Barebone für Firewall-Spielwiese

[Joe Dalton]

Hallo zusammen,

ich suche gerade nach einer sparsamen Plattform in Form eines Barebones für div. Firewall-Systeme und lande letztlich immer bei recht teueren Spielwiesen. Neben den VMs für die Firewalls sollte auch noch Platz für einen kleinen DC oder ähnliches auf der Kiste sein.

Bei der Suche im Netz gibt es inzwischen recht gut verfügbar Barebones mit dem Celeron 3865U und 6 Intel-NICs. Hat hier jemand mit denen schon mal rumgespielt und Erfahrungen gesammelt?

Meine Anforderungen an das Teil wären:
- mind. 4 NICs (vorzugsweise Intel)
- mind. 2 Cores und AES-Unterstützung
- 1x SATA-Anschluss (Recycling einer alten SSD als Datastore)
- Booten von USB oder SD-Karte
- ESXi-tauglich (Version 6.0 oder neuer)
- Durchsatz im Bereich 100 bis 1000 MBit/s wäre schön, mehr muss nicht sein
- leise

Eigentlich hätte ich gerne einen Quadcore-CPU, aber das wird dann deutlich teurer (>500 EUR).



Bzw. was nutzt ihr als stromsparende und leise Alternative? NUC mit USB-NICs?


Vielen Dank,
Christian

 

[Sparta8]

Kannst dir mal das apu4b4 von PC Engines anschauen. Ich glaub aber, dass die CPU zu wenig Power für Virtualisierung hat. https://www.pcengines.ch/apu4b4.htm

 

[Joe Dalton]

Ich würde eine aktuelle Plattform schon bevorzugen. Abgesehen davon dürfte ein ESXi auf dem Teil wahrscheinlich nicht laufen.

Trotzdem Danke für den Hinweis!

 

[deveth0]

Brauchst du wirklich 4 nics? Reichen da nicht zwei (intern und extern) und den Rest dann über virtuelle nics mit ggf vlan?

 

[nebulus]

4 Nics und ESXi, das bekommt man nicht für wenig Geld.

Ich würde für ein Firewall Project den ESX weg lassen, dann wird es wieder bezahlbar und Stromsparsamer.

Der
Banana Pi R2 Router Board
bietet dann alles was Du willst.

 

[Joe Dalton]

Es geht hier nicht darum, dass ich eine Firewall haben will. Vielmehr möchte ich bestimmte Firewalls in VMs betreiben, um damit bestimmte Dinge ausprobieren zu können.

Mit 2 NICs könnte ich zur Not auch leben, aber 4 würden mir das Leben etwas leichter machen.

 

[snaxilian]

Wozu so viele NICs? Arbeite mit vSwitchen und Portgroups im ESXi, dann mehr als ausreichend viele vNICs anlegen für deine VMs.
Wenn es nur zum testen ist: Warum nicht einfach auf bestehendem PC mit Virtualbox o.ä. laufen lassen? ESXi kompatible Hardware ist nun einmal nicht für den Heimgebrauch gedacht und dann wird da eben weniger auf Stromverbrauch geachtet
Wenn du einen VLAN-fähigen Switch hast tut es übrigens auch ein beliebiger NUC mit einer NIC.

 

[Joe Dalton]

Das mache ich bereits auf meine aktuellen "Spielwiese": HPE ML310e.
Dort, wo ich das Teil laufen lassen muss, ist der ML310 etwas zu laut und braucht auf Dauer etwas viel Strom.

VLANs wären nicht das Problem, trotzdem sträubt sich bei mir alles, wenn ich daran denke, LAN/WAN/DMZ über ein phys. Interface zu jagen. Zumal es ja diese netten kleinen Kisten mit 6 Ports gibt. Zumal die Systeme nicht nur kurz für einen PoC genutzt werden sollen, sondern die (private) Nutzung der Betrieb ist.

 

[deveth0]

Da LAN, Wan, dmz, whatever später eh über eine Kiste laufen, ist die einzelne nic dein geringste Problem, v.a.wenn du das richtig mit vlans trennst.

Ansonsten tut es doch eigentlich jede Hardware, die über kvm passende vms laufen lassen kann, also zb auch eine nuc mit proxmox.

 

[snaxilian]

Naja aber dauerhaft migriert man ja eher selten andauernd von einer auf die andere FW sondern nutzt die eine gefundene dann längerfristig. Aber wenn du Bedenken hast nur VLANs zu nutzen aber willst gleichzeitig virtuelle Firewall nutzen? Anstatt einer Fehlkonfiguration bei den Portgroups & vSwitchen kann es so genauso ein Fehler im Hypervisor sein. Muss ja nicht mal direkt der ESXi sein, Rowhammer war ja ein "generelles" Problem und wer weiß was noch alles mit Spectre und Meltdown kommt...
Es gibt afaik auch Barebones von Shuttle mit 2 Intel NICs und passender CPU.

 

[Joe Dalton]

Bevor hier die Diskussion vollends abdrifted: Ich beschäftige mich beruflich mit Netzwerken und habe gelegentlich mit div. Firewalls zu tun (Sophos UTM, irgendwann mal XG, Fortinet Fortigate, Cisco ASA...) und möchte für zu Hause eine Spielwiese haben, wo ich die nicht nur in einer kurzen Projektphase sehe, sondern auch mal mit den üblichen Problemen des Alltags "belaste" und bei denen es sh... egal ist, ob sie ein anstehendes Softwareupdate schadlos überstehen.

Und entgegen allen Ratschlägen, die ich meinen zahlenden Kunden gebe, werden diese Firewalls a) virtuell, b) im Cluster auf der gleichen Hardware und c) parallel betrieben (soweit sich das Lizenztechnisch sauber machen lässt). Ja, dafür reicht mir theoretisch eine NIC aus, zwei wären ok, aber mehr schaden nicht. Es stehen auch kleine VLAN-fähige L2-/L3-Switches entsprechend zur Verfügung.

Aber Kern meiner Frage war, ob ein kleiner Celeron 3865U soetwas packen könnte oder es dafür schnellere CPUs braucht. So gibt z.B. Sophos für die SG125v3 als verwendete CPU einen C3508 an, der für Durchsätze um 1 Gbit/s sorgt (laut Datenblatt). Rein von den technischen Daten dürfte ein 3865U das nicht packen, zumal wenn noch ein Hypervisor darauf läuft.

 

[deveth0]

Kommt ja immer drauf an, was die Firewall noch alles machen soll.
Wenn du da mit DPI oder Intrusion anfängst, dann brauchst du natürlich mehr Hardware als nur für Firewall/Routing.
Das oben mal vorgeschlagene Board mit embedded CPU ist wesentlich langsamer als der Celeron, reicht aber zb gut für 1gbit mit ipfire aus.
Ganz auf der sicheren Seite wärst du aber mit einem aktuellen Board mit i3-8100, wäre dann zwar kein barebone, aber du kannst was mit 2 Intel nic nehmen und ggf noch 1-2 über pcie nachstecken wenn du es wirklich benötigst.

 

[Joe Dalton]

Da reine Paketfilter heute nicht mehr spannend sind, wird schon ein wenig Leistung verlangt. Deswegen auch die Suche nach Erfahrungen mit den Mini-CPUS.

Natürlich kann ich z.B. ein Shuttle XH270/DH270 bzw. SH370R6 nehmen und erweitern. Allerdings bewege ich mich dann auch wieder Richtung 400.- EUR aufwärts (abhängig von CPU-/RAM-Ausbau). Ein Barebone mit i3 7100U liegt auch bei knapp 500.- EUR.

 

[deveth0]

Naja muss es den wirklich ein barebone sein? Wenn nein, dann kommst du mit einem Asrock H370 mit 2x Intel, einem 8100er, 16gb ram, 256gb ssd und Netzteil auf knapp 450€. Da bleibt dann noch etwas Geld für Gehäuse über und gut ist die Sache.
Bei Bedarf dann noch eine Intel pcie nic dazu und fertig.

 

[Joe Dalton]

Grundsätzlich spricht auch nichts gegen einen "normalen" Aufbau, allerdings würde ich es bevorzugen, wenn das Gehäuse sich größtentechnisch mit einem kleinen Schuhkarton messen lassen würde. :-D

Werde mal schauen, was in den selbst zusammenbauen lässt.

 

[h00bi]

was spricht denn gegen ITX? Die 4er NIC notfalls per PCIe Riser.

 

[Joe Dalton]

Grundsätzlich nichts:
1 Intel Core i3-8100, 4x 3.60GHz, boxed (BX80684I38100)
1 Crucial Ballistix Sport LT grau DIMM Kit 16GB, DDR4-2400, CL16-16-16 (BLS2C8G4D240FSB)
1 ASRock H370M-ITX/ac (90-MXB6R0-A0UAYZ)
1 Intel I350-T4, 4x RJ-45, PCIe 2.0 x4, retail (I350T4)
1 SilverStone Sugo SG13B-Q schwarz, Mini-ITX (SST-SG13B-Q)
1 be quiet! System Power B9 300W ATX 2.4 (BN206)