Compact UTM hardware for home license?

I already have one netgear GS724TP Prosafe POE smart switch (which I am going to replace the small nosy fans with one bigger fan on top).

I am right now configuring a hardware setup

• ASUS P8H77-M H77 S-1155 M-ATX IVY
  
•       CORSAIR 8GB DDR3 XMS3 INTEL I5/I7 PC12800 16000MHz
  
• INTEL 330 SERIES 2.5" 60GB SSD SATA/600 MLC 25NM RESELLER
  
• INTEL CORE I5 3450 3.1GHZ 6MB S-1155 IVY
  
• One INTEL PRO/1000 GT DESKTOP ADAPTER LP
  
• Two INTEL PRO/1000 PT SERVER ADAPTER PCI-E
  
• One SAMSUNG DVD±R/RW/RAM DL 24X SATA BULK BLACK
  
• ANTEC MIDITOWER VSK 3000E M-ATX BLACK
  

This is just about $680 inc VAT


I am planning to use the NICs as following:

• External network - Motherboard built in NIC
  
• Internal network - Intel PRO 1000 Server adapter PCIE
  
• Wireless network - Intel PRO 1000 Server adapter PCI
  
• Tagged VLAN networks - Intel PRO 1000 Server adapter PCIE
  

Each VLAN is to be used for a virtualized instance like DMZ and other stuff. All virtualized instances are running on a single hardware using KVM. The KVM host is running Mythbuntu and are also acting as a NAS connected to the internal network.

But before ordering this, I must check if it is possible to run UTM, MythBuntu, KVM with the virtualized instances on the single hardware. Right now I am investigating how to set up networking on the KVM host using convirt. Currently I am stuck with the NIC configuration in KVM (using convirt), which has directed me to this solution, but I do not want to give it up yet.

I would run ESXi instead, it performs better and the networking (vSwitch) blows KVM out of the water.

Additionally, why are you getting so many NICs? Just use a single dual port Intel Pro/1000 PCI express adapter - and a Netgear GS108T ($75) which supports VLAN tags.

I would run ESXi instead, it performs better and the networking (vSwitch) blows KVM out of the water.

Additionally, why are you getting so many NICs? Just use a single dual port Intel Pro/1000 PCI express adapter - and a Netgear GS108T ($75) which supports VLAN tags.

Cannot run ESXi due to:

• Have a powerware UPS which far as I now, ESXi cannot connect to in order to shutdown the instances and then shutdown when the UPS battery is empty.
  
• Have a rocketraid raid-card which have a driver for ESXi, but I do not know if it possible to set up rocketraid managing (cli or web gui) on the ESXi host
  
• Using MythTv in Mythbuntu with a quad PCIe TBS Card for DVB-S, oscam and a conax-card reader, which I am not sure how to set up in ESXi
  

Using multiple NICs is maybe unnecessarily, my reasons are:

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

Maybe I am thinking correct here? I already have GS108T bigger relative, Netgear GS724TP

I would run ESXi instead, it performs better and the networking (vSwitch) blows KVM out of the water.

Additionally, why are you getting so many NICs? Just use a single dual port Intel Pro/1000 PCI express adapter - and a Netgear GS108T ($75) which supports VLAN tags.

Cannot run ESXi due to:

• Have a powerware UPS which far as I now, ESXi cannot connect to in order to shutdown the instances and then shutdown when the UPS battery is empty.
  
• Have a rocketraid raid-card which have a driver for ESXi, but I do not know if it possible to set up rocketraid managing (cli or web gui) on the ESXi host
  
• Using MythTv in Mythbuntu with a quad PCIe TBS Card for DVB-S, oscam and a conax-card reader, which I am not sure how to set up in ESXi
  

Using multiple NICs is maybe unnecessarily, my reasons are:

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

Maybe I am thinking correct here? I already have GS108T bigger relative, Netgear GS724TP

Using multiple NICs is maybe unnecessarily, my reasons are:

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

Maybe I am thinking correct here? I already have GS108T bigger relative, Netgear GS724TP

If you only have 1 switch, then you probably don't want to plug multiple NICs from Astaro into it. It might work if you isolate the VLANs correctly, but if you don't it will be extremely unstable.
Unless you're going to do NIC teaming/bonding for higher bandwidth, which is a different story but probably totally unnecessary for in-home.

In which case, you can do 2 NICs:
EXT
INT (VLAN, note during initial configuration, you will need to connect to the EXT interface so you can configure the INT as type VLAN)

If the home computer is watching video over LAN ethernet, then it doesn't matter where the wireless is hooked up.
If it's watching video over ethernet from another VLAN, the wireless still doesn't matter, but DO see my notes below about IPS bottlenecks (still should be fast enough for video though).

In general, for extra security I recommend creating an 'Untrusted Wireless' LAN/DMZ on a separate NIC or VLAN (use your VLAN switch, you don't need to use another NIC).
However, depending what your WiFi clients need to connect to in the LAN, whether they are trusted, and the protocols involved, you may not want to do this. For example, broadcast (uPnP, etc.) protocols will not work between LANs/VLANs.

Some of your comments about extra bandwidth confuse me; the switch will ensure that LAN->LAN traffic will all be at gigE, even if other PCs or wifi clients are using the internet, etc.

(LAN->LAN will not touch the firewall)
HOWEVER, you need to realize than any traffic between different interfaces OR DIFFERENT VLANs will go through the firewall, and the IPS will be a bottleneck at gigE speeds (different users have reported IPS bandwidths of 100-600mbps, you can create IPS exceptions if that is a problem for your VLAN servers).
For home use, you probably would only notice that file copying is slower, streaming video, etc. shouldn't be a problem, but always check the IPS logs if you're having trouble.

Barry

Have a powerware UPS which far as I now, ESXi cannot connect to in order to shutdown the instances and then shutdown when the UPS battery is empty.

ESXi support for UPS' is virtually non-existent, even for enterprise level units. There are some setups out there that use a linux vm w/ NUT(Network UPS Tools) and VMware's esxcli to do a shutdown. On of the NUT developers has created a small ESXi plugin for v5 that simplifies this somewhat.

Have a rocketraid raid-card which have a driver for ESXi, but I do not know if it possible to set up rocketraid managing (cli or web gui) on the ESXi host.

 ESXi uses a plugin architecture for that kind of thing. I'm running ESXi on IBM servers at work (LSI controllers) and even those don't have cli/gui access from the ESXi client.

Using MythTv in Mythbuntu with a quad PCIe TBS Card for DVB-S, oscam and a conax-card reader, which I am not sure how to set up in ESXi.

You'd need to have relatively recent kit with support for VT-d or PCI Passthrough. Then you can assign the cards to specific VM's.

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

With a proper VLAN setup, security isn't a concern. The only time that both multiple networks are on the same wire is between the host's interface and the tagged VLAN interface on the switch. And as both are designed not to allow bleed over, the only way an attacker on the outside network could sniff internal packets if if he/she got physical access to the cable. Even an attacker on the inside trying to force different VLAN tags should be shutdown if the switch is configured properly. At work we use VLAN's and I've got all access ports on the switches setup to ignore/strip VLAN tags.

Bandwidth wise, Wireless can run just fine over a tagged VLAN. Unless you are using 802.11ac, you'll never max out a gigabit line with a single WiFi AP.

Couple notes about 802.11n

• The advertised 600Mbps maximum is half-duplex and assumes one client using all four MIMO streams.
  
• The 600Mbps is shared among all devices.
  
• 802.11n will downgrade to b or g speeds if an older device joins the WiFi.
  

Realworld? Most n devices will only talk at 300Mbps to the AP. Communication is half-duplex so actual speeds are closer to 150Mbps. Assuming each devices can use a seperate MIMO stream, max is around 600Mbps total. I routinely run 1080p HD video over 802.11n (300mbps) with no issues.

On the horizon there is 802.11ac & ad which will max out a gig link. From what I've been reading that tech will require 10Gig interfaces to properly support the AP's. That's a while off yet tho. [;)]