Ny 1U brandvägg (OPNsense)

Och HardenedBSD är, som jag skrev, en fork av FreeBSD som de portat en massa grsec/pax saker till.

pfSense tog ju m0n0wall och gjorde samma sak, lite det som är poängen med open source - gillar man inte inriktningen på projektet så forkar man. Dramatiken här består mestadels i att gonzopancho är en jävla tunnhudad fjolla som gillar kasta bajs på internet (mot t.ex. OpenBSD som han senare bett om ursäkt för) men börjar lipa när skiten kastas tillbaka.

I det här fallet verkar det brunnit i gamle gonzos proppskåp när OPNsense annonserade att de forkat pfSense och gjort ett snyggare WebUI.

Är inte alla brandväggar mjukvara?

Du skulle ha satsat på en bättre switch först och se över arkitekturen.

På en av våra branch sites hade vi innan vi uppgraderade en checkpoint IP 395 (celeron, 2gb) med betydligt fler vlan, antagligen betydligt fler sessioner och LAN/WAN trafik än din pfsense och det rullade på utan problem

Jag tror också att du överskattar hur mycket trafik som strömmar genom din pfsense.

Det finns bara en länk där du möjligtvis kan ha nytta av 10Gbe och det är då från server -> lagring, även om jag är rätt säker på att det räcker med 2x1Gbe i bond.
Problemet med din setup är att eftersom trafiken routas via pfsense får du sämre latens osv,.

Jag hade köpt en bra Cisco/HP/Juniper switch beggad med stör för SFP+ moduler, om inte en bond är tillräckligt i framtiden kan du trycka in 10Gbe moduler då och köra på det istället.

Om du inte är känslig för ljud (vilket du inte får vara med din 1U-burk), så kan du köpa en Quanta med 24x10G för några tusen. Eller om du vill ha nytt finns UBNT 16-XG för ~6k. Men du skulle nog klara dig på två 10G (en till host, en till NAS, sen uppström behövs inget 10G)? Mikrotik CRS-226 kostar runt 2000 med två SFP+

Okej

Dell N1524 har 4st SFP+, kanske inte den mest sexiga switch men den fungerar för mig i alla fall.

Ok, såg inget om det. Tror det bör ta ganska lång tid innan du i en typ soho-miljö behöver med än en upplänk från server (om det inte är för typ upplänksredundans). Dessutom, om det är för redundans så känns det ännu bättre att köpa två switchar så kan du uppgradera på ena halvan.
Sen ska inte jag hålla på och tycka bu/bä, det är upp till dig! Klart det kan vara bra att uppgradera med lite svängrum, men 10G switchar ligger idag i lite mellanläge mellan enterprise / consumer, så finns inte en uppsjö att tillgå så fort man börjar med lite krav på pris/användarvänlighet.

Anledningen till att Mikrotiken är bra är support + tillgänglighet (utan moms...). Men finns ju såklart bättre/billigare på eHamnen

Juniper:
http://www.ebay.com/sch/i.html?_odkw=3300-28&_osacat=0&_from=...

Quanta:
http://www.ebay.com/sch/i.html?_from=R40&_trksid=p2050601.m57...

Eeeh, har du möjligtvis hört talas om ACL? Förutom det felaktiga som du säger att det inte går att sätta regler i en L3 så föredrar jag dock att routa där framför i en FW.

On Topic: pfSense ftw.

Jag använder layer 3 då går den inte via brandvägen om den inte måste gå över en annan vlan jag löste det med att göra en egen vlan till vare person som har tillgång till sin csgo server på min serverdator.

Visst finns det andra lösningar med denna funkar för mig.

Jag menar så här om den ska till samma vlan som den själv ligger i då går den inte till brandvägen men om dom behöver gå till en annan vlan då måste dom gå till brandvägen.

Då menar att man stänger av layer3 och bara använder sig av layer2?

Allt detta för att folk envisas med iSCSI-lagring? Denna setup hade säkerligen kunnat köras med lokal lagring, brandvägg som en VM och all trafik förutom WAN hade kunnat skett internt på servern. Ytterligare ett nätverkskort hade kunnat användas för replikering till en standby server för nödfall samt backup till valfri burk med några diskar inkopplade. Känns som väldigt o-optimerad och dyr lösning som inte bidrar med något extra föruom 1345 extra "point of failures".

Det var så jag menar.

Har du redan fått brandväggen? Annars finns det D1520-brädor för bra pris från Tyskland....