Archiv der Kategorie: Hardware

Kurzreview: Landitec scope7-7525

Zusätzlich zum scope7-1010 durfte ich noch den scope7-7525 von Landitec testen. Auf ein größeres Umfeld ausgelegt, ist diese handliche, voll passiv gekühlte Appliance mit sechs statt drei Intel basierenden Netzwerkports ausgestattet. Zur Installation kommt hier der serielle Konsolenport zum Einsatz. Da es sich hier um professionelle Hardware handelt, ist kein HDMI Anschluss vorhanden.

Als CPU kommt statt dem Dual Core Atom ein echter Quad Core Atom zum Einsatz. Die OpenVPN Transferraten sind dank der vier Kerne deshalb besser als beim scope7-1010, in etwa doppelt so schnell (im Schnitt 138 Mbits/sec mit iperf gemessen). Bei der Nutzung eines RED Tunnels bekommt man ca. 214 Mbits/sec Durchsatz statt 170Mbits/sec.

OpenVPN Iperf3 Messwert (-P 8)
[SUM] 0.00-10.00 sec 188 MBytes 158 Mbits/sec sender
[SUM] 0.00-10.00 sec 187 MBytes 157 Mbits/sec receiver

Red Tunnel Messwert (-P 2)
[SUM] 0.00-10.00 sec 255 MBytes 214 Mbits/sec sender
[SUM] 0.00-10.00 sec 255 MBytes 214 Mbits/sec receiver

Fazit: Interessant ist dieses Gerät in Netzwerkumgebung, in denen mehr als drei Schnittstellen gebraucht werden und der OpenVPN Durchsatz (etwa bei mehreren Site2Site Verbindungen oder Außendienstmitarbeitern) entscheidender ist. Durch die passive Gehäusekühlung ist auch diese Appliance völlig geräuschlos und findet sicher in jeder Installation ihren Platz.

Externer Linkhttps://www.landitec.com/products/open-source-appliance-solutions/scope7-open-source-firewall 

Hardwaretest: scope7-1010 Firewall Appliance

Lieferumfang: Netzteil, Stromkabel, Appliance

Hinweis: Ich stehe in keinem persönlichen oder gewerblichen Verhältnis mit der Firma Landitec und bekomme für dieses Review keinerlei Zuwendung. Aus Interesse an einer kleinen Lösung zum Einsatz der Sophos UTM im Heimbereich hatte ich um eine Leihstellung gebeten. Die scope7-1010 wird nicht als Sophos UTM Appliance angeboten oder beworben. 

Rückseite (Reset, USB 2.0, HDMI, Konsole, Strom)

Die „scope7-1010“ Firewall Appliance welche mir freundlicherweise von der Firma Landitec leihweise zur Verfügung gestellt wurde basiert auf einem Intel Atom E3825 CPU (Bay Trail) mit 1.33Ghz und einer TDP von 6 Watt. Vorderseitig sind 3 LAN Anschlüsse und ein USB 3.0 Port vorhanden. Auf der Rückseite befinden sich ein Reset Schalter, USB2.0-, HDMI-, Konsolen- und Stromanschluss. Das hier vorliegende Testgerät hat 4GB RAM und eine 32GB „half slim mSATA“ SSD verbaut. Das Gehäuse hat die Größe von etwa zwei übereinander gestapelten Musik CDs Hüllen und wird von einem externen Netzteil mit Strom versorgt. Dank Passivkühlung über das gut verarbeitete Metallgehäuse arbeitet die kleine Box komplett lautlos und wurde während des Tests nicht mehr als etwa Handwarm. Das Strommessgerät zeigte wäre der Installation und Betrieb im Mittel einen Wert von ca. 5.8 bis 6.5 Watt an.

Frontansicht (3x RJ45, 1x USB 3.0)

Die Installation von Sophos UTM gestaltet sich recht einfach. Dank HDMI Port und USB Ports ist die Firewall in 15-20 Minuten installiert. Die drei onboard Intel Netzwerkanschlüsse werden ohne Probleme erkannt.

Beim einfachen Routing von Port zu Port gibt es keine Überraschungen. Dank Intel NICs wird hier quasi voller Gigabit Durchsatz erreicht. Beim Speedtest im Internet mit vorgeschalteter Fritzbox wird die CPU nicht sichtbar belastet. Bei PPPoE Verbindungen ist hier je nach Anschluss mit einer kleinen CPU Last zu rechnen.

Zum messen des VPN Durchsatzes habe ich jeweils eine OpenVPN und eine RED Verbindung zu einer anderen Sophos UTM (VM auf einem ESX Host mit 2 Xeon Cores) aufgebaut. Bei der iperf „Gegenstelle“ handelt es sich um eine Ubuntu VM „hinter“ der Sophos UTM VM die mittels NAT angesprochen wird. Leider unterstützt die Sophos UTM nicht die AES Crypto Erweiterung der E3825 CPU des scope7-1010, so dass die Hauptarbeit hier der CPU überlassen wird ohne auf spezialisierte Befehlssätze zurückgreifen zu können. Auch beim Xeon 1220-V2 wird AES nicht durch die Sophos UTM unterstützt. Update: Scheinbar wird der AES Befehlssatz doch unterstützt. An dieser Stelle reiche ich in Kürze noch weitere Messwerte nach.

OpenVPN -P 1 mit iperf3:

[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 73.2 MBytes 61.4 Mbits/sec sender
[ 4] 0.00-10.00 sec 73.0 MBytes 61.3 Mbits/sec receiver

OpenVPN -P 8 mit iperf3:
[SUM] 0.00-10.00 sec 89.7 MBytes 75.2 Mbits/sec sender
[SUM] 0.00-10.00 sec 88.8 MBytes 74.5 Mbits/sec receiver

Leider läuft OpenVPN immer nur auf maximal einem Kern pro Verbindung. Interessanterweise war der Download einer 1GByte großen Testdatei von einer Synology Diskstation mit etwa 90-95Mbits über die OpenVPN Verbindung abgewickelt worden.

Bei dem RED Tunnel sah es im Vergleich zur OpenVPN schon besser aus. Da es kaum einen Unterschied machte mehr als 2 parallele Threads unter iperf3 zu nutzen, habe ich es hier bei 2 belassen.

RED Tunnel -P 2mit iperf3:
[SUM] 0.00-10.00 sec 202 MBytes 170 Mbits/sec sender
[SUM] 0.00-10.00 sec 202 MBytes 170 Mbits/sec receiver

Bei einzelner RED Verbindungen habe ich um 130 Mbit/sec gemessen. (Dies wäre beim Transfer einer Datei z.B. per SMB der Fall)

Fazit: Im mittleren 400 € Preissegment findet man hier eine komplett fertige offene Firewall Appliance eines deutschen Distributors die sich prima als kleine, lautlose und stromsparende Komplettlösung mittels Sophos UTM oder anderer Software Lösungen um das heimische Netzwerk oder einer kleinen Firmen Außenstelle kümmert. Sollen Dinge wie IPS, Webfilter und weitere Features für alle internen Netze aktiviert werden, so wird man hier in einem größeren Umfeld an die Grenzen der verbauten dual Core Atom CPU stoßen. Legt man allerdings Wert auf die Firewall, Routing und VPN Anbindung in einem möglichst kleinen Gehäuse mit wenig Stromaufnahme und zukünftiger Vorbereitung von Hardware AES ist man hier genau richtig.

Externe LinksLanditec Produktübersicht „Open-Source Firewall

HBA Modus auf HP P420 aktivieren

um z.B. FreeNAS mittels eines HP P420 Raid Controllers zu versorgen kann man diesesen über das Tool „hpssacli“ in den hba Modus versetzen. Er gibt seine Platten dann 1:1 weiter.

Das HPSSACLI Tool ist z.B. Bestandteil der „HP Service Pack for Proliant“ DVD die es bei bestehender Garantie zum Download direkt bei HP gibt.

  1. Von der HP SPP ISO starten und den „interactive“ Modus auswählen.
  2. im HP Smart Storage Admin nun ein ggf. noch bestehendes Array löschen (Daten gehen verloren!)
  3. Das Tool verlassen und im Hauptbildschirm folgende Tastenkombination drücken: „Strg + Alt + d + b +x“ – es sollte sich eine CLI öffnen
  4. in der CLI wechseln wir nun das Verzeichnis „cd /opt/hp/hpssacli/bld/“
  5. Mittels „./hpssacli ctrl all show config“ nachschauen auf welchem Slot der P420 sitzt. In meinem Fall war das Slot 2
  6. Nun setzen wir mit dem Befehl „./hpssacli controller slot=2 modify hbamode=on forced“ den Controller in dem HBA Modus. Exit und Neustart -> FERTIG.

Zusatzinfo: Sollte man den Raid Controller wieder nutzen wollen ohne HBA Modus muss man das ganze in abgewandelter Form wiederholen. statt „hbamode=on“ wird dann „hbamode=off“ eingetragen und die Raid Funktionalität steht wieder zur Verfügung.

Zusatzinfo2: Der P420 eignet sich unter ESXi 6.0U2 nicht zum Durchreichen an eine virtuelle Maschine!

Externe Links: https://kallesplayground.wordpress.com/useful-stuff/hp-smart-array-cli-commands-under-esxi/