Erfahrungsbericht "Deciso DEC 740 - OPNsense® Rack Security Appliance"

Barungar

Active member
Hallo zusammen,

wie aus dem Thread bekannt habe ich mich für die Deciso DEC 740 Appliance als meine neue OPNsense Firewall entschieden. Zuvor hatte ich noch versucht mir eine OPNsense auf Basis eines NUC selbst zu bauen. Ich bin jedoch an den Netzwerkadaptern gescheitert, da mit USB-Netzwerkadaptern unter FreeBSD einfach kein, für mich, zufriedenstellendes Ergebnis erzielbar war.

Ich habe dann Ausschau nach Barebones gehalten, die mir mehr on-board Netzwerkkarten liefern würden. Bei der Suche bin ich auch bei der Deciso B.V. gelandet, die, aus meiner Perspektive, ganz ordentliche Appliances bauen. Ich habe mir verschiedene Modelle angeschaut. Der Preis, das lüfterlose Design und die beiden SPF+-Ports der DEC 740 waren letztlich ausschlaggebend, dass die Wahl auf die Deciso DEC 740 gefallen ist. Das Modell DEC 750 lohnte sich in meinen Augen nicht, da hier lediglich mehr RAM und SSD-Kapazität vorhanden waren, etwas das ich nicht direkt brauche bzw. im Zweifel selbst einbaue. Ich habe auch kurzfristig mit der DEC 840 geliebäugelt, allerdings war das Modell nicht lieferbar.

Ich habe dann zwei Deciso DEC 740 bestellt, mit dem Ziel einen OPNsense HA Cluster zu bauen.


Unpacking
Als der Paketbote mir das Paket in die Hand gedrückt hat, war mein erster Gedanke: "Oh, haben sie nur eine geliefert?" Ich habe dann zügig das Paket geöffnet und fand darin einen Lieferschein, so wie zwei weitere, kleine Kartons. Die beiden Kartons waren fast schon winzig. Im Zeitalter von überdimensionierten Amazon-Paketen und Marketing-Verpackungen mit viel Luft fast schon ein Wunder. Ich erwähne das, weil ich hier explizit die optimierte und damit umweltfreundliche Verpackung hervorheben möchte. Der Umkarton war passgenau für zwei DEC 740-Kartons und die DEC 740 wiederum waren ebenfalls in schlichten, raumoptimalen Kartons verpackt.

Die Geräte selbst sind vollständig aus Metall gefertigt. Die Öffnungen für die Anschlüsse im Gehäuse sind ein wenig großzügig geschnitten, so dass mit etwas höherer Präzision geringere Spaltmaße möglich gewesen wären. Das ist allerdings Jammern auf hohem Niveau. Bei einem lüfterlosen Gehäuse trägt im Prinzip jeder kleine Spalt zur Luftzirkulation bei. Die Gehäuse wirken wertig und sehen optisch ansprechen (für mich) aus.

Geliefert werden die Geräte mit einer DIN A4-Seite als Kurzanleitung, einem Lizenzkey für die OPNsense Business Edition, einem USB-Konsolenkabel, einem Netzteil und einem EU-Kabel.


Starting
Nachdem sich die Geräte von der Tour erholt hatten, die Metallgehäuse waren dann doch spürbar kalt, ging es los. Am ersten Gerät das USB-Konsolenkabel angeschlossen, PuTTY auf dem PC gestartet und dann das Netzteil der DEC 740 eingesteckt. Ich habe den Boot nicht mit der Stoppuhr verfolgt, aber von meinem Gefühl her war die Bootzeit absolut okay. Es begrüßte mich ein vorinstallieres OPNsense Business Edition 21.10. Das initiale Passwort war auf der einseitigen Kurzanleitung zu finden. Die vorgefundene Konfiguration war Port igb0 --> WAN (DHCP) und Port igb1 --> LAN (statische IP aus 192.168.x.x/24), alle anderen Ports (igb2, igb3, ax0 & ax1) waren nicht eingerichtet. Die SSD war mit UFS (Unix File System) formatiert.


Viel mehr habe ich mir nicht angeschaut. Weil ich wollte weder eine SSD mit UFS noch unbedingt die Business Edition 21.10, die noch auf FreeBSD 12.x basiert.

Reinstalling
Es folgte die Neuinstallation. Von der Installation meiner NUCs hatte ich noch einen vorbereiteten USB-Stick mit OPNsense Community Edition 22.1 griffbereit. Also USB-Stick angeschlossen und Reboot durchgeführt. Die DEC 740 bootete nun brav das OPNsense Live System vom USB-Stick, doch was war das?! pflog0: permanently promiscuous mode enabled und tod... selbst nach 5 Minuten keine Reaktion mehr. Ich habe es auch mit dem zweiten Gerät versucht und insgesamt auch mehr als einmal. Es war aus irgendeinem Grund aber immer an der gleichen Stelle schluß.

Okay, dann nehmen wir halt die OPNsense Community Edition 21.7 und patchen nach der Installation hoch. Gedacht, getan. Das passende ISO-Image geladen, den USB-Stick neubeschrieben, in die Appliance gesteckt und gebootet. Erfolg! Das OPNsense 21.7 Live System bootet bis zum Login. Jetzt also schnell eingeloggt als installer und los! Verflixt... ich kann die Tastatur-Einstellungen im Installer nicht auf Deutsch ändern. Na gut, dann eben weiter mit US-Tastatur, so oft habe ich nicht vor die Konsole zu nutzen und nach vielen Jahren in der IT kennt man das US-Layout auch. Nun folgt noch die entscheidende Auswahl des Filesystems. Vorausgewählt ist UFS (warum nur?!), darunter steht das gewünschte ZFS. Doch auch hier, keine Chance. Er will über die serielle Verbindung die Pfeiltasten einfach nicht annehmen und irgendwie finde ich keine andere Möglichkeit, die Zeile darunter zu selektieren. Im Internet finde ich tatsächlich Hinweise, dass es Schwierigkeiten mit den Pfeiltasten bei seriellen Verbindungen geben kann. Grrr... Murphy!

Nächster Versuch, diesmal das ISO-Image der OPNsense Community Edition 21.1, dass soll laut Internet noch einen älteren Installer im Bauch haben. Wir überspringen nun ein paar Punkte. Die Auswahl der Tastatur-Einstellungen auf Deutsch gelang, die Auswahl von ZFS war auch möglich. Der passende Datenträger wurde ausgewählt und die Installation lief... erfolgreich bis zum Ende. USB-Stick raus und rebootet.


Updating
Nachdem Reboot begrüßte mich auf der seriellen Konsole OPNsense 21.1 und ich richte eine temporäre Netzwerkverbindung ein. Jetzt erfolgte mehrfach 12) Update from console. Scheinbar kann man nämlich nicht gleich auf die aktuelle Version springen. Im ersten Durchlauf 21.1 --> 21.7, im zweiten Durchlauf 21.7 --> 22.1 und im finalen dritten Durchlauf auf 22.1.4, geschafft!

Mit den gewonnen Erkenntnissen ging die Einrichtung der zweiten DEC 740 fast schon traumwandlerisch einfach. USB-Stick mit 21.1 rein, Live System starten, Installer machen lassen und durchpatchen.

Der Weg von OPNsense Business Edition 21.10 auf UFS zu OPNsense Community Edition 22.1 auf ZFS war etwas holperig aber letztlich erfolgreich. Im Review meiner Installation ist mir dann noch der Einfall gekommen, ob es nicht vielleicht einfacher gewesen wäre mit dem aktuellen ISO-Image der Business Edition 21.10 eine Neuinstallation auf ZFS durchzuführen. Im Anschluss hätte ich dann über die WebUI auf die Community Edition wechseln können. Das habe ich dann allerdings nicht noch einmal ausprobiert, aber vielleicht ist das eine Idee, die Anderen an dieser Stelle hilft.


Ab hier ist es dann Customizing einer frisch installieren OPNsense und das ist gleich, egal ob VM, eigener Barebone oder Appliance.


Fazit
Die Deciso DEC 740 gefällt.
Das die Installaion der Community Edition etwas umständlicher war, mag zum Teil an mir liegen. Allerdings kann ich, für mich selbst, die Philosophie nicht ganz nachvollziehen, dass man das OPNsense auf der Appliance mit einem UFS ausliefert. Gerade was Stabilität, Selbstheilung und Datenkonsistenz angeht, kenne ich, nach meiner Auffassung, kaum ein Filesystem unter *nix, dass ZFS gewachsen ist. Und bei der Auswahl zwischen UFS und ZFS, ist es sicher nicht UFS.
Ob ich später doch auf die Business Edition umschwenke weiß ich nicht. Zumindest nicht solange die Business Edition noch auf FreeBSD 12.x läuft. Und selbst dann bin ich mir nicht sicher, denn ich sehe, für mein Einsatzgebiet, keine Vorteile in der Business Edition. Die Business Edition läuft den Features des Community Edition grundsätzlich ein halbes Jahr hinterher. Man verspricht zwar ausgiebigere Tests der Pakete, aber das war es auch schon. Support ist bei der Business Edition nicht dabei, der kostet extra. Da sehe ich also keinen großen Vorteil.
 

tiermutter

Well-known member
ZFS im installer der 21.1? Das muss aber nachgepflegt worden sein, zumindest hätte ich es hier nicht erwartet, allerdings selbst auch nie mit der Version aufgesetzt (tatsächlich hatte ich es erst ab 22.1 erwartet, scheint aber schon seit 21.7 drin zu sein).
Ich vermute die "Vorauswahl" ist eher ein Zufall... UFS kommt im Alphabet vor ZFS und OPNsense ist nicht so sehr darauf bedacht den Usern alles in die Hand zu geben, die sollen und müssen schon selbst entscheiden. Ich denke man hat sich darüber einfach keine Gedanken gemacht. Gäbe es denn Vorteile bei UFS? Wenigstens einen kleinen? Was ich mal mitgenommen habe war, dass die meisten User gar kein Interesse an ZFS hatten, weil die Kisten halt "pfleglich" behandelt wurden, USV versorgt sind, etc.. Aus der pfsense Fraktion wurden andere Stimmen laut (eigentlich nur die eine von JeGr) dass pfsense User unpfleglich mit den Kisten umgehen und seit ZFS weniger Supportfälle dadurch entstehen.

Genug blabla. Optisch gefallen mir die Teile übrigens auch und erinnern mich an meine beiden Schätzchen (wobei die eine ja nur fallback ist) https://shop.sfc-software.de/hardware/firewall/308/securepoint-firewall-rc100-g3-utm
Scheint mir optisch aber etwas kleiner zu sein als meine.
Ich kann dir also drei Sterne geben für guten Geschmack:
⭐OPNsense
⭐Geile Hardware
⭐Geiles Aussehen (die Appliance) ;)

Eventuell werde ich wenn es erforderlich wird auch darauf umsatteln. Bei den RC100 die ich momentan fahre war es mir wichtig, dass ich ein LTE Modem darin betreiben kann, mittlerweile bin ich aber mit einem externen Modem unterwegs.
 

Barungar

Active member
Ehrlich gesagt... ich wüsste keine Vorteile von UFS. Es ist mit das älteste Filesystem, dass es für *nix gibt. Bereits seit 1980. Das heißt ja schon Unix File System.
Es kann kein Journaling, Es ist das Vorbild der ext-Reihe unter Linux. Nach einem Crash braucht es ein File System Check, den es zumindest selbstständig und im Hintergrund macht, daß heißt nach einem unsauberen Ende ist es anschließend erstmal etwas weniger performant, so lange der Check im Hintergrund läuft. Als Vorteil könnte man benennen, dass es Snapshots beherrscht.

Da lobe ich mir doch ein ZFS, das einerseits ganz klar auf Konsistenz und Stabilität setzt. Die anderen Features von ZFS sind in einer FW eher weniger von Interesse, aber gerade das ich per Definition immer ein Konsistentes Dateisystem habe, egal wie blöde die Kiste wegkachelt sehe ich schon als super Pluspunkt.
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
586
Beiträge
8.669
Mitglieder
204
Neuestes Mitglied
sina27
Oben