Messages

Hey micneu,
darf ich Fragen, was ist die Aussage dieses Test? Was kannst du damit ablesen?

Ich habe dies mal ausgeführt:

Code Select Expand

openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 111743513 aes-256-cbc's in 3.02s
Doing aes-256-cbc for 3s on 64 size blocks: 29665797 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 256 size blocks: 7588242 aes-256-cbc's in 3.03s
Doing aes-256-cbc for 3s on 1024 size blocks: 1892411 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 8192 size blocks: 238479 aes-256-cbc's in 3.03s
Doing aes-256-cbc for 3s on 16384 size blocks: 118399 aes-256-cbc's in 3.01s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-cbc     591345.52k   631226.52k   640854.42k   644265.18k   644493.19k   644936.88k


Code Select Expand

openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 68388283 aes-256-gcm's in 3.03s
Doing aes-256-gcm for 3s on 64 size blocks: 48043911 aes-256-gcm's in 3.03s
Doing aes-256-gcm for 3s on 256 size blocks: 25670129 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 1024 size blocks: 7723837 aes-256-gcm's in 3.02s
Doing aes-256-gcm for 3s on 8192 size blocks: 1096931 aes-256-gcm's in 3.02s
Doing aes-256-gcm for 3s on 16384 size blocks: 560639 aes-256-gcm's in 3.03s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-gcm     360977.33k  1014370.41k  2184828.02k  2622742.91k  2979832.95k  3030271.13k


Hallo zusammen

Danke nochmal viel mal für eure Hilfe.
Vielleicht noch kurz, für die die es interessiert, wie habe ich mich nun entschieden. Ich habe die mit Kanonen auf Spatzen Lösung gewählt.
Ich habe meinen i7 4790K, mein Motherboard Asus z97 und eine Intel i350-T4 in ein 2HE Rack Gehäuse gezwängt und das ganze mit OPNsense bestückt. Läuft wie ein Träumchen!
Ich wusste gar nicht, dass das GUI so schnell sein kann :D Eine tolle Verbesserung zum APU2. Und der Durchsatz kann sich nun auch sehen lassen.

Wenn jemand noch genaueres wissen möchte, ich werde immer wieder mal vorbeischauen, und vielleicht auch mal wieder die eine oder andere Diskussion starten. Ich möchte euch noch kurz auf den Weg geben, dass dies hier eine tolle und hilfsbereite Community ist.

Betrachtet den Thread meinerseits als geschlossen.
Grüsse
Oliver

P.s. könnte es auch ein anderen Grund für einen Flaschenhals geben, als die Firewall Hardware selbst? Ausser natürlich Alle Geräte müssen Gigabit Netzwerkanschluss besitzen, dies ist soweit der Fall. Und die Verkabelung sollte auch kein Problem sein.

Hallo JeGr

Danke für deine Ausführung. Zum genauen Setup oder was möchte ich erreichen:
Ich habe bei mir zu Hause, die Firma meiner Frau, diese bräuchte sicherlich ihre Webseite am laufen. Darum HAproxy. Es werden noch ein oder zwei mehr Webseiten dazu kommen. Es sind sicherlich immer mal kleinere Webanwendungen, welche nach aussen gestellt werden, am laufen. Des weiteren bräuchte ich VPN nur um mich mal von draus, hinein zu verbinden, also auch kein Site to Site VPN oder der gleichen. Firewall regeln auf der WebserverLAN Seite, jedoch kein geNATe oder der gleichen. Ein VLAN für ein Gästenetz. Und einfach ein bisschen Sicherheit und Kontrolle für mich, meine Familie und das Business meiner Frau.

Zum IDS: dies ist rein aus der Neugierde, oder für das WebserverLAN angedacht. Ich dachte da halt an ein bisschen Sicherheit, für meine Websites und meinen Server. Oder schiesse ich da mit Kanonen auf Spatzen?

Das einzige was ich zum Istzustand sagen kann ist, die PCengines APU4d4 reicht für den Gbit Downstream einfach nicht. Und dafür bräuchte ich einen anständigen Ersatz. Welcher dass oben genannte packt und vielleicht auch noch ein bisschen Reserve für weitere Schulung bzw. Feldversuche hat. Es soll Sicher sein und mir eine Spielwiese / Lernumgebung bieten.

Vielleicht merkt ihr auch, ich bin nicht gerade der Hirsch, was das ganze Firewall Thema anbelangt. Applikationsentwicklung ist da schon eher mein Fach. Und ich versuche mich halt da langsam ein bisschen rein zu Fuchsen. Ich danke sicherlich schon mal für die Kommentare und Hersteller. Was es da alles für Hersteller gibt, von denen man noch nie was gehört hat ;)

Ich hoffe ich konnte mit den Angaben oben etwas aussagen was ich möchte. Genauer wüsste ich gerade nicht wie ich mich ausdrücken könnte, da würde mir wahrscheinlich das Fachwissen und Vokabular fehlen. Wenn ich zu Utopisch denke, dürft ihr mir dies sicherlich auch gerne sagen. Ich finde das Thema einfach sehr interessant und arbeite gerne in meiner Freizeit mit OPNsense.

Gruss
Oliver

Was haltet ihr davon:

1x https://www.digitec.ch/de/s1/product/rackmax-rm-1941-server-barebone-6341778?gclid=CjwKCAjwnef6BRAgEiwAgv8mQYUCJKzBOffw_nrp5Ho2twDu3wedJ922lfcHd_q6Ji4085tZaBv2RBoCsToQAvD_BwE&gclsrc=aw.ds
1x Mein Z97 mit meinem i7 4790K und 16gb RAM
1x https://www.piospartslap.de/NetApp-Intel-Pro-1000-PT-Quad-Port-PCIe-Network-Adapter-106-00200-A0

Oder sowas?
https://de.aliexpress.com/item/1005001290787585.html?spm=a2g0s.9042311.0.0.6da14c4djFM9KH

Deinen Footer habe ich mir auch schon angeschaut. Bin aber (ohne Fachwissen) auch der Meinung das diese Systeme meine 1gbit Leitung nicht abdecken, dies aus der Erfahrung mit der apu4d4.

Zum System von pondesk, dies kann man auch ohne CPU bestellen, jedoch ist dann auch kein Kühler mit dabei. Ich dachte mir, dann einfach die i7 4790K rein, ist ja theoretisch Baugleich einfach offen was das Takten anbelangt. Und mit dem Kühler müsste ich mir dies dann noch überlegen,was den da reinpassen würde.

Natürlich möchte ich mich nicht auf meinen i7 4790K versteifen, wenn es ein System gibt, das meine Last aushält und nicht all zu teuer ist, wäre dies auch was :)

Was ich auch noch gefunden habe wäre so etwas:
https://www.pondesk.com/product/8-LAN-10Gig-Fiber-SFP-4G-NGFW-Firewall-1U-Rackmount-Server_NSHO-001

Hallo micneu

Danke schon mal für deine Antwort :)

- Down 1gbit / Up 100mbit

- Betreffend Board: Ja habe mich mal auf Chinesischen seiten umgeschaut.(Aliexpress usw.) Bin da aber unerfahren. Ich könnte natürlich mein altes z97 nehmen, jedoch möchte ich was schlankeres, vlt. 19" 1U. Das schwere bei Chinaprodukten, wie sieht es da mit dem BIOS aus? Vertragen sich diese mit einem FreeBSD. Ich nehme nicht an das bei Chinaboards öffters mal ein BIOS update erscheint. Dies kam bei meiner suche raus: https://de.aliexpress.com/item/32815737045.html

- Es ist eigentlich für beides, da die Firma in meinem Haus ist, würde ich sagen beides wäre der Fall. Sicherlich sind es nur 2-3 User.

- Das IDS/IPS ist eher was für die Neugierde, oder Schulung. Je nach dem wie man dies betrachtet. Einschalten, rumspielen, und wenn es doch mal was abhält vom Rauswählen wäre dies natürlich toll.

Im Vordergrund steht aber natürlich der 1 gbit Downstream und der HAproxy.

Die Idee mit dem i7 4790K ist mir nur mal gekommen, da dieser bei mir nur noch rumliegt und ich dachte mir der könnte schon noch etwas arbeiten.

Hallo zusammen

Ich habe mal mich durch die Suche des Forums begeben, jedoch bin ich nicht gerade zum erhofften Ergebnis gekommen.
Vielleicht hat hier jemand ein paar Ratschläge für mich.

Istzustand:
Ich habe eine PC Engines apu4d4 mit OPNsense 20.7.2 installiert. Bin eigentlich auch zufrieden mit der Hardware.
Es sind 3 NIC's in Betrieb mit 1 WAN, 2 LAN und einem VLAN am laufen. Ausserdem ist ein HAproxy am laufen und zwei VPN Server zum einwählen ins LAN von aussen.

Warum ein Hardware wechsel:
Es hat sich ergeben, dass ich neu eine 1 Gigabit WAN Leitung zur Verfügung habe. Nun ist meine starke Vermutung, das meine apu4d4 dies nicht packt, besonders, da ich im Sinn habe das IDS/IPS einzuschalten. (Die Vermutung liegt auf Messungen von LAN nach WAN hinter(550Mbit) und vor(923Mbit) der Firewall. Danach habe ich mich ein bisschen eingelesen, und mitbekommen, dass eine apu4d4 diese Leistung wahrscheinlich nicht packt.)

Nun zu meinem Anliegen und hoffentlich ein paar super Vorschlägen von euch.  ;)

Ich würde gerne die 1 Gigabit WAN mit einer OPNsense Firewall erreichen. Dies natürlich nicht mit 3000.- Ausgaben. Natürlich ist nichts umsonst, aber vielleicht ist ja was nicht all zu teures zu haben.
Was ich noch rumliegen hätte, wäre ein i7 4790K und etwa 32GB RAM, vielleicht kann man mit diesen Komponenten und einem kleinen schicken Board mit 4 NIC's etwas schönes bauen? Hätte da vielleicht jemand eine Idee was es in etwa in dieser Richtung gäbe?

Was sollte die Firewall am ende leisten können?
Normaler Netzwerk/Internet Traffic, HAproxy für mehrere Webanwendungen, vielleicht ein IDS/IPS und ein paar wenige VPN Verbindungen.

Wie ihr vielleicht seht, ich bin in diesem Themengebiet noch blutiger Anfänger.

Ich danke viel mal für jede Hilfe und wünsche euch noch einen schönen Abend.

Gruss
Oliver

Hallo zusammen

Ich möchte mich kurz für die längere Abwesenheit entschuldigen. Ich danke euch aber viel mal für die Hilfreichen Tipps, es ist alles eingerichtet und hat super geklappt.

Gruss
Oliver

Danke für die nächsten Tipps :)

- Heimnetz wurde auf /24 verkleinert.

- zu "IN meinem Heimnetz sichtbar" -> Ich möchte gerne mit meinem PC direkt die Server im Webserver Netz administrieren. Dass heisst kein Teilnehmer aus dem 10.0.0.0/24 Netz ausser meinem PC soll Zugriff auf das 10.1.0.0/24 Netz haben und auch "vice versa". Ich sehe, dass mit der vorgeschlagenen Lösung die Trennung sichergestellt ist, wie wäre aber eine Verbindung für nur einen PC möglich?

- Wenns nicht ohne VLAN's geht, dann wird dies auch gleich mitgelernt.. ;)

Dann werde ich mich mal ans Werk machen und versuchen die vorgeschlagene Lösung umzusetzen. Ich werde sicherlich Rapportieren, wie es voran geht und bei Fragen, von denen sicherlich noch welche auftauchen, mich wieder Melden.. :D

Ich danke schon mal für die schnelle und informative Antwort @JeGr :D

Grüsse
Oli

Danke.. :)
Update durchgeführt -> OPNsense 20.1.9-amd64

Hallo zusammen

Ich bin einerseits neu hier, wie auch in der Netzwerk/Firewall Welt. Ich bin in meinem sonstigen Leben Dev/Programmierer, aus dieser Sicht, musste ich mich bis jetzt nicht grossartig mit Netzwerken beschäftigen, die liefen einfach, dank den lieben Sysadmin's.. :)

Nun hat mich das Thema jedoch doch mal gepackt und schon stehe ich durch mein Unwissen an.
Ich habe mir Zuhause ein kleines HomeLab aufgebaut. Dieses soll natürlich einerseits funktionell aber auch sicher sein. Dafür habe ich mich für die OPNsense entschieden und diese wurde auch installiert. Mein Netzwerk habe ich jetzt auch schon einmal rudimentär aufgebaut.

Nun zu meinen Fragen, welche euch wahrscheinlich hoffentlich einfach fallen und mir hoffentlich weiter Helfen. :)

Was ich habe: (sieht mal auch in der beiliegenden Grafik)
OPNsense (OPNsense 20.1.4-amd64) (4-physikalische Port's)
Managed 16-Port Switsch
Server mit ESXi (4-physikalische Port's)
ESXi (VMware ESXi 7.0.0) (Verschiedene VM's)
Netzwerk: 10.0.0.0/16 (Ich weiss etwas übertrieben)
verschieden Teilnehmer mit DHCP

Was möchte ich erreichen:
Ich habe ein Heimnetzwerk (10.0.0.0/16) in welchem sich meine PC's und die ganze Familie aufhält. Auch habe ich in diesem Netzwerk zwei VM's am laufen, welche von allen Teilnehmern in diesem Heimnetz erreicht werden sollen. (IP VM: 10.0.0.51/10.0.0.52) Mein PC welcher natürlich auch der Chef der ganzen Sache ist, sollte natürlich überall hin Zugriff haben.
Nun zum etwas schwereren Teil. Ich möchte nun Webserver laufen lassen, diese sollen von Aussen erreichbar sein (HAproxy) Diese will ich aber nicht in meinem Homenetz(10.0.0.0/16) haben, diese sollen im eigenen Subnetz (Webserver Net 10.1.0.0/24) getrennt vom Rest laufen. Jedoch möchte ich natürlich mit meinem PC diese auch erreichen können, diese sollen aber nicht in meinem Heimnetz sichtbar sein.

Wie würde ich dies anstellen?
Was wären die Voraussetzungen?
Ich hoffe das dies auch ohne V-LAN's möglich wäre? (Noch etwas mehr zum lernen :S)

So viel geschrieben.. Ich hoffe das ein erfahrener Netzwerkspezi sich meiner Fragen/Probleme anmint.. :)
Auch hoffe ich dass ich mich klar genug ausgedrückt habe und das es soweit verständlich ist, was ich versuche.
Bitte scheut euch nicht, mich zu Fragen, was ihr noch für Informationen braucht.

Ich danke euch und hoffentlich bis später
Oliver