Hardware-Beratung

[kosta]

Hallo,
leider versprach mit Thomas-Krenn bereits 2x einen Rückruf, der nicht erfolgte. Siehe Edit unten.

Da mir aber die Zeit schon etwas knapp wird, versuche ich es mal auf diesen Weg.

Ich möchte die Firewall ausreichend und darüber hinaus dimensionieren. Aber auch wieder nicht Geld gegen Wind hauen.
Ich hab das Budget bis €2000 bekommen und bei TK scheint es eine gute Platform für eine passende Konfiguration.
Also grundlegend sind wir ca. 20 Mitarbeiter, und wir sind größtenteils mit OpenVPN ausgestattet.
Unsere Internet-Leitung (neu, kommt erst) wird 500/500 Richtfunk-Glasfaser sein.
Meine Erwartung ist dass die Firewall ausreichend Power und dann noch ausreichend Reserven hat, um alle mit VPN zu versorgen. Verschlüsselung Standard AES-256-CBC, Keysize 2048.
Mein Wunsch wäre alles via Firewall zu routen (Full Tunnel) um auch die Dienste die die Firewall bietet, wie Sensei und Suricata hauptsächlich für alle zu nutzen. A/V ist lokal auf den Rechnern.
Wir sind zwar nicht 10GB basiert, aber der Coreswitch ist ein Aruba 1930 48g und hat 4 10GB Ports. Es tät mir eine 10GB Leitung zwischen Firewall und Switch reichen, über der alles geleitet wird (insg. ca. 5 VLANs, ist noch in Planungsphase).
Das Ziel ist es den MA ausreichend Bandbreite zu geben, sagen wir mal clientseitig mind. 20Mbit Upload (die Home-Anbindungen haben kaum mehr Upload-Bandbreite), und bis zu 50Mbit Download, aber natürlich mit QoS.
Es wird auch ein HTTP Download-Server bereitgestellt, von dem die Kunden einige kleine Programme runterladen können (Verklinkung von unserer Webseite).
Kein WWW Betrieb.
Und es wird ein Site-to-Site Tunnel (Firma und 2. Standort) genutzt, auch AES-256. Ca. 15 Netzwerke geroutet.
Darüber hinaus haben wir ein zweites Site-to-Site zwischen Firma (hier steht die OPNsense) und Rechenzentrum aufgebaut, und hier wird auch einiges geroutet.
Ich möchte auf jeden Fall genug Performance haben, da mich mein Chef bereits gefragt hat: "und wie lange wird die Lösung jetzt halten"?
Sonst betreuen wir einige Kunden via N-Central und Wayk (Remoting), haben RDS-Gateway im Einsatz, bieten Zugriff auf Test-Farm für Kunden (sind aber meistens nur 1-2 drauf, wenn überhaupt).
Vielleicht noch erwähnenswert ist dass wir ziemlich Spitzenlasten zu gewissen Zeiten haben, wie zB. 08:00, da unsere Rechner mittels N-Central aktualisiert werden, wenn wenn diese über Nacht nicht online waren, werden sie beim nächsten Einschalten aktualisiert. Was meistens in der früh ist, und da fangen dann etliche Clients oft die Downloads und Installationen. Alle Updates werden von unserem zentralen Server heruntergeladen.

Zuletzt will ich dass das Ding auch Interface-seitig, Troubleshooting usw. ausreichend Performance hat, wobei da denke ich eher entspannt, da mein i3 zu Hause flotter wie flott ist, wenn es um die CPU geht. RAM könnte ich mehr gebrauchen...

Betreiben würde ich die OPNsense auf 21.1 Version als Business Edition (paar Monate hinter der Community mit weniger Updates).

Nun folgende Konfiguration angedacht (siehe Screenshot).

EDIT: Ironie, als ich gepostet habe, 5 Minuten später hat sich TK bei mir gemeldet. Nun, warte ich auf den RR. Aber, es schadet ja nicht, wenn sich wer das hier auch ansieht.

[superwinni2]

Ich würde mich für solch etwas entscheiden:
https://www.thomas-krenn.com/loadproduct?id=yeb221e07868428eb&lang=de


Wichtig wäre mir eher eine hohe Taktrate als viele Kerne.
Was du bedenken solltest wäre noch Thema Hardwaresupport und/oder Redundanz (was die Kosten dann natürlich verdoppelt)

[kosta]

Danke.
Hardware-Support bringe ich noch rein, aber 2. Firewall auf keinen Fall.
Wir haben keinen solchen kritischen Betrieb. 1-2 Tage Ausfallzeit sind zwar sehr unangenehm, aber nicht Betriebs-kritisch. Unsere Hauptserver liegen im Rechenzentrum, und die sind auch ohne VPN erreichbar. Damit ist eine 99,9% Erreichbarkeit garantiert.
Aber, Tipp mit dem E-CPU ist ein guter.
Reichen 16GB RAM?

[superwinni2]

Also ich habe zuhause eine 400/12 Leitung und dort hat die Haupt FW "nur" 1 GB RAM und die Backup sogar nur 512 MB. Reicht locker Bandbreitenprobleme habe ich nur dank der "langsamen" Internetleitung.
Aktuelle Nutzung kann ich gerade nicht sagen. Aber dort langweilt sich der RAM auch nur



In meiner Firmenumgebung mit DualWAN (250/250 & 100/40), HAProxy, BIND, IPSec, OpenVPN, DHCP Server, Traffic Shaper hat die FW 8 GB und davon sind 528 MB aktuell in Benutzung.




PS. je nach Netzwerkstruktur, kann man ja eine 2. Firewall im absoluten LowBudget Bereich kaufen, dass man zumindest "ein paar Tropfen" der Internetleitung hat.
Habe ich auch schon gemacht, einfach einen alten PC mit vielen Netzwerkkarten so konfiguriert, dass diese im Notfall übernehmen kann. Hat mich damals ~100€ für die Netzwerkkarten gekostet und als "Server" war es dann eben eine alte Mühle aus dem Schrank mit 2 Kernen damit wir nicht abgeschottet sind. Lieber langsam als gar nichts.

[kosta]

Hi,

ich umgekehrt. Ich hab 8GB RAM und stoße die ganze Zeit an die Grenze wenn ich Suricata und Sensei verwende (zu Hause).
Ganz genau gesagt crasht mir Sense dauernd wenn ich Suricata verwende.

Also ich glaube schon dass 16GB reichen, aber die RAM-Aufpreis ist nicht so riesig. Aber, man kann RAM eigentlich jederzeit erweitern.

Als Backup habe ich mir schon überlegt eine VM aufzuziehen. Ich hab am Server ausreichend NICs um das zu machen. Wir haben größtenteils miniPCs, daher gibt's keine alte Mühlen ;-)

[JeGr]

Was spricht dagegen, sich noch die Hardware von OPNsense selbst anzuschauen oder einem der anderen Partner?
Da wären dann auch noch die Scope7 Hardware Teile, die da auch gut reinpassen. Muss gestehen der Link oben zu TK empfinde ich als quatsch für ne Firewall, da:

* 8x SATA blablubb - ich baue eine Firewall keinen Dateiserver
* 1x Intel X710 - würde ich vermeiden, da spinnen grad eh die Treiber ziemlich rum
* 4x Gigabit und 1x 10G insgesamt: das ist für den Preis echt mau

Bei ner Firewall schau ich nicht auf zig tausend Sachen wie bei einem Server (rein subjektiv rede ich von mir/uns was wir bei Kunden verbauen). Der TK Kram ist Supermicro Server XY mit Festplatten etc. etc. - das ist keine Firewall/Netzwerk Hardware für mich. TK hat sicher auch gute Appliances für Netzwerk, das gehört aber IMHO nicht dazu.

Dagegen würde ich eher sowas hier auspacken:

-> https://www.scope7.de/hardware/medium/scope7-4210-fiber

Entweder ne 4210-Fiber oder je nach Wunsch kleiner oder größer als -XS mit i3 oder größer als -XL mit i7. Und ja der i5/i7 der Generation ist mitunter genauso fix wie ein Xeon E3 der auch gern mal verbaut wird. Die geben sich da kaum was. Zumal wir wenn ich richtig lesen von ~500/500 reden die nicht voll ausgenutzt werden (was Crypto angeht).

Wir haben aber Kunden, die haben ne 4210(-XL) mit Dual Gigabit angebunden ohne Probleme und juckeln da massig OpenVPN User drüber. Da im Grundgerät nur SFP Ports sind, es aber freundlicherweise nen Modulschacht hat, kann man da problemlos 2 oder 4 SFP+ Ports reindrücken was auch gern gemacht wird. Und wenn man IPMI braucht und möchte, lässt sich auch das mit einbauen. Will man unbedingt redundante Netzteile, geht das bspw. mit der 5210 dann auch. Vorteil bei den Büchsen ist halt, dass die im Hinblick auf Netzwerk konzipiert und gebaut werden und nicht als "Allround Server ich kann für alles genutzt werden". Darum auch kein VGA/HDMI oder sonstwas sondern schnöde RJ45 ausgeführte serial DB9 Console (oder IPMI Modul).

Für 500/500 könnte man sich sogar überlegen, je nachdem wieviel an Crypto Power gebraucht wird (Bandbreite) oder andere Software (IDS etc.) zum Einsatz kommt, ob man ggf. sogar nen Schritt kleiner zu einer

https://www.scope7.de/hardware/medium/scope7-303-fiber-r

runter geht. Vorteil: Hat schon mit 4x 10G und 8x 1G MASSIG Ports. Plus Modulschacht. Und IPMI ist m.W. auch schon an Bord, müsste man ggf. noch anfragen. Oh und redundante Netzteile.
Das ist zwar (höre ich zumindest) "nur" ein C3758 8Kern Atom, aber wie gesagt, es hängt von der Workload ab. Und mit AES-NI und QAT hat der Crypto Offload an Bord, es muss nur unterstützt werden.

Das wären so meine zwei Favoriten. Die Desktop Variante der 303 hatte ich in einem der Usergroup Meetups schonmal gezeigt.
Cheers

[kosta]

Danke Jens, das macht wesentlich mehr Sinn. Ich werde mit Landitec Kontakt aufnehmen.

[kosta]

Tja, und so schnell geht das:
scope7 4210 Fiber XL
Modul für 2x SFP+ für 10Gb
Modul für IPMI
3y advanced replacement
3h support package

Warte noch auf das offizielle Angebot, aber denke das wird sein. Ist doch WESENTLICH sinnvoller als die HW von TK. Gut dass ich mal im Forum nachgefragt habe...

Und schönen Gruß von Herrn Isik (bin nur unsicher was sein Vor- bzw. Nachname ist).

[kosta]

Ich hab mir auch dieses Gerät angesehen:
https://shop.opnsense.com/product/dec3860-opnsense-rack-security-appliance/

Was spricht dafür/kontra im Vergleich zum 4210-XL mit i7?
Was ich so herauslesen kann:
DEC3860 hat 32gb ram vs 16gb bei 4210 (16gb dürfte genug sein, 32gb ist guter puffer)
i7 hat vielleicht etwas mehr power? (ausschlaggebend?)
Paar Ports mehr bei 4210 (die ich nicht zwingend brauche)
IPMI bei 4210 (nett, aber keine anforderung)
Scope7 bietet advanced replacement, auch wenn gegen Aufpreis.

[JeGr]

Wenn wir für Kunden Sachen mit Scopes machen und sie uns Probleme melden, schauen wir kurz nach und ansonsten gibt's report direkt zur Technik des Distris und bei HW Support Package gibt's nächsten Tag neue HW. Nicht nur blabla, sondern die steht dann da wenns rechtzeitig gemeldet wird. Sowas will man im Firmen-Umfeld haben. Und da fließen dann auch mal Anmerkungen oder Infos von uns mit ins Produkt ein, darum können wir dann auch ganz gute Konditionen bei der HW und Support (HW wie Software) anbieten.

Die OPN HW sieht schön aus, kenne aber das Delivery nicht, wie RMAs ablaufen oder wie schnell da Ersatz da ist wenn was sein sollte. Daher mag ich da auch nichts zu zu sagen.

[kosta]

Danke für den Input.