Compact UTM hardware for home license?

I already have one netgear GS724TP Prosafe POE smart switch (which I am going to replace the small nosy fans with one bigger fan on top).

I am right now configuring a hardware setup

• ASUS P8H77-M H77 S-1155 M-ATX IVY
  
•       CORSAIR 8GB DDR3 XMS3 INTEL I5/I7 PC12800 16000MHz
  
• INTEL 330 SERIES 2.5" 60GB SSD SATA/600 MLC 25NM RESELLER
  
• INTEL CORE I5 3450 3.1GHZ 6MB S-1155 IVY
  
• One INTEL PRO/1000 GT DESKTOP ADAPTER LP
  
• Two INTEL PRO/1000 PT SERVER ADAPTER PCI-E
  
• One SAMSUNG DVD±R/RW/RAM DL 24X SATA BULK BLACK
  
• ANTEC MIDITOWER VSK 3000E M-ATX BLACK
  

This is just about $680 inc VAT


I am planning to use the NICs as following:

• External network - Motherboard built in NIC
  
• Internal network - Intel PRO 1000 Server adapter PCIE
  
• Wireless network - Intel PRO 1000 Server adapter PCI
  
• Tagged VLAN networks - Intel PRO 1000 Server adapter PCIE
  

Each VLAN is to be used for a virtualized instance like DMZ and other stuff. All virtualized instances are running on a single hardware using KVM. The KVM host is running Mythbuntu and are also acting as a NAS connected to the internal network.

But before ordering this, I must check if it is possible to run UTM, MythBuntu, KVM with the virtualized instances on the single hardware. Right now I am investigating how to set up networking on the KVM host using convirt. Currently I am stuck with the NIC configuration in KVM (using convirt), which has directed me to this solution, but I do not want to give it up yet.

I would run ESXi instead, it performs better and the networking (vSwitch) blows KVM out of the water.

Additionally, why are you getting so many NICs? Just use a single dual port Intel Pro/1000 PCI express adapter - and a Netgear GS108T ($75) which supports VLAN tags.

I would run ESXi instead, it performs better and the networking (vSwitch) blows KVM out of the water.

Additionally, why are you getting so many NICs? Just use a single dual port Intel Pro/1000 PCI express adapter - and a Netgear GS108T ($75) which supports VLAN tags.

Cannot run ESXi due to:

• Have a powerware UPS which far as I now, ESXi cannot connect to in order to shutdown the instances and then shutdown when the UPS battery is empty.
  
• Have a rocketraid raid-card which have a driver for ESXi, but I do not know if it possible to set up rocketraid managing (cli or web gui) on the ESXi host
  
• Using MythTv in Mythbuntu with a quad PCIe TBS Card for DVB-S, oscam and a conax-card reader, which I am not sure how to set up in ESXi
  

Using multiple NICs is maybe unnecessarily, my reasons are:

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

Maybe I am thinking correct here? I already have GS108T bigger relative, Netgear GS724TP

Using multiple NICs is maybe unnecessarily, my reasons are:

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

Maybe I am thinking correct here? I already have GS108T bigger relative, Netgear GS724TP

If you only have 1 switch, then you probably don't want to plug multiple NICs from Astaro into it. It might work if you isolate the VLANs correctly, but if you don't it will be extremely unstable.
Unless you're going to do NIC teaming/bonding for higher bandwidth, which is a different story but probably totally unnecessary for in-home.

In which case, you can do 2 NICs:
EXT
INT (VLAN, note during initial configuration, you will need to connect to the EXT interface so you can configure the INT as type VLAN)

If the home computer is watching video over LAN ethernet, then it doesn't matter where the wireless is hooked up.
If it's watching video over ethernet from another VLAN, the wireless still doesn't matter, but DO see my notes below about IPS bottlenecks (still should be fast enough for video though).

In general, for extra security I recommend creating an 'Untrusted Wireless' LAN/DMZ on a separate NIC or VLAN (use your VLAN switch, you don't need to use another NIC).
However, depending what your WiFi clients need to connect to in the LAN, whether they are trusted, and the protocols involved, you may not want to do this. For example, broadcast (uPnP, etc.) protocols will not work between LANs/VLANs.

Some of your comments about extra bandwidth confuse me; the switch will ensure that LAN->LAN traffic will all be at gigE, even if other PCs or wifi clients are using the internet, etc.

(LAN->LAN will not touch the firewall)
HOWEVER, you need to realize than any traffic between different interfaces OR DIFFERENT VLANs will go through the firewall, and the IPS will be a bottleneck at gigE speeds (different users have reported IPS bandwidths of 100-600mbps, you can create IPS exceptions if that is a problem for your VLAN servers).
For home use, you probably would only notice that file copying is slower, streaming video, etc. shouldn't be a problem, but always check the IPS logs if you're having trouble.

Barry

Using multiple NICs is maybe unnecessarily, my reasons are:

• A want to have external network on a separate 100Mbit/s NIC due to security reasons.
  
• A want to have Internal network on a separate 1000 Mbit/s NIC because I want to have high bandwidth since the KVM host is also a NAS
  
• A want to have Wireless network on separate 1000 Mbit/s NIC because I also want to have higher NAS bandwidth over wireless when another home computer is watching video etc on the NAS via the internal network
  
• A want to have all my virtualized dmz instances on a separate NIC not to interfere with bandwidth on internal network
  

Maybe I am thinking correct here? I already have GS108T bigger relative, Netgear GS724TP

If you only have 1 switch, then you probably don't want to plug multiple NICs from Astaro into it. It might work if you isolate the VLANs correctly, but if you don't it will be extremely unstable.
Unless you're going to do NIC teaming/bonding for higher bandwidth, which is a different story but probably totally unnecessary for in-home.

In which case, you can do 2 NICs:
EXT
INT (VLAN, note during initial configuration, you will need to connect to the EXT interface so you can configure the INT as type VLAN)

If the home computer is watching video over LAN ethernet, then it doesn't matter where the wireless is hooked up.
If it's watching video over ethernet from another VLAN, the wireless still doesn't matter, but DO see my notes below about IPS bottlenecks (still should be fast enough for video though).

In general, for extra security I recommend creating an 'Untrusted Wireless' LAN/DMZ on a separate NIC or VLAN (use your VLAN switch, you don't need to use another NIC).
However, depending what your WiFi clients need to connect to in the LAN, whether they are trusted, and the protocols involved, you may not want to do this. For example, broadcast (uPnP, etc.) protocols will not work between LANs/VLANs.

Some of your comments about extra bandwidth confuse me; the switch will ensure that LAN->LAN traffic will all be at gigE, even if other PCs or wifi clients are using the internet, etc.

(LAN->LAN will not touch the firewall)
HOWEVER, you need to realize than any traffic between different interfaces OR DIFFERENT VLANs will go through the firewall, and the IPS will be a bottleneck at gigE speeds (different users have reported IPS bandwidths of 100-600mbps, you can create IPS exceptions if that is a problem for your VLAN servers).
For home use, you probably would only notice that file copying is slower, streaming video, etc. shouldn't be a problem, but always check the IPS logs if you're having trouble.

Barry