Kategorien-Archiv Review

pfSense Firewall auf gebrauchter Hardware – lohnt sich das?

Kaufmännisch und im Hinblick auf Zuverlässigkeit ist gebrauchte Hardware für eine professionelle Firewall durchaus eine Überlegung wert.

Werfen wir einen Blick auf den Kostenvergleich und dazu gebe einige Erfahrungen mit gebrauchter Hardware zum Besten.

Wer eine oder mehrere Filialen hat, und/oder in seinen Firmenräumen WLAN für Betriebsfremde oder Besucher anbieten möchte, kommt um eine gute Firewall nicht herum. Als wahres Universalgenie hat sich hier die pfSense herauskristallisiert, da es sich um eine skalierbare Lösung handelt, die nahezu jede Anforderung abdeckt. VPNs, Proxy, Antivirus, Certificates und derlei mehr sind mit pfSense konfigurierbar – je nach Hardware.

Die Software basiert auf FreeBSD und lässt sich auch auf PC-Hardware oder in Virtuellen Maschinen installieren. Da diese Systeme 24/7 in Betrieb sind, hat eigens für Firewalling/Routing abgestimmte Hardware durchaus ihre Berechtigung: diese braucht zumeist weniger Strom als vergleichbare PCs. Hauptsponsor und Lieferant der pfSense-Firewalls ist Netgate, ein Texanischer Anbieter ebensolcher, auf Routing und Firewall abgestimmter, Systeme. Aber die Amis lassen sich die Systeme auch ganz gut bezahlen, was immer wieder ein Grund ist, sich nach Alternativen umzusehen.

Probieren wir es aus:

gebrauchte Hardware WatchGuard Firebox mit pfSense Firewall für den professionellen Einsatz

WatchGuard Firebox: gebrauchte Hardware mit pfSense Firewall für den professionellen Einsatz

Für ein Projekt haben wir uns nun eine gebrauchte WatchGuard Firebox zugelegt, und da pfSense drauf installiert.

Das Gerät fanden wir gut, weil es 8 Gigabit-LAN-Anschlüsse an der Geräte-Vorderseite hat, und der Rest der technischen Daten war auch OK. Der Massenspeicher ist eine CompactFlash Card – im Original mit 256 MB – wir haben eine 4GB-Karte eingebaut, aber dazu später mehr. Das Gerät hat sogar einen Festplatten-Einschub, mit einem stärkeren Prozessor wäre sogar ein Proxy-Cache kein Problem.

Die Watchguard hat 8 Gigabit-Ports, von denen wir allerdings „nur“ 6 benötigen, vergleichbar wäre das mit der NetGate SG4860, von 19-Zoll Formfaktor und dem moderneren Prozessor mal abgesehen. Das werfen wir mit den 2 extra-Ports in die Waagschale, dann passt es wieder. Die NetGate liegt bei 800 $, also mit Versandkosten bei rund 800 Euro – das soll als Größenordnung reichen. Der Zoll möchte zwar 19% Mehrwertsteuer haben, aber das ist in einem Betrieb mit derartigem Bedarf irrelevant. In einem anderen Projekt haben wir die 19-Zoll Variante mit Extra-Disk eingesetzt, die schlug dann deutlich kräftiger zu Buche.

Dagegen bekommt man die Watchguard 1250e für knapp unter 400 Euro; es gehen auch mal welche für 200 raus, aber auch andere für 500. Die 400 Euro nehmen wir als kalkulatorische Größe.

Die Installation:

Um pfSense darauf zu installieren, benötigt man ein Nullmodemkabel, einen seriellen Port oder passenden USB-Adapter (siehe Bild), eine CF-Card mit 2 oder 4 GB, ein Lesegerät dafür als Werkzeuge, und das KnowHow und die Befähigung, damit auch umgehen zu können. Serielle Konsole und Diskimages sollten bekannt sein.

Allein die pfSense-Installation schreibt zwar knapp 60 Minuten auf die CF-Card, in der Zeit kann man aber die anderen Dinge Erledigen (BIOS Flashen etc) die zu tun sind. Nach der Grundinstallation muss man noch einige Anpassungen vornehmen, z.B. die Software für das LCD und die Kontrollampen installieren. Aufwand: ca. 2 Stunden – allerdings nicht beim ersten mal.

Wie das geht, teile ich am Ende des Artikels.

Die „Rechnung“

Sagen wir mal, als Installationspauschale 200 Euro, dann könnt man das als Service machen (hierbei ist allerdings die Garantie-Frage offen – speziall das BIOS-flashen ist nicht risikolos). Dann bleiben 25% reine Kosten-Ersparnis. Das Ergebnis zur neu gekauften Variante ist gut, hat aber: keine Garantie mehr, ältere Prozessoren (und damit bestimmt auch einen höheren Stromverbrauch), aber dafür 2 Ports mehr.

Benötigt man 8 Ports, hat man weniger die Wahl, bietet NetGate keine Variante mit mehr als 6 Ports an.

Bei kleineren Geräten (2- oder 4-Port) wäre der Aufwand der selbe, bei deutlich geringerem Spar-Potential. Also wenn überhaupt, lohnt es sich nur oberhalb der 4-Port-Grenze. Die Beschaffung der „Werkzeuge“ lohnt schon für eine einmalige Installation (rund 30 Eur).

Ein abschließendes Urteil kann man somit nicht fällen, kommt es doch immer auf die einzelne Situation an. Wer eine Entscheidung sucht, hat hier vielleicht ein paar Hilfen gefunden.

Erfahrung mit gebrauchter Hardware

Einen Rechner / Router / Switch etc., der 2 – 3 Jahre in einem Rechenzentrum gelaufen ist, und der jetzt aus dem Leasing heraus ist und dadurch auf dem Gebrauchtmarkt auftaucht, macht bestimmt keine Probleme. Eine gebrauchte Festplatte von ebay von privat ohne Gewährleistung hingegen, würde ich mir nicht mal ansehen.

Es gibt etliche Händler von gebrauchter Hardware, die genau die Komponenten aus dem ersten Beispiel mit Garantie anbieten.

Wir hatten auch gebrauchte Hardware im Einsatz, interessant sind dann (falls verfügbar) die Betriebsstatistiken. 26.000 Betriebsstunden bei 5 Einschaltvorgängen spricht für Rechenzentrums-umgebung – da kann man sich noch 5 Jahre drauf verlassen – das läuft. Mit derartigen „Kisten“ haben wir in den 15 Jahren Hardware-im-Rechenzentrum bessere Erfahrungen gemacht, als mit manchem Neugerät mit „Kinderkrankheiten“. Festplatten sind allerdings ein anderes Thema.

In unserem Fall sehe ich grundsätzlich zunächst kein Problem darin, eine Firewall als Gebrauchtgerät einzusetzen. Das von uns eingesetzt Gerät kam aus einem Universitäts-Rechenzentrum – also mit an Sicherheit grenzender Wahrscheinlichkeit aus einer klimatisierten Notstrom-versorgten Umgebung.


Links zu Seiten, auf denen steht wie man das macht

Wir sind vorgegangen nach:

https://www.hexhound.com/how-to-flash-pfsense-2-1-to-a-watchguard-firebox-x750e-x550e-ssl-500

Zusätzliche Treiber:

http://www.triebwerk23.de/joomla/index.php/firewalls/watchguard-firebox-x-core-e-x550e-x750e-x1250e-pfsense
Ab Punkt „D“.

Auf dieser Website findet man auch andere Beschreibungen zu pfSense-Installationen auf anderen Embedded-Systems.

 

Das Jahr 2017 ist schon da

Ich hab grad das erste Feuerwerks-Video von einem Freund aus Australien gesehen – das hat mich aus meiner Nachweihnachts-Dämmerung gerissen. Mein Jahreswechsel-Blogpost ist fällig.

Wie immer, zunächst der Blick zurück:

Der Ausbau der Verwendung des Proxy am AMSIX ist praktisch abgeschlossen. Auf dem Render-Server ist keine Domain mehr eingerichtet, die nicht auch Seiten liefert. Umgekehrt jedoch liefert der Proxy Seiten für Domains, die keine Webserver haben. Sehr effizient!

Unabhängig von Webseiten und Servern im „öffentlichen Raum“ des Internet, habe ich meine Aktivitäten im Segment der Filialvernetzung, VPN und Standortsicherheit weiter ausgebaut. Sicherheit und Verschlüsselung waren schon immer mein berufliches „Hobby“ und entwickelt sich nun zu einem Schwerpunkt von CRNET.

Unser „Bahnhofs-Projekt“ ist nach 4 Jahren dann endlich so weit vorangeschritten, das wir im März umziehen. (Phase 1: Wohnung und CRNET) Im Sommer/Herbst werden wir auch die restlichen Gewerberäume in Beschlag nehmen können. Dann kann ich auch wieder Kundengespräche / Meetings im Büro führen, was ja seit ein paar Jahren nicht mehr sinnvoll war.

Und der Blick nach vorn:

Im wesentlichen wird es so weiter gehen, wie im letzten Jahr: Ausbau der IT-Security-Dienstleistungen und Reduzierung der Online-Aktivitäten a.a.s..

Das Brot- und Butter-Geschäft der letzten 18 Jahre hat sich verändert. Mit Homepage-Erstellung kann man heute keinen Blumentopf mehr gewinnen. Die Systeme wie WordPress & Co. sind zu einfach geworden, die Endgeräte sind mobil und der Seitenbesucher meist nicht bereit mehr als 2 Zeilen zu lesen.

Auf der anderen Seite sind es unberechtigte Zugriffe und deren Folgen, die den Firmen zu schaffen machen. Davor kann man sich schützen. Auch das Cloud-Comuting sollte man nicht überbewerten! Es gibt keine Cloud, das sind immer Rechner, die jemand anderem gehören. In diesem Zusammenhang werde ich noch weiter an dem Projekt des persönlichen Servers arbeiten, dieser ist bereits in mehr als einem Dutzend Firmen in den verschiedensten Bereichen im Einsatz – hier auch. Meine Termine und Kontakte gehören in keine Cloud, nicht auf Facebook, nicht zu Apple oder Google.

Hier ist angestrebt, eine reproduzierbare, vervielfältigbare Lösung zu schaffen. Da es jetzt für Privatanwender den VMWare Workstation Player kostenlos gibt, steht hier eine Überarbeitung der Gesamtlösung samt Tutorial an.

Na dann: Glaskugel wieder eingepackt, Sekt kaltgestellt, Pfannkuchen mit Senf gefüllt und weitergemacht!

Guten Rutsch wünscht

CRNET – Christian Rehkopf

Zwanzigsechzehn
in Worten: 2016

Jahresbeginn (Substanstiv, m)
[ˈjaːʀəsbəˌɡɪn]
Bei CRNET die Zeit mal wieder die ToDo-Listen zu überarbeiten und die Kristallkugel zu entstauben.

Fangen wir an mit dem Blick zurück

Im Mai 2015 war es so weit: die letzten CRNET-Server wurden abgeschaltet. Damit habe ich nach fast 20 Jahren keine eigenen Maschinen mehr im Produktiveinsatz. Dem vorangegangen ist natürlich die ganze Umzieherei mit allem, was darauf noch lief. Das ging weitestgehend ohne Knirschen im Getriebe, aber da hat sich einfach bemerkbar gemacht, das es nicht das erste mal war.

Für mich hieß das dann umzudenken, denn wenn man „nur Untermieter“ ist, braucht man sich um Redundanz, Notstrom und Kühlung nicht mehr zu kümmern, oder gar um Hardwareausfälle – alles nicht mehr meine Baustelle – sehr angenehm.

Aber auch ein Cloudsystem kommt ins schwitzen, wenn man nur genug Druck darauf ausübt, und so kam im Juli ein neuer Cache-Server ins Rennen, der inzwischen den Gesamten Traffic stark frequentierter Seiten ausliefert. Damit konnten wir 80% Last von den CMS-Servern nehmen und gleichzeitig die Auslieferungszeit bis zu 90% reduzieren: Die Übertragungstechnik ist eine andere und der auszuliefernde Content kommt aus dem RAM.
Dieser Server befindet sich am AMSIX direkt bei einem Peering-knoten. Alle deutschen Zugangsprovider haben dort ihre Anschlüsse. Alle Homepages, die über den Cache-Server laufen, sind somit Netztechnisch dichter an ihren Kunden, als es in jedem deutschen Standort bezahlbar möglich wäre. Gerendert werden die Seiten nach wie vor in Hamburg bei Artfiles.

An diesem Standort stehen auch „unsere“ Mailserver. Der mit „crnet“ im Namen existiert eigentlich nicht mehr, das läuft nur auf einer extra-IP, bis das Zertifikat abgelaufen ist. So können wir in Ruhe die letzten Mailkonten umschalten, ohne alles auf einmal machen zu müssen.

Die Nameserver befinden sich auch an diesem Standort, aber nicht nur dort, sondern auch in anderen Ländern. In Deutschland z.B. in Hannover bei Lambdanet, und je nach dem, was näher ist, bekommt man seine Serverantwort eben von da oder dort. Der Hauptserver in Amsterdam verteilt seine Einstellungen per Datenbankreplikation in Echtzeit an die anderen Systeme – so etwas wie „neu laden einer Zone“ gibt es schon lange nicht mehr. Das ist die globalisierte Weiterentwicklung von dem DNS-System, was wir seit 2010 produktiv verwendet haben.

Unser Partner in Amsterdam ist Anycast, die Leute kenne ich seit über 10 Jahren, und wir haben wie gesagt den Nameserver und auch den Mailserver gemeinsam entwickelt. Stets mit Fokus auf Verschlüsselung und extra-Sicherheit.

Und genau da geht es auch 2016 weiter

Kurz vor Weihnachten ist noch der SSL-Proxy fertig geworden, der automatisch „Let’s Encrypt“-Zertifikate generiert und verwendet. Allerdings ist das mit den CMS-Systemen doch nicht so ganz ohne, aber wir wollen letztendlich alle Seiten verschlüsselt ausliefern.  Und das ganze über IPv4 und IPv6.

Dazu soll der Proxy auch das gesamte Domainhandling übernehmen, so daß die Artfiles Webcloud „nur“ noch das Rendern der Seiten und vorhalten der Datenbanken und CMS-Systeme macht.

Mehr nehme ich mir erstmal für 2016 nicht vor, denn Ende Februar steht Nachwuchs ins Haus. Und der kleine Kerl wird sicherlich einiges an Zeitressourcen in den ersten Monaten für sich beanspruchen. Und dann geht es auch Weiter mit unserem Bahnhof- / Gastro-Projekt; selbiges wird allerdings seit 2013 immer wieder verschoben, weil die deutsche Bürokratie nicht gerade schnell ist (Bahnhofsentwidmung /Denkmalschutz / Baugenehmigungen etc.). Aber: der Teil soll erledigt sein, und es gehen dann endlich die Baumaßnahmen los.

Ihnen wünsche ich ein störungsfreies 2016 und das auch Ihre Pläne für dieses Jahr erfüllbar sind.

 

Frohe Festtage

Wenn Heiligabend ist, ist das Jahr im Prinzip ja schon rum.

Die meisten Leute haben in diesem Jahr jetzt schon Urlaub, da die Weihnachtstage ja auch günstig (oder ungünstig, je nach Betrachtungsweise) in der Woche liegen.

Kurzer Blick zurück ins Jahr:

Nach dem Abschluß des Umzuges der Systeme in die Cloud von Artfiles in Hamburg war natürlich der Bereich des Server-Supports quasi Null. Auch in diesem Jahr waren die häufigsten Supportanfragen daher, das irgendwer eine Mail nicht zustellen konnte. Aber es waren immer inkorrekt konfigurierte Mailserver der Absender – immer! Es sind etliche neue Webseiten online gegangen, die alle aufzulisten würde den Rahmen hier sprengen.

Durch die Entspannung der Servertechnik konnte ich mich mal wieder um Linux zu Hause kümmern, mal mit gutem Erfolg, anderes war nicht so toll.

Zu guter letzt hab ich mich noch in WordPress angefangen einzuarbeiten, und wurde begeistert. So begeistert, das ich nach 2 Wochen Experimentierens direkt meine Homepage (also diese hier) umgestellt habe von TYPO3 auf WP. Am meisten hat mich bei TYPO3 die Inkompatibilität des Backends auf mobilen Endgeräten gestört.

Kurzer Blick nach vorn:

Große Änderungen stehen ins Haus. Anfangen wird es mit einem Umzug des Büros (und unserer Wohnung) im Sommer. Inzwischen ist es ja schon in der Zeitung veröffentlicht worden (leider nur in der Offline-Ausgabe der MAZ), aber wir ziehen IN das ehemalige Bahnhofsgebäude des Bahnhofes „Stadt Beelitz“ und nehmen die seit fast 10 Jahren brachliegenden Gewerbeeinheiten im Erdgeschoß wieder in Betrieb. Dazu mehr im an anderer Stelle zu anderer Zeit, denn die CRNET-Kunden betrifft das weniger (abgesehen von schlechterer telefonischer Erreichbarkeit während des Umzuges).

Technisch wird sich mit der IPv6 Erweiterung auch einiges tun, wenns denn dann mal endlich losgeht. Abgesehen davon projektiere ich derzeit mit einem Kollegen ein System zum Auslagern von DNS, inklusive dem gesamten Registry-Kram und das ganze voll Reseller-fähig.

Und ein Monatsrückblick:

Neue Websites online bei CRNET:

Der Landesjagdverband Brandenburg (TYPO3) und eine Homepage mit Ohren: Tierarztpraxis Kalisch.

Ansonsten:

Bleibt nur noch eines: Ich wünsche allen Kunden und Freunden des Hauses ein gesegnetes Weihnachtsfest und einen guten Rutsch ins neue Jahr!

TYPO3-Extension responsive_template

Eine sich anpassende Website mit TYPO3.

Bei WordPress schon fast normal, bei TYPO3 allerdings nicht: Websites, die Ihre Darstellung der entsprechenden Browserbreite anpassen, und zwar von einer angemessen Größe auf großen Monitoren, bis hin zu kleinen Handydisplays hochkant.. Die Extension „responsive_template“ soll das können. Als jemand, der die letzten Jahre mit „TemplaVoila“ und „Templates für Templavoila“ eine große Routine entwickelt hat, eine kleine Herausforderung.

Die erste Herausforderung war allerdings, ein leeres TYPO3 zu installieren, denn die derzeit aktuelle Version 4.7.14 läuft erstmal nicht. Erst mit manuellem Patch der localconf konnte man überhaupt das Backend aktivieren, aber das ist ein anderes Thema.

Die Extension „responsive_template“ lässt sich dann direkt über den Extension-manager installieren. Nach dem Aktivieren ist dann eine Rootpage anzulegen, ein Template zu erzeugen und wiederum über den Extension-Manager das Install-Script auszuführen.

Anschließend braucht man erstmal einige Seiten, vorzugsweise teilweise mit Unterseiten, und einen SYS-Folder für Footer und Slider. Die Slider kann man wiederum in einen SYS-Folder unterbringen, für den Footer brucht man eine Seite, damit man Zugriff auf die Spalten hat.

Über den Konstanten-Editor in den Template-Tools kann man dann recht einfach die Anpassungen vornehmen. Als wichtigstes sind hier zunächst die Seiten einzutragen, die Footer und Slider beherbergen, auch können hier Logo und (ganz wichtig:) eine eigene CSS-Datei verlinkt werden. Die beiden letztgenannten bringt man sinnvoller Weise im Fileadmin unter, damit diese beim Nächsten Update nicht verloren gehen.

Eine der Stärken dieser Extension sind die mitgelieferten Seitenvorlagen und das Page-Setup. Hier ist sonst bei „normaler“ Erstellung einer Seite relativ viel Zeit, Vorarbeit und Fachwissen notwendig, nun kann man direkt nach dem Konstanten-Editor im Seitenbaum Seiten anlegen und selbigen die verschiedenen Vorlagen zuweisen. Für diese „Basics“ musste man nicht eine Zeile TYPOSCRIPT tippen oder html-templates vorbereiten – ein unschätzbarer Vorteil auch für Einsteiger.

Wenn man dann ein paar Seiten angelegt und mit etwas Text befüllt hat (die Extension „Lorem Ipsum“ hift), kann man sich mal im Frontend umsehen. Die Seiten präsentieren sich schlicht, farblich fast neutral und sehr aufgeräumt – was ich persönlich besser finde, als die Farborgien von TTV, bei denen man ersteinmal 5 KB CSS produzieren muss, um es farbneutral zu bekommen.

Das Logo wird immer im Retina-Modus angezeigt, der Slider kann ungepatcht nur Bilder crossfaden, beides linkt immer auf die Startseite, falls zu einem Sliderimage keine andere Page-ID angegeben wurde. Die Dokumentation ist … sagen wir mal „sehr knapp“, aber ist ja auch nicht für Laien gemacht. Allerdings ist sie so knapp, das man vieles nur nur durch Ausprobieren herausbekommt.

Die Responsive-Funktion checkt den zur Verfügung stehenden Platz beim Aufruf. Eine Größenänderung während man sich auf einer Seite befindet, ist nur für den Slider Wirkungslos, aber der Rest der Seite skaliert wie erwartet, und auch das Menu blendet ab einer bestimmten Größe von Dropdown auf Select-Feld. Es werden ungepatcht im Dropdown-Menü 4 und im Selector 2 Ebenen Navigationstiefe unterstützt, wobei dich letztgenanntes auf die Einrückung bezieht, die Seiten sind verlinkt, als wären sie in der 2. Ebene.
Die Extension liefert aber „nur ein Leeres Blatt“ – jegliche gestalterischen Aktionen müssen auf die Fähigkeit der Anpassungen abgestimmt werden.

Die Extension „responsive_template“ unterstützt auch mehrsprachige Seiten (schon von Hause aus 3). Sie läuft unter den Versionen 2.7 und 6.1 von TYPO3 (Stand heute).

Insgesamt eine runde Sache, die eine gute Grundlage bildet, um Seiten aufzubauen. Der Autor selber hat die Grenzen dieser Lösung gut erkannt, die aber auch TYPO3 setzt.
Eine Extension, die man im Auge behalten sollte, wenn man gern eine TYPO3 Seite haben möchte, die auch direkt auf mobilen Endgeräten genutzt werden kann. Die Alternative sind sind nicht-skalierende Layouts, die durch Doppeltap auf die entsprechende zoomen, oder eine Erkennung des Gerätes mit jeweils eigenen CSS-Dateien für das Layout. Alles 3 Varianten, die in der Praxis üblich sind.

Gute Arbeit „klaus_ger“ 🙂 Wenn eine Website damit produktiv online geht, werd ich es auch explizit erwähnen.