deleted5875454
Bloody Newbie
|
Servus! Ich zieh demnächst um, und plane bereits den dortigen Netzwerk ausbau. Im Abstellkammerl befindet sich ein 19" 12HE Wandgehäuse, dementsprechend will ich 19" only. Ich stecke gerade in einer Zwickmühle und kann mich nicht so recht entscheiden. Internet wird vermutlich von UPC 100/10 Mbit - welches ich komplett über Openvpn tunneln möchte - dementsprechend brauch ich eine brauchbare HW die performancetechnisch mithaltet - momentan ist ein Asus AC66u im einsatz, welcher bei Gott zu langsam ist. Bereits vorhanden: Dell T20 mit Xeon E3 + zusätzliche HP Dual Gbit NIC (zurzeit als nas mit Xpenology, wird umgebaut zu 19" -> http://geizhals.at/fantec-src-2080x...73.html?hloc=at) Mikrotik wAP AC Access Point Im Prinzip bin ich momentan bei 2 Varianten: [1]: Dell T20 mit ESXI, pfsense und xpenology virtualisieren(HW Passthrough) Nachteil: Rennt immer, im idle ca. 30W (ohne HDD) [2]: Günstiges 1U Case, HW für pfsense Hab hier aber eine Kopftechnische Hürde bezüglich Stromverbrauch, und der Hardware. Ein J1900 ist mir fast zu alt, ein Atom C fast zu teuer Leistungstechnisch bin ich mir ebenfalls nicht sicher, wie das ganze in Verbindung mit Squid bzw pfBlockerNG aussieht, wieviel Leistung die brauchen. Ebenfalls gibts ja ein sehr breites Spektrum an pfsense Hardware, nur das richtige für den Zweck zu finden, v.a. preislich - ich bekomme da irgendwie keine Übersicht. Jemand ein paar Tips? tia.
|
spunz
Super ModeratorSuper Moderator
|
|
davebastard
Vinyl-Sammler
|
firewall virtualisiert würd ich nicht wollen. zuviele fehlerquellen imho.
aber das ist halt auch eine glaubensfrage. ich fänds halt superzach finden wenn der esxi irgendwas hat und ich deswegen kein internet hab. da ist mir irgend eine für fws gedachte x86-hardwarelösung die nur firewall macht lieber. möglichst ohne lüfter und stromsparend usw.
aber ich bin da nicht auf dem neuesten stand welche hw konkret. würd in pfsense foren oder so schauen.
edit: genau sowas wie von spunz gepostet mein ich
Bearbeitet von davebastard am 04.02.2017, 11:50
|
userohnenamen
leider kein name
|
|
userohnenamen
leider kein name
|
|
deleted5875454
Bloody Newbie
|
Je mehr ich mir das ganze so anschaue, is gleich die Frage, ob ich nicht ein wenig mehr Geld in die Hand nehme, und mir dann nen kleinen HP Server gönne. http://geizhals.eu/hp-proliant-dl20...1-a1561297.htmlmit G4400 + 4GB Ram um ~440€, ssd rein und fertig. Mit Mobo+Case+Ram bin ich da nicht mehr viel günstiger. Die Frage die sich in dem Fall eher stellt, ist der Stromverbrauch, kA warum sowas nicht angegeben wird. @UON bez. Atom wärs "wurscht" lt. pfsense tritt der Fall erst auf, bei hoher avg load - wirst aber eh selbst auch schon gelesen haben.
|
spunz
Super ModeratorSuper Moderator
|
Ist halt lauter und braucht deutlich mehr Strom. Dafür hast du halt ein gut abgestimmtes System + iLO.
|
Master99
verträumter realist
|
wir reden schon noch von einer firewall/router oder? a bit oversized + ilo bringt dir da wohl auch wenig wenns dein einziger router ist oder? 
|
davebastard
Vinyl-Sammler
|
normal würde ich ja eine apu2c4 vorschlagen
http://varia-store.com/Hardware/PC-...use::28815.html
aber ich denke wenn du die volle leitung raustunneln willst wird das board dafür zu schwach sein denk ich eigentlich nicht... vielleicht gibts wo benchmarks dazu ? da gehts um 10 mbit das sollt imho ohne probleme gehen... edit: ah ok jetzt check ich warum wir da aneinander vorbeireden: du meinst eine vpn verbindung wo die FW der client ist (z.B. AirVPN) da wärs 100mbit und da würds wohl laut dem reddit post wirklich limitieren weil openvpn single threaded ist: [...]In terms of OpenVPN performance, here’re observations; - using AirVPN as the provider, the max VPN throughput I can get is around 50 Mbits and this limit is set by the APU2 board. I measured this performance using file transfer. While peaking out 50 Mbits I connected to the firewall (using ssh) and ran the ‘top’ command, which clearly showed one core maxed out at 90+% utilisation and the other three cores idling. This is consistent with OpenVPN not being multithreaded and only running in a single core.[...] https://www.reddit.com/r/PFSENSE/co...es_box/d2pj725/ich hingegen hab mich auf ein roadwarrior VPN bezogen. also z.B. um von der firma aus daheim zuzugreifen. das geht ohne probleme weil der upload ja nur 10mbit ist
Bearbeitet von davebastard am 11.02.2017, 15:00
|
userohnenamen
leider kein name
|
Genau, zumindest ich versteh die Anforderung so das er sämtlichen Traffic ausgehend raustunneln will und da ist mit der apu bei 50-60 Mbit Schluss
|
deleted5875454
Bloody Newbie
|
Bingo! Mit VPN und pfBlockerNG erhoff ich mir einfach mehr anonymität. Rein Interessehalber, worin besteht, abgesehen davon das der Server immer rennen muss, der Nachteil von einer Firewall im ESXI? Gerade bei passthrough bekommt der ESXI host ja gar nicht mit, was dort passiert, oder? wir reden schon noch von einer firewall/router oder?
a bit oversized + ilo bringt dir da wohl auch wenig wenns dein einziger router ist oder? Preisunterschied ist gering - "richtiges" Paket das zusammenpasst + 2x Gbit Intel nic. Ilo is natürlich wurscht.
|
spunz
Super ModeratorSuper Moderator
|
Mit Passthrougth gibst du der VM direkten Zugriff auf die Host Hardware => keine gute Idee.
|
deleted5875454
Bloody Newbie
|
Mit Passthrougth gibst du der VM direkten Zugriff auf die Host Hardware => keine gute Idee. vl. stell ich mich gerade etwas dumm an, aber fürs Verständnis - bei passthrough hat der esxi ja nix mehr mit der nic zu tun - wie wenn ich einfach direkt pfsense auf der HW installieren würde - ergo gleich sicher - es besteht ja nur der zugriff, auf die HW die ich weitergebe? (2 NICs)
|
spunz
Super ModeratorSuper Moderator
|
Schlussendlich hast du dann im Gast die Möglichkeit allerlei Dinge anzustellen. Auszug aus der ESX Doku: Using the VMware DirectPath I/O feature to pass through a PCI or PCIe device to a virtual machine results in a potential security vulnerability. The vulnerability can be triggered by buggy or malicious code, such as a device driver, running in privileged mode in the guest OS. Industry-standard hardware and firmware does not currently have sufficient error containment support to make it possible for ESXi to fully close the vulnerability. VMware recommends that you use PCI or PCIe passthrough to a virtual machine only if the virtual machine is owned and administered by a trusted entity. You must be sure that this entity does not to attempt to crash or exploit the host from the virtual machine.
|
Master99
verträumter realist
|
|
Anmeldung