Quelqu'un d'autre utilise-t-il OpenBSD comme routeur dans l'entreprise? Sur quel matériel l'utilisez-vous? [fermé]

26

Nous avons un routeur OpenBSD sur chacun de nos sites, fonctionnant actuellement sur du matériel PC "homebrew" générique dans un boîtier de serveur 4U. En raison de problèmes de fiabilité et de considérations d'espace, nous envisageons de les mettre à niveau vers du matériel de qualité serveur approprié avec support, etc.

Ces boîtiers servent de routeurs, de passerelles et de pare-feu sur chaque site. À ce stade, nous connaissons assez bien OpenBSD et Pf, si hésitants à nous éloigner du système pour quelque chose d'autre, comme du matériel Cisco dédié.

J'envisage actuellement de déplacer les systèmes vers certaines machines 1U de la série HP DL (modèle à déterminer). Je suis curieux de savoir si d'autres personnes utilisent une configuration comme celle-ci dans leur entreprise, ou ont migré vers ou depuis une autre.

hardware  router  gateway  openbsd 
Kamil Kisiel
source
1
J'ai trouvé que les réponses nous ont aidés car nous avons ouvert bsd depuis 9 ans et j'ai commencé à penser à passer à jos en raison de problèmes d'alimentation dans le centre de données. Maintenant, je vais réfléchir à nouveau car je pense que nous avons sous-évalué les avantages de fonctionner sur une plate-forme ouverte.

Réponses:

43

Nous utilisons exclusivement des routeurs / pare-feu OpenBSD pour servir FogBugz On Demand. Sauf si vous opérez dans un rôle de transit et avez besoin du débit pps extrêmement élevé que le matériel spécialement conçu et les logiciels intégrés peuvent fournir, OpenBSD sur du matériel solide sera une solution plus gérable, évolutive et économique.

Comparer OpenBSD à IOS ou JUNOS (d'après mon expérience):

Les avantages

  • Le pare-feu pf est inégalé en termes de flexibilité, de configuration gérable et d'intégration dans d'autres services (fonctionne de manière transparente avec spamd, ftp-proxy, etc.). Les exemples de configuration ne lui rendent pas justice.
  • Vous disposez de tous les outils d'un * nix sur votre passerelle: syslog, grep, netcat, tcpdump, systat, top, cron, etc.
  • Vous pouvez ajouter des outils si nécessaire: iperf et iftop que j'ai trouvé très utiles
  • tcpdump. Assez dit.
  • Configuration intuitive pour les vétérans Unix
  • Intégration transparente avec la gestion de configuration existante (cfengine, marionnette, scripts, etc.).
  • Les fonctionnalités de nouvelle génération sont gratuites et ne nécessitent aucun module complémentaire.
  • Ajouter des performances n'est pas cher
  • Pas de contrats de support

Désavantages

  • IOS / JUNOS simplifient le vidage / chargement d'une configuration entière. En l'absence d'outils de gestion de configuration, ils seront plus faciles à déployer une fois votre configuration écrite.
  • Certaines interfaces ne sont tout simplement pas disponibles ou stables sur OpenBSD (par exemple, je ne connais aucune carte ATM DS3 bien prise en charge).
  • Les appareils dédiés haut de gamme de type Cisco / Juniper gèrent des pps plus élevés que le matériel serveur
  • Pas de contrats de support

Tant que vous ne parlez pas de routeurs de dorsale dans un environnement de type FAI ou de routeurs de périphérie s'interfaçant avec des connexions réseau spécialisées, OpenBSD devrait être parfait.

Matériel

La chose la plus importante pour les performances de votre routeur est votre NIC. Un processeur rapide sera rapidement submergé par une charge modérée si vous avez des cartes réseau merdiques qui s'interrompent pour chaque paquet unique qu'il reçoit. Recherchez les cartes réseau gigabit qui prennent en charge au moins l'atténuation / la fusion des interruptions. J'ai eu de la chance avec les pilotes Broadcom (bge, bnx) et Intel (em).

La vitesse du processeur est plus importante que dans le matériel dédié, mais ce n'est pas quelque chose à craindre. Tout processeur moderne de classe serveur gérera une tonne de trafic avant d'afficher toute contrainte.

Prenez-vous un CPU décent (plusieurs cœurs n'aident pas beaucoup pour l'instant, alors regardez le GHz brut), une bonne RAM ECC, un disque dur fiable et un châssis solide. Ensuite, doublez tout et exécutez deux nœuds en tant que cluster CARP actif / passif. Depuis la mise à niveau de pfsync de 4.5, vous pouvez exécuter active / active, mais je n'ai pas testé cela.

Mes routeurs fonctionnent côte à côte avec nos équilibreurs de charge dans des configurations à deux nœuds 1U. Chaque nœud a:

  • Châssis Supermicro SYS-1025TC-TB (cartes réseau Intel Gigabit intégrées)
  • Processeur Xeon Harpertown Quad Core 2 GHz (mes équilibreurs de charge utilisent les cœurs multiples)
  • 4 Go de mémoire RAM Kingston ECC enregistrée
  • Carte réseau complémentaire Intel Gigabit à deux ports

Ils sont solides comme le roc depuis leur déploiement. Tout cela est exagéré pour notre charge de trafic, mais j'ai testé un débit supérieur à 800 Mbps (NIC limité, le processeur était principalement inactif). Nous utilisons beaucoup les VLAN, de sorte que ces routeurs doivent également gérer beaucoup de trafic interne.

L'efficacité énergétique est fantastique car chaque châssis 1U possède un seul bloc d'alimentation de 700 W alimentant deux nœuds. Nous avons réparti les routeurs et les équilibreurs sur plusieurs châssis afin que nous puissions perdre un châssis entier et avoir un basculement à peu près transparent (merci pfsync et CARP).

Systèmes d'exploitation

Certains autres ont mentionné l'utilisation de Linux ou FreeBSD au lieu d'OpenBSD. La plupart de mes serveurs sont FreeBSD, mais je préfère les routeurs OpenBSD pour plusieurs raisons:

  • Un accent plus serré sur la sécurité et la stabilité que Linux et FreeBSD
  • La meilleure documentation de tout système d'exploitation Open Source
  • Leur innovation est centrée sur ce type d'implémentation (voir pfsync, ftp-proxy, carp, vlan management, ipsec, sasync, ifstated, pflogd, etc. - qui sont tous inclus dans la base)
  • FreeBSD a plusieurs versions en retard sur son port de pf
  • pf est plus élégant et gérable que iptables, ipchains, ipfw ou ipf
  • Processus de configuration / d'installation allégé

Cela dit, si vous êtes intimement familier avec Linux ou FreeBSD et que vous n'avez pas le temps d'investir, c'est probablement une meilleure idée d'aller avec l'un d'eux.

sh-beta
source
Merci pour la réponse extrêmement détaillée. Ce que vous décrivez est à peu près exactement le type de système que nous envisageons de construire, une paire de serveurs avec un double GigE intégré et un NIC de complément GigE double dans une configuration de basculement CARP. Il est très rassurant de voir que quelqu'un d'autre exécute une telle configuration dans un système de production majeur.
Kamil Kisiel
1
Personnellement je préfère iptables, je pense que pf est trop restreint. D'après mon expérience avec CARP sur OpenBSD, c'est formidable lorsque vous souhaitez effectuer des tâches planifiées (basculement planifié), mais le basculement ne fonctionnera pas le plus souvent en cas de panne réelle. J'ai eu exactement un basculement sur incident pf réussi, et c'était avec OpenBSD 4.5. De plus, la situation de support pour OpenBSD est sombre. Si vous n'avez pas les connaissances en interne ou que vous ne payez pas quelqu'un, alors la réponse à toutes les questions ou au soutien en cas de panne est: "votre mère est grosse".
Thomas
1
J'exécute pf / pfsync / CARP deux pare-feu dans une configuration de basculement. J'ai connu deux situations de basculement et dans les deux cas, je ne l'ai appris que par mon système de surveillance m'indiquant que l'un des pare-feu était en panne. Les services du cluster se sont poursuivis sans interruption notable.
Insyte
8

pfsense est un excellent pare-feu basé sur FreeBSD, très riche en fonctionnalités, facile à configurer et doté d'une communauté active ainsi que d'options de support. Plusieurs personnes l'utilisent dans des situations commerciales / de production qui sont actives dans le forum. Je l'utilise à la maison et je le pousse au travail, c'est une alternative très bien conçue. Ils ont même une image de machine virtuelle à télécharger pour la tester!

Chance
source
j'ai regardé ce lien. cette variante de MonoWall a fière allure. :-)
djangofan
Je crois que mono se concentre sur le matériel embarqué, tandis que pfsense se concentre sur les systèmes basés sur PC. Je crois qu'il était destiné à offrir des fonctionnalités plus avancées / de classe entreprise que celles trouvées dans m0n0wall ou d'autres distributions de pare-feu de base.
Chance
2

Là où je travaille, nous utilisons RHEL5 + quagga & zebra sur 4 boîtes pour exécuter le transit à 450 Mbps. Alors oui, vous pouvez le faire en entreprise et économiser beaucoup d'argent.

Nous limitons les tarifs en utilisant TC et utilisons des règles iptables et notrack.

pjd
source
2

J'ai utilisé OpenBSD 3.9 comme pare-feu et je suis passé à un Juniper SSG5.

Comme l'a dit sh-beta OpenBSD comme BEAUCOUP de bonnes fonctionnalités: pf est incroyable, tcpdump, beaucoup de bons outils ...

J'avais quelques raisons de passer à Juniper. En particulier, la configuration est rapide et facile. Sur OpenBSD, tout est "un peu compliqué".

par exemple: la gestion de la bande passante est -à mon avis- beaucoup plus facile à configurer sur le SSG.

La version d'OpenBSD que j'ai utilisée était assez ancienne; Peut-être que les versions plus récentes sont meilleures sur ce point.

Matthieu
source
Côté matériel, mon boîtier OpenBSD était un ancien Dell GX280.
Matthieu
1

Pour la petite entreprise de mon père avec une succursale, j'utilise OpenBSD comme routeur / passerelle / pare-feu pour le bureau principal et la succursale. Cela ne nous a jamais déçus. Nous utilisons un serveur Dell Tower à chaque emplacement. Chaque serveur est équipé d'une carte Dual GiGE, 8 Go de RAM (légère surpuissance, je sais) et fonctionne bien. La succursale est configurée pour se connecter à la principale via IPSEC et la mise en œuvre IPSEC d'OpenBSD est délicieusement facile à utiliser.

1

Les passerelles OpenBSD sont utilisées dans de nombreuses configurations d'entreprise. Nous avons deux passerelles OpenBSD sur nos réseaux.

Je me souviens encore d'un épisode drôle avec OpenBSD: le disque dur est mort, mais la passerelle a continué à acheminer le trafic, comme si rien ne s'était passé, servant uniquement de mémoire. Cela m'a donné un peu de temps pour configurer une autre instance.

Configuration matérielle très faible, les Dual Opteron 248 sont excellents. Je vois rarement le processeur dépasser 5%. Ils sont très stables. Je l'utilise depuis un peu plus de 7 ans maintenant sans aucun problème.

Adrian Thompson
source
1

J'utilise OpenBSD (4.9) en production sur notre pare-feu principal depuis un certain temps. C'est un ASUS MB assez ancien avec 2 Go de RAM DDR (1) et un Athlon double cœur (2 GHz). J'ai acheté une carte Intel à quatre ports (PCI-Express) et utilisée dans le port graphique x16. Ne jetez PAS vos cartes graphiques PCI si vous en avez. Vous en aurez besoin comme carte graphique si vous prévoyez d'utiliser le port PCI-express 16x pour la carte réseau (gfx intégré ne fonctionnait pas dans mon cas).

Je sais que ce n'est pas du matériel "de classe entreprise". mais ce sont les avantages évidents de cette configuration:

  • J'ai beaucoup de ces MB qui traînent et je ne manquerai donc jamais de pièces de rechange (je me prépare également pour CARP).

  • La plupart des bords AMD bon marché prennent en charge la RAM ECC !.

  • Toutes les pièces de quincaillerie / pièces de rechange sont «sur étagère» bon marché et stables

  • Les performances sur ces plates-formes sont excellentes (4x Gbps), même pour notre configuration d'hébergement plutôt lourde!

Brian Simonsen
source
0

J'ai dans le passé. Je l'ai installé à l'origine sur certains PC «whitebox», puis mis à niveau vers un Dell Power Edge 2950. Alimentations redondantes, disques durs - grande amélioration du point de vue de la fiabilité. Pas une amélioration observée bien sûr, nous avons eu de la chance et la boîte blanche n'a jamais planté, mais théoriquement nous étions en meilleure forme avec plus de redondance.

Nous ne l'utilisions que pour filtrer les paquets d'un T1, donc pas une amélioration notable des performances.

Kyle Hodgson
source
0

Avez-vous envisagé de passer à FreeBSD? OpenBSD ne peut pas utiliser pleinement les systèmes SMP modernes (ie Core2Quad). FreeBSD a pf et ipfw que vous pouvez utiliser simultanément et a également une couche réseau non GIANT.

Nous utilisons des routeurs logiciels FreeBSD comme passerelles ISP depuis des années, cela nous a fait économiser beaucoup de $$

SaveTheRbtz
source
0

Je ne peux pas parler pour * BSD (encore ... donnez-moi du temps ...) mais nous utilisons des routeurs Linux depuis plus de 10 ans et nous les aimons. Moins cher, pas de soucis de licence, et si vous regardez les documents, vous constaterez que vous avez la plupart des outils dont vous avez besoin pour faire avancer les choses. Je soupçonne que BSD est à peu près dans le même bateau.

Nous utilisons un DL365 G1 avec un socket de processeur unique rempli et 6 Go, bien que la RAM soit principalement destinée à la maintenance des boîtes aux lettres ...

Avery Payne
source
0

Utilisez les cartes réseau Intel (em) Gigabit Server.

Une carte qui fonctionne bien est la HP NC360T. C'est double port et pci-express.

BDP
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.