Hardware Upgrade Gigabit WAN

[donoli]

Hallo zusammen

Ich habe mal mich durch die Suche des Forums begeben, jedoch bin ich nicht gerade zum erhofften Ergebnis gekommen.
Vielleicht hat hier jemand ein paar Ratschläge für mich.

Istzustand:
Ich habe eine PC Engines apu4d4 mit OPNsense 20.7.2 installiert. Bin eigentlich auch zufrieden mit der Hardware.
Es sind 3 NIC's in Betrieb mit 1 WAN, 2 LAN und einem VLAN am laufen. Ausserdem ist ein HAproxy am laufen und zwei VPN Server zum einwählen ins LAN von aussen.

Warum ein Hardware wechsel:
Es hat sich ergeben, dass ich neu eine 1 Gigabit WAN Leitung zur Verfügung habe. Nun ist meine starke Vermutung, das meine apu4d4 dies nicht packt, besonders, da ich im Sinn habe das IDS/IPS einzuschalten. (Die Vermutung liegt auf Messungen von LAN nach WAN hinter(550Mbit) und vor(923Mbit) der Firewall. Danach habe ich mich ein bisschen eingelesen, und mitbekommen, dass eine apu4d4 diese Leistung wahrscheinlich nicht packt.)

Nun zu meinem Anliegen und hoffentlich ein paar super Vorschlägen von euch. 

Ich würde gerne die 1 Gigabit WAN mit einer OPNsense Firewall erreichen. Dies natürlich nicht mit 3000.- Ausgaben. Natürlich ist nichts umsonst, aber vielleicht ist ja was nicht all zu teures zu haben.
Was ich noch rumliegen hätte, wäre ein i7 4790K und etwa 32GB RAM, vielleicht kann man mit diesen Komponenten und einem kleinen schicken Board mit 4 NIC's etwas schönes bauen? Hätte da vielleicht jemand eine Idee was es in etwa in dieser Richtung gäbe?

Was sollte die Firewall am ende leisten können?
Normaler Netzwerk/Internet Traffic, HAproxy für mehrere Webanwendungen, vielleicht ein IDS/IPS und ein paar wenige VPN Verbindungen.

Wie ihr vielleicht seht, ich bin in diesem Themengebiet noch blutiger Anfänger.

Ich danke viel mal für jede Hilfe und wünsche euch noch einen schönen Abend.

Gruss
Oliver

[micneu]

Ok, ich habe noch ein paar Fragen:
- 1gbit/s down/up?
- hast du selber schon mal nach Boards für deine CPU gesucht?
- ist es für deine Firma oder zuhause?
- wenn es für dich zuhause ist, brauchst du wirklich IDS (ich sehe bei mir zuhause keinen Mehrwert außer mehr Ressourcen)


Gesendet von iPad mit Tapatalk Pro

[donoli]

Hallo micneu

Danke schon mal für deine Antwort

- Down 1gbit / Up 100mbit

- Betreffend Board: Ja habe mich mal auf Chinesischen seiten umgeschaut.(Aliexpress usw.) Bin da aber unerfahren. Ich könnte natürlich mein altes z97 nehmen, jedoch möchte ich was schlankeres, vlt. 19" 1U. Das schwere bei Chinaprodukten, wie sieht es da mit dem BIOS aus? Vertragen sich diese mit einem FreeBSD. Ich nehme nicht an das bei Chinaboards öffters mal ein BIOS update erscheint. Dies kam bei meiner suche raus: https://de.aliexpress.com/item/32815737045.html

- Es ist eigentlich für beides, da die Firma in meinem Haus ist, würde ich sagen beides wäre der Fall. Sicherlich sind es nur 2-3 User.

- Das IDS/IPS ist eher was für die Neugierde, oder Schulung. Je nach dem wie man dies betrachtet. Einschalten, rumspielen, und wenn es doch mal was abhält vom Rauswählen wäre dies natürlich toll.

Im Vordergrund steht aber natürlich der 1 gbit Downstream und der HAproxy.

Die Idee mit dem i7 4790K ist mir nur mal gekommen, da dieser bei mir nur noch rumliegt und ich dachte mir der könnte schon noch etwas arbeiten.

[donoli]

Was ich auch noch gefunden habe wäre so etwas:
https://www.pondesk.com/product/8-LAN-10Gig-Fiber-SFP-4G-NGFW-Firewall-1U-Rackmount-Server_NSHO-001

[micneu]

schau mal in meinem Footer. ich setze das Core i7 System ein (zurzeit an einer 200/40 DTAG Leitung)
Ich denke mit IDS währe das System schon recht hoch belastet (könnte an seine grenzen kommen mit deiner Leitung).
Warscheinlich werde ich in naher zukunft eine Leitung von Wilitel bekommen (1GBit/s Down, 200 MBit/s Up). Selbst da denke ich wird meine Kiste ziemlich ins Schwitzen kommen auch ohne IDS (mache viel OpenVPN).

[micneu]

Was ich auch noch gefunden habe wäre so etwas:
https://www.pondesk.com/product/8-LAN-10Gig-Fiber-SFP-4G-NGFW-Firewall-1U-Rackmount-Server_NSHO-001

würde ich nicht mehr nehmen, das ist die 4te Core i Generation verbaut, währe mir für Neukauf zu alt.
Ich habe bock auf einen Xeon D16xx, nur leider findet man keine Systeme mit der CPU.

[donoli]

Deinen Footer habe ich mir auch schon angeschaut. Bin aber (ohne Fachwissen) auch der Meinung das diese Systeme meine 1gbit Leitung nicht abdecken, dies aus der Erfahrung mit der apu4d4.

Zum System von pondesk, dies kann man auch ohne CPU bestellen, jedoch ist dann auch kein Kühler mit dabei. Ich dachte mir, dann einfach die i7 4790K rein, ist ja theoretisch Baugleich einfach offen was das Takten anbelangt. Und mit dem Kühler müsste ich mir dies dann noch überlegen,was den da reinpassen würde.

Natürlich möchte ich mich nicht auf meinen i7 4790K versteifen, wenn es ein System gibt, das meine Last aushält und nicht all zu teuer ist, wäre dies auch was

[donoli]

Was haltet ihr davon:

1x https://www.digitec.ch/de/s1/product/rackmax-rm-1941-server-barebone-6341778?gclid=CjwKCAjwnef6BRAgEiwAgv8mQYUCJKzBOffw_nrp5Ho2twDu3wedJ922lfcHd_q6Ji4085tZaBv2RBoCsToQAvD_BwE&gclsrc=aw.ds
1x Mein Z97 mit meinem i7 4790K und 16gb RAM
1x https://www.piospartslap.de/NetApp-Intel-Pro-1000-PT-Quad-Port-PCIe-Network-Adapter-106-00200-A0

Oder sowas?
https://de.aliexpress.com/item/1005001290787585.html?spm=a2g0s.9042311.0.0.6da14c4djFM9KH

[micneu]

Oder sowas?
https://de.aliexpress.com/item/1005001290787585.html?spm=a2g0s.9042311.0.0.6da14c4djFM9KH

das währe die variante die ich nehmen würde mit dem Core i5 8er generation

[JeGr]

> Normaler Netzwerk/Internet Traffic, HAproxy für mehrere Webanwendungen, vielleicht ein IDS/IPS und ein paar wenige VPN Verbindungen.

Solange das nicht klar ausgeführt wird, ist HW besprechen sinnfrei. Ich kann problemlos mit ner Scope7 1510 mit nem C3558 Atom Gigabit routen. Und NATten. Und VPNs machen. Aber halt keine VPNs mit Gigabit. Was eh nicht geht, weils nur 100 Up sind. Oder 1Gbps wirklich volle Kanne mit IDS im Protection Mode und vielen Filtern? Möglich, könnte aber ggf. knapp werden. Je nachdem wie skaliert wird. Da müssen eben die Ansprüche mal klar werden, dann kann man weiter sehen.

> Xeon D16xx ...

Bin ich kein Fan von, mag man aber gern anders sehen. Die Kisten sind zwar für Routing toll, in den Ecken wo aber noch "klassisch" Webstack / UI und Co laufen, fand ich die immer sehr lackluster und laggy. Reine Filterperformance ohne UI OK yeah. Aber zumindest die alten Xeon Ds waren mit Standardjobs einfach laggy und überlastet und wenn man viel in der UI den Tag über arbeitet war das mega nervig. Wenn nicht - klar können die ganz schön sein.

Aber zum Vergleich: Ohne IDS haben wir jahrelang unser Office problemlos an ner 1Gbps synchron Darkfiber ins RZ hängen gehabt. Da stand eine C2758 Atom Kiste davor (Supermicro). Ich hatte keine Beschwerden dass das Gigabit nicht durch geht Bandbreite ist da kein Problem für. Selbst IP Blocklisting oder DNS Blocking, VPNs etc waren kein Thema, da Bestand auch kein Bedarf an VPNs mit >100Mbps Durchsatz weil das meist die Gegenseite eh nicht konnte. Und IDS hätte man machen können, gab aber keinen Bedarf, dafür andere Pakete locker abgewuppert.

Daher: C3000er Atom wäre für Gigabit schon mind. anzuraten aber wenn da nicht gerade mega-Vollfilterung mit IDS/IPS an allen Interfaces etc. laufen soll, muss das m.E. keine mega Kiste sein.

[donoli]

Hallo JeGr

Danke für deine Ausführung. Zum genauen Setup oder was möchte ich erreichen:
Ich habe bei mir zu Hause, die Firma meiner Frau, diese bräuchte sicherlich ihre Webseite am laufen. Darum HAproxy. Es werden noch ein oder zwei mehr Webseiten dazu kommen. Es sind sicherlich immer mal kleinere Webanwendungen, welche nach aussen gestellt werden, am laufen. Des weiteren bräuchte ich VPN nur um mich mal von draus, hinein zu verbinden, also auch kein Site to Site VPN oder der gleichen. Firewall regeln auf der WebserverLAN Seite, jedoch kein geNATe oder der gleichen. Ein VLAN für ein Gästenetz. Und einfach ein bisschen Sicherheit und Kontrolle für mich, meine Familie und das Business meiner Frau.

Zum IDS: dies ist rein aus der Neugierde, oder für das WebserverLAN angedacht. Ich dachte da halt an ein bisschen Sicherheit, für meine Websites und meinen Server. Oder schiesse ich da mit Kanonen auf Spatzen?

Das einzige was ich zum Istzustand sagen kann ist, die PCengines APU4d4 reicht für den Gbit Downstream einfach nicht. Und dafür bräuchte ich einen anständigen Ersatz. Welcher dass oben genannte packt und vielleicht auch noch ein bisschen Reserve für weitere Schulung bzw. Feldversuche hat. Es soll Sicher sein und mir eine Spielwiese / Lernumgebung bieten.

Vielleicht merkt ihr auch, ich bin nicht gerade der Hirsch, was das ganze Firewall Thema anbelangt. Applikationsentwicklung ist da schon eher mein Fach. Und ich versuche mich halt da langsam ein bisschen rein zu Fuchsen. Ich danke sicherlich schon mal für die Kommentare und Hersteller. Was es da alles für Hersteller gibt, von denen man noch nie was gehört hat

Ich hoffe ich konnte mit den Angaben oben etwas aussagen was ich möchte. Genauer wüsste ich gerade nicht wie ich mich ausdrücken könnte, da würde mir wahrscheinlich das Fachwissen und Vokabular fehlen. Wenn ich zu Utopisch denke, dürft ihr mir dies sicherlich auch gerne sagen. Ich finde das Thema einfach sehr interessant und arbeite gerne in meiner Freizeit mit OPNsense.

Gruss
Oliver

[donoli]

P.s. könnte es auch ein anderen Grund für einen Flaschenhals geben, als die Firewall Hardware selbst? Ausser natürlich Alle Geräte müssen Gigabit Netzwerkanschluss besitzen, dies ist soweit der Fall. Und die Verkabelung sollte auch kein Problem sein.

[micneu]

ich kenne ja dein budget nicht, aber der ist doch nett und hat genug reserven
https://www.supermicro.com/en/products/system/Mini-ITX/SYS-E300-9A-4C.cfm
nach dem einschalten schein das ding so laut wie ein startender jet zu sein, aber nach dem das OS läuft ist das ding recht leise

[micneu]

ich habe mal einen aes performance test bei meiner vorhandenen hardware gemacht.

Code: [Select]

openssl speed -evp aes-256-cbc
openssl speed -evp aes-256-gcmhier noch ein guter artikel:
https://www.thomas-krenn.com/de/wiki/Hardwareanforderungen_OPNsense

[JBBERLIN]

Also um meine bescheidenen Erfahrungswerte einzubringen:

In der Firma wo ich arbeite haben wir sehr gute Erfahrungen gemacht mit Supermicro 1U Xeon-D 15xx bisher.

Nach dem Upgrade auf 2x 2GBit Glas laufen bei uns zwei von dennen hier:

SuperServer 1019D-FHN13TP mit je 2x Intel X710-DA4 und je 64GB RAM

Die wird selbst in Spitzenzeiten kaum ausgelastet und das bei gut 50 Net2Net IPSec, 100 IPSec RW, grosse Blocklisten, Routing für knapp 47 VXLAN Netze, HA Proxy zu vielen local Clouddiensten, etc. mit IDS/IPS stehen die Expermimente erst nächste Woche an.