b4dmin
Goto Top

Pfsense oder Sophos UTM Home

Hi zusammen,

wie im Titel schon beschrieben, bin ich noch unschlüssig was die Software, bzw. noch mehr was die Hardware angeht.
Habe jetzt schon einige Threads durch gelesen, auch die Anleitungen und wollte aber jetzt noch ein mal fragen wer mit welcher der Beiden Lösungen Erfahrungen bzw. noch besser wer mit beiden Systemen schon zu tun hatte.

Was die Hardware habe ich noch keine Finale Meinung.

Für pfsense würde sich natürlich das APU1D4 Board bestens eigenen, wenn ich jedoch gerne auch beide Lösungen testen wollen würde, wäre dieses Board jedoch zu schwach für die Sophos.
Deswegen habe ich zwei Threads von Dobby gefunden in denen folgende Hardware empfohlen wird:

https://www.mini-itx.de/Barebones-luefterlos-mit-CPU-Intel/Jetway-JBC390 ...
https://www.sona.de/411736


Diese beiden wären sowohl für Sophos als auch pfsense, laut Systemanforderungen gut geeignet. Jetzt habe ich jedoch einen anderen Thread gesehen, das aqui vom J1900 SoC abraten würde, jedoch war dort keine Erklärung warum.

Ich hätte also gerne eine Hardware, worauf beide Systeme flüßig und ohne Einschränkungen laufen würde, gerade im Hinblick später Webfilter usw. laufen zu lassen.


Anwendungsgebiet ist komplett privat, etwas mehr über Firewalls und deren Möglichkeiten zu lernen.

Gruß und Danke für den Input

Content-ID: 299058

Url: https://administrator.de/forum/pfsense-oder-sophos-utm-home-299058.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

SamvanRatt
SamvanRatt 13.03.2016 um 21:30:16 Uhr
Goto Top
Hi
ich habe den Sophos UTM schon umgebaut um damit ein pfsense, bzw IPfire (Admin war eher Linux Anhänger) zu testen und dann auch umzusetzen da viele Funktionen in der Astaro (=UTM) ganz anders liefen als die GUI das angezeigt hat. Teils ging dann kein Forwarding mehr und Co.
Welche Boards sich eignen ist meist dem BSD Support für die NICs geschuldet. BSD kann sehr eigen sein und oft mit (zurecht!) Stolzu behaupten das deren (meist selbst geschriebenen) Treiber superstabil sind. Was auf closed Source macht (NVidia als Beispiel) geht dann halt einfach nicht oder bei Realtek einfach nur schrottig (hohe IRQ LAst und Co). Da auf den Billigboards meist irgendein NIC drauf ist, gibt es spezielle Boards.
Kurz: ich würde dir in jedem Fall zu pfsense raten. Alles was ich die letzten sechs Jahre damit beraten habe geht heute noch wie geschleckt und dank BSD auch sehr stabil und resourcenschonend. Die APUs habe ich bereits einmal eingesetzt und fand sie nicht langsam. pfsense und ARM habe ich noch nicht getestet, da gibt es aber wieder die Frage des NICs und was willst du da drauf los lassen das du so viel Leistung brauchst.
Da ich seit kurzem 500MBit Fibre (zu 50MBit UL) im Hause habe baue ich gerade auch meinen Router aus, da der E4200 (unter dd-wrt) jetzt einfach mit max 220MBit Durchsatz zu schwach wird (sind ja nur 64MB RAM und 300MHz MIPS). Die APU haben da deutlich mehr power.
Dobby dürfte da viel mehr wissen; Router sind nur mein Randgebiet zu dicken Switches. Habe derzeit auch ein dickes Projekt am laufen wo wir eine ganze Infrastrutur (10Gbit bis zum Arbeitsplatz) auf pfsense (oder wieder IPfire oder Juniper) aufbauen.

pfsense ist auch wegen dem BSD Unterbau wichtig, da es zeigt wie die ISPs arbeiten. Das macht sich auch auf Bewerbungen gut, wenn es auch sicher nicht "der Grund schlechthin" ist. Mein erstes privates Routersystem (vorher ISDN Router in Fertigbauweise) lief mit Stolz und viel Anleitung unter openBSD und war mein alter 486er PC (mit ipfw). Ich hatte da viel mehr Möglichkeiten als mit dem sechs Jahre später teuer bezahlten Cisco 3600 (da habe ich meine IOS Scheine darauf gemacht) daheim.
Gruß
SAm
aqui
aqui 13.03.2016 um 23:12:46 Uhr
Goto Top
anderen Thread gesehen, das aqui vom J1900 SoC abraten würde, jedoch war dort keine Erklärung warum.
Mmmhhh den würd ich auch gern mal lesen...
Du machst keinerlei Angaben in welchem Umfeld die FW laufen soll. 10G, 1G oder 100 Mbit, 1000 User, 100 oder nur 10 usw. usw.
Eine valide Aussage ist bei solch laienhaften Angaben schwer möglich.
So oder so fährst du aber mit der pfSense generell nicht falsch. Ein APU1D4 muss es nicht sein, ein Standard D tuts auch obwohl der Unterschied ja auch nicht groß ist.
Das Standard D rennt z.B. bei einer Belastung mit 70 Usern an einem symetrischen 50Mbit Anschluss, CP, 4 VLANs und 3 AES 256 IPsec Tunnel mit 3-10% Last. Raum nach oben also.
108012
108012 13.03.2016 um 23:30:53 Uhr
Goto Top
Hallo,

Pfsense oder Sophos UTM Home
Wenn man das testen möchte würde ich eine Hardware Basis kaufen auf der beide Systeme
flott laufen und das ganze auch flott. Aber dazu gleich mehr.

wie im Titel schon beschrieben, bin ich noch unschlüssig was die Software, bzw. noch mehr
was die Hardware angeht.
Dann würde ich auf jeden Fall beide Systeme einmal installieren wollen und dann testen was wie
flüssig läuft und was Dir mehr zusagt von der Verwaltung her.

Habe jetzt schon einige Threads durch gelesen, auch die Anleitungen und wollte aber jetzt noch
ein mal fragen wer mit welcher der Beiden Lösungen Erfahrungen bzw. noch besser wer mit beiden
Systemen schon zu tun hatte.
Leider muss man dazu sagen das über die wirklich flott wirkende Supermicro SuperServer SYS-E200-9B
im pfSense Forum ein paar Probleme mit den NICs aufgetaucht sind. X11SBA-LN4F vs A1SRi-2558F

Und das färbt dann eben auch wieder ab, denn was bei dem einen nicht so funktioniert muss
bei dem anderen gar keine Probleme verursachen, aber ein ungutes Gefühl bleibt eben auch
wenn die Sophos UTM drauf läuft, aber bei 2 x 4 GB RAM nur 6 GB zur Verfügung stellt, ist aber
wohl eine Limitierung seitens von Sophos her.

Was die Hardware habe ich noch keine Finale Meinung.
Zur Zeit ist die APU2C4 zwar noch nicht ganz fertig, aber die würde um einiges günstiger ausfallen
und auch beides gut unterstützen, denn die Vorteile die das X11SBA-LN4F Board hatte sind nun fast
alle weg!!!
- 4 CPU Kerne hat die neue APU2 auch
- AES-NI hat die neue APU2 auch
- Intel Ports hat die neue APU2 auch
- Das X11SBA-LN4F hat zwar max. 8 GB RAM aber die APU2 die Möglichkeit für mSATA, WLAN und Modem

Für pfsense würde sich natürlich das APU1D4 Board bestens eigenen, wenn ich jedoch gerne auch
beide Lösungen testen wollen würde, wäre dieses Board jedoch zu schwach für die Sophos.
Daher schau Dir die APU2C4 einmal näher an, die hat nun auch 4 CPU Kerne!!!

Deswegen habe ich zwei Threads von Dobby gefunden in denen folgende Hardware empfohlen wird:
Normal könnte man sagen das ist zwar noch aktuell, aber da sich zur zeit recht viel ändert ist das auch
wieder eigentlich schon ein alter Hut.

Also die Intel J1900 und auch der Nachfolger N2930 sind einfach unschlagbar günstig
und auch kräftig genug warum @aqui die nicht so mag ist mir zwar nicht bewusst aber
ich würde ihn darauf auf jeden Fall noch einmal ansprechen wollen.

Wie gesagt hier sind auch unterstützte Intel 210 NICs verbaut worden aber es gibt damit Probleme
mit pfSense. Siehe weiter oben den Link dazu.

Es kommt auch immer darauf an was man sich vorstellt und an Durchsatz benötigt, im pfSense Forum
hat sich jemand aufgeregt weil er von seiner 1 GBit/s Internetleitung nur ~936 MBit/s heraus bekam und
das obwohl ihm alle gesagt haben das man noch für den TCP/IP Overhead noch etwas drauf rechnen muss
und sicherlich auch für die pf Regeln und NAT, der hat auch Squid, Snort & SquidGuard und pfBlocker-NG
am laufen gehabt. Macht eben jeder auch etwas mit sich selber ab.

Diese beiden wären sowohl für Sophos als auch pfsense, laut Systemanforderungen gut geeignet.
Wie gesagt dadurch das die neue APU2 jetzt mit AES-NI kommt würde ich mir das heute noch einmal
überlegen wollen.

Jetzt habe ich jedoch einen anderen Thread gesehen, das aqui vom J1900 SoC abraten würde,
jedoch war dort keine Erklärung warum.
Ich auch nicht richtig, in den Axiomtek NA342 und NA342R ist die J1900 (Q4/2013) CPUs auch verbaut
und die gehen ab wie Sau mit pfSense. Ebenso der Nachfolger die intel N2930 (Q1/2014) die laufen dicke
und flüssig mit Snort, Squid und ClamAV unter pfSense. Aber gut vielleicht hat er da mehr Ahnung von und
weiß etwas was wir nicht wissen.

Gruß
Dobby
B4dmin
B4dmin 13.03.2016 um 23:59:38 Uhr
Goto Top
Zitat von @aqui:

anderen Thread gesehen, das aqui vom J1900 SoC abraten würde, jedoch war dort keine Erklärung warum.
Mmmhhh den würd ich auch gern mal lesen...


Erst mal danke für die Antworten, werde mir morgen die Inputs ansehen, aber hier noch kurz der Thread von dem ich sprach:

Umbau Heimnetz auf pfsense mit VDSL, Telekom Entertain und VoIP so sinnvoll?


Zitat von @aqui:
Das J1900 SoB ist in der Tat keine glückliche Wahl. Nimm da lieber ein ALIX 2D13 oder APU1D, da fährst du allemal besser mit zudem es das als fertigen_Set gibt.

Wenn es natürlich einen Unterschied gibt zwischen SoB und SoC dann war das ein Fehler beim lesen, ist mir gerade eben erst aufgefallen.


Zitat von @aqui:
Du machst keinerlei Angaben in welchem Umfeld die FW laufen soll. 10G, 1G oder 100 Mbit, 1000 User, 100 oder nur 10 usw. usw.
Eine valide Aussage ist bei solch laienhaften Angaben schwer möglich.

Ja hast du recht ich dachte, es reicht zu schreiben, dass das Einsatzgebiet privat sei, reicht.

1G
vdsl 50
unter 10 Usern


Gruß und gute Nacht bis morgen
aqui
aqui 14.03.2016 aktualisiert um 17:09:02 Uhr
Goto Top
Wenn es natürlich einen Unterschied gibt zwischen SoB und SoC
Was soll denn "SoB" sein ?? Mit SoC war "System on a Chip" gemeint ?!
SoCs sind meistens nicht so performant wie dedizierte CPUs. Das waren die globalen Bedenken. Trifft ja für ein APU1D oder andere Mainboards nicht zu.
Für deine banalen Anforderung oben reicht ein APU1D vollkommen aus. Das würde man gerade auch noch mit einem 2D13 hinbekommen, solltest du aber natürlich NICHT machen.
Alles andere wäre mit Kanonen auf Spatzen und rausgescmissenes Geld !
B4dmin
B4dmin 14.03.2016 aktualisiert um 17:41:14 Uhr
Goto Top
Zitat von @aqui:

Wenn es natürlich einen Unterschied gibt zwischen SoB und SoC
Was soll denn "SoB" sein ?? Mit SoC war "System on a Chip" gemeint ?!


SoC ist mir bekannt, ich hatte nur deinen Post von damals zitiert, da steht nun mal SoB und nicht SoC, siehe oben.

Deswegen auch von mir die Frage was dagegen spricht.


@108012

danke für die Infos, das APU2 hört sich natürlich super an und reicht für meine Zwecke sicherlich aus.


Habe noch eine weitere Frage, welchen managed Switch ihr empfehlen würdet:

Anforderungen:
-8-10 GBE Ports
-vlan
-QoS
-Link Aggregation
-evtl Green Ethernet
-lüfterlos
-geringer Stromverbrauch

Rausgesucht hatte ich mir diesen:

Netgear ProSafe GS108T

Einwände oder andere Vorschläge?

Gruß und Danke
108012
108012 14.03.2016 um 18:38:50 Uhr
Goto Top
Sei vorsichtig mit dem "Netgear ProSafe GS108T" und nimm bitte den gleich teuren
Netgear ProSafe GS108Tv2 oder auch so beschrieben "Netgear ProSafe GS108T-200EUS"
100EUS = Version1 (v1) und 200EUS = Version 2 (v2) der kostet das selbe wie der andere ist
nur neuer und etwas kräftiger.

-8-10 GBE Ports
-vlan
-QoS
-Link Aggregation
-evtl Green Ethernet
-lüfterlos
-geringer Stromverbrauch
Sollte so passen, aber man kann auch einmal nach den folgenden Switche gucken
die sind auch super, kosten aber auch gleich mehr.
Cisco SG200-08
Cisco SG300-10

Kommt eben auf Dein Budget an.

Gruß
Dobby
B4dmin
B4dmin 14.03.2016 um 21:01:46 Uhr
Goto Top
@108012

hab mir den Cisco SG200-08 auch schon angeschaut, da hieß es in einen anderen Forum jedoch einmal dass er Probleme mit Link Aggregation zu na Sysnology oder Qnap hat.

Würdest du den Cisco dem Netgear vorziehen, wenn der Aufpreis zum 200-08 für mich in Ordnung wäre?
108012
108012 15.03.2016 um 07:09:37 Uhr
Goto Top
hab mir den Cisco SG200-08 auch schon angeschaut, da hieß es in einen anderen Forum jedoch
einmal dass er Probleme mit Link Aggregation zu na Sysnology oder Qnap hat.
Ach da schau einer an, dann würde ich einfach noch einmal auf @aqui warten und den noch einmal
fragen wollen.

Würdest du den Cisco dem Netgear vorziehen, wenn der Aufpreis zum 200-08 für mich in Ordnung wäre?
Also da hast Du mich ja kalt erwischt! Ich habe zu Hause mehrere Netgear Firewalls und Switche und
bin damit echt zufrieden, aber die Cisco SG Serie ist schon was "geiles" die räumen überall nur ein
dickes Lob ab und werden angepriesen wie nichts anderes, egal in welchem Forum auch immer.

Aber, jetzt nach Deinem Vorbehalt bin ich eben auch etwas verunsichert, obwohl ich das
auch zum ersten mal höre das es damit Probleme gibt. Aber man lernt ja nie aus.

Also wenn @aqui das bestätigen würde, würde ich schon etwas zaudern und zögern wollen.
Was sind denn das für Synology und QNAP NAS Geräte genau?

Ok ich würde den Cisco SG200-08 für ~120 € dem Netgear GS108Tv2 schon vorziehen wollen,
nur bei dem Cisco SG300-10 für ~210 € würde ich mir überlegen wollen ob ich nicht lieber gleich
einen größeren Switch kaufe, wie zum Beispiel den D-Link DGS1510-20 mit;
- 16 x RJ45 (10/100/1000) Ports
- 2 x SFP Ports
- 2 x SFP+Ports
- 1 x RJ console Port

Dann könnte man je nach NAS eventuell auch auf 10 GbE gehen und hat seine Ruhe damit.


Gruß
Dobby
B4dmin
B4dmin 15.03.2016 um 08:50:51 Uhr
Goto Top
Dann poste ich hier auch gleich mal die Aussage aus dem anderen Forum:


Zitat:

der Cisco Switch ist eigentlich wirklich ganz schön: klein, einfach zu konfigurieren, LACP. Alles gut könnte man meinen… FALSCH:
Es ist leider KEINE Link Aggr. möglich, da der Cisco (scheinbar) nicht in der Lage ist, Daten von EINER IP-Adresse auf mehrere Ports zu handeln. Bei unserer Synology DS1812+ klappt die Link Aggr. laut Konfiguration super (auch auf dem Server), der Datendurchsatz bleibt aber definitiv immer auf einer Leitung und schaltet nicht hoch. Kann man mit einem IBM-Server mit vier LAN-Ausgängen einigermaßen genau messen, was da passiert… (Zur Info: Wir lassen vom IBM-Server nachts ein paar virtuelle Maschinen auf die Synology sichern – direkt geht mit Link Aggr., via Cisco ging es nicht – nur eine LAN…)


120€ wie für den SG200 08 wären die Grenze.

Gruß
aqui
aqui 19.03.2016 um 12:02:00 Uhr
Goto Top
Es ist leider KEINE Link Aggr. möglich, da der Cisco (scheinbar) nicht in der Lage ist, Daten von EINER IP-Adresse auf mehrere Ports zu handeln
Ist natürlich totaler Schwachsinn und zeigt eher das der Kommentator in dem Forum keinerlei Ahnung von Netzwerktechnik hat...aber egal.
Ein Produktivbeipiel was genau DAS löst mit dem Switch siehst du hier:
Netzwerk Management Server mit Raspberry Pi
(Trunking Screenshot)
der Datendurchsatz bleibt aber definitiv immer auf einer Leitung und schaltet nicht hoch
Das ist möglich, denn drt Trunking Algorythmus ist standartisiert auf Basis von IEEE 802.3ad.
Das schreibt ein Hashing zw. Mac oder IP Adressen vor. Bei recht ungünstiger Verteilung von diesen Adressen kann sowas passieren ist aber selten.
Das hat aber rein gar nichts mit einer Marke oder Hersteller zu tun sondern ist systembedingt durch den Standard.