Rechner für Heimfirewall

iceview

Lieutenant
Dabei seit
Jan. 2008
Beiträge
626
#1
Hallo zusammen,

aus den folgenden Komponenten würde ich gerne einen kleinen Rechner für eine Sophos UTM zusammenstellen.
Es sollte vom Sizing eigentlich an einem 100Mbit VDSL keine Probleme geben (ca. 15 IP Adressen im Netz).

Anwendungen: VoiP, Surfen, Mailen, IPTV, Netflix, Prime Video

Das Gerät sollte möglichst leise und stromsparend sein.

Ich habe mich für einen mATX entschieden, da ich dort mehr Erweiterungsoptionen habe als bei Mini ITX. Gerade wenn man mehr als 3 NIC haben möchte wird es schon schwer.

Habt ihr noch Verbesserungen für mich? Oder Ideen?


Netzteil

RAM

CPU

Board

Gehäuse

HDD

Netzwerk
 

Skynet7

Lt. Junior Grade
Dabei seit
Jan. 2010
Beiträge
401
#2

iceview

Lieutenant
Ersteller dieses Themas
Dabei seit
Jan. 2008
Beiträge
626
#3
Danke für den Hinweis.

Da reicht nur die Dimensionierung der CPU nicht aus. Das Board entspricht in etwa einer UTM SG 105 bis SG 115.
Für Streaming und aktivierte Firewall und Intrusion Protection Services ist das zu wenig.

Wir haben auf der Arbeit eine SG 230, die hat etwa vergleichbare Werte wie die von mir verlinkten Sachen. Damit geht das alles schon ganz gut.

Was ist an der Netzwerkkarte nicht okay? Ein Realtek Chipsatz der auch von Sophos auf der HCL steht.
 

smart-

Lieutenant
Dabei seit
Nov. 2017
Beiträge
690
#4
Was kostet der Spaß insgesamt?
Bei deinen Anwendungsbeispielen ehrlich gesagt eher ein Notebook...
Was willst mit einer Sophos und den Anwendungen. Macht keinen Sinn.
 

iceview

Lieutenant
Ersteller dieses Themas
Dabei seit
Jan. 2008
Beiträge
626
#5
Kosten ca. 300€. Die UTM Home Edition gibt es ja kostenfrei.

Was will ich damit? :)
Mein Netzwerk absichern und reglementieren, was rein und was raus darf.

Ich glaube ein Notebook ist da nicht zielführend. Ich will ja mehr als zwei Netze managen. Dafür brauche ich ja bereits 3 Netzwerkkarten...
 

smart-

Lieutenant
Dabei seit
Nov. 2017
Beiträge
690
#6
Sorry wenn ich dir das so hart sage. Wenn es jemand auf dich abgesehen hat, kommt er sowieso rein.
Für den normalen Anwender ist das völlig sinnlos was du da vor hast.
Weckt eher noch den Reiz bei Leuten, sich in dein Netzwerk einzuloggen...
Bei den Anwendungen die du angegeben hast, sehe ich auch keine Probleme.
Mehrere Netze macht auch 0 Sinn.
Ich gebe dir mal einen Tipp: Wenn du wirklich was absichern willst, hänge es nicht ans Netz. :freak:
 

Skynet7

Lt. Junior Grade
Dabei seit
Jan. 2010
Beiträge
401
#8
Danke für den Hinweis.
Da reicht nur die Dimensionierung der CPU nicht aus. Das Board entspricht in etwa einer UTM SG 105 bis SG 115.
Für Streaming und aktivierte Firewall und Intrusion Protection Services ist das zu wenig.
Dann scheint deren System entweder etwas ineffizient zu laufen oder wurde vorsorglich für VPN vorbereitet. Denn ich habe hier mehr Services laufen wie du vor hast, nur eben bei einer 16k Leitung und eben ohne VPN bei Average CPU last von unter 5% bei voll ausgelasteter Leitung. Btw. ich habe dieses Board.

Intel Karten sind im Serverbereich die am meisten akzeptierten, mit den besten und vor allem überall out of the box vorhandenen Treibern... Und auch die IOPS ist bei geringster CPU Last in der Branche am höchsten. Habe vor Jahren mal nen Die Shot vergleich zwischen Intel Chip und Realtek Chip gesehen, ab da war mir klar warum Intel Karten so eigenständig ihre Arbeit verrichten und der Krabbenchip jeden Scheiss von der CPU erledigt haben will ;)

PS: Wenn es unbedingt Boardbedingt ein Steckbarer NIC sein muss, dann kauf dir lieber eine gebrauchte Pro 1000
 
Zuletzt bearbeitet:

iceview

Lieutenant
Ersteller dieses Themas
Dabei seit
Jan. 2008
Beiträge
626
#9
@smart-
Sorry... aber ich glaube du unterschätzt die Anwendung und auch das gewählte Produkt. Klar kein System ist unfehlbar, aber die Sophos UTM hat schon eine Menge guter sicherheitsrelevanter Features. Das ist überhaupt kein Vergleich zu den Heimnetzroutern.

@Uridium
Ja, nur möchte ich ja eine bestimmte Anwendung installieren bzw. die komplette Appliance eines Anbieters. Ich wollte nicht im Linux jede Regel als IP Table selber schreiben ;)

@Skynet7
Danke für den Hinweis mit den gebrauchten Intel Karten. Das stimmt ich hab da ähnliche Erfahrungen gemacht. Beruflich setzen wir in unseren Server Systemen (meist Dell VRTX oder FX) daher auch nur Intel Karten ein.

Die Performance ist laut Sophos hauptsächlich von zwei Dingen abhängig: Der Bandbreite gerade ab 50Mbit/s wird zu einer CPU mit mehr als 2 GHz geraten und mind. 4 GB RAM. Zum anderen wohl von der Anzahl der IPS Regeln (Anzahl und Alter der zu berücksichtigenden Regelwerke).
VPN also IPSec oder SSL Verbindungen können auch die "kleinen" Modelle ja bereits gut verkraften. Wir haben auf einer SG 125 alleine 15 Tunnel laufen (IPSec) ohne Performanceverluste.

Back to topic:

Sinn oder Unsinn außen vorgelassen. Kann man denn generell ein solches System 24/7 laufen lassen?
 

Skynet7

Lt. Junior Grade
Dabei seit
Jan. 2010
Beiträge
401
#10
Sinn oder Unsinn außen vorgelassen. Kann man denn generell ein solches System 24/7 laufen lassen?
Ich gehe davon aus das die frage auf die Hardware bezogen ist.
Ja, die Komponenten sind bezogen auf Preis/Leistung bis auf das Netzteil ganz gut, das gefällt mir überhaupt nicht. Hier würde ich dir eher zu einem passiven PicoPSU raten. Das arbeitet Effizienter, passt von der Leistungsabgabe her besser und ist 100% Wartungsfrei. Was man von dem Lauten und Überdiemensionierten Chieftec Netzteil nicht gerade behaupten kann. Einziger nachteil, du hast dann bei dem Gehäuse hinten beim Netzteil ein loch, da das PicoPSU direkt auf den 24PIN anschluss am Mainboard gesteckt wird.
 

smart-

Lieutenant
Dabei seit
Nov. 2017
Beiträge
690
#11
Zufällig ist das mein Beruf. Ich kenne daher auch die Sophos ganz gut. Letztlich ist da (wie überall) die größte schwäche der Mensch. Wenn du dir zutraust das so zu konfigurieren, dass es möglichst sicher ist, kann und will ich dich nicht daran hindern. Generell ist das schon sehr mächtig und natürlich viel mehr möglich als mit Standard-Software, aber genau das ist auch wieder ein Schwachpunkt.
Ich kann dir aus Erfahrung mit Kunden sagen, dass die meistens mit solch selbst gebastelten Netzen am Ende weniger sicher da stehen, als wenn sie ein normales Setup wählen. Wenn jemand gezielt dein Netz infiltriert, bringt dir Sophos auch recht wenig. Für alles andere reicht normale Software.
Zumal es ganz einfache und gute Möglichkeiten gibt seine Daten zu schützen, weswegen man da den Fokus drauf legen sollte.
 

Skynet7

Lt. Junior Grade
Dabei seit
Jan. 2010
Beiträge
401
#12
Achja, ganz vergessen...
Das Gehäuse steht doch bei dir eh im Serverraum, Abstellkammer oder im 19" Rack neben dem anderen IT kram?
Dann kannst du auch hier ein paar Kröten sparen und ein Zalman Case nehmen. Für das geld sind die teile unschlagbar!
 

iceview

Lieutenant
Ersteller dieses Themas
Dabei seit
Jan. 2008
Beiträge
626
#13
@smart-

Da gebe ich dir 100% recht... ich bin da auch beruflich bedingt ganz gut mit vertraut, deswegen sollte das zumindest passen. Ansonsten ist es meine eigene Dummheit ;)

@ Skynet7:

Was für ein Netzteil würdest Du nehmen? Hast du einen konkreten Vorschlag?

Nein, das Ding wird im Wohnzimmer untergebracht. Hinter dem Subwoofer des Heimkinos sieht man es nicht wirklich und es ist eine der "toten Ecken" in der Wohnung. Leider hab ich von der Kabellage keine andere Option. Deswegen ist jeder Lüfter weniger... auch beim Netzteil... gewünscht. Der CPU Lüfter wird im Gehäuse nicht zu hören sein...
 

Skynet7

Lt. Junior Grade
Dabei seit
Jan. 2010
Beiträge
401
#14
Ja die Intel Boxed kühler sind im idle ganz ok, und da wird sich die CPU ja auch zu 99% aufhalten.

Ich habe glaube ich die Originale 120W 24PIN Variante mit separaten 192W Tischnetzteil/Notebook-Netzteil von einem anderen Rechner abgezogen. Ist bissel Overkill. Hier würde auch die 90W variante gehen. Einfach mal bei Ebay nach "picopsu" suchen. Dort gibt es zwar auch viele Nachbauten, aber die sind sofern du mit der Hardware nicht Mining betreibst auch ihr Geld wert. Habe schliesslich einen PicoPSU nachbau in einem anderen ITX system seit über 6 Jahren ohne Probleme in betrieb.
 
Zuletzt bearbeitet:

Skynet7

Lt. Junior Grade
Dabei seit
Jan. 2010
Beiträge
401
#16
Jap, das ist sogar das Originale
Ergänzung ()

Und hey, Das PicoPSU ist zwar mehr als doppelt so Teuer wie das Chieftec. Hat aber auch um die 96% Effizienz!
Deine Firewall läuft 24/7. Das Netzteil kann sich so in 10-15 Jahren schnell mal durch Stromsparen ggü dem Chieftec armotisieren.

War auch der Grund warum ich mir für meinen Hauptrechner ein Ultra Titanium gegönnt habe. Bei Aktuellen Killowattpreisen wird sich das nach vorher nachher Messungen exakt in 9,5 Jahren Armotisieren. Und da sind noch nicht mal steigende Strompreise mit einberechnet.
 

iceview

Lieutenant
Ersteller dieses Themas
Dabei seit
Jan. 2008
Beiträge
626
#17
Danke für den Hinweis, ich glaube das kann ich beim Kauf allerdings eher nach hinten stellen ;)

Was schätzt Du denn braucht so ein System an Leistung?

- Celeron G3900 hat glaube ich eine TDP von Max 51W
- 1x SSD
- 4x NIC
- CPU Kühler

Das sollte doch mit 90W eigentlich hinkommen oder?
 
Top