:strip_icc():strip_exif()/u/67189/rawr-avatar.jpg?f=community){kind=avatar}
Hieronder een product beschrijving en benchmark pfSense op een Lanner Inc. FW7535 firewall Platform.
In het kort: Goed apparaat, Slecht documentatie, Prima Performance, Prijzig.
Zoals altijd is het een eindeloos drama om performance gegevens van network producten te vinden. Los van de CPU zijn de gebruikte netwerk kaarten ook vaak van invloed. De goedkope Realtek kaarten zijn vaak een goede connectiviteits oplossing, echter bij hoge netwerk belasting wordt het systeem dan belaagd met een interrupt storm.
In dit geval was de noodzaak voor een snellere router nodig om een IPsec tunnel van een branch office van het kantoor te versnellen. We gebruiken daar nu een PCengines Alix 2C3, op zich een prima kastje en bijzonder betrouwbaar, ook de nat doorvoer met 70mbit was wel prima. Alleen met een IPsec tunnel laat de AMD Geode op 500Mhz zich toch wel kennen. Dit uit zich in een meest gunstige snelheid van circa 10mbit zolang als het maar een enkele verbinding betreft.
Een kleine zoektocht later was toch al snel de keuze op iets meer CPU power gevallen. De Intel Atom processoren zijn de meest voordehand liggende keuze. Veel sneller als een AMD Geode 500Mhz, maar toch een redelijk normaal energie verbruik zonder meteen door te schieten naar een full blown desktop.
Nou zijn er inmiddels een aanzienlijke hoeveelheid appliances beschikbaar welke over een oudere Intel Atom N260, N270 of een Via C7 beschikken. Maar vaak laat de combinatie van de gebruikte netwerkkaarten in combinatie met CPU of uitbreidingsmogelijkheden te over.
Het geluk was dan ook groot dat ik uiteindelijk op de website van Lanner Inc. tegen een degelijke netwerk appliance liep. De Lanner Inc. FW7535 stak hier al snel tussenuit. Een Dual Core Intel Atom D510 van de nieuwe generatie, 6 Intel Gigabit poorten en een CF slot waren allen aanwezig.
Het systeem hebben we uiteindelijk via een van onze leveranciers kunnen betrekken. HPS industrial is een van de weinigen waar ik deze systemen makkelijk kon vinden. Lees "op factuur". De levertijd van het systeem viel overigens erg tegen, deze moest kennelijk in Taiwan nog gesoldeerd worden. De levertijd betrof uiteindelijk circa 4 weken.
De gehele uitrusting van het systeem na het uitpakken viel ook erg tegen, in de anonieme bruine doos zaten wel de broodnodige dingen zoals het kastje, voeding met schroefplug, sata verloop voor interne 2.5" schijf, voedingskabel en breakout kabels voor VGA en PS2.
Het kastje ziet er netjes uit en doet erg zakelijk aan. In feite is de gehele unit 1 groot aluminium koelblok. Deze worden onder andere ook geleverd in een Fanless uitvoering. Deze had echter een miniscule fan. Deze zal ongetwijfeld niet oud worden. De voeding plug die vastgeschroeft kan worden is dan wel weer een pluspunt.
Haalt men de onderkant van de unit door 6 schroeven los te halen dan zie je het moederbord gemonteerd. De processor zit aan de andere zijde van het moederbord tegen de aluminium behuizing aan voor de koeling. Na de installatie van de 1GB SO DIMM en de CF kon de onderkant er weer op.
Een noemenswaardige vermelding is wel de 4 montage punten voor de optionele 2.5" harde schijf. Deze is voorzien van 4 rubberen bussen voor het trillingsvrij bevestigen aan de onderplaat. De bijgeleverde schroeven en de Sata verloop kabel met voedingsplug in een passen hier ook perfect bij. Er is zelfs gedacht aan een klein oogje aan de onderdeksel om met een tie wrap het kabeltje te kunnen bevestigen.
Wat hier toch wel een beetje mist is een QuickStart guide en de gewone handleiding. Een cdrom met handleiding of quick start guide of software was evenmin bijgesloten. Dit is toch wel een misser gebleken.
Na wat gesteggel met de meegeleverde Serieel kabel met RJ45 connector en wat gepruts met de Serieel snelheden in Putty uiteindelijk op 115200 het BIOS scherm gevonden bij het opstarten. Maar hoe komt men dan het BIOS in? Zonder de meegeleverde handleiding is dat een beetje omslachtig. Uiteindelijk via een zoektocht en registratie op het forum van de fabrikant erachter gekomen dat men met de TAB toets via de Serieele poort het BIOS in kan komen.
Gelukkig is het tegenwoordig iets makkelijker geworden voor het schrijven van images naar CF kaarten. De utility is weliswaar duits maar dat mag de pret niet drukken.
Na het flashen van pfSense 2.0 BETA4 naar een Sandisk Extrme 3 4GB CF kaart kon het configureren eindelijk beginnen. Dat was in ieder geval wel de bedoeling, de Console Redirect van het BIOS in de unit voorkwam echter dat de FreeBSD bootloader werkte. Deze probeerden beiden de Seriele poort te gebruiken.
Gelukkig viel deze in het BIOS uit te zetten waarna pfSense 2.0 BETA4 succesvol opstarte en verzocht tot interface configuratie. In pfSense 2.0 BETA4 waren wel alle netwerk interfaces zichtbaar. In de oudere pfSense 1.2.3 werden de nieuwere Intel gigabit poorten niet herkent. Een redeljjk essentieel onderdeel voor een firewall uiteraard.
Na wat snorren nog een vrije Dell Optiplex Gx620 met gigabit poort gevonden om met iperf de netwerk doorvoer te kunnen testen. Eerst maar een NAT test volbrengen. Deze heb ik zowel in een enkele richting als wel in duplex gedaan zodat er een idee is van de slechts mogelijke performance. Hiervoor in de Web Interface van pfSense een port forward gemaakt naar de Ubuntu bak met de iperf server op het LAN.
Dat stelt niet teleur. Dik 200mbit in full duplex is niet slecht. Met wat snel rekenen en een 1500 byte frame size komt dit neer op ongeveer 140.000 packets per seconde.
Snelheid goedgekeurd voor gebruik met 100+ mbit internet pijp.
Nou ging het mij eigenlijk om de IPsec doorvoersnelheden. Het pfSense doosje maar aan onze externe 100Mbit HP Procurve switch verbonden en een tunnel opgezet tussen het productie CARP pfSense cluster en de FW7535. Het Productie CARP cluster met pfSense 1.2.3 draait op een Dell PowerEdge 860 met een Xeon 2.13Ghz. Niet de meest recente machine maar ruim voldoende sneller om als eerste tegen de grenzen van de Intel Atom aan te lopen.
Nou zijn er nogal wat verschillende keuzes in het gebruik van de IPsec versleutel methoden, na een middagje testen rolden de volgende cijfers eruit.
Een knap resultaat, zoals verwacht veel sneller. De verwachting was 50 mbit, dit kan met 3DES niet waargemaakt worden maar met de meeste andere types versleuteling is dit weinig probleem.
Kostprijs van de FW7535D (D510) met 1GB DDR2 SO DImm en 4GB CF kaart kost circa 600 euro inclusief btw.
pfSense is gratis, maar commerciele betaalde support is wel beschikbaar. Het boek "pfSense: The Definitive Guide" is ook wel een goed startpunt.
In het kort: Goed apparaat, Slecht documentatie, Prima Performance, Prijzig.
Zoals altijd is het een eindeloos drama om performance gegevens van network producten te vinden. Los van de CPU zijn de gebruikte netwerk kaarten ook vaak van invloed. De goedkope Realtek kaarten zijn vaak een goede connectiviteits oplossing, echter bij hoge netwerk belasting wordt het systeem dan belaagd met een interrupt storm.
In dit geval was de noodzaak voor een snellere router nodig om een IPsec tunnel van een branch office van het kantoor te versnellen. We gebruiken daar nu een PCengines Alix 2C3, op zich een prima kastje en bijzonder betrouwbaar, ook de nat doorvoer met 70mbit was wel prima. Alleen met een IPsec tunnel laat de AMD Geode op 500Mhz zich toch wel kennen. Dit uit zich in een meest gunstige snelheid van circa 10mbit zolang als het maar een enkele verbinding betreft.
Een kleine zoektocht later was toch al snel de keuze op iets meer CPU power gevallen. De Intel Atom processoren zijn de meest voordehand liggende keuze. Veel sneller als een AMD Geode 500Mhz, maar toch een redelijk normaal energie verbruik zonder meteen door te schieten naar een full blown desktop.
Nou zijn er inmiddels een aanzienlijke hoeveelheid appliances beschikbaar welke over een oudere Intel Atom N260, N270 of een Via C7 beschikken. Maar vaak laat de combinatie van de gebruikte netwerkkaarten in combinatie met CPU of uitbreidingsmogelijkheden te over.
Het geluk was dan ook groot dat ik uiteindelijk op de website van Lanner Inc. tegen een degelijke netwerk appliance liep. De Lanner Inc. FW7535 stak hier al snel tussenuit. Een Dual Core Intel Atom D510 van de nieuwe generatie, 6 Intel Gigabit poorten en een CF slot waren allen aanwezig.
Het systeem hebben we uiteindelijk via een van onze leveranciers kunnen betrekken. HPS industrial is een van de weinigen waar ik deze systemen makkelijk kon vinden. Lees "op factuur". De levertijd van het systeem viel overigens erg tegen, deze moest kennelijk in Taiwan nog gesoldeerd worden. De levertijd betrof uiteindelijk circa 4 weken.
De gehele uitrusting van het systeem na het uitpakken viel ook erg tegen, in de anonieme bruine doos zaten wel de broodnodige dingen zoals het kastje, voeding met schroefplug, sata verloop voor interne 2.5" schijf, voedingskabel en breakout kabels voor VGA en PS2.
Het kastje ziet er netjes uit en doet erg zakelijk aan. In feite is de gehele unit 1 groot aluminium koelblok. Deze worden onder andere ook geleverd in een Fanless uitvoering. Deze had echter een miniscule fan. Deze zal ongetwijfeld niet oud worden. De voeding plug die vastgeschroeft kan worden is dan wel weer een pluspunt.
Haalt men de onderkant van de unit door 6 schroeven los te halen dan zie je het moederbord gemonteerd. De processor zit aan de andere zijde van het moederbord tegen de aluminium behuizing aan voor de koeling. Na de installatie van de 1GB SO DIMM en de CF kon de onderkant er weer op.
Een noemenswaardige vermelding is wel de 4 montage punten voor de optionele 2.5" harde schijf. Deze is voorzien van 4 rubberen bussen voor het trillingsvrij bevestigen aan de onderplaat. De bijgeleverde schroeven en de Sata verloop kabel met voedingsplug in een passen hier ook perfect bij. Er is zelfs gedacht aan een klein oogje aan de onderdeksel om met een tie wrap het kabeltje te kunnen bevestigen.
Wat hier toch wel een beetje mist is een QuickStart guide en de gewone handleiding. Een cdrom met handleiding of quick start guide of software was evenmin bijgesloten. Dit is toch wel een misser gebleken.
Na wat gesteggel met de meegeleverde Serieel kabel met RJ45 connector en wat gepruts met de Serieel snelheden in Putty uiteindelijk op 115200 het BIOS scherm gevonden bij het opstarten. Maar hoe komt men dan het BIOS in? Zonder de meegeleverde handleiding is dat een beetje omslachtig. Uiteindelijk via een zoektocht en registratie op het forum van de fabrikant erachter gekomen dat men met de TAB toets via de Serieele poort het BIOS in kan komen.
Gelukkig is het tegenwoordig iets makkelijker geworden voor het schrijven van images naar CF kaarten. De utility is weliswaar duits maar dat mag de pret niet drukken.
Na het flashen van pfSense 2.0 BETA4 naar een Sandisk Extrme 3 4GB CF kaart kon het configureren eindelijk beginnen. Dat was in ieder geval wel de bedoeling, de Console Redirect van het BIOS in de unit voorkwam echter dat de FreeBSD bootloader werkte. Deze probeerden beiden de Seriele poort te gebruiken.
Gelukkig viel deze in het BIOS uit te zetten waarna pfSense 2.0 BETA4 succesvol opstarte en verzocht tot interface configuratie. In pfSense 2.0 BETA4 waren wel alle netwerk interfaces zichtbaar. In de oudere pfSense 1.2.3 werden de nieuwere Intel gigabit poorten niet herkent. Een redeljjk essentieel onderdeel voor een firewall uiteraard.
Na wat snorren nog een vrije Dell Optiplex Gx620 met gigabit poort gevonden om met iperf de netwerk doorvoer te kunnen testen. Eerst maar een NAT test volbrengen. Deze heb ik zowel in een enkele richting als wel in duplex gedaan zodat er een idee is van de slechts mogelijke performance. Hiervoor in de Web Interface van pfSense een port forward gemaakt naar de Ubuntu bak met de iperf server op het LAN.
Dat stelt niet teleur. Dik 200mbit in full duplex is niet slecht. Met wat snel rekenen en een 1500 byte frame size komt dit neer op ongeveer 140.000 packets per seconde.
Snelheid goedgekeurd voor gebruik met 100+ mbit internet pijp.
Nou ging het mij eigenlijk om de IPsec doorvoersnelheden. Het pfSense doosje maar aan onze externe 100Mbit HP Procurve switch verbonden en een tunnel opgezet tussen het productie CARP pfSense cluster en de FW7535. Het Productie CARP cluster met pfSense 1.2.3 draait op een Dell PowerEdge 860 met een Xeon 2.13Ghz. Niet de meest recente machine maar ruim voldoende sneller om als eerste tegen de grenzen van de Intel Atom aan te lopen.
Nou zijn er nogal wat verschillende keuzes in het gebruik van de IPsec versleutel methoden, na een middagje testen rolden de volgende cijfers eruit.
Een knap resultaat, zoals verwacht veel sneller. De verwachting was 50 mbit, dit kan met 3DES niet waargemaakt worden maar met de meeste andere types versleuteling is dit weinig probleem.
Kostprijs van de FW7535D (D510) met 1GB DDR2 SO DImm en 4GB CF kaart kost circa 600 euro inclusief btw.
pfSense is gratis, maar commerciele betaalde support is wel beschikbaar. Het boek "pfSense: The Definitive Guide" is ook wel een goed startpunt.
:strip_exif()/u/47664/afx_hax.gif?f=community)
/u/97978/crop60f5315bd7679_cropped.png?f=community)
