Nachfolgesystem für APU.1D4

Info aus Reddit:

Mit pfSense 2.4.3 wird man auf der Basis von Intel Atom C3000-Boards ein leistungsfähiges System basteln können. Will man VPN nutzen sollte man nicht kleckern.

Aber mit ca. 200 Euronen ist man natürlich nicht dabei.
 
Okay, das hier ist als APU1D4 Nachfolger für den Hausgebrauch etwas Overkill.

Naja, ein C3338 ist ja auch um Längen leistungsfähiger als eine APU2C4.

Die Frage steht:

"Ist der Geldbeutel gut bestückt?"
 
Hallo zusammen,

ich suche auch einen Nachfolger der APU1D4 für pfSense, aber jetzt gleich mit mehreren NICs. Die USB-Karten halte ich für instabil.

Suche:
  • lüfterlos
  • stromsparend
  • mindestens 2x PCI-Steckplätze für Quad-Karten
Was gibts da?

Danke & Grüße
b4e
 
Switche gibt's da, Switche mit VLANs. Dann braucht man nicht tausend Ports, mit denen das kleine System eh überfordert ist.
 
bsd4ever: Ne x86er CPU, die Linerate auf 2 x 10 x 1Gb/s (zwei Quadport NICs und die beiden onboard NICs) schafft, wirst du nur mit einer echt aufwendigen Lösungen passiv kühlen können. Da wären wir bei >14Mpps In und Out. Warum willst du soviele 1Gb/s Ports an einem Router haben? Die FreeBSD und OpenBSD Softwarebridges wären damit auch überfordert. Du müsstest also fleissig Routen ohne noch groß Reservern für ne Firewall zu haben. Brauchst du solchen Durchsatz wirklich und falls ja wieso muss das ganze passiv gekühlt sein?
 
Hi,

5 IPs am Unitymedia Business Anschluss in Baden-Württemberg lassen sich offenbar nicht anders nutzen als mit jeweils einer NIC pro IP. Daher brauche ich dafür schonmal 5.
Und Tagged based VLAN kommt nicht in Frage. Ich brauche auch nicht 1Gig Durchsatz permanent an allen Ports. Es gibt nur einen Fileserver und 1-2 Clients dafür. Fertig aus..

Aber das alles war garnicht meine Frage, wieso muss ich mich hier rechtfertigen? Ich suche ein kleines System mit 2-3 PCI Steckplätzen. Wie bekommtn man sowas energiesparend hin?
z.b. so ein board... https://www.supermicro.com/products/motherboard/Xeon/C220/X10SLL-F.cfm nur weiss ich halt nicht, welche CPUs dann dafür gut wären oder obs da noch andere Boards für geeignetere CPUs gibt...

Freue mich auf konstruktive Hinweise.

Grüße
 
Fangen wir doch mal damit an: "5 IPs am Unitymedia Business Anschluss in Baden-Württemberg lassen sich offenbar nicht anders nutzen als mit jeweils einer NIC pro IP."

Woher kommt das? Wer sagt das? Auf welchen Erkenntnissen basiert das? Das ist nämlich garantiert Unsinn.

"Und Tagged based VLAN kommt nicht in Frage."

Warum nicht? Was spricht dagegen?

"Aber das alles war garnicht meine Frage, wieso muss ich mich hier rechtfertigen?"

Weil du selber merkst, dass deine Anforderung so exotisch ist, dass anscheinend niemand Hardware dafür baut. Da sollte man man ins Grübeln kommen, ob das alles so sinnvoll ist, was man so treibt.
 
Wieso man dafür 5 NICs braucht, ist mir schleierhaft, aber sei's drum.

Für oben genanntes Board stehen die CPUs direkt unter Key Features, 1. Punkt. Wenn du den vollen Durchsatz aber nicht konstant benötigst, kannst du dafür aber evtl. auch einen Komplettrechner hernehmen, die deutlich günstiger zu bekommen sind als Supermicro Boards mit Xeons drauf.

Warum schließt du VLANs kategorisch aus? Das es nach außen nicht geht, ist ja ok, aber dafür könnte man die 5 IPs ja auf die externe Karte packen. Intern kann man das Netz dann mit VLANs schön und einfach segmentieren, ohne, dass man da für jedes Segment einen Port hernimmt. Auf dem Switch möchtest du es ja auch gegeneinander abgeschottet haben, und spätestens hier solltest du VLANs hernehmen, oder nimmst du für jedes Segment auch einen eigenen Switch? ;)

EDIT: es geht hier auch nicht um Rechtfertigungen sondern eher um Netzdesign, ohne das ganze in eine Hardware- und Kabelschlacht ausarten zu lassen.
 
hi

es gibt von lanner entsprechende systeme , einfach mal bei der bucht unter computer nach dem namen suchen.

alternativ , falls openbsd auch eine option ist, der edgerouter mit 8 ports von ubnt

holger
 
Hi Crest
das system schaut ja ganz gut aus. Zwar nur ein PCI SLot, aber dafür 4 Ports schon onboard, also 8 maximal, das reicht dicke ;)
Kostet ca 560€, günstiger ist natürlich immer gut ;) Was machen die Intel Atom C3000 Systeme, gibts da was?

Preislich ist sowas interessant(er), jedoch hat der Celeron kein AES-NI: https://www.amazon.com/HCiPC-B204-1-HCL-SC1037-8LB-Appliance-Motherboard/dp/B01LA8O16Y

Ich bin kein vollprofi, einzelne board-empfehlungen sind also nicht ausreichend, am liebsten ein komplettsystem... HDD kann ich aber noch dazukaufen:)

Nochmal zum Netzwerk. Ich möchte die VOIP Telefone und den Drucker in ein separtes Netzwerk stecken. VLAN. Port Based. Also über pfSense. Habe einen großen HP managed switch, dort habe ich natürlich dann ein port based vlan, also quasi virtuelle switche dafür. dann muss ich mich nicht mit VLAN config usw an den endgeräten herumschlagen. habe das neulich mal mit tagged vlan versucht und es war offenbar so, was ih nicht zu glauben vermag, dass es mit windows 10 und intel nics nicht ging! (treiber). seit dem will ich damit nixmehr zu tun haben. und so ganz sicher ist es ja auch nicht, weil man dann das gleich mit crypto certs absichern müsste, damit es dicht ist (802.1X)

also VLAN port based direkt am Router:

  • Drucker + VoIP
  • Fileserver
  • LAN - Workstations
  • WLAN Hotspot Gäste
  • ein paar Unitymedia IP Adressen pro NIC Port - wenn ich da alle 5 nutzen wollte, müssten es so schon 9 NICs sein...
Wie man sieht, ist da kein großer Gesamtdurchsatz nötig... einzug LAN <-> Fileserver sind GigE wichtig. Oder man nimmt den Fileserver gleich ins LAN...

Viele Grüße
und vielen Dank für eure Zeit/Expertise!
b4e
 
VLANs macht man tagged natürlich nur zum Router hin, wo die ganzen VLANs zusammenlaufen. Die Endgeräte sind von Tagging überhaupt nicht betroffen und müssen das auch nicht können.

802.1x ist eine völlig andere Baustelle.

Diese groben Verständnismängel belegen indirekt auch, dass dieses "5 NICs für 5 IP-Adressen" auch ein riesen Missverständnis sein muss, denn das ergibt für Netzwerker keinen Sinn. NIC-zu-Switch-Verbindungen sind OSI-Schicht 1. Alles, was Schicht 2 ist, ist davon schon völlig unabhängig und kann nach Belieben mit VLANs gemacht werden, ohne dass die Anwendung auf Schicht 2 irgendwas davon wissen muss. Und IP-Adressen auf Schicht 3 sind davon erst recht nicht betroffen. Also kann es gar keine Anforderung geben, die pro IP-Adresse eine Netzwerkkarte nötig macht.

Dein ganzes Vorhaben kannst du mit einem einzigen Port am Router komplett abhandeln. Mehr Ports brauchst du nur, wenn auch der Durchsatz benötigt wird.
 
Ich bin zwar (zum Glück) nicht im Einzugsbereich von Unity Media, aber hat man da nicht wie bei jedem anderen Kabelanbieter auch ein Modem oder einen billigen Plastikrouter, der am LAN-Ende ganz normal IP spricht? Das legt man dann auf den Switch auf und tagt dort portbasierende VLANs rauf...
 
Zuletzt bearbeitet:
Was machen die Intel Atom C3000 Systeme, gibts da was?

Nun, Netgate wird wohl in noch in diesem Jahr ein Gerät mit dem C3558 rausbringen. Für den Hausgebrauch natürlich Overkill wie ich hier schon mal geschrieben habe.

Bei Lanner soll es ja auch brauchbare Teile geben. Keine Ahnung ob da künftig Atom C3000 drin steckt.
 
Da in den Anforderungen VPN keine Rolle spielt, wird z. B. eine APU2C4 als Ersatz der APU1D4 durchaus tauglich sein. Ist stromsparend, nicht sehr preisintensiv und kann sogar AES-NI.

Ein Switch ist ja bereits vorhanden um VLAN zu nutzen.
 
ARM kann man meiner bescheidenen Meinung nach für sowas nach wie vor vergessen und es schaut nicht danach aus, dass es 2018 anders werden würde. Trotz Hype. Nicht, weil ARM eine schlechte ISA wäre, sondern weil alle real verfügbaren und bezahlbaren ARM-Boards auf irgendwelchen bröseligen Smartphone-SoCs basieren. Die sind oft Jahre alt, bzw. halbherzige Neuaufgüsse Jahre alter SoCs und entsprechend langsam. Die Unterstützung ist auf Blobs angewiesen und selbst wenn nicht mangels Verbreitung und ernsthafter Nutzung eher wackelig.

Die beste Wahl sind im Moment wohl Intels Apollo Lake Atoms, die im September vorgestellt wurden und nun langsam in den Markt sickern. Boards beginnen bei ~50€ für 2 Kerne oder ~70€ für gleich 4 Stück. Es gibt einen PCIe-Slot für normale PCIe-Karten, einige Boards haben auch einen Mini-PCIe, wodurch man sich den Adapter für die WLAN-Karte spart. Das Problem ist eher der RAM, er ist derzeit generell schon abartig teuer und der benötigte DDR3L noch mal ganz besonders. Aber das Problem hat man direkt oder indirekt überall.

Und als Nachtrag noch einen Link: https://geizhals.de/?cat=mbson&xf=11832_Apollo+Lake~3760_Intel

Ich hänge mich dann nochmal hier ran! Ich spiele gerade mit dem Gedanken, mir das hier zu kaufen, das hat ja schon bessere Specs als eine APU:
https://geizhals.de/gigabyte-ga-j3455n-d3h-a1603478.html?hloc=at&hloc=de

Dazu 4GB, DDR3L-1866, gibt es für 30€. (Ein Riegel würde erstmal reichen, oder ist der stark auf Dual Channel angewiesen?)

Allerdings frage ich mich gerade noch folgende Dinge:
  • Ich habe noch eine PicoPSU (60W), damit sollte ich das locker versorgt bekommen, oder?
  • Ist der Stromverbrauch tatsächlich ~10W am Ende oder brauchen die doch deutlich mehr als eine APU?
  • Ich würde dieses Gehäuse nehmen, spricht da etwas gegen? Gibt es eigentlich auch 19"-Gehäuse die die Backpane vorne zeigen, so dass ich einfacher die Rj45-Ports "ver-patchen" kann?
  • Die Netzwerkkarten unterstützen tag-basiertes VLAN, oder? Ich bekomme nämlich von den AccessPoints je nach SSID unterschiedlich getaggte Pakete (über den Switch) an die Firewall und die soll u.A. allen traffic des einen VLANs über Tor rausschicken; idealerweise sollen per ethernet angebundene Hosts über ihre VLAN-id wählen können ob sie direkt rausgehen, über VPN, oder über Tor, aber damit muss ich noch rumspielen, damit kenne ich mich noch nicht aus
Als OS soll am Ende pfSense oder OPNsense auf dem Gerät laufen. Es soll die Dienste DHCP und DNS anbieten und als Firewall zwischen dem Netz und dem Internet dienen (bzw. momentan noch einem zwischengeschalteten O2-Router). Außerdem, wie gesagt OpenVPN und Tor.

Danke für Feedback schonmal!
 

Nun, mit dem Realtek-Ports des Gigabyte-Teiles könnte ich nicht leben. Da ist eine APU2C4 besser bestückt. Auch vom Energieverbrauch ist die APU2 günstiger. Der Nachteil einer APU2 ist aber die mickrige OpenVPN Leistung. Da kann das Gigabyte-Teil sicher punkten.

Fazit aus meiner bescheidenen Sicht:

Weder eine APU2 noch so ein Gigabyte-Teil kommt mir ins Haus. Wenn es um den Ersatz der APU1D geht werde ich nicht rumkleckern. Man wechselt die Unterhose ja öfter als diese sehr spezielle Hardware.
 
Ich habe noch eine PicoPSU (60W), damit sollte ich das locker versorgt bekommen, oder?
Ja, das sollte problemlos reichen. Zumindest solange du nicht mehrere schnelldrehende Festplatten anhängst.

Ist der Stromverbrauch tatsächlich ~10W am Ende oder brauchen die doch deutlich mehr als eine APU?
Also, die 10W sind die TDP der CPU. Der Wert ist durch immer ausgefeilteres Powermanagement inzwischen so ziemlich nichtssagend und gibt eigentlich nur noch an, wie viel Abwärme das Kühlsystem dauerhaft abführen können muss. Generell lässt sich der Leerlaufverbrauch nur noch schlecht schätzen, denn die CPU ist - ganz unabhängig davon, ob es eine Low-Power-CPU oder eine ausgewachsene Xeon-Workstation-CPU ist - vernachlässigbar. Im Leerlauf sind eher das Mainboard mit seinen diversen Zusatzchips und Laufwerke relevant. Mal so als sehr grober Anhaltspunkt: Mein HTPC ist eine Zotac Z-Box BI323 mit einem alten Celeron N3150 (4 Kerne, 6W TDP). Zusammen mit 2GB RAM und einer 2TB 2,5" Festplatte braucht das Ding im Leerlauf ca. 4,5W unter Volllast ca. 12W.
 
Eben übersehen:

Die Netzwerkkarten unterstützen tag-basiertes VLAN, oder?
Das kann FreeBSD zur Not auch in Software, aber können sie, ja. Eigentlich alle neueren Realtek-NICs können: <RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC,LINKSTATE> Wie gut oder schlecht die NICs sich verhalten hängt hauptsächlich davon ab ob Gigabyte es nötig hat ein einigermaßen aktuelles Firmware-ROM anzubieten oder ob da irgendeine fischige Beta-Version aus der Entwicklungsphase läuft, wie das leider zu oft der Fall ist. Weil Updates kosten ja Geld.
 
Netgate bietet derzeit diverse ARM-Teile (SG-3100, SG-1000) wie Sauerbier an.

Nun, ich werde mich an diesen Teile nicht vergreifen. Sie sind von der Leistung nicht berauschend (eine SG-1000 ist unterirdisch) und laufen nur mit Images von Netgate.

Was bleibt? Nun, das soll jeder für sich beantworten.
 
Nun, mit dem Realtek-Ports des Gigabyte-Teiles könnte ich nicht leben. Da ist eine APU2C4 besser bestückt.

Das habe ich auch gedacht, allerdings geht über die Ports ja "nur" der Traffic nach draußen, da bin ich froh wenn ich dieses Jahr 100|40 Mbit/s bekomme, von GBit/s bin ich da noch weit entfernt, da ist der Durchsatz auf dem Device nicht der Bottleneck, glaube ich. Und wenn sie das Tagging auch auf Device-Ebene hinbekommen, wie @Yamagi schreibt, dann sollte das alles passen.

Der Nachteil einer APU2 ist aber die mickrige OpenVPN Leistung. Da kann das Gigabyte-Teil sicher punkten.
Das hingegen ist für mich schon relevant. Ein Großteil des ausgehenden Traffics wird über OpenVPN laufen, das darf auf keinen Fall ein Bottleneck sein.

OT: In diesem Kontext vielleicht interessant, insbesondere für schwächere Geräte und AMR*: https://github.com/znuh/frivpn

Ja, das sollte problemlos reichen. Zumindest solange du nicht mehrere schnelldrehende Festplatten anhängst.

Es wird eine ältere SSD dranhängen, oder sogar ein USB3-Stick, mal gucken.

al so als sehr grober Anhaltspunkt: Mein HTPC ist eine Zotac Z-Box BI323 mit einem alten Celeron N3150 (4 Kerne, 6W TDP). Zusammen mit 2GB RAM und einer 2TB 2,5" Festplatte braucht das Ding im Leerlauf ca. 4,5W unter Volllast ca. 12W.

Ah, ok, danke für den Referenzpunkt. Habe allerdings gemerkt, dass meine PicoPSU noch ATX 20-pol hat und nicht ATX-24pol + 4pol. Aber wer weiß ob die CPU tatsächlich den P4-Stecker nutzt, sonst kann ich einen der Festplatten-Stecker ja konvertieren.

Wie gut oder schlecht die NICs sich verhalten hängt hauptsächlich davon ab ob Gigabyte es nötig hat ein einigermaßen aktuelles Firmware-ROM anzubieten oder ob da irgendeine fischige Beta-Version aus der Entwicklungsphase läuft, wie das leider zu oft der Fall ist. Weil Updates kosten ja Geld.

Ah, interessant. Kann ich das feststellen irgendwie? Bzw. aktualisiert ein neues EFI dann auch die Netzwerkkarte oder ist das das wirkliches ROM?
 
Ah, interessant. Kann ich das feststellen irgendwie? Bzw. aktualisiert ein neues EFI dann auch die Netzwerkkarte oder ist das das wirkliches ROM?
Das ist ein im Netzwerkchip integriertes EEPROM, was aber durchaus vom UEFI aus geflasht werden kann. Daher kann ein neues UEFI auch ein neues Firmware-ROM mitbringen. FreeBSD ist da leider recht rudimentär, es ließt nicht mal eine Versionsnummer aus. Linux Treiber kann aber durchaus Firmware aus Dateien nachladen, ich weiß aber nicht, ob er sie dauerhaft ins EEPROM schreibt oder nur zur Laufzeit einbindet.
 
  • Like
Reaktionen: h^2
Zurück
Oben