebaut um damit ein pfsense, bzw IPfire (Admin war eher Linux Anhänger) zu testen und dann auch umzusetzen da viele Funktionen in der Astaro (=UTM) ganz anders liefen als die GUI das angezeigt hat. Teils ging dann kein Forwarding mehr und Co.
Welche Boards sich eignen ist meist dem BSD Support für die NICs geschuldet. BSD kann sehr eigen sein und oft mit (zurecht!) Stolzu behaupten das deren (meist selbst geschriebenen) Treiber superstabil sind. Was auf closed Source macht (NVidia als Beispiel) geht dann halt einfach nicht oder bei Realtek einfach nur schrottig (hohe IRQ LAst und Co). Da auf den Billigboards meist irgendein NIC drauf ist, gibt es spezielle Boards.
Kurz: ich würde dir in jedem Fall zu pfsense raten. Alles was ich die letzten sechs Jahre damit beraten habe geht heute noch wie geschleckt und dank BSD auch sehr stabil und resourcenschonend. Die APUs habe ich bereits einmal eingesetzt und fand sie nicht langsam. pfsense und ARM habe ich noch nicht getestet, da gibt es aber wieder die Frage des NICs und was willst du da drauf los lassen das du so viel Leistung brauchst.
Da ich seit kurzem 500MBit Fibre (zu 50MBit UL) im Hause habe baue ich gerade auch meinen Router aus, da der E4200 (unter dd-wrt) jetzt einfach mit max 220MBit Durchsatz zu schwach wird (sind ja nur 64MB RAM und 300MHz MIPS). Die APU haben da deutlich mehr power.
Dobby dürfte da viel mehr wissen; Router sind nur mein Randgebiet zu dicken Switches. Habe derzeit auch ein dickes Projekt am laufen wo wir eine ganze Infrastrutur (10Gbit bis zum Arbeitsplatz) auf pfsense (oder wieder IPfire oder Juniper) aufbauen.
pfsense ist auch wegen dem BSD Unterbau wichtig, da es zeigt wie die ISPs arbeiten. Das macht sich auch auf Bewerbungen gut, wenn es auch sicher nicht "der Grund schlechthin" ist. Mein erstes privates Routersystem (vorher ISDN Router in Fertigbauweise) lief mit Stolz und viel Anleitung unter openBSD und war mein alter 486er PC (mit ipfw). Ich hatte da viel mehr Möglichkeiten als mit dem sechs Jahre später teuer bezahlten Cisco 3600 (da habe ich meine IOS Scheine darauf gemacht) daheim.
Gruß
SAm
anderen Thread gesehen, das aqui vom J1900 SoC abraten würde, jedoch war dort keine Erklärung warum.
Mmmhhh den würd ich auch gern mal lesen...Du machst keinerlei Angaben in welchem Umfeld die FW laufen soll. 10G, 1G oder 100 Mbit, 1000 User, 100 oder nur 10 usw. usw.
Eine valide Aussage ist bei solch laienhaften Angaben schwer möglich.
So oder so fährst du aber mit der pfSense generell nicht falsch. Ein APU1D4 muss es nicht sein, ein Standard D tuts auch obwohl der Unterschied ja auch nicht groß ist.
Das Standard D rennt z.B. bei einer Belastung mit 70 Usern an einem symetrischen 50Mbit Anschluss, CP, 4 VLANs und 3 AES 256 IPsec Tunnel mit 3-10% Last. Raum nach oben also.
Hallo,
flott laufen und das ganze auch flott. Aber dazu gleich mehr.
flüssig läuft und was Dir mehr zusagt von der Verwaltung her.
im pfSense Forum ein paar Probleme mit den NICs aufgetaucht sind. X11SBA-LN4F vs A1SRi-2558F
Und das färbt dann eben auch wieder ab, denn was bei dem einen nicht so funktioniert muss
bei dem anderen gar keine Probleme verursachen, aber ein ungutes Gefühl bleibt eben auch
wenn die Sophos UTM drauf läuft, aber bei 2 x 4 GB RAM nur 6 GB zur Verfügung stellt, ist aber
wohl eine Limitierung seitens von Sophos her.
und auch beides gut unterstützen, denn die Vorteile die das X11SBA-LN4F Board hatte sind nun fast
alle weg!!!
- 4 CPU Kerne hat die neue APU2 auch
- AES-NI hat die neue APU2 auch
- Intel Ports hat die neue APU2 auch
- Das X11SBA-LN4F hat zwar max. 8 GB RAM aber die APU2 die Möglichkeit für mSATA, WLAN und Modem
wieder eigentlich schon ein alter Hut.
Also die Intel J1900 und auch der Nachfolger N2930 sind einfach unschlagbar günstig
und auch kräftig genug warum @aqui die nicht so mag ist mir zwar nicht bewusst aber
ich würde ihn darauf auf jeden Fall noch einmal ansprechen wollen.
Wie gesagt hier sind auch unterstützte Intel 210 NICs verbaut worden aber es gibt damit Probleme
mit pfSense. Siehe weiter oben den Link dazu.
Es kommt auch immer darauf an was man sich vorstellt und an Durchsatz benötigt, im pfSense Forum
hat sich jemand aufgeregt weil er von seiner 1 GBit/s Internetleitung nur ~936 MBit/s heraus bekam und
das obwohl ihm alle gesagt haben das man noch für den TCP/IP Overhead noch etwas drauf rechnen muss
und sicherlich auch für die pf Regeln und NAT, der hat auch Squid, Snort & SquidGuard und pfBlocker-NG
am laufen gehabt. Macht eben jeder auch etwas mit sich selber ab.
überlegen wollen.
und die gehen ab wie Sau mit pfSense. Ebenso der Nachfolger die intel N2930 (Q1/2014) die laufen dicke
und flüssig mit Snort, Squid und ClamAV unter pfSense. Aber gut vielleicht hat er da mehr Ahnung von und
weiß etwas was wir nicht wissen.
Gruß
Dobby
Pfsense oder Sophos UTM Home
Wenn man das testen möchte würde ich eine Hardware Basis kaufen auf der beide Systemeflott laufen und das ganze auch flott. Aber dazu gleich mehr.
wie im Titel schon beschrieben, bin ich noch unschlüssig was die Software, bzw. noch mehr
was die Hardware angeht.
Dann würde ich auf jeden Fall beide Systeme einmal installieren wollen und dann testen was wiewas die Hardware angeht.
flüssig läuft und was Dir mehr zusagt von der Verwaltung her.
Habe jetzt schon einige Threads durch gelesen, auch die Anleitungen und wollte aber jetzt noch
ein mal fragen wer mit welcher der Beiden Lösungen Erfahrungen bzw. noch besser wer mit beiden
Systemen schon zu tun hatte.
Leider muss man dazu sagen das über die wirklich flott wirkende Supermicro SuperServer SYS-E200-9Bein mal fragen wer mit welcher der Beiden Lösungen Erfahrungen bzw. noch besser wer mit beiden
Systemen schon zu tun hatte.
im pfSense Forum ein paar Probleme mit den NICs aufgetaucht sind. X11SBA-LN4F vs A1SRi-2558F
Und das färbt dann eben auch wieder ab, denn was bei dem einen nicht so funktioniert muss
bei dem anderen gar keine Probleme verursachen, aber ein ungutes Gefühl bleibt eben auch
wenn die Sophos UTM drauf läuft, aber bei 2 x 4 GB RAM nur 6 GB zur Verfügung stellt, ist aber
wohl eine Limitierung seitens von Sophos her.
Was die Hardware habe ich noch keine Finale Meinung.
Zur Zeit ist die APU2C4 zwar noch nicht ganz fertig, aber die würde um einiges günstiger ausfallenund auch beides gut unterstützen, denn die Vorteile die das X11SBA-LN4F Board hatte sind nun fast
alle weg!!!
- 4 CPU Kerne hat die neue APU2 auch
- AES-NI hat die neue APU2 auch
- Intel Ports hat die neue APU2 auch
- Das X11SBA-LN4F hat zwar max. 8 GB RAM aber die APU2 die Möglichkeit für mSATA, WLAN und Modem
Für pfsense würde sich natürlich das APU1D4 Board bestens eigenen, wenn ich jedoch gerne auch
beide Lösungen testen wollen würde, wäre dieses Board jedoch zu schwach für die Sophos.
Daher schau Dir die APU2C4 einmal näher an, die hat nun auch 4 CPU Kerne!!!beide Lösungen testen wollen würde, wäre dieses Board jedoch zu schwach für die Sophos.
Deswegen habe ich zwei Threads von Dobby gefunden in denen folgende Hardware empfohlen wird:
Normal könnte man sagen das ist zwar noch aktuell, aber da sich zur zeit recht viel ändert ist das auchwieder eigentlich schon ein alter Hut.
Also die Intel J1900 und auch der Nachfolger N2930 sind einfach unschlagbar günstig
und auch kräftig genug warum @aqui die nicht so mag ist mir zwar nicht bewusst aber
ich würde ihn darauf auf jeden Fall noch einmal ansprechen wollen.
Wie gesagt hier sind auch unterstützte Intel 210 NICs verbaut worden aber es gibt damit Probleme
mit pfSense. Siehe weiter oben den Link dazu.
Es kommt auch immer darauf an was man sich vorstellt und an Durchsatz benötigt, im pfSense Forum
hat sich jemand aufgeregt weil er von seiner 1 GBit/s Internetleitung nur ~936 MBit/s heraus bekam und
das obwohl ihm alle gesagt haben das man noch für den TCP/IP Overhead noch etwas drauf rechnen muss
und sicherlich auch für die pf Regeln und NAT, der hat auch Squid, Snort & SquidGuard und pfBlocker-NG
am laufen gehabt. Macht eben jeder auch etwas mit sich selber ab.
Diese beiden wären sowohl für Sophos als auch pfsense, laut Systemanforderungen gut geeignet.
Wie gesagt dadurch das die neue APU2 jetzt mit AES-NI kommt würde ich mir das heute noch einmalüberlegen wollen.
Jetzt habe ich jedoch einen anderen Thread gesehen, das aqui vom J1900 SoC abraten würde,
jedoch war dort keine Erklärung warum.
Ich auch nicht richtig, in den Axiomtek NA342 und NA342R ist die J1900 (Q4/2013) CPUs auch verbautjedoch war dort keine Erklärung warum.
und die gehen ab wie Sau mit pfSense. Ebenso der Nachfolger die intel N2930 (Q1/2014) die laufen dicke
und flüssig mit Snort, Squid und ClamAV unter pfSense. Aber gut vielleicht hat er da mehr Ahnung von und
weiß etwas was wir nicht wissen.
Gruß
Dobby
Wenn es natürlich einen Unterschied gibt zwischen SoB und SoC
Was soll denn "SoB" sein ?? Mit SoC war "System on a Chip" gemeint ?!SoCs sind meistens nicht so performant wie dedizierte CPUs. Das waren die globalen Bedenken. Trifft ja für ein APU1D oder andere Mainboards nicht zu.
Für deine banalen Anforderung oben reicht ein APU1D vollkommen aus. Das würde man gerade auch noch mit einem 2D13 hinbekommen, solltest du aber natürlich NICHT machen.
Alles andere wäre mit Kanonen auf Spatzen und rausgescmissenes Geld !
Sei vorsichtig mit dem "Netgear ProSafe GS108T" und nimm bitte den gleich teuren
Netgear ProSafe GS108Tv2 oder auch so beschrieben "Netgear ProSafe GS108T-200EUS"
100EUS = Version1 (v1) und 200EUS = Version 2 (v2) der kostet das selbe wie der andere ist
nur neuer und etwas kräftiger.
die sind auch super, kosten aber auch gleich mehr.
Cisco SG200-08
Cisco SG300-10
Kommt eben auf Dein Budget an.
Gruß
Dobby
Netgear ProSafe GS108Tv2 oder auch so beschrieben "Netgear ProSafe GS108T-200EUS"
100EUS = Version1 (v1) und 200EUS = Version 2 (v2) der kostet das selbe wie der andere ist
nur neuer und etwas kräftiger.
-8-10 GBE Ports
-vlan
-QoS
-Link Aggregation
-evtl Green Ethernet
-lüfterlos
-geringer Stromverbrauch
Sollte so passen, aber man kann auch einmal nach den folgenden Switche gucken-vlan
-QoS
-Link Aggregation
-evtl Green Ethernet
-lüfterlos
-geringer Stromverbrauch
die sind auch super, kosten aber auch gleich mehr.
Cisco SG200-08
Cisco SG300-10
Kommt eben auf Dein Budget an.
Gruß
Dobby
hab mir den Cisco SG200-08 auch schon angeschaut, da hieß es in einen anderen Forum jedoch
einmal dass er Probleme mit Link Aggregation zu na Sysnology oder Qnap hat.
Ach da schau einer an, dann würde ich einfach noch einmal auf @aqui warten und den noch einmaleinmal dass er Probleme mit Link Aggregation zu na Sysnology oder Qnap hat.
fragen wollen.
Würdest du den Cisco dem Netgear vorziehen, wenn der Aufpreis zum 200-08 für mich in Ordnung wäre?
Also da hast Du mich ja kalt erwischt! Ich habe zu Hause mehrere Netgear Firewalls und Switche undbin damit echt zufrieden, aber die Cisco SG Serie ist schon was "geiles" die räumen überall nur ein
dickes Lob ab und werden angepriesen wie nichts anderes, egal in welchem Forum auch immer.
Aber, jetzt nach Deinem Vorbehalt bin ich eben auch etwas verunsichert, obwohl ich das
auch zum ersten mal höre das es damit Probleme gibt. Aber man lernt ja nie aus.
Also wenn @aqui das bestätigen würde, würde ich schon etwas zaudern und zögern wollen.
Was sind denn das für Synology und QNAP NAS Geräte genau?
Ok ich würde den Cisco SG200-08 für ~120 € dem Netgear GS108Tv2 schon vorziehen wollen,
nur bei dem Cisco SG300-10 für ~210 € würde ich mir überlegen wollen ob ich nicht lieber gleich
einen größeren Switch kaufe, wie zum Beispiel den D-Link DGS1510-20 mit;
- 16 x RJ45 (10/100/1000) Ports
- 2 x SFP Ports
- 2 x SFP+Ports
- 1 x RJ console Port
Dann könnte man je nach NAS eventuell auch auf 10 GbE gehen und hat seine Ruhe damit.
Gruß
Dobby
Es ist leider KEINE Link Aggr. möglich, da der Cisco (scheinbar) nicht in der Lage ist, Daten von EINER IP-Adresse auf mehrere Ports zu handeln
Ist natürlich totaler Schwachsinn und zeigt eher das der Kommentator in dem Forum keinerlei Ahnung von Netzwerktechnik hat...aber egal.Ein Produktivbeipiel was genau DAS löst mit dem Switch siehst du hier:
Netzwerk Management Server mit Raspberry Pi
(Trunking Screenshot)
der Datendurchsatz bleibt aber definitiv immer auf einer Leitung und schaltet nicht hoch
Das ist möglich, denn drt Trunking Algorythmus ist standartisiert auf Basis von IEEE 802.3ad.Das schreibt ein Hashing zw. Mac oder IP Adressen vor. Bei recht ungünstiger Verteilung von diesen Adressen kann sowas passieren ist aber selten.
Das hat aber rein gar nichts mit einer Marke oder Hersteller zu tun sondern ist systembedingt durch den Standard.