Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Das Grundgerüst des IPFire - Hardware Allgemein und auch spezielle Hardwarefragen und Probleme
Post Reply
IP-Fire Mensch
Posts: 3
Joined: March 8th, 2017, 10:13 pm

Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by IP-Fire Mensch » March 8th, 2017, 10:38 pm

Hallo,

ich bin neu in der Materie und habe folgendes Problem:
Ist-Stand: In unserer Einrichtung sind ca. 300 internetfähige Geräte unterwegs, ca. 100 Leute sind immer gleichzeitig online und wir haben einen Vodafone Kabel-Anschluss mit 200 Mbts.

Ziel: Da unsere Fritzbox Cable 6490 mit so vielen Geräten überfordert ist, wollen wir auf einem Rechner IP-Fire nutzen mit Web Proxy und Update Accelerator. Leider müssen wir die Fritzbox weiterverwenden, da das Internet über das Kabel kommt.

bisherige "fehlgeschlagene" Versuche:
- Intel Core Duo Rechner mit 6 GB RAM und 2 G/Bit Karten, mit jeweils aktuellem IP-Fire.
- Rechner hängt zwischen Fritzbox und Switch mit folgender Konfiguration:
Fritzbox: IP-Bereich 192.168.178.1, Subnetz 255.255.255.0 mit aktivem DHCP
RED Interface: IP über DHCP
GREEN Interface: 182.166.123.1, Subnetz 255.255.0.0 mit DHCP
- In der Firewall wurde in den Filterregeln Grün auf Rot erlaubt um ins Internet zu kommen.
- In den Ferien mit wenig Nutzern 10-20 Leuten lief alles gut, mit aktiviertem transparenten Web-Proxy. Einstellungen nach https://www.youtube.com/watch?v=A-no4C7T_70

Nach den Ferien mit vollem Haus, ist kein Internetzugang mehr möglich und z. T. steht im Browser was von Proxyfehler.

Frage an das Forum mit Bitte um Hilfe: woran liegt es?
- die Hardware zu lahm?
- Problem zwischen IP-Fire und Fritzbox?
- Falsche Einstellungen in der IP-Fire?

Bin für Hilfe extrem dankbar.

tOsE
Posts: 18
Joined: October 25th, 2013, 1:39 pm

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by tOsE » March 14th, 2017, 9:36 pm

Ein Schuss ins Blaue:
  • Was sagt denn die Systemlast Deines IPFire-Systems?
    Im Frontend unter Status > System oder über die Konsole durch Eingabe von top.
  • Hast Du in der FRITZ!Box das IPFire-System als Exposed Host definiert?
  • Ist die Situation eine andere, wenn Du Web Proxy und Update Accelerator deaktivierst?
-tOsE

User avatar
MichaelTremer
Core Developer
Core Developer
Posts: 5799
Joined: August 11th, 2005, 9:02 am

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by MichaelTremer » March 16th, 2017, 9:51 am

Hi,

ja die Hardware sollte problemlos ausreichend sein. Das wird also was mit den Einstellungen zu tun haben... Schick mal Graphen, Logs oder was auch immer du findest...

-Michael
Support the project with our Donation Challenge!

Get Commercial Support for IPFire and more from Lightning Wire Labs!

Image

IP-Fire Mensch
Posts: 3
Joined: March 8th, 2017, 10:13 pm

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by IP-Fire Mensch » March 20th, 2017, 12:32 am

Hallo,

vielen Dank -Tose für den Tipp mit der FritzBox und Exposed Host. Das war noch nicht eingestellt. Lief danach auf jeden Fall eine Zeitlang besser. Bis ich vermutlich zu viel an den DNS-Einstellungen rum gespielt habe.
Da ich leider nur interessierter Laie bin und daher über Eure Hilfen dankbar bin, würde es mir erstmal langen, den IP-Fire ohne großen Schnick-Schnack zum laufen zu bekommen. Gefühlt habe ich immer das Problem, dass nach Umstellung auf den Fire, der Seitenaufbau langsamer ist.

Daher die Frage nach den Basics.
Fritzbox:
Muss ich außer dem Exposed Host noch was in der Box verändern, z. B. den Teredo-Filter deaktivieren oder noch mehr Ports sperren?

IP-Fire:
Die Red habe ich über DHCP laufen. Die Green ist 182.166.123.1 mit DHCP
Frage1: Beim IP-Fire DHCP-Server wird ja auch eine DNS verlangt. Da trage ich ja die "lokale DNS" von der Fritzbox , bsp. 192.168.178.1 ein oder?
Frage 2: Muss ich noch im Reiter "DNS-Server" in der IP-Fire eintragen? Macht es da Sinn einen externen, wie z. B. diesen Google mit 8.8.8.8 einzutragen? Hab schon öfter gelesen, dass dadurch der Seitenaufbau schneller gehen soll.
Frage 3: in den Firewall-Regeln erlaube ich Grün auf Rot. Dadurch sollten ja Alle erstmal ins Netz kommen, oder muss ich da erstmal nichts einstellen, da die Firewall erstmal offen ist?
Frage 4: Welche Pakete sollten unbedingt noch zusätzlich als Add-on installiert werden, oder ist das nicht nötig.

Vorab schon mal vielen Dank :-)

An Michael: wie mach ich das am Besten mit den Logs?

monstermania
Posts: 15
Joined: December 8th, 2015, 9:07 am

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by monstermania » March 21st, 2017, 9:04 am

- die Hardware zu lahm?
Moin,
grundsätzlich ist die Leistung Deiner Hardware zwar ausreichend (CPU/RAM/NIC). Der Teufel steckt aber oft im Detail. Leider hast Du keine Angaben zur verwendeten HDD Deiner Hardware gemacht.
Gerade wenn der Proxy viele Inhalte cached, sollte die HDD entsprechend flott sein! Bei 100 aktiven Usern wird schon einiger Traffic auf dem Cache laufen. Bei einer lahmen HDD kann so etwas dann schnell zum Showstopper werden. Dann kann es schnell passieren, dass die 200'er Leitung native schneller arbeitet als der Proxy-Cache!

Ich würde heutzutage ganz klar eine SSD-Platte für eine Firewall nutzen!

Gruß
Dirk

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by fredym » March 21st, 2017, 9:51 am

IP-Fire Mensch wrote:Hallo,

bisherige "fehlgeschlagene" Versuche:
- Intel Core Duo Rechner mit 6 GB RAM und 2 G/Bit Karten, mit jeweils aktuellem IP-Fire.
- Rechner hängt zwischen Fritzbox und Switch mit folgender Konfiguration:
Fritzbox: IP-Bereich 192.168.178.1, Subnetz 255.255.255.0 mit aktivem DHCP
RED Interface: IP über DHCP
GREEN Interface: 182.166.123.1, Subnetz 255.255.0.0 mit DHCP
Dein erstes Problem ... nimm keine im Internet routbaren IP-Bereiche! Verwende "private" Adressen
so wie 192.168.64/21 (macht 1000 IPs)
- In der Firewall wurde in den Filterregeln Grün auf Rot erlaubt um ins Internet zu kommen.
- In den Ferien mit wenig Nutzern 10-20 Leuten lief alles gut, mit aktiviertem transparenten Web-Proxy. Einstellungen nach https://www.youtube.com/watch?v=A-no4C7T_70
transparentr Proxy gilt nur für http nicht für https z.B.
Nach den Ferien mit vollem Haus, ist kein Internetzugang mehr möglich und z. T. steht im Browser was von Proxyfehler.
Du brauchst
Cache (wieviel MB pro User ?)
n gleichzeitige Prozesse (userabhängig)
ausreichend Filedescriptoren
ausreichend Speicher (6 GB ist sehr wenig ) - was da fehlt geht auf die deutlich langsamere Platte !
(ausreichend Plattencache reserviert?)

Es hilft bei grösserer Last sich auch mal die Statistiken anzusehen, wo es "voll wird".
Alle Filter brauchen Speicherplatz !
DNS - ein zweiter wird eh nur gebracht, wenn der erste (DNS) nicht antwortet

Update Accelerator nur wenn es gar nicht anders geht! Der braucht wieder jede Menge Speicher und Plattenplatz - nützt nur bei vielen identischen Abfragen (Beispiel: alle wollen die google.com Anfangsseite).

Eigentlich (!) hat bei 100 Usern ein Alix2d13 gereicht (128MB Ramdisk) mit reichlich Cachesize(mehr als Standard).
Die Optimierung dauerte paar Tage
Allerdings konnte die Leitung nur ca. 30Mbits, aber meist klemmt es da eh unterwegs und nicht auf dem letzten Sück.

Fred

Kobold

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by Kobold » March 24th, 2017, 4:33 pm

Hallo zusammen,
Ziel: Da unsere Fritzbox Cable 6490 mit so vielen Geräten überfordert ist, wollen wir auf einem Rechner IP-Fire nutzen mit Web Proxy und Update Accelerator. Leider müssen wir die Fritzbox weiterverwenden, da das Internet über das Kabel kommt.
Manchmal erledigt die ja auch gleich die Telefonie mit also das soll schon so passen.
bisherige "fehlgeschlagene" Versuche:
- Intel Core Duo Rechner mit 6 GB RAM und 2 G/Bit Karten, mit jeweils aktuellem IP-Fire.
- Rechner hängt zwischen Fritzbox und Switch mit folgender Konfiguration:

Sollte aber so passen von der Hardware her, eventuell etwas mehr RAM damit es hier und dort
etwas flüssiger läuft, aber ansonsten ist es voll in Ordnung.
Fritzbox: IP-Bereich 192.168.178.1, Subnetz 255.255.255.0 mit aktivem DHCP
RED Interface: IP über DHCP
GREEN Interface: 182.166.123.1, Subnetz 255.255.0.0 mit DHCP
- In der Firewall wurde in den Filterregeln Grün auf Rot erlaubt um ins Internet zu kommen.
- In den Ferien mit wenig Nutzern 10-20 Leuten lief alles gut, mit aktiviertem transparenten Web-Proxy. Einstellungen nach https://www.youtube.com/watch?v=A-no4C7T_70
AVM FB:
AVM FB: Netz 192.168.178.0/24 (255.255.255.0)
AVM FB IP Adresse: 192.168.178.1/24
DHCP: aus / off bitte nur statische IP Adressen aus dem Netz der AVM FB vergeben (192.168.178.0)

IPFire:
- RED Interface: statische IP Adresse aus dem Netz der AVM FB (192.168.178.0) z.B. 192.168.178.253/24
Ansonsten ändert sich die WAN IP Adresse immer und der Proxy bekommt immer durcheinander
- GREEN Interface: 172.16.1.0/24 (255.255.225.0) mit aktiviertem DHCP
So ist man im Bereich der privaten IP Adressen geblieben
- In der Firewall wurde in den Filterregeln Grün auf Rot erlaubt um ins Internet zu kommen.
Ok!
Nach den Ferien mit vollem Haus, ist kein Internetzugang mehr möglich und z. T. steht im Browser was von Proxyfehler.
Wundert mich nicht bei der Adressvergabe und den IP Adressen.

Bin für Hilfe extrem dankbar.
Läuft bei mir genauso mit den IP Adressen und zwar schön rund!

IP-Fire Mensch
Posts: 3
Joined: March 8th, 2017, 10:13 pm

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by IP-Fire Mensch » March 26th, 2017, 7:58 pm

Wow..., vielen, vielen Dank Kobold und Freydm für Eure Infos und Hilfe :-)
Werde mich dran machen, die Vorschläge umzusetzen.

Zwecks dem Proxy. Eigentlich ist der mir "egal". Dachte nur der Update Accelerator könnte uns Helfen, den Traffic zu minimieren. Und um den nutzen zu können, muss ich ja den Proxy anhaben.
Aber wenn dafür die Hardware nicht ausreicht, werde ich eher mal darauf verzichten.

@ fredym: Bezüglich den Einstellungen für Proxy:
Cache (wieviel MB pro User ?) --> keine Ahnung, was da Sinn macht? Zum Teil sind 80-100 Personen gleichzeitig online.
n gleichzeitige Prozesse (userabhängig) --> vermutlich mehr als "1", oder? Da Standard 10 eingestellt ist, müssten es dann 1.000 sein?
ausreichend Filedescriptoren --> das war nochmals was :-)
ausreichend Speicher (6 GB ist sehr wenig ) --> was bräuchte man da?
(ausreichend Plattencache reserviert?) --> Ist ne 250 HDD, wo nur der IP-Fire darauf läuft. Daher wäre alles für Proxy und Update Accelerator da.
Würde da überhaupt noch ein "normaler" PC langen oder bräuchte es da schon Server-Hardware?

Wegen der Fritzbox. Werden auf die nicht verzichten können, da wir Internet über Kabel von Vodafone beziehen.

Vielen Dank nochmals für Euren Input und werde mich melden, wie es danach läuft.

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by fredym » March 27th, 2017, 7:14 am

Hallo,
Serverhardware ist nicht besser/schneller sondern stabiler - sollte es sein :)
Paar Dinge sind eben Einstellungssache (Plattencache). Da kann man mit den Standardwerten anfangen und später ändern.

Gleichzeitige Prozesse laufen eben gleichzeitig (nicht 1 Minute versetzt oder 10 Sekunden).
Cache (pro User) ... wieder die Frage: Cachen oder Neu laden :) Cache macht Sinn, wenn die gleiche URL aufgerufen wird, sonst ist es eh eher unsinnig.
Zu Speicher ... na ja... einfach einen freien Speicherslot.
Ich hatte damals Alix2-Boards (256MB RAM - davon 128MB für RAM Disk) und letzlich 10*4MB Cache für alle!
An einer Schachtel hingen bis zu 80..90 User, aber wirklich gleichzeitig Traffic gemacht haben wenige .
Die Zuleitung konnte 25 MBits aber auch eher "Leerlauf".
Probleme gab es nur bei VPN-Tunneln, wenn dort die Datensicherung/Datenabgleich lief UND jemand auf die Idee kam 30 Mails zu ja 100MB Anhang loszuschicken, da kommt bei 4MBits Upload dann Freude auf! Jeder Prozess kriegt 2 MBits..und 100MB mit base64 gepackt macht so 150MB... das dauert dann.

Die Hardware war dabei das allerkleinste Problem! Da war immer noch "etwas Luft".

Fred

mousseman
Posts: 5
Joined: February 10th, 2013, 2:25 pm

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by mousseman » April 17th, 2017, 9:54 am

https://www.thomas-krenn.ch/de/produkte ... twork.html funktiniert recht gut, kann aufgerüstet werden und hat mehr als genug Ports (ich würde in einem solchen Setup immer Laptop von IoT/Handies trennen, ich bin aber auch etwas paranoid.

User avatar
lavanda
Posts: 2
Joined: July 27th, 2017, 8:40 am
Location: Bad Wimpfen
Contact:

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by lavanda » July 27th, 2017, 9:17 am

mousseman wrote:
April 17th, 2017, 9:54 am
https://www.thomas-krenn.ch/de/produkte ... twork.html funktiniert recht gut, kann aufgerüstet werden und hat mehr als genug Ports (ich würde in einem solchen Setup immer Laptop von IoT/Handies trennen, ich bin aber auch etwas paranoid.
Hmm.. echt tolle Sache, passt mir :) Danke ;)

User avatar
StefanAlbrecht
Posts: 1
Joined: September 19th, 2019, 9:32 am

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by StefanAlbrecht » September 19th, 2019, 9:41 am

Hallo,

@mousseman,
Ist es möglich, DNSSEC in IPFIRE zu deaktivieren? Ich möchte es testen. Soll ich FRITZBOX-DNS als primären DNS einstellen?
Danke.
Stefan

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8522
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: Welche Hardware/ Konzept für größere Einrichtung (300 Geräte)

Post by Arne.F » September 19th, 2019, 12:05 pm

DNSSec kann man für den unbound im IPFire nicht deaktivieren außer die rootserver sind nicht erreichbar dann wird DNSSec automatisch deaktiviert. (Es gibt ein paar ISP's die einfach mal alle Port53 anfragen auf die eingenen Server umleiten.)

Aber für testzwecke kannst du im Client oder auch per DHCP ja einen anderen DNS als den IPFire verwenden (außer du hast eine Regel drin die das blockiert)
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Post Reply