Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4621 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

hardware specs for Sophos Installation

martinta
Hi all

I know there is a lot of these threads, however i hope some of you guys will have the time to answer me anyway :-)

So, the problem is as follows, for the past 5 years i worked in a company where we used a couple of Sophos (or astaro if you will) UTM 320's, and to be honest, i really liked the interface of this particular firewall..

Now this November i left my job to start in another company as a network administrator, i won't be able to use Sophos at my new job since they just recently changed firewall to checkpoint.

Since i'm now going to work as a network administrator only (before i had both the servers and network responsibility) i talked to an old colleague and we agreed that we should build our own "play" server farm..

So far we talked about creating the following:

2+ computers with Windows Server 2012 Datacenter installed
create 2 sites (one in my place and one in his)
create complete Domain with 2 sites, exchange servers, SCCM etc. as virtual servers on the 2 datacenter servers.

Between the 2 "server farms" the plan was to create a S2S VPN tunnel.

Since this is only a test environment running on my own private internet line, there will not run that much data over the firewall, but still, it should be able to handle both the test servers and the computers of the house (13 devices atm). 

So.. what kind of hardware would you guys think i should use for it to ensure that the firewall won't become a problem

i was thinking something like this:
Gigabyte GA-B75N
Intel Core i3-3220T
Kingston HyperX Lovo 2x4 GB
and then an old 80 GB Intel SSD.

I'm most worried about the compatibility with the Sophos UTM 9 OS, towards the 2 netcards on the motherboard.

Any comments would be greatly appreciated.


This thread was automatically locked due to age.
  • 0
    The i3 is more than fast enough in most installations, you could perhaps look at the new Haswell processors (these are a more energy efficiënt). Also 8 GB RAM is sufficiënt. The SSD is something you should reconsider, since there's a lot of writing actions (log-files), SSD-disks can wear-out pretty fast when used as UTM. If you have another normal disk laying around, I would choose that one instead.
    The gigabyte board uses 2 Realtek NIC's, not sure if they will work in Sophos, but good Intel NIC's will probably perform better.
  • 0
    Thank you very much for the reply :-)

    Well, the primary reason for the SSD is that the box is gonna be in my living room right next to the television, so all the noise that can be avoided would be preferred :-) But i do have a few 2,5" normal disk's  laying around, i think i'm gonna try one of those and see how much extra noise it adds.

    but to bottom line it.

    1) I should go for a motherboard using intel NIC's instead of Realtek (or broadcom for that matter)
    2) take a look for a processor and MB using gen4 i3 instead of a gen3
    3) i should reconsider using a SSD.
  • 0
    Hi,

    What speed are your internet connections, and will you be setting up any DMZs or multiple LANs on each UTM?

    Most Realtek NICs will probably work, but it's hard to say for certain as the GigaByte page does not list which Realtek chip # is used.

    However, Realtek NICs have terrible performance (due to making the CPU do a lot of the work, no checksum offloading, interrupt coalescing, etc.), and the drivers aren't the most stable, and may not have VLAN support, etc.

    I would recommend finding something with Intel NICs.

    I agree with apijnappels about SSD wear; depending on which Intel you have, it may be able to withstand the high write load, but an HDD may well last longer. Disk performance is not very important for the UTM.

    4GB RAM is plenty for now unless you're going to be using ALL of the features, in which case you would be better of with 8GB.

    It is currently hard to find a mini-ITX board with dual Intel NICs.
    Options include:
    a. JetWay JNF9J-Q87 - $220USD, socket 1150 aka Haswell CPU 

    b. old (non-Haswell) socket 1155 boards. However, these are now going for more than the new Jetway above, so I don't recommend them anymore.

    The other option would be to get a board with 1 Intel NIC, and add a low-profile single-port or multi-port Intel NIC into the PCIe slot.
    Make sure the case can accomodate a PCIe card; the smaller mini-ITX cases cannot.

    I'm using the GigaByte GA-Z87N-WiFi board. I currently consider it a single (Intel) NIC board, but it also has a gigE Atheros NIC that may someday be supported by the UTM.
    I'm currently running an Intel PCIe NIC as the secondary interface.

    Warning: I cannot get the system to POST with a Broadcom dual-port NIC. GBT Support has mostly been unhelpful, even though I have offered to drive to their US location. The most they are offering is for me to mail them my NIC, and let them try it for up to 3 months, and hope they can fix the problem and send it back.

    The GA-H87N-WIFI boards are slightly cheaper than the Z87N.

    ASRock has at least one Haswell mini-ITX board with an Intel NIC, but I haven't tried one.

    ASUS & MSI do not seem to have one.

    Barry
  • 0 in reply to martinta

    1) I should go for a motherboard using intel NIC's instead of Realtek (or broadcom for that matter)
    2) take a look for a processor and MB using gen4 i3 instead of a gen3
    3) i should reconsider using a SSD.


    Hi,

    I guess you replied while I was writing...

    1. Yes

    2. doesn't matter much, but the old dual-NIC Intel boards are now expensive, so I'd go for Haswell unless you find a good deal.

    3. a 2.5" HD shouldn't be very audible if it's several feet away.

    Fan noise is probably more of a concern; many of the cheap/small cases are not very quiet. 
    Anandtech.com and other sites have good reviews, and I chose the Fractal Design Node 304 based upon its reputation for being quiet, and am pleased with it. It is not very small, however.

    Barry
  • 0
    Hi BarryG

    Thank you for the thorough reply, i appreciate it :-)

    For the time being i have a internet connection of 30/30 mbit/s, however i have the option to upgrade to a speed of 150/150 mbit/s if that need should ever accour. So the hardware should be able to support this speed just to avoid having to upgrade it again in the near future.

    I haven't planned on adding a DMZ since the most of the test setup will be focused towards the internal part of the servers which will be tunneled through the VPN. I am still thinking about connecting it to a cisco testlab, so the VLAN support should prop. be there.

    I have not been able to find one single socket 1150 motherboard featuring two intel NIC, however i have found one using socket 1155, made by Intel themself (Intel Desktop Board DQ77KB)
    so this could be a good reason to stay at the older gen 3 processor. to avoid having to buy an extra PCI-E. 

    I could only find stores in the USA selling the Jetway, that would mean that i have to pay about 480$ in tax when it arrives to Denmark, so that one is out of the question. (according to Ebay)

    But to sum it up.. There are two ways to that i could handle this.
    A: Go for a new Haswell motherboard and then buy and PCI-e NIC with 1 or 2 Intel NIC's on it.
    This would then require me to find another case (like the Fractal Design Node 304)

    B: Go for the older Ive Bridge motherboard from Intel like i linked before, then the case etc. would still be able to work. This would be more compact and but would not give the option to later add a interface via. PCI-e if this should be needed (eg. for a DMZ)

    In both cases i would go for installing a 2,5" normal HDD and see how it goes.

    Right now i'm pointing toward option B, unless someone can spot a serious flaw in that setup?
  • 0
    Hi, 

    For 150mbps, I'd recommend getting the fastest i3 CPU you can (i3-3250 Ivy Bridge/1155 or i3-4340 Haswell/1150).
    The idle power consumption shouldn't be significantly higher than with a 'T' model CPU.

    Good NICs are critical at that speed.

    Option B should be fine with the faster CPU.

    Barry
  • 0
    And disable Intel SpeedStep in the BIOS for better performance.

    Barry
  • 0
    So, i wanted to come with an update.

    A few weeks ago, i got my new setup, i took me the time to configure it all yesterday :-)

    The hardware configuration ended with the following:

    Intel Core i3-3240
    Intel DQ77KB Linkworld LC820-03B
    And some noname Ram that ran at 1333 mhz, (8GB)

    Right now it only runs with a basic setup, containing the firewall, Intrustion Prevention and Web Filtering 

    Running with this setup so far, the CPU is relaxing at 0-5% and using 14% ram of the 8 GB.

    Using the stock CPU cooler has so far kept the CPU at 44 degrees Celcius so, thus far, i'm happy with the setup.

    It contains a total of 6 units atm.

    I expect to start the S2S VPN and SSL Vpn setup soon :-)

    @Garry
    Thanks for the help with selection, it is much appreciated :-)