Supermicro x11sba-ln4f & PfSense - eine bebilderte Geschichte - Forum

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3457

27.04.2021 - 14:40

Das is ein cooles ITX-Brettl... 2x Intel i210AT Gbit LAN und einen passiven Celeron J1900 (4c4t 2-2,4GHz) und der Preis is NEU unter 200Euro... hat jemand eine Idee, ob mir das Ding PfSense mit einer 1000/100 Magenta Leitung dablast? Kein VPN oder DPI benötigt... oder hat jemand bessere Alternativen in dem Preisbereich?

Entscheidung ist gefallen zu Gunsten eines X11SBA-LN4F.

Bearbeitet von UnleashThebeast am 03.05.2021, 19:52

Indigo

raub_UrhG_vergewaltiger

Registered: Mar 2001
Location: gigritzpotschn
Posts: 6687

27.04.2021 - 14:47

ohne zweifel wird das ding die leitung problemlos bewältigen...

selbst ein ordinärer TL-WR1043ND aus dem jahre schnee drückt 350-400MBit WAN-LAN...

TOM

Super Moderator
Oldschool OC.at'ler

Registered: Nov 2000
Location: Vienna
Posts: 7250

27.04.2021 - 14:52

vorsicht, der celeron J1900 unterstützt kein AES-NI

https://ark.intel.com/content/www/d...o-2-42-ghz.html

falls du doch mal was in richtung encryption offloading machen willst (VPN), dann wird der celeron zum schwitzen anfangen. Die 3000er Celerons (z.B. Celeron 3865U) unterstützen AES-NI

Wenn ich 200,- Budget für solch eine Leitung hätte, würd ich so ein Teil aus China bestellen und OpnSense oder OpenWRT draufhauen: https://johannes.truschnigg.info/reviews/2021-01_fwbox/

Bei dem Preis hast schon passives Case, RAM und Storage dabei statt nur Barebone

Für reines routing reicht aber prinzipiell auch was schwächeres...

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3457

27.04.2021 - 14:57

Ich hab nur ein VPN device in meinem Netzwerk und das is der Laptop von der Arbeit. In mein Netzwerk von aussen hinein komm ich mittels einer Anydesk-Jumpstation bei Bedarf, also AES-Ni ist keine Anforderung. Das Kastl schaut zwar ganz nett aus, aber ich muss es auf einen Fachboden stellen, weils keine Öhrchen hat

.

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3457

03.05.2021 - 20:01

Sooooo, hat bisschen gedauert, aber ich habe mich dann für das X11SBA-LN4F entschieden, hat 4x GBit LAN, IMPI, die CPU kann AES-NI, also alles sehr vorteilhaft.
Nach dem bestellen habe ich noch nach einem Chassis gesucht, um das Ding ins Rack einzubauen und bin über eine interessante WillHaben-Anzeige gestolpert...

Dann kam heute Post.

_JEDER_ Geek steht auf solche Packerl

.

der Inhalt?

Na?

Ohhhh, schaut ja gut aus!

Und nach ein bisschen Bastelei und Kabelmanagement:

Das ist jetzt ein X11SBA-LN4F mit 2x4GB DDR3L-SoDIMMs, einer 128GB mSATA-SDD als Bootdrive und das Ganze in einem Supermicro CSE-505-203B, welches das offiziell von SM vertriebe 1U-Gehäuse für dieses Board ist, somit ist der I/O auch vorne und nicht wie bei einem Universalcase hinten, was doch beschissen ist, um LAN-Kabel anzustecken...
Dank willhaben und einem Tiroler, der anscheinend nicht wusste, was er da hat, habe ich das Case (inkl Netzteil) und das Board mit RAM drinnen um weniger als den Neupreis für das Board bekommen. Ganz angenehm, SSD hat Amazon gebracht, den Noctua hatte ich noch herumliegen und der musste einfach auch noch mit rein.

Also schnell, schnell einen USB-Stick mit PfSense-Image erstellt und dann... ja, dann bin ich draufgekommen, dass ich keinen einzigen Monitor im Haushalt habe, der einen VGA-Eingang hat. Der HDMI und DP auf dem Board funktionieren erst, wann mans im BIOS aktiviert. IPMI muss man auch erst im BIOS aktivieren. Schöne neue Welt... Mittwoch kommt ein VGA->HDMI Converter von Amazon, dann gehts weiter.

Schalten Sie bald wieder ein bei "Johannes und seine ersten Schritte mit Eigenbau-Firewalls!".

mr.nice.

endlich fertig

Registered: Jun 2004
Location: Wien
Posts: 6301

03.05.2021 - 20:09

Danke für den gut geschriebenen und humorvollen Bericht, freue mich schon auf die Fortsetzung!

VGA -> HDMI, RS232-> USB und USB -> PS/2, damit kommt man meistens durch.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

03.05.2021 - 20:51

nice
aber tu dir (ehrlicherweise) gleich einen gefallen und lass pfsense fallen und geh in richtung opnsense (sag ich als jemand der selbst noch einige pfsense installationen hat)

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3457

03.05.2021 - 22:24

Magst du das näher ausführen?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

03.05.2021 - 23:38

pfsense hat mit der netgate übernahme defacto massiv abgebaut (an support und weiterentwicklung)
brauchst dir nur mal ansehen was seitdem entwicklungstechnisch passiert ist (hint: nicht viel)
aktuell das wireguard desaster mit 2.5.0 bzw. jetzt mit 2.5.1 wieder ohne wireguard

und die ganze diffamierungsgeschichte von netgate in richtung opnsense tut ihr übriges um die damals geschaffene sympathie komplett zu radieren

ich selbst war bis jetzt zu faul um meine pcengines zuhause umzuheben und mein carp cluster im lab fehlt auch noch aber alle anderen kleineren sind inzwischen umgestellt
massiv höherer patch output, mehr features (wireguard z.b. schon sehr lang verfügbar) und gefühlt ist die community auch schon zu großen teilen umgezogen

für mich fühlt sich pfsense inzwischen wie das gerittene tote pferd an

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3457

05.05.2021 - 21:36

Heute gings weiter

Der liebe Amazon-Mann hat Geschenke gebracht!

Houston, wir haben Video-Output!

Und das ist auch gut so, wir haben jetzt nämlich auch IPMI!

Tollerweise merkt sich nämlich das BIOS von diesem Board die manuelle Netzwerkconfig vom IPMI-Modul, auch wenn man das BIOS mittels Jumper resettet. Und wenn man kein Bild hat, wo man das BIOS sieht, weiß man auch nicht, dass der Vorbesitzer dem IPMI 192.168.147.80 als IP zugewiesen hat. Das IPMI meldet sich dann nämlich auch am Magenta-Modem nicht. klar, weil als Gateway war 10.0.30.1 eingetragen. What the fuck. Ich will garnicht wissen, wie das Netzwerk von dem Haberer ausschaut, sonst kommt mir vermutlich das speiben.

Der USB-Stick ist jetzt nach ein bisschen Recherche auch statt mit PfSense mit OPNsense-21.1-OpenSSL-vga-amd64.img bespielt und wartet drauf, irgendwann die Woche angesteckt zu werden...

tialk

Here to stay

Registered: May 2002
Location: vo/stmk
Posts: 3277

05.05.2021 - 22:32

falls noch nicht gemacht, gibt einen ipmi keygen - damit du das bios updaten kannst. (dafür zu bezahlen find ich nicht ok.)

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 48898

05.05.2021 - 22:55

Zwei komplett unterschiedliche Ranges wirken stark nach eigenem Managementzugang.

Entweder er hat das bewusst gemacht - dann gehört er zu den besseren am Markt oder es ist passiert weil er mal von UPC auf A1 umgestellt hat dann gehört er zu den schwächeren und hat am MArkt nix verloren

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3665

05.05.2021 - 23:09

Das könnte auch die Default Config sein, Supermicro ist da oft lustig ... man kriegt aber sehr solide HW. Im Endeffekt hast du die Hardware laufen mit der ich im Office 40 User + diverse VPN Tunnel bediene.

Verwende nach wie vor pfSense, z.B. diese Wireguard Geschichte ist nicht unkompliziert. Es gab/gibt ja gar kein Kernelmodul für FreeBSD, d.h. in opnSense hat man das im Userlevel realisiert. Damit sterben für mich auch die Vorteile zu OpenVPN, das noch dazu viel komplexere Konfigurationen (Stichwort Auth) ootb ermöglicht.

Also ich beobachte da momentan noch die Entwicklungen, klar ist Netgate eine Firma mit entsprechendem Interessen aber komplett disqualifiziert haben sie sich bei mir noch nicht.

roscoe

tinkerer

Registered: Mar 2005
Location: 1050 Wien
Posts: 681

05.05.2021 - 23:31

Ad Netzwerkkonfiguration - heute reisst's mich eher, wenn ich bei einem Netzwerkscan das iLO/RIBLO/IPMI/... whatever interface im Client-Netz finde

UnleashThebeast

Mr. Midlife-Crisis

Registered: Dec 2005
Location: 127.0.0.1
Posts: 3457

06.05.2021 - 08:25

Zitat aus einem Post von nexus_VI
Das könnte auch die Default Config sein, Supermicro ist da oft lustig ... man kriegt aber sehr solide HW. Im Endeffekt hast du die Hardware laufen mit der ich im Office 40 User + diverse VPN Tunnel bediene.

Default IPMI laut SM doku ist DHCP. Ich habe nie behauptet, dass ich mit der HW nicht kompletten Overkill angehe

. Wenn ich nochamal irgendein leiwandes, passiv gekühltes Bundle um wenig Geld finde, bau ich mir aus sowas einen VM-Server auch noch...

Zitat aus einem Post von tialk
falls noch nicht gemacht, gibt einen ipmi keygen - damit du das bios updaten kannst. (dafür zu bezahlen find ich nicht ok.)

BIOS und IPMI sind schon auf dem aktuellsten Stand

.

UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3457	27.04.2021 - 14:40 Das is ein cooles ITX-Brettl... 2x Intel i210AT Gbit LAN und einen passiven Celeron J1900 (4c4t 2-2,4GHz) und der Preis is NEU unter 200Euro... hat jemand eine Idee, ob mir das Ding PfSense mit einer 1000/100 Magenta Leitung dablast? Kein VPN oder DPI benötigt... oder hat jemand bessere Alternativen in dem Preisbereich? Entscheidung ist gefallen zu Gunsten eines X11SBA-LN4F. Bearbeitet von UnleashThebeast am 03.05.2021, 19:52
Indigo raub_UrhG_vergewaltiger Registered: Mar 2001 Location: gigritzpotschn Posts: 6687	27.04.2021 - 14:47 ohne zweifel wird das ding die leitung problemlos bewältigen... selbst ein ordinärer TL-WR1043ND aus dem jahre schnee drückt 350-400MBit WAN-LAN...
TOM Super Moderator Oldschool OC.at'ler Registered: Nov 2000 Location: Vienna Posts: 7250	27.04.2021 - 14:52 vorsicht, der celeron J1900 unterstützt kein AES-NI https://ark.intel.com/content/www/d...o-2-42-ghz.html falls du doch mal was in richtung encryption offloading machen willst (VPN), dann wird der celeron zum schwitzen anfangen. Die 3000er Celerons (z.B. Celeron 3865U) unterstützen AES-NI Wenn ich 200,- Budget für solch eine Leitung hätte, würd ich so ein Teil aus China bestellen und OpnSense oder OpenWRT draufhauen: https://johannes.truschnigg.info/reviews/2021-01_fwbox/ Bei dem Preis hast schon passives Case, RAM und Storage dabei statt nur Barebone Für reines routing reicht aber prinzipiell auch was schwächeres...
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3457	27.04.2021 - 14:57 Ich hab nur ein VPN device in meinem Netzwerk und das is der Laptop von der Arbeit. In mein Netzwerk von aussen hinein komm ich mittels einer Anydesk-Jumpstation bei Bedarf, also AES-Ni ist keine Anforderung. Das Kastl schaut zwar ganz nett aus, aber ich muss es auf einen Fachboden stellen, weils keine Öhrchen hat .
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3457	03.05.2021 - 20:01 Sooooo, hat bisschen gedauert, aber ich habe mich dann für das X11SBA-LN4F entschieden, hat 4x GBit LAN, IMPI, die CPU kann AES-NI, also alles sehr vorteilhaft. Nach dem bestellen habe ich noch nach einem Chassis gesucht, um das Ding ins Rack einzubauen und bin über eine interessante WillHaben-Anzeige gestolpert... Dann kam heute Post. _JEDER_ Geek steht auf solche Packerl . der Inhalt? Na? Ohhhh, schaut ja gut aus! Und nach ein bisschen Bastelei und Kabelmanagement: Das ist jetzt ein X11SBA-LN4F mit 2x4GB DDR3L-SoDIMMs, einer 128GB mSATA-SDD als Bootdrive und das Ganze in einem Supermicro CSE-505-203B, welches das offiziell von SM vertriebe 1U-Gehäuse für dieses Board ist, somit ist der I/O auch vorne und nicht wie bei einem Universalcase hinten, was doch beschissen ist, um LAN-Kabel anzustecken... Dank willhaben und einem Tiroler, der anscheinend nicht wusste, was er da hat, habe ich das Case (inkl Netzteil) und das Board mit RAM drinnen um weniger als den Neupreis für das Board bekommen. Ganz angenehm, SSD hat Amazon gebracht, den Noctua hatte ich noch herumliegen und der musste einfach auch noch mit rein. Also schnell, schnell einen USB-Stick mit PfSense-Image erstellt und dann... ja, dann bin ich draufgekommen, dass ich keinen einzigen Monitor im Haushalt habe, der einen VGA-Eingang hat. Der HDMI und DP auf dem Board funktionieren erst, wann mans im BIOS aktiviert. IPMI muss man auch erst im BIOS aktivieren. Schöne neue Welt... Mittwoch kommt ein VGA->HDMI Converter von Amazon, dann gehts weiter. Schalten Sie bald wieder ein bei "Johannes und seine ersten Schritte mit Eigenbau-Firewalls!".
mr.nice. endlich fertig Registered: Jun 2004 Location: Wien Posts: 6301	03.05.2021 - 20:09 Danke für den gut geschriebenen und humorvollen Bericht, freue mich schon auf die Fortsetzung! VGA -> HDMI, RS232-> USB und USB -> PS/2, damit kommt man meistens durch.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	03.05.2021 - 20:51 nice aber tu dir (ehrlicherweise) gleich einen gefallen und lass pfsense fallen und geh in richtung opnsense (sag ich als jemand der selbst noch einige pfsense installationen hat)
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3457	03.05.2021 - 22:24 Magst du das näher ausführen?
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	03.05.2021 - 23:38 pfsense hat mit der netgate übernahme defacto massiv abgebaut (an support und weiterentwicklung) brauchst dir nur mal ansehen was seitdem entwicklungstechnisch passiert ist (hint: nicht viel) aktuell das wireguard desaster mit 2.5.0 bzw. jetzt mit 2.5.1 wieder ohne wireguard und die ganze diffamierungsgeschichte von netgate in richtung opnsense tut ihr übriges um die damals geschaffene sympathie komplett zu radieren ich selbst war bis jetzt zu faul um meine pcengines zuhause umzuheben und mein carp cluster im lab fehlt auch noch aber alle anderen kleineren sind inzwischen umgestellt massiv höherer patch output, mehr features (wireguard z.b. schon sehr lang verfügbar) und gefühlt ist die community auch schon zu großen teilen umgezogen für mich fühlt sich pfsense inzwischen wie das gerittene tote pferd an
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3457	05.05.2021 - 21:36 Heute gings weiter Der liebe Amazon-Mann hat Geschenke gebracht! Houston, wir haben Video-Output! Und das ist auch gut so, wir haben jetzt nämlich auch IPMI! Tollerweise merkt sich nämlich das BIOS von diesem Board die manuelle Netzwerkconfig vom IPMI-Modul, auch wenn man das BIOS mittels Jumper resettet. Und wenn man kein Bild hat, wo man das BIOS sieht, weiß man auch nicht, dass der Vorbesitzer dem IPMI 192.168.147.80 als IP zugewiesen hat. Das IPMI meldet sich dann nämlich auch am Magenta-Modem nicht. klar, weil als Gateway war 10.0.30.1 eingetragen. What the fuck. Ich will garnicht wissen, wie das Netzwerk von dem Haberer ausschaut, sonst kommt mir vermutlich das speiben. Der USB-Stick ist jetzt nach ein bisschen Recherche auch statt mit PfSense mit OPNsense-21.1-OpenSSL-vga-amd64.img bespielt und wartet drauf, irgendwann die Woche angesteckt zu werden...
tialk Here to stay Registered: May 2002 Location: vo/stmk Posts: 3277	05.05.2021 - 22:32 falls noch nicht gemacht, gibt einen ipmi keygen - damit du das bios updaten kannst. (dafür zu bezahlen find ich nicht ok.)
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 48898	05.05.2021 - 22:55 Zwei komplett unterschiedliche Ranges wirken stark nach eigenem Managementzugang. Entweder er hat das bewusst gemacht - dann gehört er zu den besseren am Markt oder es ist passiert weil er mal von UPC auf A1 umgestellt hat dann gehört er zu den schwächeren und hat am MArkt nix verloren
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3665	05.05.2021 - 23:09 Das könnte auch die Default Config sein, Supermicro ist da oft lustig ... man kriegt aber sehr solide HW. Im Endeffekt hast du die Hardware laufen mit der ich im Office 40 User + diverse VPN Tunnel bediene. Verwende nach wie vor pfSense, z.B. diese Wireguard Geschichte ist nicht unkompliziert. Es gab/gibt ja gar kein Kernelmodul für FreeBSD, d.h. in opnSense hat man das im Userlevel realisiert. Damit sterben für mich auch die Vorteile zu OpenVPN, das noch dazu viel komplexere Konfigurationen (Stichwort Auth) ootb ermöglicht. Also ich beobachte da momentan noch die Entwicklungen, klar ist Netgate eine Firma mit entsprechendem Interessen aber komplett disqualifiziert haben sie sich bei mir noch nicht.
roscoe tinkerer Registered: Mar 2005 Location: 1050 Wien Posts: 681	05.05.2021 - 23:31 Ad Netzwerkkonfiguration - heute reisst's mich eher, wenn ich bei einem Netzwerkscan das iLO/RIBLO/IPMI/... whatever interface im Client-Netz finde
UnleashThebeast Mr. Midlife-Crisis Registered: Dec 2005 Location: 127.0.0.1 Posts: 3457	06.05.2021 - 08:25 Zitat aus einem Post von nexus_VI Das könnte auch die Default Config sein, Supermicro ist da oft lustig ... man kriegt aber sehr solide HW. Im Endeffekt hast du die Hardware laufen mit der ich im Office 40 User + diverse VPN Tunnel bediene. Default IPMI laut SM doku ist DHCP. Ich habe nie behauptet, dass ich mit der HW nicht kompletten Overkill angehe . Wenn ich nochamal irgendein leiwandes, passiv gekühltes Bundle um wenig Geld finde, bau ich mir aus sowas einen VM-Server auch noch... Zitat aus einem Post von tialk falls noch nicht gemacht, gibt einen ipmi keygen - damit du das bios updaten kannst. (dafür zu bezahlen find ich nicht ok.) BIOS und IPMI sind schon auf dem aktuellsten Stand .

Supermicro x11sba-ln4f & PfSense - eine bebilderte Geschichte

Forum Index > Hardware > Peripherie > Netzwerktechnik

UnleashThebeast

Indigo

TOM

UnleashThebeast

UnleashThebeast

mr.nice.

userohnenamen

UnleashThebeast

userohnenamen

UnleashThebeast

tialk

Viper780

nexus_VI

roscoe

UnleashThebeast