Ny 1U brandvägg (OPNsense)

Permalänk
Medlem

Ny 1U brandvägg (OPNsense)

Tjena!

Gjorde om en gammal HTPC till brandvägg för typ ett år sen nu och har sedan dess slängt allt på den, och därmed också vuxit ur den. Den tuggar på fint än, men det är på gränsen av vad den pallar. 15 VLAN, 200 GB (WAN) upp per dag, DHCP för hela nätverket osv osv.

Nuvarande specs är:
AMD E-450 APU with Radeon(tm) HD Graphics (2 cores)
4 GB RAM
120 GB SSD
Intel I350 (4 NIC) + 1 st NIC som sitter på MB.
OPNsense 17.1

Jag tänkte om det finns ett färdigt 1U chassi bestyckat med 10 GBe (minst 4 NIC) för att få lite fart i grejerna och en kraftigare processor (Xeon) samt dubbla nätdelar? Gärna även 2 hotswap platser 2.5". Min budget är inte mer än 7000 kr ex moms. Finns det färdigt eller är det bättre att kolla Ebay för delar? Eller måste jag kasta mer pengar på det för att få något vettigt?

Vad har ni för förslag?

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Permalänk
Medlem
Skrivet av enoch85:

Tjena!

Gjorde om en gammal HTPC till brandvägg för typ ett år sen nu och har sedan dess slängt allt på den, och därmed också vuxit ur den. Den tuggar på fint än, men det är på gränsen av vad den pallar. 15 VLAN, 200 GB (WAN) upp per dag, DHCP för hela nätverket osv osv.

Nuvarande specs är:
AMD E-450 APU with Radeon(tm) HD Graphics (2 cores)
4 GB RAM
120 GB SSD
Intel I350 (4 NIC) + 1 st NIC som sitter på MB.
OPNsense 17.1

Jag tänkte om det finns ett färdigt 1U chassi bestyckat med 10 GBe (minst 4 NIC) för att få lite fart i grejerna och en kraftigare processor (Xeon) samt dubbla nätdelar? Gärna även 2 hotswap platser 2.5". Min budget är inte mer än 7000 kr ex moms. Finns det färdigt eller är det bättre att kolla Ebay för delar? Eller måste jag kasta mer pengar på det för att få något vettigt?

Vad har ni för förslag?

Det blir tufft! Speciellt med tanke på att du vill ha 4 stycken 10GE portar.
I mina öron så låter det overkill för dina behov. 200GB per dag är inte mycket, samma sak med 15 VLAN.
Du skulle kunna enkelt köra allt på Atom Rangley 4 eller 8 core.

http://mullet.se/product.html?product_id=336516

Visa signatur

| Citera för svar! | Gilla bra inlägg! |

Permalänk
Medlem

Något som denna tro

http://m.ebay.co.uk/itm/132063622115?_mwBanner=1
Eller med 10gb sfp+

http://m.ebay.co.uk/itm/Cheap-Cloud-10GB-SFP-2-x-Intel-Xeon-E...
Skickades från m.sweclockers.com

Dessa lämpar sig om duska klra annat är ren fw. Mycket prestanda för pengarna.

Visa signatur

Nätverksnörd

Permalänk
Medlem
Skrivet av BrusE:

Det blir tufft! Speciellt med tanke på att du vill ha 4 stycken 10GE portar.
I mina öron så låter det overkill för dina behov. 200GB per dag är inte mycket, samma sak med 15 VLAN.
Du skulle kunna enkelt köra allt på Atom Rangley 4 eller 8 core.

http://mullet.se/product.html?product_id=336516

Tack för tipset, typ ngt sånt jag letade efter. Kollade inte så noga men det verkar inte som att det finns plats för PCI i den? Jag kommer behöva minst 2 st 10 GBe för att skyffla data internt.

Total trafik genom brandväggen per dag är typ 2-3 TB. Med 200 GB WAN menade jag uploads, vilket i sin tur förklarar högt tryck från olika domäner på olika sidor som jag hostar.

EDIT: Såg nu man kunde lägga till det in configen.

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Permalänk
Avstängd
Skrivet av BrusE:

Det blir tufft! Speciellt med tanke på att du vill ha 4 stycken 10GE portar.
I mina öron så låter det overkill för dina behov. 200GB per dag är inte mycket, samma sak med 15 VLAN.
Du skulle kunna enkelt köra allt på Atom Rangley 4 eller 8 core.

http://mullet.se/product.html?product_id=336516

Du måste tänkta så här med när man använder switch med layer 2 så måste allt gå via brandvägen om man kör med layer 3 och dom ligger i samma Vlan då behöver den inte använda brandvägen för att skicka internt data.

@enoch85 Själv så skulle jag köpte ett nätverkskort med 4 st 10 Gbit portar.

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Permalänk

Jag hade gått på Xeon-D de klarar 10GBe för ett vettigt pris. Inbyggt i CPU + möjlighet för extra 10GBe PCIe kort.

http://mullet.se/product.html?product_id=340577

Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Permalänk
Medlem

Jag köpte nyligen en "Dell H210 II" för 700:- på Tradera som jag kör OPNsense på. Riktigt trevlig liten server för ändamålet!
Dom hade dock bytt ut Xeon-processorn mot en G530, men som fortfarande är fullt tillräcklig.

Visa signatur

Cooler Master MasterCase 5 || Asrock X99M Extreme4 || i7-6800K || Antec KÜHLER H1200 PRO || 16GB Corsair Vengence DDR4 3000MHz || Samsung 840 EVO 1TB || Asus ROG Strix GeForce GTX 1080 || Antec 620w High Current Gamer

3 st HP LP2475w || Logitech G710+ || Razer Diamondback

Permalänk
Medlem

Det blev en 8 core http://mullet.se/product.html?product_id=336516 plus 4 portars SPF+ 10 GBe.

Tack för alla tips!

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Permalänk
Medlem
Skrivet av enoch85:

Det blev en 8 core http://mullet.se/product.html?product_id=336516 plus 4 portars SPF+ 10 GBe.

Tack för alla tips!

Du såg väl till att få den nya buggfria versionen?

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Permalänk
Inaktiv

@enoch85

Bara en reflektion. Men du har väl noterat att Quad Port 10GE korten förväntar sig en PCIe 3.0 x8 slot och du har "endast" PCIe 2.0 x8 i den där lilla lådan.

Permalänk
Medlem
Skrivet av AquaRelliux:

Jag hade gått på Xeon-D de klarar 10GBe för ett vettigt pris. Inbyggt i CPU + möjlighet för extra 10GBe PCIe kort.

http://mullet.se/product.html?product_id=340577

tja 13k, nästan dubbla hans budget, så vettigt pris vetesjutton ... måste man han 10GB BaseT blir det dyrt förståss.

Visa signatur

Nätverksnörd

Permalänk
Medlem
Skrivet av anon244184:

@enoch85

Bara en reflektion. Men du har väl noterat att Quad Port 10GE korten förväntar sig en PCIe 3.0 x8 slot och du har "endast" PCIe 2.0 x8 i den där lilla lådan.

Han kommer knappast maxa dem, skulle jag tro.Det är mer trevligt att ha för peaker då å då.

Visa signatur

Nätverksnörd

Permalänk
Medlem

En fråga angående av valet av OPNSense, är det något speciellt som gör att du väljer just OPNSense?

Visa signatur

En trött jäkel.

Permalänk
Medlem
Skrivet av Plattelöparn:

Du såg väl till att få den nya buggfria versionen?

Eeh buggfri? Finns det en med buggar?

Skrivet av anon244184:

@enoch85

Bara en reflektion. Men du har väl noterat att Quad Port 10GE korten förväntar sig en PCIe 3.0 x8 slot och du har "endast" PCIe 2.0 x8 i den där lilla lådan.

Nej, det tänkte jag inte på... Hur påverkar det?

Skrivet av moire:

tja 13k, nästan dubbla hans budget, så vettigt pris vetesjutton ... måste man han 10GB BaseT blir det dyrt förståss.

Jo, det drog iväg, men jag framtidsäkrar hellre med en overkillmaskin än köper ny om något år. Det blir ju samma pengar i slutändan.

Skrivet av moire:

Han kommer knappast maxa dem, skulle jag tro.Det är mer trevligt att ha för peaker då å då.

Nej precis, jag vill ha 10 GBe för att få ut max vid backuper och andra interna överföringar. Jag har 10 GBe i NASen samt mellan server och storage, så varför inte skaffa en branvägg som fixar 10 GBe också... Sen har jag i vilket fall som helst bara 100/100 på WAN.

Skrivet av Dax:

En fråga angående av valet av OPNSense, är det något speciellt som gör att du väljer just OPNSense?

Jag tänkte först skaffa Pfsense men blev tipsad om OPNsense som jag fastnade för. Har väl egentligen ingen konkret anledning mer än att han som tipsade mig sa att Pfsense är lite som "High Chaparall" när det kommer till koden, ingen struktur. Medans OPNsense har försökt att återvinna grunidén med Monowall (stavning?) som tilltalade mig mer. Sen är GUIt bättre i OPNsense om du frågar mig, samt kommer med veckovis säkerhetspatchar osv osv.

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Permalänk
Medlem

Just for the record: Ingen ovanlig syn:

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Permalänk
Medlem
Visa signatur

Marantz NR1605, Rotel RB1090, Ino Audio piPs
SMSL SP200 THX Achromatic Audio Amplifier 888, SMSL M400, Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060, ATH-M40x, Sennheiser HD660S, DROP X KOSS ESP/95X, Koss KPH30i, DROP X HiFiMan HE4XX

Permalänk
Medlem

Kommer själv bygga något liknande med en Athlon 5350 och Intel I350.
http://cpuboss.com/cpus/AMD-E-450-vs-AMD-Athlon-5350

Funderar på om jag kan köra en vanlig hårddisk istället för SSD?

Visa signatur

Ryzen 9 5950X, 32GB 3600MHz CL16, SN850 500GB SN750 2TB, B550 ROG, 3090 24 GB
Har haft dessa GPUer: Tseng ET6000, Matrox M3D, 3DFX Voodoo 1-3, nVidia Riva 128, TNT, TNT2, Geforce 256 SDR+DDR, Geforce 2mx, 3, GT 8600m, GTX460 SLI, GTX580, GTX670 SLI, 1080 ti, 2080 ti, 3090 AMD Radeon 9200, 4850 CF, 6950@70, 6870 CF, 7850 CF, R9 390, R9 Nano, Vega 64, RX 6800 XT
Lista beg. priser GPUer ESD for dummies

Permalänk

Lite offtopic,men om man har router till switch o där vidare till klienter så behöver man väl inte egentligen ha snabbare nics än man har uppkoppling utåt i routern ?
Eller blir det så med vlans kanske,att allt måste passera routern?

Permalänk
Medlem

@backspace: "2017-02-27: Ett fåtal nya kort utan felet finns nu i lager så vi kan skeppa dessa maskiner igen." (http://mullet.se/nyheter.html#AtomC2000)) Så jag antar att det är löst. Tror inte mullet skulle skicka dålig hårdvara. men värt att dubbelkolla.

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Permalänk
Medlem
Skrivet av enoch85:

Just for the record: Ingen ovanlig syn: http://i.imgur.com/g1ZGEvh.png

Ja, dags att uppgradera

Skrivet av Herr Kantarell:

Kommer själv bygga något liknande med en Athlon 5350 och Intel I350.
http://cpuboss.com/cpus/AMD-E-450-vs-AMD-Athlon-5350
Funderar på om jag kan köra en vanlig hårddisk istället för SSD?

Ja, har man en hårddisk över så kan man använda den till en router.

Skrivet av BABOON_ASS:

Lite offtopic,men om man har router till switch o där vidare till klienter så behöver man väl inte egentligen ha snabbare nics än man har uppkoppling utåt i routern ?
Eller blir det så med vlans kanske,att allt måste passera routern?

Man behöver inte ha 10Gbit/s NIC I routern om man har 1Gbit/s WAN. Ska man skyffla data internt använder man sig I regel av en switch. Med fördel en VLAN-kapabel switch om man använder sig av VLAN. Det är onödigt att belasta routern med switch-jobb. En router ska routa, inte switcha.
Beträffande OPNsense/pfsense: en vettig drifttekniker kommer förmodligen inte att rekommendera OPNsense. Att OPNsense kommer med uppdateringar ofta är mest en marknadsföringsploj och de tar sig tydligen inte tid att testa ordentligt. Förra året kom de med en "stabil" release som pajade VLAN totalt. Inget man vill vara med om i ett produktionssystem.

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Permalänk

@Plattelöparn: Ok tack,kör pfsense själv och funderar på att försöka få in ett par 10gb nics mellan tex servern och backup servern.

Permalänk
Medlem

@Plattelöparn: Jag har för mig att jag har skrivit ett inlägg angående OPNsense och pfSense tidigare men personen (trådskaparen) envisades redan då med att köra vidare med OPNsense, varför förstår jag inte eftersom OPNsense profiterar på källkoden från pfSense.
Troligen är det för att personen i fråga känner sig bekväm med OPNsense och väljer därmed bort lite högre säkerhetstänk framför användarvänlighet.

Men detta är ju självklart enbart spekulation ifrån min sida och det är endast trådskaparen själv som kan förklara.

Visa signatur

Marantz NR1605, Rotel RB1090, Ino Audio piPs
SMSL SP200 THX Achromatic Audio Amplifier 888, SMSL M400, Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060, ATH-M40x, Sennheiser HD660S, DROP X KOSS ESP/95X, Koss KPH30i, DROP X HiFiMan HE4XX

Permalänk
Medlem
Skrivet av backspace:

@Plattelöparn: Jag har för mig att jag har skrivit ett inlägg angående OPNsense och pfSense tidigare men personen (trådskaparen) envisades redan då med att köra vidare med OPNsense, varför förstår jag inte eftersom OPNsense profiterar på källkoden från pfSense.
Troligen är det för att personen i fråga känner sig bekväm med OPNsense och väljer därmed bort lite högre säkerhetstänk framför användarvänlighet.

Men detta är ju självklart enbart spekulation ifrån min sida och det är endast trådskaparen själv som kan förklara.

Spekulationer var det ja...

Det är lite som när Nextcloud forkade ownCloud... Nextcloud har nu utvecklat sin kod till det bättre. medans ownClouds utveckling har stannat av. Jag är inte jätteinsatt i kriget mellan OPNsense och pfSense, men jag gjorde en hel del efterforskning innan jag gjorde mitt val. Det jag märkte var att det fanns många OPNsense haters (förmodligen för att man själv körde på pfSense och vill försvara sin egen produkt på allt möjliga absurda vis) där ute. Angående att profitera så gör pfSense exakt samma sak. Det är open source vi pratar om, och det är inte ovanligt att man tar från varandra. Jag tycker det är bra med konkurrens som snabbar på utvecklingen då det onekligen pågår ett krig mellan de två, iaf bland användarna, och mest från pfSense hållet.

För mig är det inte ett politiskt val, mer att han jag pratade med (högt uppsatt kodare på ownCloud numera Nextcloud) hade valt bort pfSense dels för ovanstående anledningar och dels för att OPNsense ligger närmare grundidén/grundkoden med m0n0wall vilket tilltalar mig. Det är ändå contributors från pfSense vi pratar om som valde att gå vidare med OPNsense för att pfSense i deras tycke svävade iväg (precis samma anledning som med ownCloud --> Nextcloud).

Ja, de gjorde en tabbe med VLAN på en stable release. Den tabben tas upp om och om igen som ett argument för att inte välja OPNsense. Jag anser OPNsense vara säkrare då de skalat ner koden, gått igenom den och täppt till hål som fanns i pfSense.

Alla har ett val. Mitt är OPNsense. Jag har även sett många andra gå från pfSense till OPNsense och sagt att det varit bättre.

EDIT: "väljer därmed bort lite högre säkerhetstänk framför användarvänlighet." Det där är ju att dumförklara alla som använder OPNsense. Såklart att jag inte väljer bort säkerhet framför användarvänlighet. Som jag skrev ovan så är OPNsense både säkrare och mer användarvänligt. Du kanske är van vid pfSense dock?

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Permalänk
Medlem

OPNsense har ett smuttare GUI, det är ju anledningen

Visa signatur

En server här, några servrar där.

Permalänk
Medlem

Du har säkert något bra skäl men jag blir nyfiken på varför du ska köra lokal trafik genom routern?

Visa signatur

Jag ser ner på folk som särskriver!

Permalänk
Medlem

@enoch85: Njae, personligen kör jag faktiskt lite olika system.
Men jag har också en tendens att testköra och läsa på om olika mjukvarubrandväggar någon gång per år, detta är ju riktigt lätt att göra med ESXi, Proxmox och XenServer m.fl som grund.

Visa signatur

Marantz NR1605, Rotel RB1090, Ino Audio piPs
SMSL SP200 THX Achromatic Audio Amplifier 888, SMSL M400, Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060, ATH-M40x, Sennheiser HD660S, DROP X KOSS ESP/95X, Koss KPH30i, DROP X HiFiMan HE4XX

Permalänk

Kör färdigbyggda pfSense maskiner i vår produktionsmiljö på jobbet. Det har fungerat klockrent och inte varit ett problem med uppdateringar någonsin. Har kört pfSense hemma i 2 år också och aldrig haft ett problem. Men som sagt Open Srouce är open Soruce, om jag hade velat betala för dyrare nätverksutrustning och behövt prestandan rakt igenom hade det blivit Cisco, Extreme Networks eller d.y.l.

Och GUI:et sedan version 2.3 i pfSense har gjorts för att efterlikna OPNSense väldigt mycket.

Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Permalänk
Medlem
Skrivet av backspace:

@Plattelöparn: Jag har för mig att jag har skrivit ett inlägg angående OPNsense och pfSense tidigare men personen (trådskaparen) envisades redan då med att köra vidare med OPNsense, varför förstår jag inte eftersom OPNsense profiterar på källkoden från pfSense.
Troligen är det för att personen i fråga känner sig bekväm med OPNsense och väljer därmed bort lite högre säkerhetstänk framför användarvänlighet.

Men detta är ju självklart enbart spekulation ifrån min sida och det är endast trådskaparen själv som kan förklara.

Skitsnack.

OPNsense bygger på HardenedBSD där de har portat massa grejjer från grsec/pax till FreeBSD och kastat ut OpenSSL till förmån för LibreSSL - pfSense envisas med att fortsätta köra OpenSSL och deras argument för detta bottnar i att de är polare med Rich Salz som numera roddar OpenSSL, LibreSSL utvecklarna har taskig attityd och att OpenSSL får mer pengar, m.a.o, 66% känsloargument till varför de fortfarande kör OpenSSL - låter som ett seriöst säkerhetstänk.

Permalänk
Medlem
Skrivet av ozric:

Du har säkert något bra skäl men jag blir nyfiken på varför du ska köra lokal trafik genom routern?

Jag har ingen VLAN switch och har byggt nätverket så från början (lätt att vara efterklok) för att jag då inte tänkte att det skulle bli såhär "stort". Den switchen jag har är enbart 1 GBe och sköter det mesta interna, men vissa saker såsom viss VM trafik (Server - Storage) går över NFS på olika VLAN och därför blir första steget att köpa en router/brandvägg som pallar 10 GBe, och sen byta ut switchen..

Makes sense?

Skrivet av AquaRelliux:

Och GUI:et sedan version 2.3 i pfSense har gjorts för att efterlikna OPNSense väldigt mycket.

@backspace Hur var det nu igen?

Visa signatur

Citera för svar

Stora Owncloud/Nextcloud-tråden: http://www.sweclockers.com/forum/122-server/1212245-officiell...
Jobb: Datacenter Manager
Grundare: https://www.hanssonit.se

Permalänk
Medlem

@Kyroz: OPNsense bygger precis som pfSense på FreeBSD i grunden.
OPNsense har tidigare tagit pfSense, snyggat till det och tagit bort funktioner som de sedan lagt till på nytt igen, frågan är ju varför man gör något sådant?
Det är precis som många andra projekt inom öppen källkod, en hel del drama omkring detta vilket är tråkigt på ett sätt men kanske även väldigt bra på ett annat sätt.
Glaset är halvfullt enligt mig.

Situationen kring *SSL känner jag till.

@enoch85: Hur var vad igen?
På följande länk kan du läsa mer om det "nya" grafiska användargränssnittet.
https://doc.pfsense.org/index.php/2.3_New_Features_and_Change...
Om pfSense sneglat på OPNsense eller vice versa vet jag inte. Ett nytt GUI har ju länge varit på tapeten för pfSense eftersom det tidigare varit lite halvsisådär om man skall tro på vad folk på internet tycker.
Själv testkör jag Sophos UTM just nu och jag vet inte direkt om jag föredrar det grafiska framför OPNsense eller pfSense, det är annorlunda helt enkelt.
Dock måste jag säga att jag gillar att Sophos UTM som standard är betydligt tätare vid en standardinstallation än vad andra alternativ är.

Visa signatur

Marantz NR1605, Rotel RB1090, Ino Audio piPs
SMSL SP200 THX Achromatic Audio Amplifier 888, SMSL M400, Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060, ATH-M40x, Sennheiser HD660S, DROP X KOSS ESP/95X, Koss KPH30i, DROP X HiFiMan HE4XX