Im Dezember 2017 habe ich meinen Glasfaser Internet Anschluss von iWay Internet Economy 100/100 Mbit/s auf ewb.INTERNET VOUGAS 1000/1000 Mbit/s upgraded.
Mit diesem Update war auch ein Wechsel der Hardware für meine pfSense Firewall nötig. Der vorher eingesetzte APU1D4 mochte Gigabit Traffic nicht durchbringen. Trotz Gigabit Ethernet Karten, DualCore x64 CPU und 4GB RAM, konnte auch bei minimaler Firewall Konfiguration höchstens eine Bandbreite von 300MBit/s erreicht werden.
Obwohl ich bei ewb.INTERNET gratis eine Fritzbox 5490 erhalten hätte, entschied ich mich weiterhin für die pfSense Lösung. Anstelle der Fritzbox wählte ich einen CTS MCT-3002-DR Medien Konverter um das optische Signal in ein elektrisches umzuwandeln.
Nun musste nur noch die passende Firewall Hardware gefunden werden.
Folgende Bedingungen sollten erfüllt werden:
- Passive Kühlung
- Geringer Energieverbrauch
- Kleines Gehäuse
- Serielle Schnittstelle
- Hardware / CPU Crypto Modul
Ich entschied mich schlussendlich für ein Shuttle DS77U Barebone:
- Intel(R) Celeron(R) CPU 3865U @ 1.80GHz
- Lüfterloses Heatpipe-Kühlsystem
- Corsair ValueSelect SO-DDR4 4GB RAM
- Transcend MTS600 M.2 2260 32 GB SSD
- 2 x Intel Gigabit LAN (i211 und i219LM PHY)
- 2 x COM-Port (RS-232)
- Stromverbrauch im IDLE 7-8W
Kostenpunkt: ~360CHF (Dez 2017)
Vor der pfSense Installation habe ich das BIOS auf die neuste Version gebracht, anschliessend konnte ich pfSense (2.4.2) per USB Stick und Serial Konsole installiert. Nach erfolgter Basis Installation habe ich die Konfiguration der alten pfSense Firewall eingespielt.
Seit ein paar Tagen läuft darauf die neuste pfSense Version 2.4.3.
Die Firewall läuft im Dual Stack Betrieb (IPv4 mit NAT und IPv6), da ewb.INTERNET jeweils pro Kunde ein IPv6 /56 Subnetz zuweist.
Folgende Dienste sind im Einsatz:
- Unbound (DNS Resolver)
- pfBlocker-NG
- Snort
- HAProxy
- OpenVPN
- NtopNG
Die CPU Auslastung ist trotz der vielen Dienste, insbesondere Snort und pfBlocker-NG sehr gering. Auch die CPU Temperatur ist im Vergleich zum APU1D4 nur noch halb so hoch (28°C vs. 60°C).
Die maximale Bandbreite gemäss Speedtest.net ist wie folgt:
Damit hat die neue Hardware meine Anforderungen vollumfänglich erfüllt und die maximale Bandbreite kann abgerufen werden.
12. März 2019 um 21:56 Uhr
Guten Abend
ich habe bei mir zuhause ein gleiches Gerät und wollte mich mal erkundigen, ob du per Zufall mal IPv6 damit konfiguriert bzw. zum Laufen gebracht hast.
Mit besten Grüssen
Martin
17. März 2019 um 09:12 Uhr
Hallo Martin
Ja, ich betreibe die Firewall im Dualstack Mode.
Die Konfiguration ist aber etwas abhängig vom Provider.
Bei ewb.Internet erhält man jeweils ein /56 IPv6 Subnetz via DHCP6.
Ich werde meine Konfiguration mal verbloggen.
Gruss
Tobias