Archiv für den Monat: Dezember 2016

Hardwaretest: scope7-1010 Firewall Appliance

Lieferumfang: Netzteil, Stromkabel, Appliance

Hinweis: Ich stehe in keinem persönlichen oder gewerblichen Verhältnis mit der Firma Landitec und bekomme für dieses Review keinerlei Zuwendung. Aus Interesse an einer kleinen Lösung zum Einsatz der Sophos UTM im Heimbereich hatte ich um eine Leihstellung gebeten. Die scope7-1010 wird nicht als Sophos UTM Appliance angeboten oder beworben. 

Rückseite (Reset, USB 2.0, HDMI, Konsole, Strom)

Die „scope7-1010“ Firewall Appliance welche mir freundlicherweise von der Firma Landitec leihweise zur Verfügung gestellt wurde basiert auf einem Intel Atom E3825 CPU (Bay Trail) mit 1.33Ghz und einer TDP von 6 Watt. Vorderseitig sind 3 LAN Anschlüsse und ein USB 3.0 Port vorhanden. Auf der Rückseite befinden sich ein Reset Schalter, USB2.0-, HDMI-, Konsolen- und Stromanschluss. Das hier vorliegende Testgerät hat 4GB RAM und eine 32GB „half slim mSATA“ SSD verbaut. Das Gehäuse hat die Größe von etwa zwei übereinander gestapelten Musik CDs Hüllen und wird von einem externen Netzteil mit Strom versorgt. Dank Passivkühlung über das gut verarbeitete Metallgehäuse arbeitet die kleine Box komplett lautlos und wurde während des Tests nicht mehr als etwa Handwarm. Das Strommessgerät zeigte wäre der Installation und Betrieb im Mittel einen Wert von ca. 5.8 bis 6.5 Watt an.

Frontansicht (3x RJ45, 1x USB 3.0)

Die Installation von Sophos UTM gestaltet sich recht einfach. Dank HDMI Port und USB Ports ist die Firewall in 15-20 Minuten installiert. Die drei onboard Intel Netzwerkanschlüsse werden ohne Probleme erkannt.

Beim einfachen Routing von Port zu Port gibt es keine Überraschungen. Dank Intel NICs wird hier quasi voller Gigabit Durchsatz erreicht. Beim Speedtest im Internet mit vorgeschalteter Fritzbox wird die CPU nicht sichtbar belastet. Bei PPPoE Verbindungen ist hier je nach Anschluss mit einer kleinen CPU Last zu rechnen.

Zum messen des VPN Durchsatzes habe ich jeweils eine OpenVPN und eine RED Verbindung zu einer anderen Sophos UTM (VM auf einem ESX Host mit 2 Xeon Cores) aufgebaut. Bei der iperf „Gegenstelle“ handelt es sich um eine Ubuntu VM „hinter“ der Sophos UTM VM die mittels NAT angesprochen wird. Leider unterstützt die Sophos UTM nicht die AES Crypto Erweiterung der E3825 CPU des scope7-1010, so dass die Hauptarbeit hier der CPU überlassen wird ohne auf spezialisierte Befehlssätze zurückgreifen zu können. Auch beim Xeon 1220-V2 wird AES nicht durch die Sophos UTM unterstützt. Update: Scheinbar wird der AES Befehlssatz doch unterstützt. An dieser Stelle reiche ich in Kürze noch weitere Messwerte nach.

OpenVPN -P 1 mit iperf3:

[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 73.2 MBytes 61.4 Mbits/sec sender
[ 4] 0.00-10.00 sec 73.0 MBytes 61.3 Mbits/sec receiver

OpenVPN -P 8 mit iperf3:
[SUM] 0.00-10.00 sec 89.7 MBytes 75.2 Mbits/sec sender
[SUM] 0.00-10.00 sec 88.8 MBytes 74.5 Mbits/sec receiver

Leider läuft OpenVPN immer nur auf maximal einem Kern pro Verbindung. Interessanterweise war der Download einer 1GByte großen Testdatei von einer Synology Diskstation mit etwa 90-95Mbits über die OpenVPN Verbindung abgewickelt worden.

Bei dem RED Tunnel sah es im Vergleich zur OpenVPN schon besser aus. Da es kaum einen Unterschied machte mehr als 2 parallele Threads unter iperf3 zu nutzen, habe ich es hier bei 2 belassen.

RED Tunnel -P 2mit iperf3:
[SUM] 0.00-10.00 sec 202 MBytes 170 Mbits/sec sender
[SUM] 0.00-10.00 sec 202 MBytes 170 Mbits/sec receiver

Bei einzelner RED Verbindungen habe ich um 130 Mbit/sec gemessen. (Dies wäre beim Transfer einer Datei z.B. per SMB der Fall)

Fazit: Im mittleren 400 € Preissegment findet man hier eine komplett fertige offene Firewall Appliance eines deutschen Distributors die sich prima als kleine, lautlose und stromsparende Komplettlösung mittels Sophos UTM oder anderer Software Lösungen um das heimische Netzwerk oder einer kleinen Firmen Außenstelle kümmert. Sollen Dinge wie IPS, Webfilter und weitere Features für alle internen Netze aktiviert werden, so wird man hier in einem größeren Umfeld an die Grenzen der verbauten dual Core Atom CPU stoßen. Legt man allerdings Wert auf die Firewall, Routing und VPN Anbindung in einem möglichst kleinen Gehäuse mit wenig Stromaufnahme und zukünftiger Vorbereitung von Hardware AES ist man hier genau richtig.

Externe LinksLanditec Produktübersicht „Open-Source Firewall