Verwendet noch jemand OpenBSD als Router im Unternehmen? Auf welcher Hardware läuft es? [geschlossen]

26

Wir haben an jedem unserer Standorte einen OpenBSD-Router, der derzeit auf generischer "Homebrew" -PC-Hardware in einem 4U-Server-Gehäuse läuft. Aus Gründen der Zuverlässigkeit und des Platzbedarfs versuchen wir, diese auf eine geeignete Serverhardware mit Unterstützung usw. zu aktualisieren.

Diese Boxen dienen als Router, Gateways und Firewalls an jedem Standort. Zu diesem Zeitpunkt sind wir mit OpenBSD und Pf ziemlich vertraut und zögern daher, vom System auf etwas anderes wie dedizierte Cisco-Hardware umzusteigen.

Ich denke derzeit daran, die Systeme auf einige HP DL-Serie 1U-Maschinen (Modell noch zu bestimmen) zu verlagern. Ich bin neugierig zu hören, ob andere Leute ein solches Setup in ihrem Unternehmen verwenden oder zu einem anderen migriert sind oder von einem anderen migriert sind.

hardware router gateway openbsd Kamil Kisiel
quelle
1
Ich fand, dass die Antworten uns halfen, da wir seit 9 Jahren Open BSD betreiben und anfingen zu überlegen, ob wir wegen Stromproblemen im Rechenzentrum zu Jos wechseln sollten. Jetzt werde ich noch einmal darüber nachdenken, denn ich denke, wir haben die Vorteile des Betriebs auf einer offenen Plattform unterbewertet.

Antworten:

43

Wir betreiben ausschließlich OpenBSD-Router / -Firewalls, um FogBugz On Demand zu bedienen. OpenBSD auf solider Hardware ist eine verwaltbare, skalierbare und kostengünstige Lösung, es sei denn, Sie arbeiten in einer Transitrolle und benötigen den extrem hohen Durchsatz von pps, den speziell entwickelte Hardware und integrierte Software bieten können.

Vergleich von OpenBSD mit IOS oder JUNOS (meiner Erfahrung nach):

Vorteile

  • Die Firewall von pf ist hinsichtlich Flexibilität, verwaltbarer Konfiguration und Integration in andere Dienste unübertroffen (funktioniert nahtlos mit Spam, FTP-Proxy usw.). Die Konfigurationsbeispiele werden dem nicht gerecht.
  • Sie erhalten alle Tools von a * nix auf Ihrem Gateway: syslog, grep, netcat, tcpdump, systat, top, cron usw.
  • Sie können nach Bedarf Tools hinzufügen: iperf und iftop, die ich als sehr nützlich empfunden habe
  • tcpdump. Genug gesagt.
  • Intuitive Konfiguration für Unix-Veteranen
  • Nahtlose Integration in das vorhandene Konfigurationsmanagement (Cfengine, Puppet, Skripte, was auch immer).
  • Die Funktionen der nächsten Generation sind kostenlos und erfordern keine Zusatzmodule.
  • Leistung hinzufügen ist billig
  • Keine Supportverträge

Nachteile

  • Mit IOS / JUNOS ist es einfacher, eine gesamte Konfiguration zu sichern / zu laden. Ohne Konfigurationsmanagement-Tools sind sie einfacher bereitzustellen, sobald Ihre Konfiguration geschrieben wurde.
  • Einige Schnittstellen sind für OpenBSD einfach nicht verfügbar oder stabil (z. B. kenne ich keine gut unterstützten ATM DS3-Karten).
  • High-End-Geräte vom Typ Cisco / Juniper unterstützen höhere Übertragungsraten als Serverhardware
  • Keine Supportverträge

Solange Sie nicht über Backbone-Router in einer ISP-ähnlichen Umgebung oder Edge-Router sprechen, die mit speziellen Netzwerkverbindungen verbunden sind, sollte OpenBSD in Ordnung sein.

Hardware

Das Wichtigste für die Leistung Ihres Routers sind Ihre Netzwerkkarten. Eine schnelle CPU wird bei mäßiger Auslastung schnell überlastet, wenn Sie beschissene Netzwerkkarten haben, die für jedes einzelne Paket, das sie empfangen, unterbrochen werden. Suchen Sie nach Gigabit-NICs, die mindestens Interrupt-Abschwächung / -Koaleszenz unterstützen. Ich hatte viel Glück mit Broadcom (bge, bnx) und Intel (em) Treibern.

Die CPU-Geschwindigkeit ist wichtiger als bei dedizierter Hardware, aber nichts, worüber man sich ärgern sollte. Jede moderne CPU der Serverklasse bewältigt eine Menge Datenverkehr, bevor es zu Belastungen kommt.

Besorgen Sie sich eine ordentliche CPU (mehrere Kerne helfen derzeit noch nicht viel, sehen Sie sich also die rohen GHz an), einen guten ECC-RAM, eine zuverlässige Festplatte und ein solides Gehäuse. Verdoppeln Sie dann alles und führen Sie zwei Knoten als aktiven / passiven CARP-Cluster aus. Seit dem pfsync-Upgrade von 4.5 können Sie active / active ausführen, ich habe dies jedoch nicht getestet.

Meine Router laufen Seite an Seite mit unseren Load-Balancern in 1U-Twin-Node-Konfigurationen. Jeder Knoten hat:

  • Supermicro SYS-1025TC-TB-Chassis (integrierte Intel Gigabit-Netzwerkkarten)
  • Xeon Harpertown Quad Core 2-GHz-CPU (meine Load Balancer verwenden mehrere Kerne)
  • 4 GB Kingston ECC Registered RAM
  • Intel Gigabit-Add-In-Netzwerkkarte mit zwei Anschlüssen

Sie sind seit dem Einsatz von Grund auf solide. Alles daran ist zu viel für unsere Verkehrslast, aber ich habe einen Durchsatz von über 800 Mbit / s getestet (NIC-beschränkt, die CPU war größtenteils im Leerlauf). Da wir VLANs stark nutzen, müssen diese Router auch viel internen Datenverkehr verarbeiten.

Die Energieeffizienz ist fantastisch, da jedes 1U-Gehäuse über ein einziges 700-W-Netzteil verfügt, das zwei Knoten mit Strom versorgt. Wir haben die Router und Balancer auf mehrere Chassis verteilt, sodass wir ein gesamtes Chassis verlieren und praktisch nahtlos ausfallen können (danke PFSYNC und CARP).

Betriebssysteme

Einige andere haben die Verwendung von Linux oder FreeBSD anstelle von OpenBSD erwähnt. Die meisten meiner Server sind FreeBSD-Server, aber ich bevorzuge OpenBSD-Router aus folgenden Gründen:

  • Ein stärkerer Fokus auf Sicherheit und Stabilität als auf Linux und FreeBSD
  • Die beste Dokumentation aller Open Source-Betriebssysteme
  • Ihre Innovation konzentriert sich auf diese Art der Implementierung (siehe pfsync, ftp-proxy, carp, vlan-management, ipsec, sasync, ifstated, pflogd usw. - alle in base enthalten).
  • FreeBSD hat mehrere Releases auf seinem PF-Port hinter sich
  • pf ist eleganter und übersichtlicher als iptables, ipchains, ipfw oder ipf
  • Leaner Setup / Installationsprozess

Das heißt, wenn Sie mit Linux oder FreeBSD vertraut sind und keine Zeit zum Investieren haben, ist es wahrscheinlich eine bessere Idee, sich für eines von ihnen zu entscheiden.

sh-beta
quelle
Vielen Dank für die äußerst ausführliche Antwort. Was Sie beschreiben, ist so ziemlich genau der Systemtyp, den wir gerade bauen, ein Serverpaar mit integriertem Dual-GigE und einer Dual-GigE-Add-In-NIC in einer CARP-Failover-Konfiguration. Es ist sehr beruhigend zu sehen, dass jemand anderes ein solches Setup in einem großen Produktionssystem ausführt.
Kamil Kisiel
1
Persönlich bevorzuge ich iptables, ich denke pf ist zu eingeschränkt. Meine Erfahrung mit CARP unter OpenBSD ist, dass es großartig ist, wenn Sie geplante Jobs ausführen möchten (geplantes Failover), aber das Failover funktioniert meistens nicht , wenn ein tatsächlicher Fehler vorliegt. Ich hatte genau ein erfolgreiches Crash-Failover, und das war mit OpenBSD 4.5. Auch die Support-Situation für OpenBSD ist bedauerlich. Wenn Sie das Wissen nicht im eigenen Haus haben oder jemanden nicht bezahlen, lautet die Antwort auf alle Fragen oder Fragen zum Absturz: "Ihre Mutter ist fett".
Thomas
1
Ich führe pf / pfsync / CARP und zwei Firewalls in einer Failover-Konfiguration aus. Ich habe zwei Failover-Situationen erlebt und in beiden Fällen habe ich nur von meinem Überwachungssystem erfahren, dass eine der Firewalls ausgefallen ist. Die Dienste des Clusters wurden ohne nennenswerte Unterbrechung fortgesetzt.
Insyte
8

pfsense ist eine großartige FreeBSD-basierte Firewall, die über zahlreiche Funktionen verfügt, einfach einzurichten ist und eine aktive Community sowie Support-Optionen bietet. Es gibt mehrere Personen, die es in kommerziellen / Produktionssituationen verwenden und im Forum aktiv sind. Ich benutze es zu Hause und drücke es bei der Arbeit, es ist eine wirklich gut zusammengestellte Alternative. Sie haben sogar ein VM-Image zum Download, mit dem sie es testen können!

Chance
quelle
Ich habe mir diesen Link angesehen. Diese Variante von MonoWall sieht gut aus. :-)
Djangofan
Ich glaube, Mono konzentriert sich auf Embedded-Hardware, während sich Pfsense auf PC-basierte Systeme konzentriert. Ich glaube, es war beabsichtigt, fortgeschrittenere / Enterprise-Klasse-Funktionen als die in m0n0wall oder anderen grundlegenden Firewall-Distributionen zu bieten.
Chance
2

Wo ich arbeite, verwenden wir RHEL5 + Quagga & Zebra über 4 Boxen, um den Transit für 450 Mbit / s zu betreiben. Also ja, Sie können es im Unternehmen tun und viel Geld sparen.

Wir machen eine Ratenbegrenzung mit TC und verwenden Iptables und Notrack-Regeln.

pjd
quelle
2

Ich habe OpenBSD 3.9 als Firewall verwendet und auf Juniper SSG5 umgestellt.

Wie von sh-beta OpenBSD als VIELE gute Features bezeichnet: pf ist unglaublich, tcpdump, viele gute Tools ...

Ich hatte einige Gründe, zu Juniper zu wechseln. Insbesondere ist die Konfiguration schnell und einfach. Unter OpenBSD ist alles "ein bisschen kompliziert".

zum beispiel: die bandbreitenverwaltung ist meiner meinung nach viel einfacher in der ssg zu konfigurieren.

Die von mir verwendete OpenBSD-Version war ziemlich alt; Vielleicht ist eine neuere Version in diesem Punkt besser.

Matthieu
quelle
Auf der Hardwareseite war meine OpenBSD-Box eine alte Dell GX280.
Matthieu,
1

Für das kleine Geschäft meines Vaters mit einer Zweigstelle verwende ich OpenBSD als Router / Gateway / Firewall sowohl für die Haupt- als auch für die Zweigstelle. Es hat uns nie im Stich gelassen. Wir verwenden an jedem Standort einen Dell Tower Server. Jeder Server ist mit einer Dual GiGE-Karte und 8 GB RAM ausgestattet (ich weiß, leichte Overkills) und funktioniert gut. Die Zweigstelle ist so konfiguriert, dass sie über IPSEC eine Verbindung zur Hauptstelle herstellt, und die IPSEC-Implementierung von OpenBSD ist sehr benutzerfreundlich.


quelle
1

OpenBSD-Gateways werden in vielen Unternehmens-Setups verwendet. Wir haben zwei OpenBSD-Gateways in unseren Netzwerken.

Ich erinnere mich noch an eine lustige Episode mit OpenBSD: Die Festplatte ist gestorben, aber das Gateway hat nur den Routing-Verkehr weitergeleitet, als wäre nichts passiert und diente nur aus dem Speicher. Ich hatte einige Zeit, um eine weitere Instanz einzurichten.

Die Dual Opteron 248-Modelle stellen sehr geringe Hardwareanforderungen. Ich sehe selten, dass die CPU über 5% steigt. Sie sind sehr stabil. Ich benutze es jetzt seit etwas mehr als 7 Jahren ohne Probleme.

Adrian Thompson
quelle
1

Ich habe OpenBSD (4.9) für einige Zeit in der Produktion auf unserer Haupt-Firewall ausgeführt. Es ist ein ziemlich alter ASUS MB mit 2 GB DDR (1) RAM und einem Athlon mit zwei Kernen (2 GHz). Ich habe eine Quad-Port-Intel-Karte (PCI-Express) gekauft und im x16-Grafikport verwendet. Werfen Sie Ihre PCI-Grafikkarten NICHT weg, wenn Sie herumliegen. Sie benötigen es als Grafikkarte, wenn Sie den 16x PCI-Express-Port für die Netzwerkkarte verwenden möchten (in meinem Fall funktionierte der integrierte gfx nicht).

Ich kenne seine Hardware nicht "Enterprise-Klasse". Dies sind jedoch die eindeutigen Vorteile dieses Setups:

  • Ich habe eine Menge dieser MB herumliegen, und so wird nie Ersatzteile ausgehen (immer bereit für CARP auch).

  • Die billigsten AMD-Bords unterstützen ECC-RAM !.

  • Alle Hardware / Ersatzteile sind "von der Stange" billig und stabil

  • Die Leistung auf diesen Rigs ist großartig (4x Gbit / s), auch für unser ziemlich starkes Hosting-Setup!

Brian Simonsen
quelle
0

Ich habe in der Vergangenheit. Ich habe es ursprünglich auf einigen "Whitebox" -PCs installiert und dann auf einen Dell Power Edge 2950 aktualisiert. Redundante Netzteile, Festplatten - vom Standpunkt der Zuverlässigkeit eine große Verbesserung. Natürlich keine beobachtete Verbesserung, wir hatten Glück und die Whitebox stürzte nie ab, aber theoretisch waren wir mit mehr Redundanz in besserer Verfassung.

Wir haben es nur zum Filtern eines T1-Pakets verwendet, also keine merkliche Leistungsverbesserung.

Kyle Hodgson
quelle
0

Haben Sie darüber nachgedacht, zu FreeBSD zu wechseln? OpenBSD kann moderne SMP-Systeme (zB Core2Quad) nicht voll ausnutzen. FreeBSD verfügt über pf und ipfw, die Sie gleichzeitig verwenden können, sowie über eine Nicht-GIANT-Netzwerkebene.

Wir haben seit Jahren Software-FreeBSD-Router als ISP-Gateways im Einsatz, was uns eine Menge Geld erspart hat

SaveTheRbtz
quelle
0

Ich kann nicht für * BSD sprechen (noch ... gib mir Zeit ...), aber wir betreiben seit über 10 Jahren Linux-Router und lieben sie. Billiger, keine Lizenzprobleme, und wenn Sie sich die Dokumente ansehen, werden Sie feststellen, dass Sie die meisten Tools haben, die Sie benötigen, um Dinge zu erledigen. Ich würde vermuten, dass BSD sehr viel im selben Boot ist.

Wir betreiben einen DL365 G1 mit einem gefüllten Einzelprozessorsockel und 6 GB, obwohl der RAM hauptsächlich für die Wartung von Postfächern vorgesehen ist ...

Avery Payne
quelle
0

Verwenden Sie Intel (em) Gigabit Server-NICs.

Eine Karte, die gut funktioniert, ist der HP NC360T. Es ist Dual-Port und PCI-Express.

BDP
quelle