Sophos, Sense oder sonst was für 10 Gbit?

[MarroniJohny]

Hi

Habe mir ein SM Barebone mit 6x 10 Gbit RJ45 Kupfer, 32 GB ECC UDIMM und eine E3 v3 CPU geholt. Dachte ich hau da ESXi 7 drauf, und dort dann eine Firewall Appliance. Früher hatte ich Endian, seit knapp 10 Jahren eine Zywall 110. Mit pfsense hatte ich auch ein bisschen experimentiert, als VPN Gateway. Mit der pfsense komme ich aber nicht so gut klar.

Habe mir die pfsense und Sophos mal wieder auf meinem Server installiert zum testen. Eigentlich tendiere ich zur Sophos, weil die hat ja ziehmlich starke UTM Funktionen. Aber habe da echt Probleme mit der Einrichtung: zum einen konnte ich zwar den Assistenten zur Einrichtung erfolgreich abschliessen, aber kann mich jetzt einfach nicht anmelden. Nehme an, das liegt an dem Zeichensatz (nutze eine CH Tastatur). An der Konsole kann man das Passwort ändern, aber das geht wohl von einer US Tastatur aus. Es hat ein Sonderzeichen im Passwort. Leider muss das Passwort min. 10 Zeichen haben, mit Sonderzeichen und so. Habe da eine Stunde rum gebastelt, und es leider nicht zum laufen gekriegt.

Also habe ich mich im Sophos Support Forum angemeldet. Wenn ich mich da einlogge, kommt immer "Fülle die folgenden Felder aus, bevor Du weitermachen kannst". Da hat es aber keine Felder, nur ein ok Knopf. Habe es auch mit mehreren Browser versucht, das ist irgendwie buggy. Die Website hat btw. noch mehr bugs. Das nimmt mir irgendwie die Lust auf Sophos, wenn es schon so anfängt.

Hat wer eine eigenbau 10 Gbit Firewall, und kann da was dazu empfehlen? UTM Features wären nice2have, aber nicht zwingend nötig. Die Plattform wird wahrscheinlich eh zu schwach sein für allzuviel Gedöhns. GeoIP Filter wären nicht schlecht. Die Zywall hatte ich auch nur quasi als mehrbesseren Router eingesetzt. Bei der Sense vermisse ich irgendwie Wireshark, so auf den ersten Blick.

Bräuchte da mal ein wenig Inspiration. Bislang sind meine Experimente sehr ernüchternd. Am liebsten wäre mir ja wieder eine Zywall gewesen, mit der komme ich ganz gut klar mittlerweile. Aber das gibt es glaube ich nicht mit 10 Gbit, und sonst zu teuer. Kommt eh nicht mehr in Frage, die Teile für die neue Firewall sind schon gekauft.

Gruss und danke

 

[nexus]

An der Konsole kann man das Passwort ändern, aber das geht wohl von einer US Tastatur aus. Es hat ein Sonderzeichen im Passwort. Leider muss das Passwort min. 10 Zeichen haben, mit Sonderzeichen und so.

Bei solchen Problemen nehme ich immer die Sonderzeichen am Ziffernblock der Tastatur (/*-+), dann geht es auch auf der Konsole, unabhängig vom individuellen Tastaturlayout.

 

[MarroniJohny]

Ahja, super. Hat geklappt. Da muss man auch mal drauf kommen. Zum Glück habe ich mir letzthin wieder eine fullsize Tastatur geholt.

Danke.

 

[nexus]

Zum Glück habe ich mir letzthin wieder eine fullsize Tastatur geholt.

Eine weitere Option wäre noch eine virtuelle Tastatur gewesen.

 

[MarroniJohny]

Hi

Dann habe ich noch ein Problem: ich habe ein Management VLAN, wo IPMI, vSAN, der ESXi, Filer und sowas drin sind. Wenn ich die Firewallhardware nun neu starte, ist das Netz ja weg. Sprich ich komme da nicht mal mehr aufs IPMI der FW. Dem Storage vom ESXi dürfte das auch nicht so gefallen. Das ist ein napp-it, was per NFS den Storage an den Host zurück gibt.

Wie löse ich das am besten? Bislang werden alle Adressen per DHCP bezogen, das würde ich auch gerne beibehalten. Einige meinen ja, uhuhuu, geht gar nicht, Server brauchen eine fixe IP. Nach mir Glaubensfrage. Es handelt sich um ca. 50-100 MACs in 3 physischen VLAN, sowie ein paar virtuelle Portgruppen.

Dann weiss ich noch von früheren Experimenten, dass Sophos für den Privatgebrauch höchstens 50 MAC zugelassen waren. Ist diese Restriktion aufgehoben worden? Ich sehe da aktuell nur als Beschränkung, dass höchstens 4 Kerne und 6 GB gehen.

Bei der Sophos vermisse ich wireshark leider auch.

 

[nexus]

Wie löse ich das am besten? Bislang werden alle Adressen per DHCP bezogen, das würde ich auch gerne beibehalten.

Wäre hier ein DHCP Relay eine Option?
So könnten die Geräte im Management VLAN weiterhin DHCP-Adressen beziehen, auch wenn die Firewall neu gestartet wird.
Alternativ statische Adressen einrichten.

Dann weiss ich noch von früheren Experimenten, dass Sophos für den Privatgebrauch höchstens 50 MAC zugelassen waren. Ist diese Restriktion aufgehoben worden?

AFAIK sollte das Limit glaub inzwischen bei 1000 oder sogar 2000 liegen.

 

[MarroniJohny]

Wäre hier ein DHCP Relay eine Option?

Meinst Du einen separaten Router für das management VLAN? Das wäre schon eine Option. Das betreffende VLAN sollte wenn die FW dann läuft aber auch mit 10 Gbit an der FW hängen, damit ich da mit 10 Gbit vom napp-it kopieren kann. Kann ich das auch auf dem ESXi aufsetzen?

Sonst mache ich dann das Modell Holzhammer, und spanne eine IPMI Strippe direkt von der Firewall zu Desktop, mit fixen IPs halt. Ungern, aber was anderes kommt mir nicht in den Sinn.

Ahja, den ESXi würde ich dann gerne getagged mit einer 10 Gbit Strippe direkt an die FW hängen. Im Moment läuft das noch über einen Switch, mit einzelnen 1 Gbit Strippen pro VLAN.

Es wird keinen 10 Gbit Switch geben, alles 10 Gbit mässig wird direkt an der FW gestöpselt. Das wären zwei Desktops in verschiedenen VLANs sowie der Server getagged mit 4 VLANs. Der ganze Rest hängt dann an einem 1 Gbit Switch, so der Plan.

 

[nexus]

Kann ich das auch auf dem ESXi aufsetzen?

Sollte gehen. Du mußt den ESXi dann nur so konfigurieren, daß er als DHCP-Server fungiert.

 

[MarroniJohny]

Ich glaube, ich mach dann die Holzhammer Methode mit der Direktverbindung. Die Firewall starte ich eh nur ein, zwei Mal im Jahr.

 

[nexus]

Ich glaube, ich mach dann die Holzhammer Methode mit der Direktverbindung. Die Firewall starte ich eh nur ein, zwei Mal im Jahr.

Rein aus Neugier...Was spricht denn aus deiner Sicht gegen statische Adressen?

 

[MarroniJohny]

Ist halt super praktisch, wenn man alles schön zentral in der Firewall hat. Wie gesagt, da gehen die Meinungen auseinander. Im Prinzip spielt es ja keinen Rugel. Bei der Zywall kann man halt Adress Objekte erstellen, und die dann z.B. in den Policy Rules oder beim NAT verwenden. Ändert man eine Adresse, kann man alles bequem in der FW konfigurieren. Am Anfang hatte ich auch für alles fixe Adressen, mit Zettelwirtschaft (Seitenweise MAC und IP Adressen). Nun kann ich schnell auf den Gateway schauen, wenn mich eine Adresse interessiert. Hat mir mal ein netter Zyxel Ing. so gezeigt, das habe ich dann so übernommen.

Ist halt eine Lab Umgebung, wo viel neu installiert, probiert und geändert wird.

Früher war ich total der Netzwerk Messie, mit mehreren virtuellen Firewalls / VPN Gateways. Hatte ne Zeit lang zwei Quad NICs in meinem Frankenstein Server. Mittlerweile ist es etwas ruhiger geworden in der Hinsicht, da routet zur Zeit alles die Zywall. Mit der neuen FW will ich dann auch mal ein paar Strippen reduzieren, und getagged auf den ESXi fahren. Habe ich auch noch nie getestet. Dann kann ich die quad NIC auch mal in Rente schicken.

So sieht es aktuell aus, bitte nicht lachen:

 

[nexus]

So sieht es aktuell aus, bitte nicht lachen

Das sieht doch noch ganz vernünftig aus...Ich hab da schon viel schlimmeres an "Kabelsalat" bei manchen Hardcore Nerds gesehen

BTW:
Deine Werte aus dem Speedtest sind schon eine Hausnummer...Ein Ping von 4ms ist echt genial

 

[MarroniJohny]

Deine Werte aus dem Speedtest sind schon eine Hausnummer...Ein Ping von 4ms ist echt genial

Pha, der Bufferbloat ist unterirdisch. Der Provider hat nur einen Vorteil, der ist billig. Genau aus dem Grund baue ich mir jetzt eine Firewall, will zu init7 wechseln. Die haben auch ein super peering in die ganze Welt. Ist zwar teurer. Aber meine Flugsimulator Gäste aus aller Welt werden es mir danken. Wäre zum selben Tarif auch mit garantierten 25/25 möglich, aber das packt die Firewall eh nicht. Wüsste ehrlich gesagt auch nicht, wofür ich das brauchen könnte. Ausserdem wohne ich gleich neben dem pop, höre den Nachts brummen. Bin überzeugt davon, dass der Ping dann endlich mal bisschen besser wird.

btw, schnell geht hier auch über VPN:

 

[MarroniJohny]

Hihi, witzig. Lasttest gibt es dann, wenn die Xeon da ist. Habe noch einen i3 gefunden, und konnte es mal laufen lassen:

 

[MarroniJohny]

pfsense:

Sophos:

Mit der i3-4130T noch. Bin sehr zufrieden mit dem Ergebnis. Und da muss ich nicht lange überlegen, die Sophos wirds. Finde die viel cooler, und schneller ist sie auch.

 

[nexus]

Der Geschwindigkeitsunterschied ist aber schon heftig, die pfsense schluckt ja 2,5GBit

 

[MarroniJohny]

Glaube mit der Xeon kriege ich ohne Probleme 10/10 hin mit dem neuen Provider. Wäre sogar 25/25 möglich, aber davon wurde mir abgeraten.

 

[MarroniJohny]

Hmm, so ganz durchdacht ist das Konzept noch nicht. Wenn die FW nicht läuft komme ich nicht mal auf den ESXi. Sprich, werde um einen Router davor nicht drum herum kommen, so wie im Moment auch. Kann schon die Firewall einfach in den Autostart legen, aber ob man das will? Zumindest für die Fehlersuche wäre es schon förderlich, wenn ich jederzeit auf den Host kommen würde. Da ist das IPMI noch das kleinere Übel.

 

[MarroniJohny]

Werde da wohl das management Netz aufteilen. Einmal nen billo Router ohne Anbindung für IPMI, ESXi Backup Link und sowas. Dann wenn die Firewall läuft halt den Rest mit NFS, bzw. vSAN und den eigentlichen vmkerneln. Was anderes fällt mir dazu nicht ein. Weil auf einen 10 Gbit Router vor der FW hab ich gar keinen Bock.

 

[MarroniJohny]

Heute ist die Xeon gekommen. Mit dem ganzen UTM Gedöhns geht da durch, was die Leitung her gibt, so wie ich das einschätze.

Ich kann sogar die einzelnen Netzwerk Ports durchreichen, obwohl die hinter einem PLX Chip hängen. Mir hat mal einer geschrieben, dass das nicht geht.