Die perfekte pfSense Firewall / Router für Fiber7
Die Anforderungen
Wer zu den glücklichen gehört und über einen der begehrten Gigabit Internet Zugänge von Fiber 7 verfügt, der wird irgendwann realisieren, dass man gar kein Gigabit aus der Leitung bekommt, wenn man wenn man den Speedtest Init 7 aufruft. Dabei kann der Flaschenhals nicht nur das “schnelle” 802.11ac WLAN sein (bei 600 MBit/s ist Schluss), sondern auch der Router bzw. die Firewall den man bei sich zu Hause im Einsatz hat. Wenn man nicht nur Pakete von einem Interface zum nächsten schieben will, sondern auch ein paar Firewalling Features benutzen möchte, braucht neben guten Interfaces auch über entsprechende Rechenleistung um tatsächlich Gigabit Durchsatz zu erreichen.
Die guten alten Soekris bzw. Alix Boards eigneten sich hervorragend für einen Kabel- oder DSL Anschluss. Sie hatten keinen störenden Lüfter und wenn man eine Compact Flash Karte verwendet hat, hatte man auch keine Festplatte die kaputt gehen konnte. f
Für Gigabit Glasfaser sind jedoch diese Boards zu langsam. Selbst das neue PC Engines APU2 Board bringt keinen Gigabit Durchsatz mit pfSense.
Also muss etwas neues her, welches die gestiegenen Anforderungen erfüllt. Allerdings ist die Suche nicht gerade einfach, da man für eine Firewall zu Hause doch ein paar spezielle Anforderungen hat:
- Genügend Rechenleistung
- Kein Lüfter (lautlos)
- Für 24/7 Betrieb geeignet
- 2x Intel Gigabit Interfaces
- SSD (lautlos)
Die Hardware
Nach intensiver Suche, bin ich mit dem DS57U3 von Shuttle fündig geworden:
- Intel Core i3 CPU
- mSATA Slot
- 2.5″ SATA Disk Slot
- 2x Intel Interfaces, igb & em
- Metall Gehäuse
- Für 24/7 Betrieb geeignet
Dieser Barebone wird mit einer fest verlöteten Intel Core i3 CPU geliefert, jedoch ohne Memory und SSD bzw. Festplatte. Ich habe mich entschieden, den Barebone mit 4 GB auszubauen, da dies für pfSense vollkommen ausreichend ist. Auch die 30 GB mSATA SSD ist für diesen Anwendungsfall völlig ausreichend.
Einkaufliste
Mit folgender Hardware habe ich meine Firewall aufgebaut:
- Mediakonverter TP-Link MC220L, inkl. SFP & Patchkabel (Init7 / Fiber7)
- Shuttle Barebone DS57U3 (Brack)
- Kingston 4 GB DDR3 Memory (Brack)
- Kingston 30 GB mSATA SSD (Brack)
Noch ein Vorschlag für eine leistungsstärkere Variante für zusätzliche UTM-Dienste (IPS/Proxy’s), mehr Anschlussmöglichkeiten und den dickeren Geldbeutel…
Gehäuse Mini-ITX: Chieftec BT-02B-U3
Netzteil SFX: Corsair SF450
Lüfter: Noctua NF-A8
Lüfter: 2x Noctua NF-A6x25 PWM
Mainboard: Supermicro X10SDV-8C-TLN4F+ (Xeon-D, 8-Core)
Arbeitsspeicher: 2x 16/32GB DDR4-2133/2400 ECC-Registered
SSD: Intel DC S3710 200GB/400GB oder Samsung SM863 480GB
NIC: Silicom PE2G6SFPI35 (Hexaport) oder PE2G4SFPI35L (Quadport)
Transceiver SFP BiDi: Flexoptix S.B1312.10.XDL (1490&1550)
Transceiver SFP+ BiDi: Flexoptix P.B1696.20.DA
Das Ganze ist nicht getestet in dieser Konfiguration und das mit dem 10GbE ist noch reine Spekulation da noch kein Angebot verfügbar ist.
Aber über ein 10Gbase-SR Modul kann intern 10 Gigabit verwendet werden. Da auch SFP 1000Base-T Module verfügbar sind, können die restlichen SFP Ports weitere Anschlüsse bereitstellen, wenn die zwei integrierten zuwenig sind.
Alternativ lohnt es sich das Supermicro SuperServer E300-8D System anzuschauen. Mit einer SFP NIC und M.2 SSD (DC S3500, 340GB) sieht dies auch ganz nett aus, ausser die 40mm Lüfter sollten durch Noctua Modelle ersetzt werden wegen des Lärms, stelle ich mir zumindest vor.
Welche Speed-Resultate werden erreicht mit dem Shuttle Barebone DS57U3?
Gigabit erreicht man locker (wire speed).
Super, besten Dank. Gekauft 😉
Endlich mal eine klare Aussage betr. der HW-Anferderung. Du bringst wirklich 1GB durch die Leitung?
Ein Test mit einem Shuttle DS6100 mit i7 (etwa 2-3 Jahre alt) war bei 870MBit Feierabend.
LG Gerry
Hoi Gerry,
Ja, man bekommt Gigabit durch. Die CPU ist dabei nicht mal zu 100% ausgelastet.
Gruss, Ihsan
Danke und Gruss
Gerry
Läuft IPv6 mit dieser Konfiguration?
Gleich noch eine Frage: hast du bei der Evaluation dieses Gerät auch angeschaut: http://boeser.ch/pfsense.html ? Wenn ja, warum hast du es verworfen, nicht leistungsfähig genug? Vielen Dank!
Ja, IPv6 läuft mit dieser Konfiguration einwandfrei.
Dieses spezifische Modell hatte ich nicht angeschaut gehabt. Freund von mir hat eine andere pfSense Appliance im Einsatz. Performance mässig liefert die ebenfalls Gigabit, ich hatte mich jedoch dagegen entschieden, da sie mit der Lieferung teurer war als die Lösung von Shuttle.
Kleine Frage, die Fritzbox welches von Fiber7 unterstützt wird, kommt die auch auf 1gbit??
Ich habe diese FritzBox leider noch nie in den Händen gehabt und kann leider nichts dazu sagen. Vielleicht kann dir die Init7 mehr dazu sagen.
Salut
Ich habe auch Fiber7. Hast du es geschafft eine statische ipv6 Adresse einzurichten? Wenn ja, wie sind deine Parameter (SLAC oder DHCPv6, Prefix etc.)
Danke für deine Hilfe und Gruess
Boris
Ja, IPv6 läuft ebenfalls einwandfrei.
Auf der WAN Seite: DHCPv6
Auf der LAN Seite: Track Interface
Hallo Ishan
Dank deinem Beitrag befasse ich mich nun mit einem Ersatz meines bisherigen Opnsense Routers (APU2 Board). Von Shuttle gibt es ja inzwischen einige nette Nachfolger deines Vorschlages (http://www.shuttle.eu/de/produkte/slim/ds77u/).
Ich hätte ein paar Fragen zu deinem Setup, ev. kannst du mir da kurz weiterhelfen 🙂
1) Wie hast du es konfiguriert, dass du den Shuttle ohne Monitor betreiben kannst? Scheinbar gibt es da ja Probleme wie ich im Internet gelesen habe…
2) Der neue Shuttle hat auch wieder zwei Intel Netzwerkkarten (so wie deiner vermutlich auch). Kann ich davon ausgehen, dass die standardmässig VLAN unterstützen? Ich meine, bei Intel generell? (Im neuen ist ein Intel i211 und ein Intel i219LM PHY eingebaut)
3) Hast du den Router immer noch in Gebrauch? Wie sind deine Erfahrungen?
Und letzte Frage: Du hast PFSense installiert. Das ganze sollte auch mit OpnSense funktionieren, oder?
Vielen Dank für deine Hilfe 🙂
Viele Grüsse
Abi
Hallo Abi,
Ich hatte damals pfSense benutzt gehabt. Die Intel Interfaces in meinem Gerät unterstützten von Haus aus VLAN Tagging.
OpnSense kenne ich nicht und kann deshalb nicht sagen, ob das so auch funktionieren würde. Da es ein Fork ist, gehe ich davon aus, dass es ebenfalls funktioniert.
Ich habe das Setup seit über 2.5 Jahren so nicht mehr im Einsatz, da ich auf eine FortiGate 61E umgestiegen bin. Siehe https://blog.dogan.ch/2017/10/28/fiber7-mit-einer-fortigate-next-generation-firewall/ .