Wieviel CPU/Hardware „braucht“ meine Firewall/Router?

Also was ich bisher so hatte an Hardware habe/hatte/administriere, mit stock OS oder Arch+NFTables+Bird (ggf. mit fulltable)+WG Tunnel+Caddy Reverse Proxy:

– Sophos XG230 – G4400 / 8gb 120gb ssd – mit Stock OS naja, arch stack -> 2G WG Durchsatz + BIRD mit 4 1G Peers je Fulltable + 2x 1g Exchange Peering geht & reicht, bekommt aber bald 2x 10g nachgerüstet + einen i5-6500 dazu

– Sophos SG430 rev1 – E3-1225v3 / 16gb / 240gb ssd – Stock SG mit 4x10G vollkommen ausreichend + 8x 1G komische Standleitungen zu anderen Standorten – routing geht grad noch so, aber OpenVPN & IPSec krebsen schon echt hart am Limit

– Checkpoint 5100/PB-20 – G1820/8gb/120gb ssd – arch stack mit 3x 1g fulltable macht etwa so 1,5-2g WG

– Checkpoint 4600/T160 – E6500/4gb/250gb HDD – furchtbar mit stock os – arch stack mit default route + intern bgp + andere Kundennetze mit OSPF ~6g routing bisher gesehen und WG macht den 1g link noch voll

– Dell IOT Gateway 5100 – E3827/8gb/64gb ssd – arch stack, 1g routed + LTE Link, aber dann hörts echt auf

Nein, ihr baucht nicht mehr als einen N100, J/N 4xxx/5xxx/6xxx reicht auch, solang ihr bis 4x 1G habt und nicht mehr als 1G VPN Durchsatz braucht.
Also ja, wenn man „mehr“ braucht, weiß man das dann auch und halt dann auch mehr als 1x/2x 1G Uplink, also so 5-10G dann halt.

ASG Uplinkausgleich & Multipathregeln

Damals als ich die Sophos SG430 eingerichtet hatte war eigentlich noch alles gut, bis ich auf die Idee gekommen bin mehrere Internetanschlüsse, damals 10MBit/s SDSL, 2MBIt/s SDSL, 6MBit/s ADSL (Annex B – Business) & 16MBit/s ADSL (Annex J), zu koppeln. Also alles über je eine Schnittstelle zur ASG geführt und die beiden SDSL und die langsame ADSL Leitung per Uplinkausgleich gekoppelt, welches zur Folge hatte, dass sich verschiedene Lastquellen, wie PACS (Radiologiebilderspeicher) und das Laborsystem, auf verschiedene Leitungen verteilt wurde. Jedoch war die Auswahl die von der Firewall getroffen wurde eher zufällig, wodurch die großen PACS Datenmengen (so ca. 18GB) über die 2er SDSL und die Labordaten (ca. 800MB) über die 10er SDSL geschubst wurden. Dieses Verhalten gefiel mir jedoch nicht so recht, weswegen ich zusätzlich zum Uplinkausgleich noch die Multipathregeln aktivierte. Diese ermöglichten mir gewisse Quellen und Dienste an gewisse Ziel-/Leitungsgruppen zu binden, welches auch bei direktem Test auch als funktional herausstellte.  Jedoch zeigte sich am selbigen Abend ein anderes Bild, denn auf einmal ging der PACS Traffic über die 600kbit/s Leitung per ADSL raus, der Labortraffic über die 2er SDSL, der Traffic zum Informationsportal über die andere ADSL (was nicht besonders war, da diese eine dynamische IP hatte und man auf IP Basis freigeschaltet wurde) und der Katzenvideotraffic* wurde über die 10er SDSL rausgeblasen. Als Ursache konnte ich den Uplinkausgleich festmachen, der auf vermutlich Layer 2 angriff und die Multipathregeln die auf Layer 3-7 ihr Unwesen trieben.

Die Lösung die ich ausarbeiten konnte, war durch das deaktivieren des Uplinkausgleich zu erreichen. Damit benötigte ich zwar mehr Multipathregeln, jedoch funktionierten diese dann wie erhofft.

*(bzw. sonstiger „Multimediatraffic“ der „Unterhaltungszwecken“ dient)