Seneste forumindlæg
Køb / Salg
 * Uofficiel Black/White liste V3
Login / opret bruger

Forum \ Hardware \ Generel hardware
Denne tråd er over 6 måneder gammel

Er du sikker på, at du har noget relevant at tilføje?

Hardware til pfSense

Af Semi Nørd tuwk | 14-01-2019 02:11 | 5418 visninger | 48 svar, hop til seneste
Jeg sidder og straffer min simple hjerne med spørgsmålet om hvilken hardware config der er smartest for en pfSense boks. Skal bruge den som primær edgerouter men skal også bruge den til at lege og lære mere om opsætningen af netværk og firewalls. Mine krav er relativt simple. - Quad nic, Intel, gbit - Low power; < 20 watt - Skal køre noget IP blocking, evt. også noget Geo blocking - RADIUS (ikke i produktion, men som test og legeplads) - OpenVPN, hvis jeg ikke smider det op i en docker på UnRaid - pfBlockerNG - Snort eller Suricata - Måske noget Zabbix Boksen skal fungere som min edgerouter i rigtig lang tid, da jeg ikke har planer om at smutte væk fra pfSense foreløbig. Jeg har kigget lidt på en Netgate router (SG-3100) som også er dem som udvikler pfSense, så er garanteret 100% hardware support, og den absolut mindste risiko for, at en update knækker boksen og er skyld i, at man skal ud i et redningsforsøg. Samtidig har jeg kigget på denne lille sag (Fitlet-2): https://fit-iot.com[...] Den har en Atom x7-e3930/e3950, Quad Intel NIC, m.2 SATA SSD support og tager SO-DIMM ram, op til 8GB. Mine tanker er, at Netgate boksen vil være en super OTB oplevelse, og alt vil bare virke. Min bekymring er, at det er en dual-core ARM CPU, så hvis jeg smider for mange plugins efter den, kan det måske påvirke ydelsen. Fitlet2 boksen vil jeg kunne smide en hypervisor på, kører pfSense som en VM og have de muligheder som det giver i forhold til virtualisering. Jeg har pt. en 1/1gbit forbindelse at lege med, men det ender nok med at blive en 300/300mbit når jeg flytter fra min nuværende bolig inden for de næste 2 år. Nogle erfaringer med pfSense, ligende hardware eller erfaringer med de overstående plugins og hvor meget de egentlig trækker på CPU'en?
--
Jeg synes, at en signatur er unødvendig.
#1
tuwk
Semi Nørd
14-01-2019 04:33

Rapporter til Admin
Budt 1300 inkl. H60 i PM.
--
Jeg synes, at en signatur er unødvendig.
#2
zac
Ny på siden
14-01-2019 06:32

Rapporter til Admin
Et andet bud kunne være sådan en her: https://varia-store.com[...] Da du både skal have SSD, Case og PSU til den, så er det ikke en billig løsning, men har selv en kørende med OPNSense, og det spiller maks. Hvis du springer ud i den, skal du dog være opmærksom på, at første gang du sætter den op, sker det via et konsol kabel.
--
#3
cnrd
Juniorbruger
14-01-2019 07:48

Rapporter til Admin
Jeg har kørt på en G4560 med en i340 quad nic (HP server pull købt på eBay, lad være med at købe en "ny" fra Kina) og et h110 bundkort i lidt over 2 år nu. En af mine kammerater gik all in og købte et Supermicro A2SDi-4C-HLN4F baseret system, begge har kørt fint.
--
#4
SShadowS
Guru
14-01-2019 07:54

Rapporter til Admin
Jeg kører selv med en https://www.asrock.com[...] samt et ekstra Intel Dual NIC. Godt nok lang tid siden jeg har haft hardware der ikke virkede med pfSense. Bare husk at få noget der har AES-NI support, derfor jeg valgte denne lowpower CPU i tidernes morgen. AES-NI er krævet til de nye builds af pfSense. Det sagt, så er Snort nok en af de ting der sluger flest krafter. Og da det er baseret på mængden af pakker så kan vi ikke lige sige hvor meget du skal have.
--
6700K|Maximus VIII Extreme|32GB RAM Gainward1080-GS|XL2410T|U28D590D Samsung960 PRO 512GB|Samsung 850 PRO 512GB Samsung850 EVO 250GB|Corsair AX860i
--
Sidst redigeret 14-01-2019 07:56
#5
CraZy-Max
Nørd
14-01-2019 08:13

Rapporter til Admin
Jeg byggede for ca. ½ års tid siden en dedikeret pfSense kasse med følgende SoC. https://www.supermicro.com[...] Med 16Gb ECC ram (DDR4). Xeon-D (Optimeret til netværks apps) med 10Gbit Nics. Derudover smed jeg 1x Quad Intel NIC i expansion slottet. Fantastisk kasse, og hardwareret er stortset det samme som de bruger i deres egne(hvis ikke det samme), så da jeg først fik pfSense på kassen genkendte den hardwaren som værende Netgate orginalt :D Hvis man så på et tidspunkt vil bruge kassen til noget andet, er den også en super god box til NAS. F.eks FreeNAS da den kan nappe massere af ram.
--
#6
SShadowS
Guru
14-01-2019 08:34

Rapporter til Admin
#5 Nu også noget lækkert jern. Vil jeg skrive bag øret til en anden gang.
--
6700K|Maximus VIII Extreme|32GB RAM Gainward1080-GS|XL2410T|U28D590D Samsung960 PRO 512GB|Samsung 850 PRO 512GB Samsung850 EVO 250GB|Corsair AX860i
#7
cnrd
Juniorbruger
14-01-2019 13:56

Rapporter til Admin
Sad på mobilen før, det lækre ved A2SDi-4C-HLN4F ( https://www.supermicro.com[...] ) er at det passer i SCE300 ( https://www.supermicro.com[...] ) så hvis man ikke lige har et rack at have sin router i, så kan man få noget der fint kan stå på bordet. Jeg ved at han (og kæresten) sover lige op ad den og den kan ikke høres overhovedet. Alt i alt er det et super lækkert system, som jeg selv er ret misundeligt på.
--
Sidst redigeret 14-01-2019 13:56
#8
ph0ton
Megabruger
14-01-2019 15:01

Rapporter til Admin
De nyeste NUCs har en thunderbolt port, hvor du kan smide et apple nic i, og dermed få to NICs til en Pf-sense applikation. Core i5 udgave af 8. generation ligger på omkring 11.000 i CPU mark, og et idle forbrug på ca. 5.5 W (ikke iberegnet det ekstra NIC). fra et strømforbrugs synspunkt tror jeg det bliver svært at finde en mere effektiv løsning end den.
--
lorem ipsum et dolores
#9
L.T. Hansen
Guru
14-01-2019 16:47

Rapporter til Admin
#3 - hvad bruger dit setup af strøm??
--
YEAH, har fundet på noget vildt sejt at skrive HER... damn, har bare glemt det ;P
#10
tuwk
Semi Nørd
14-01-2019 19:11

Rapporter til Admin
Tak for svarene, alle sammen. Det giver sgu noget perspektiv. Jeg er virkelig fristet af at have noget Remote Mangement på en så kritisk kasse som ens firewall, så en SuperMicro løsning er slet ikke dårlig. Havde slet ikke tænkt i den retning. Troede ikke de lavede løsninger med Celeron-modeller. Må mon sige, at et bundkort til mellem 6-7000 kr. til en firewall, er lige skudt over mål for mit vedkommende, men det ville fanme være lækkert. #5 Må sige, at dit nick stemmer overens med dit hardware til en firewall :D Har dog allerede smidt et X99 system op som NAS med Unraid som OS, den eneste grund til at det vandt over FreeNAS, var xfs filsystemet, som kan udvides og mismatche forskellige størrelser harddiske, men zfs har nogle super fede features som jeg godt kunne savne i xfs. Oh well, må håbe der sker forbedringer som tiden går :)
--
Jeg synes, at en signatur er unødvendig.
#11
Kadett87
Ultrabruger
14-01-2019 20:04

Rapporter til Admin
Mit setup består af: MB: Intel DQ77KB CPU i5-3570T RAM: 16gb HDD: 250gb msata Case: akasa euler itx Software: pfSense i VM på XCP-ng (opensource-udgaven af Citrix Xenserver) Deruduover hoster maskinen også min unifi controller og lidt andet. Det er ældre hardware, men det var billigt, og det spiller. Fitlet2 ser ud til at være en fed lille maskine (det kribler i fingrene), men jeg ville nok styre uden om modellen med atom-cpu, da jeg ikke tror den har kræfter til det du efterspørger. Jeg ville gå efter en model med celeron-cpu. Remote management er fint, men du kan vel ikke nå det udefra, hvis din firewall er gået ned?
--
Sidst redigeret 14-01-2019 20:05
#12
tuwk
Semi Nørd
14-01-2019 20:35

Rapporter til Admin
#11 Ja, ville også vælge modellen med Celeron versionen, den har flere kræfter og de har begge AES-NI. Hvis firewall'en går ned ved f.eks. en update eller software-crasher, vil jeg kunne logge på Remote Management og se hvad der foregår, da det fungerer som en remote keyboard-mus-skærm, så jeg kan f.eks. gå ind i BIOS på bundkortet, og ellers gøre ALT hvad jeg ellers ville kunne gøre, hvis jeg sad foran den. Samtidig kan man Power Cycle sin server, så man har en software tænd-og-sluk knap, så man kan tænde og slukke maskinen fysisk, så så lang tid der er strøm til maskinen, ville jeg kunne til gå den uanset om den er tændt eller ej. Så det er kun et strømnedbrud som kan fjerne adgangen til den, og i det tilfælde, ville jeg have den kørende på en lille UPS, som kan holde den lille firewall kørende i flere timer før at den UPS løber tør. Så vil der stadig være internet, selvom en klaphat er lidt for aggressiv med sin rendegraver. Men for at kunne tilgå den, ville jeg evt. have en dum switch mellem modem fra udbyder og min firewall, så Remote-porten kan få en IP min ISP, evt. købe 2 stk IPs så det kan lade sig gøre. Hvis man er dobbelt-NAT'd, kan man lave noget port-forward.
--
Jeg synes, at en signatur er unødvendig.
--
Sidst redigeret 14-01-2019 20:37
#13
Kadett87
Ultrabruger
14-01-2019 20:53

Rapporter til Admin
#12 Det giver god mening. Jeg har så ikke haft helt samme behov, da jeg har virtualiseret min pfSense. Jeg startede selv med pfSense af samme grund som du beskriver i #0. For mig har det haft stor værdi at virtualisere min router, således at jeg kan tage snapshots inden jeg afprøver noget risikabelt (og det sker ;) )
--
#14
MadsFerguson
Elite Supporter
14-01-2019 21:08

Rapporter til Admin
Suricata kan tvinge en halvkraftig maskine i knæ, træd forsigtigt.
--
-- Drifter og udvikler 24/7 Datacenter operations om dagen, er supermand om aftenen.
#15
tuwk
Semi Nørd
14-01-2019 21:43

Rapporter til Admin
#13 Det er også noget jeg overvejer, og som er muligt hvis man har en tynd klient i form af en x86 maskine som finlet2'eren. Så kunne man også smide noget light-weight Linux op ved siden af, hvis man skal bruge noget mere gejl. #14 Will do. Er mest for at teste og lege, har ingen planer om at køre med det aktivt i produktion. Der er vel også en grund til, at man kan købe pfSense-routere med absurd kraftig hardware direkte fra Netgate, så vil der være kræfter til at køre aggressiv logging og analyse af netværkstrafikken.
--
Jeg synes, at en signatur er unødvendig.
#16
Lars Pedersen
Gæst
14-01-2019 23:40

Rapporter til Admin
Jeg endte med at købe en asus un68u med i5-8350u, 8gb ram og 128 gb ssd. Den har kun 1 intel nic, men kører så VLAN's med nogle tp-link sg108-e. Ulemper: Pris ca. 4k 1 NIC så teorisk kun 500/500 full duplex, (men hvor tit maxer man både download og upload ud på samme tid) Den har en blæser (dog MEGET støjsvag) Fordele: 4 kerner, 8 tråde (masser af power, stadig ramt af 15W TDP dog) bruger knap 7W i idle Pt. kører den kun pfsense, så 8 gb ram er rent overkill.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#17
CraZy-Max
Nørd
14-01-2019 23:52

Rapporter til Admin
#16 Til 4k ville jeg ikke tøve med at vælge en box baseret på A2SDi-4C-HLN4F
--
Sidst redigeret 14-01-2019 23:52
#18
tuwk
Semi Nørd
14-01-2019 23:53

Rapporter til Admin
#16 For den pris, kan jeg få et ServerMicro bræt med IPMI, dual/quad NIC og smide RAM og SSD i også. En boks som den du har, er ikke en der tiltaler mig til den pris.
--
Jeg synes, at en signatur er unødvendig.
#19
Lars Pedersen
Gæst
15-01-2019 00:09

Rapporter til Admin
Ja i har nok ret at det er overkill. En servermicro kommer bare ikke i nærheden af samme idle power consumption. Hvis den bare bruger 10watt mere er det 200 kr om året ekstra i strøm.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#20
CraZy-Max
Nørd
15-01-2019 00:33

Rapporter til Admin
Negate SG-5100 er baseret på samme som A2SDi-4C-HLN4F. Det skulle ikke undre mig at det faktisk er et Supermicro der sidder i den. Udover det har negate også tilføjet et 2 ports intel nic i deres. Jf. deres site er idle power 7W. Det vel ok. https://www.netgate.com[...]
--
#21
tuwk
Semi Nørd
15-01-2019 00:47

Rapporter til Admin
#19 Det kommer helt an på, hvilken CPU der sidder i det ServerMicro bundkort, som i dette tilfælde vil være en Celeron J-serie, med en TDP meget sammenligelig med en 15W mobile CPU. Men 200 kr. om året i strøm til en firewall betyder intet i det strømforbrug jeg har til elektronik. #20 Det er imponerende, at de kan presse så meget hardware ned i den power-lomme. For pokker, det er et lækkert stykke udstyr, men til en enkelt husstand, kan det slet ikke betale sig at sigte så højt efter hardware ydelse. For fanden, pfSense er jo i sig selv overkill til en husholdning på et par stykker, hvis man skal være helt pragmatisk omkring det.
--
Jeg synes, at en signatur er unødvendig.
#22
CraZy-Max
Nørd
15-01-2019 00:55

Rapporter til Admin
#21 Det er uden tvivl meget overkill. Jeg købte selv en USG for at komme væk fra en virtuel pfSense. For at spare strøm.
--
#23
cnrd
Juniorbruger
15-01-2019 11:12

Rapporter til Admin
#21 Jeg vil nu ikke mene at det som sådan er "overkill" du får bare mange mange flere knapper du kan dreje på, hvis du har en ide om hvordan noget skal virke på dit netværk, så har du muligheden. Jeg vil dog ikke anbefale dig at køre din router som en VM, især ikke hvis der er flere i husstanden; Din VM host går ned, du har nu ingen internet til at fejlfinde og der står en masse mennesker og ånder dig i nakken fordi deres TV, spil osv. ikke længere virker. Åh ja, gør dig selv den tjeneste, hvis den skal stå et sted hvor der er mennesker og nogen gange er stille, køb en lille SSD og smid i, da den logger en gang i mellem og det giver et lille "piv" på en spinning disk, som man bliver sindsyg af. :-) Her er et par billeder af et A2SDi baseret system i en SC300 kasse: https://imgur.com[...] #9 Øh bøh, jeg er ikke helt sikker, jeg tror nok den ligger omkring 20-25W men er slet ikke sikker.
--
Sidst redigeret 15-01-2019 11:16
#24
upz
Ultrabruger
15-01-2019 11:34

Rapporter til Admin
#23 Vm går ned, blah..... Køre vel et failover på sine hyper visors og så 2x pfsense virtualiseret så man netop ikke har nedetid.... Andet kan da ikke betale sig o.0 ?
--
#25
Martin
Gæst
15-01-2019 11:39

Rapporter til Admin
ZOTAC ZBOX nano CI327. Dual NIC, AES-NI, lav TDP, lav pris, passiv kølet.
--
Gæstebruger, opret dit eget login og få din egen signatur.
#26
Heylel
Super Supporter
15-01-2019 11:55

Rapporter til Admin
#25: Ikke meget Quad NIC der, som #0 angiver som et behov. Celeron følger heller ikke med til at lave IDS på en 1Gbps forbindelse, endsige en 300Mbps. Men til basal firewall uden bells & whistles er Zotac'en da fin.
--
#27
cnrd
Juniorbruger
15-01-2019 15:44

Rapporter til Admin
#24 Jov, men nu er det jo ikke os alle der har plads til flere hypervisors :-)
--
#28
MadsFerguson
Elite Supporter
15-01-2019 16:16

Rapporter til Admin
#23 Jeg har kørt en pfsense hosted på en vSphere i 8 år.. det kan tælles på et par fingre de gange hvor nedetid har været uplanlagt.
--
-- Drifter og udvikler 24/7 Datacenter operations om dagen, er supermand om aftenen.
#29
tuwk
Semi Nørd
15-01-2019 17:42

Rapporter til Admin
#28 Det ender sgu nok med at blive min løsning. Er lidt fan af, at man kan lave et snapshot inden man kører en update, samtidig med man kan have en backup af sin config kørende. Livrem og seler er ikke moderne men rigtig praktisk.
--
Jeg synes, at en signatur er unødvendig.
#30
Lars Pedersen
Gæst
15-01-2019 18:12

Rapporter til Admin
#25 - Zotac er altid realtek NIC's ikke er anbefalet til noget seriøst. Følgende kunne også være en mulighed: https://www.pondesk.com[...] Dog hvis du kører nogen former for IPS kan det nok være at den kommer til kort. Jeg har ikke fået leget med IPS på min boks endnu, men det var en af de primære grunde til at jeg valgte en i5-8350u få at have kræfter nok til VPN, IPS og pfblockerNg. Lige meget hvad synes jeg altid man ender i en 3-4k, men der er vel dyrere hobbyer :)
--
Gæstebruger, opret dit eget login og få din egen signatur.
#31
tuwk
Semi Nørd
15-01-2019 19:28

Rapporter til Admin
#30 Jeg kommer til at køre VPN fra en docker på UnRaid, som har en 5280K som motor, så skal ikke bruge firewall'en til det. I værste fald, skal jeg route et gæstenetværk ud af et interface over VPN, men så er hastigheden ikke særlig vigtig. Bliver alligevel begrænset til maks 100mbit/sec. Kan også være, at jeg laver noget port-mirroring på WAN-porten i min switch, som jeg smider ind i en VM som kører noget analyse software. Så slipper man for, at trække på den boks som pfsense ligger på i forhold til packet inspection.
--
Jeg synes, at en signatur er unødvendig.
#32
DeXTer_DK
Super Supporter
15-01-2019 21:07

Rapporter til Admin
Jeg har erfaring med en del af de ting du beskriver, Jeg har haft købt en fitlet 2 til en kunde som som skulle bruge den til et værksted, Inden jeg kørte den op fik jeg i nogle dage muligheden for at lege lidt med den og fik i den forbindelse testet sophos og pfsense. begge ting kørte rigtigt fint, Selve fitlet 2 hardwaren er enormt lækker også er det mange års support.men desværre ligger de også i den dyre ende af pris skala'en, når først moms porto og det hele er betalt, men den siger ikke en lyd og bruger stort set intet i strøm. Jeg kører kører virtuelle firewalls via proxmox på meget forskelligt hardware både et board med Celeron J1900 og? x10sdv-4c-tln2f med Xeon D 1521, og på et andet supermicro med en Xeon D 1531. Celeron performer ikke voldsomt godt, men kan fint klare at være firewall på 300/300, også holder den sig fint under 20w med 2 diske i zfs. Xeon D 1521 boardet er enormt lækkert og virkeligt noget kram til at køre f.eks en firewall på, men desværre bliver det latterligt varm, så går du denne route så skal du købe en ordenligt block til den for den orginale er så elendig at det næsten ikke kan beskrives, det er i øvrigt en hel tråd om det på sth. - https://www.servethehome.com[...]
--
"Always bear in mind that your own resolution to succeed, is more important than any other one thing."
--
Sidst redigeret 15-01-2019 21:12
#33
tuwk
Semi Nørd
16-01-2019 06:49

Rapporter til Admin
#32 Fedt du vil dele dine erfaringer. Har fundet en dansk reseller af Finlet2, om det så er billigere end at finde den i udlandet og tage omkostningerne med import og fragt, må lommeregneren lige finde ud af. Jeg hælder mere og mere til virtualisering, men så popper Netgate SG-3100 op i min bevidsthed igen og igen, da man får det hele for omkring 2.700 kr. der i form af supprt, NICs, rimeligt hardware etc., uden at det er noget som blæser sokkerne af fødderne. Så begynder jeg at spekulere i, at lave en billig Ryzen boks med den nye Athlon CPU, som netop understøtter AES-NI og koster under 500 kr. for en desktop dualcore med SMT og et grafikkort indbygget. Hell, et passivt grafikkort koste jo omkring det samme i dag. Et ITX bræt, 4 GB ram og resten af hardwaren har jeg allerede liggende, så det ville blive en billig løsning, omend hardwaren ikke besidder samme kvalitet som SuperMicro har for vane at sende ud. Måske jeg skal se, om jeg kan finde en brugt boks et eller andet sted.
--
Jeg synes, at en signatur er unødvendig.
#34
ReneSDK
Guru
16-01-2019 07:10

Rapporter til Admin
Min pfsense box som beskrevet i min profil: Router/Firewall: Pfsense Cheiftec Flyer Series FI-02BC 250W SFX PSU Asrock AM1B-ITX AMD Athlon(tm) 5150 APU med Radeon(tm) R3 2x 4 GB DDR 3 RAM ARCTIC Alpine M1 CPU køler (low setting) 2.5" OCZ 120GB SSD Intel Dual port 1 Gbit PCI-E LAN Den kører almindelig router og firewall funktion, samt der er sat PIA VPN direkte op i routeren, så alle enheder på nær dem jeg ekskluderer ryger via PIA som standard. Desuden er der sat SNORT op på den også. Hardwaremæssigt totalt overkill dog. Det er pricipeilt slet ikke nødvendigt med så kraftig en boks til den brug, men alt på nær kabinet og Intel kortet har jeg enten fået forærende eller havde liggende i forvejen.
--
FFHAU! This is 2018, "I'm not good with computers" is no longer a valid excuse.
--
Sidst redigeret 16-01-2019 07:10
#35
tuwk
Semi Nørd
20-01-2019 04:24

Rapporter til Admin
Regner med at samle en lille boks med en Athlon 200GE, en 240GB SSD, 3 x 2/3/4TB hard diske og så smide FreeNAS på maskinen, bruge den som backup og pfSense kørende som en VM. Jeg har både dual- og quad NICs liggende, alle fra Intel naturligvis. Så slår jeg to fluer med ét smæk der.
--
Jeg synes, at en signatur er unødvendig.
#36
CraZy-Max
Nørd
20-01-2019 06:52

Rapporter til Admin
#35 Vil du kører både FreeNAS og pfSense på samme boks? Begge som VM? hvilken Hypervisor?
--
#37
tuwk
Semi Nørd
21-01-2019 17:45

Rapporter til Admin
#36 Det er én af de muligheder jeg overvejer, hvor jeg vil bruge Beehive HyperVisor som allerede er i FreeNAS - har også tænkt på, at køre det igennem ESXi, ProxMox eller XenServer. Det hele er stadig på beslutnings stadiet. Kigger også på, at smide Unraid på boksen og så køre pfSense som en VM. Uanset vil jeg køre pfSense som en virtuel instance, og vil gerne have muligheden for at bruge maskinen til mere end bare pfSense.
--
Jeg synes, at en signatur er unødvendig.
#38
CraZy-Max
Nørd
21-01-2019 18:08

Rapporter til Admin
#37 Jeg kunne måske godt se et fungerende setup med Proxmox, hvor du både køre FreeNAS og pfSense. Eller ja FreeNAS med bhyve også pfSense i maven på den. Hvilket hardware er du så kommet frem til? Vil du bare bruge din eksisterende Unraid også lave den om?
--
#39
ph0ton
Megabruger
21-01-2019 18:10

Rapporter til Admin
Jeg kører pfsense i en instans på en ESXI vSphere, hvor jeg har lavet PCI-passthrough af et intel i350 dual NIC. det kører ganske godt.
--
lorem ipsum et dolores
#40
tuwk
Semi Nørd
21-01-2019 22:02

Rapporter til Admin
#38 Nej, jeg har lige bygget min Unraid fra min Windows maskine, som kører et X99 system med 32GB ram, så den bliver hvor den er. Skal bygge en helt ny maskine. Jeg overvejer drasktisk at bruge en Ryzen 200GE med 8GB ram, og så 3 x 3TB diske i RaidZ på zfs. Det er rigeligt med kræfter til FreeNAS og en pfSense. Dog skal jeg kun bruge min FreeNAS til backup af vigtig data, som allerede ligger på Unraid og bliver smidt op på OneDrive med Duplicati, så det ville måske være en god idé at lave FreeNAS som en VM, og så kun køre den op den ene gang om ugen jeg skal dumpe filer over på den, så hvis hele mit netværk bliver ramt af crapware, ryger den boks ikke også med ned i faldet. Samtidig vil jeg gerne have, at FreeNAS har direkte adgang til de diske jeg skal smide ind i den, hvilket jeg kan bruge et af mine LSI 9207-8i til, som jeg har liggende. De kører stock IT-mode, så fungerer mest af alt som en HBA, og så kan jeg blot lave passthrough på den controller sammen med en USB-controller som jeg kan koble 2 x USB-stik til, som så ville køre i mirrored mode. Mister muligheden for at lukke FreeNAS ned, hvis jeg bruger det som hypervisor. Kan man lave et script i pfSense, som kun tillader adgang til en IP-range i en periode af en bestemt dag i ugen? Så kunne man have FreeNAS til at køre på et andet subnet end Unraid, og så bruge firewall'en som en virtuel switch for adgangen til FreeNAS fra mit primære netværk. #39 Yea, har også nogle Intel NICs til at ligge, så det bliver også min løsning.
--
Jeg synes, at en signatur er unødvendig.
--
Sidst redigeret 21-01-2019 22:04
#41
CraZy-Max
Nørd
21-01-2019 22:29

Rapporter til Admin
#40 8GB ram til FreeNAS og pfSense, det er nok lige at stramme den. 8GB er vel minimum anbefalet jf. deres egen dokumentation. Husk desuden ECC ram når du vil kører ZFS. Må tilstå at jeg aldrig ville drømme om at bruge et Ryzen 200GE til det. Så hellere en lille quadcore xeon e3. Men igen, her ville jeg også synes den tager for meget strøm. Jeg går selv lige pt. at overvejer at skifte min FreeNAS ud som pt. kører en xeon e3-1225 v3 til en Atom C3750 med 32GB ram, for at få et lavere strømforbrug, og samtidig kunne kører 8x 3TB i RAIDZ2
--
#42
tuwk
Semi Nørd
22-01-2019 03:01

Rapporter til Admin
#41 Jeg er ikke så nervøs omkring ECC, da FreeNAS kører CRC-check på data der bliver skrevet til et diskset, så hvis der er noget bitflip i RAM, er sandsynligheden ret høj for, at FreeNAS fanger den med et CRC check. Desuden vil ECC ram fordyre denne affære i en sådan grad, at jeg lige så godt kunne kigge på andre muligheder. Så lang tid, at jeg kun har 6TB som total lagerplads, er jeg heller ikke bekymret for at bruge 8GB ram. Tommelfingerreglen er jo 1GB pr. 1TB lagerplads. Hurra for zfs. Men ja, zfs er ultra glad for ram, og jo mere jo bedre. Du skal huske på, at min primære lagerplads bliver hånteret af Unraid, hvor al min mediesamling er. Formålet med FreeNAS vil være weekly-backups af data, som allerede ligger på Unraid med 2 diske paritet, samt uploaded til OneDrive dagligt via Duplicati. Så FreeNAS vil kun være backup til VMs på Unraid, data jeg absolut ikke vil miste samt de mapper, som min familie sync'er med SyncThing fra deres egne computere, så grundlæggende set bare en privat dropbox. Og så elsker jeg snapshot-funktionen med FreeNAS, hvorfor også er derfor jeg overvejer XOC-ng, da det også kan køre med snapshots af VMs (+ Open Source). Det er komplet unødvendigt, men jeg er ret vild med at lege med alt det her, og planlægger en karriere inden for det inden at tech-aber bliver unødvendige :)
--
Jeg synes, at en signatur er unødvendig.
--
Sidst redigeret 22-01-2019 03:02
#43
CraZy-Max
Nørd
22-01-2019 08:10

Rapporter til Admin
#42 Synes du skulle prøve at læse denne her inden du begiver dig ud i freenas ZFS https://forums.freenas.org[...] Din backup er ikke meget værd hvis din zpool dør.
--
#44
Peter.
Superbruger
22-01-2019 11:32

Rapporter til Admin
Har kørt pfsense på en gammel core-i5 pc med en dual port 10G Intel netkort i de sidste 3-4 år uden issues, pfsense kørete dog virtuelt på esxi, det har virket fint med på min 750/750 internet forbindelse. Er personligt skiftet til opnsense senere, det er en fork af pfsense, men meget er same same.
--
#45
tuwk
Semi Nørd
23-01-2019 05:41

Rapporter til Admin
#43 Ingen backup er vel noget værd, hvis ens array/pool/StorageSpace dør. Jeg forestiller mig, at du mener min beslutning omkring ikke at bruge ECC ram er noget af det mest idiotiske jeg kan gøre. Fair nok. Hvis jeg havde en kiste med guld, havde jeg også kørt med ECC. Men jeg vil køre med 3-2-1 backup løsningen (3 kopier, 2 fysiske maskiner, 1 offsite), og den boks her vil være én af mine to maskiner, som kun skal bruges i fucked up tilfælde. Uanset hvad jeg gør, vil jeg lave en masse trial-and-error forsøg og lære systemet at kende før, at jeg smækker det i produktion. Som sagt - det er en tørdock backup kasse, som ikke skal køre døgnet rundt. Derfor kunne det være nice, at have den i en VM også. Det eneste jeg ville være nervøs for, ville nok være at køre 2 eller 3 vDevs, samtidig med at man i så fald kører med 2 eller 3 diske paritet, uden at den paritet gælder alle ens vDevs, men kun det enkelte, og hvis 1 vDev brænder af, mister man al dataen. Så uanset hvad, ville det sgu nok ende med at blive 1 vDev med RaidZ eller RaidZ2. Er lige kommet i besiddelse af en ordenlig røvfuld WD Red 3TBs (8 stk), som jeg kan lege med, og måske sælge dem jeg ikke skal bruge.
--
Jeg synes, at en signatur er unødvendig.
#46
tuwk
Semi Nørd
23-01-2019 06:06

Rapporter til Admin
#43 Okay, nu har jeg læst artiklen og har en dybere forståelse af det. Men han sidder sgu lidt med sølvpapirshatten i hånden og prædiker lidt. HVIS der er bitflip, og HVIS det er i en system-fil er to små sandsynligheder, som sammen bliver til en endnu mindre sandsynlighed. Ja, usandsynlige ting sker - og derfor ville jeg aldrig nogensinde bruge ZFS uden ECC til min primære maskine, men når det er til en hjørnesofa til min backups, som allerede er 2 andre steder, så er jeg faktisk ikke så bekymret, Husk på, jeg prøver at holde mig under 2.500 kr. for hardware, og selvom jeg virkelig gerne ville have et SuperMicro bræt med IPMI, eller andre systemer (iDrac, ilo) så betyder den første omkostning mere for mig lige nu, end at have et klippestabilt system som yderste backup. Argumentet vil være, at hvis jeg nogensinde får brug for den yderste backup, så er jeg dybt afhængig af, at den "bare virker", men så kan det godt ende med, at FreeNAS ikke bliver mit valg af OS til den boks, og så løber jeg med UnRaid eller en Hypervisor, og så begynder at lege med Ubunut Server som file-server. Grundlæggende set, ville jeg elske en ordentlig kasse med Xeon og ECC, men hvis det er prisen for FreeNAS, så må jeg hellere vinke farvel til FreeNAS.
--
Jeg synes, at en signatur er unødvendig.
#47
CraZy-Max
Nørd
23-01-2019 12:48

Rapporter til Admin
#46 Det helt fair. Jeg forsøgte bare at belyse ZFS. Der er ingen grund til at kører ZFS hvis ikke du vil kører med ECC ram :) Det koster mere og kræver lidt mere hardware.
--
#48
MadsFerguson
Elite Supporter
23-01-2019 13:44

Rapporter til Admin
#47 læs en mere balanceret udgave af virkelighenden, inden du afskriver ZFS uden ECC https://jrs-s.net[...] ECC er en god idé for produktions miljøer hvor man generelt er ømtålelig for fejl og hvor pris er mindre følsomt end et SOHO setup. Kan du belyse hvorfor ZFS har et specielt krav om ECC RAM i højere frad end alle andre filsystemer ? edit: wasn't done doing logic.
--
-- Drifter og udvikler 24/7 Datacenter operations om dagen, er supermand om aftenen.
--
Sidst redigeret 23-01-2019 13:49

Opret svar til indlægget: Hardware til pfSense

Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.

Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.

Opret bruger | Login
NYHEDSBREV
Afstemning