Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 4004 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need some advise in hardware selection for a sophos UTM

ddywz
Hello Everyone!   This is my first post here.  I have been reading on this forum for days now and seems like an excellent place to post my questions regarding this Sophos UTM device I'm trying to build for my home.  I am tired and wasted my money buying several routers only to find out that they all lack one thing or another.  I tried so hard to make the DSR 250N from D-link to work the way I wanted it and at the end I was disappointed from its performance.  Anyway, here is some information that might help with recommendations for the hardware I'm looking for.

1.  Internet speed,  50mbps/15mbps
2.  Have a need for 8 x RJ45 network ports to connect various wired devices.
3.  1 x DMZ wired port ( can be one of the 8 above)
4.  Only 1 WAN port.
5.  Preferably fanless.
6.  Space is not a concern as it will be on my basement

Please let me know if more info is needed.  I really like the Mini-ITX boards but the issue I see with them is they don't offer more than 1 x PCIe slot,  so the most you can attach there is a quad port NIC card and have up to 4 x ports for the internal LAN (assuming the on-board will be used for WAN)

Is there an option to have 8 x ports served from an mini-ITX board?

I was thinking to get a micro-ATX board from Gigabyte or Asus that have at least 2 x PCIe slots to plug-in 2 x quad port Intel NIC cards to have my 8 needed wired connections.   For CPU thought to get the core i5-4670 with 8GB or 16GBRAM.  One question I have is for the Realtek on-board NICs that most Gigabyte boards have.  Are these ok for Sophos UTM?  I read around here that these are not preferred and could introduce issues.

Also, can the appliance be build such as it will serve as an wireless AP too?  if not, what are the options? 

Thanks,


This thread was automatically locked due to age.
  • 0
    Why not use a switch, and if needed VLANs, to get your desired port count?
  • 0
    Hi & Welcome!

    You're probably better off getting a firewall and a separate switch, as you're going to pay several times more to get something integrated and fanless, and even then 8 NICs + fanless is hard to find.

    You cannot run quad-port PCIe NICs without significant cooling (fans); they overheat easily in many PC chassis. 
    Also, they cost a fortune.

    Also, you'd have to bridge several NICs together to create the LAN, and I don't really recommend doing that.

    So, you'd need 3 NICs, or 2 NICs if you use a VLAN switch.

    Realtek NICs are not good. Also, the Atheros NICs on new Gigabyte boards are not supported.

    An i5-4670 is somewhat overkill (although I do use one), and is very difficult to run fanless.
    For 50mbps, the newest Atoms (Avoton, Rangely, etc.) should be OK, but they're not cheap; an i3 or even i5 is probably a better deal.

    RAM: 4-8GB is plenty

    Wireless: you have the option of sharing wireless with your LAN, or putting it on a separate network.
    See https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21968 for info on using a consumer WiFi router/AP.

    You could also get a Sophos WiFi AP, which gives you more management control if you want to have multiple WiFi networks, etc. Prices are available on CDW. The AP30 would be the minimum I'd recommend.

    Switches: subtract 1 port for the firewall and 1 for the WiFi AP; if you have 8 computers, you'd need 10 ports (although you could gain 3 more ports from a 4-port WiFi router, if it's shared with the LAN).

    Netgear's ProSafe switches are pretty good, and they have some VLAN models (ProSafe 'Smart' series). An 8-port 'Smart' VLAN model is around $100USD, and a non-VLAN model is around $50.
    HP ProCurve switches are good too.


    Fanless systems and components:
    LGX ML250 Intel Core i3/i5/Celeron Fanless Industrial Computer | Mini-ITX | Logic Supply (3 of the motherboard options have dual Intel NICs.)

    Search Page
    uSVR | CompuLab
    Perfect Home Theater


    My i5 system is not fanless, but it is near silent (the 2.5" hard drive's seeks are more audible than the fans). I'm using a Fractal Design Node 304 case with the integrated fan controller set to 'low'.


    Barry
  • 0
    For micro-ATX, Asus has a couple boards with an Intel NIC, such as the Z87-Plus.
    (~$140, not fanless)

    I'm using one of those in my PC, and my new firewall has a GigaByte mini-ITX board with an Intel NIC.

    Add-in a single or dual-port Intel NIC for under $100.
    The single and dual-port NICs do not tend to have the heat problems that the quads do.

    Barry
  • 0 in reply to teched_01
    Why not use a switch, and if needed VLANs, to get your desired port count?


    Thanks for your quick reply!

    That means I have to buy a switch too... I was trying to avoid that.

    Thanks,
  • 0
    It'll cost much less to get a switch. 

    Barry
  • 0 in reply to BarryG
    For micro-ATX, Asus has a couple boards with an Intel NIC, such as the Z87-Plus.
    (~$140, not fanless)

    I'm using one of those in my PC, and my new firewall has a GigaByte mini-ITX board with an Intel NIC.

    Add-in a single or dual-port Intel NIC for under $100.
    The single and dual-port NICs do not tend to have the heat problems that the quads do.

    Barry


    Barry, thanks for your information.  I just wanted to say that I do own 2 x quad intel NIC cards and don't have to buy them again.  I bought them 4 months ago for another project but I think is worth using them here.  At this point I can give up the fanless requirement as I can possibly make it run on a quiet fan(s).   What do you think of this board ASRock Z87M PRO4 LGA 1150 Intel Z87,  where I can add the 2 x quad NICs on the PCIe slots that seem to be away from each other to help with overheating?  I also have Quad NIC card from HP D72892,  would this be better than Intel quad card?

    I really wanted to build a good one and budget is not a concern at this point.  I also have the need to use the VPN maybe for 4 to 5 people to access my NAS device that will be in the internal LAN if that would make a difference.  

    If I'm willing to give 2 ports and remain with only 1 quad Intel NIC card placed on this mini-ITX JetWay JNF9J-Q87 LGA 1150 Intel Q87, that already has 2 x Intel NICs  would it be ok? Do you recommend this board? This way I get at least 6 ports, I can use the 2 onboard ports for DMZ and WAN and 4 ports of the quad card for the LAN. 

    Thanks again for your immediate reply!
  • 0
    Hi, 

    That ASRock board should be OK, although if it were me, I'd get something with more PCIe slots vs PCI.

    You'll need to get a case with a fan blowing onto the NICs. A large, slow fan would be much quieter than a smaller one.

    The Jetway should be good too. Again, make sure you get a case with enough airflow for the NIC. My Node 304 would probably suffice.

    Keep in mind that you'll be creating a bridged network for your LAN, which is not the same as a switch. All network traffic will have to pass through the UTM (not just in one NIC port and back out)
    a. throughput will be somewhat to much lower, especially if you don't create IPS exceptions. If you copy a lot of large files to/from your NAS server, you'll probably notice.
    Even with IPS exceptions, you're not likely to get much over 400mbps, vs 950mbps+ on a gigE switch. See my iperf tests for evidence.

    b. some broadcast protocols, especially for local media streaming, don't seem to work well on bridged networks. I had an mp3 streamer device several years ago and I could not get it working on an Astaro bridge.

    The HP NIC probably uses a Broadcom chipset, I've had great luck with HP/Broadcom NICs, but Intel's drivers tend to be slightly better.

    Note that you should be able to sell one of your NICs for more than enough to buy a good switch.

    For VPNs, getting a CPU with AES-NI would be a good idea. All of the desktop Haswell i3's and i5's have it.

    Barry
  • 0
    Barry, thanks for the information. Could you please clarify to me on the "Bridged Network" ?  Am I creating a bridged network because not all NICs are on same controller or just the fact that UTM machine hosts the quad card for the LAN NICs.  So you're saying that the traffic has to go through the UTM even though if 2 machines on same internal LAN connected to say port 2 and 3 on the QUAD card (installed in UTM)need to talk to each other or do file transfer? 

    I guess this goes back to your first recommendation and teched's to get a switch with say 8 ports and use a Motherboard with only 2 NICs as UTM,  one External and one Internal, where the internal connects to the switch?  In this case would I use the DSR 250N router from D-link that I purchase (it has 8 NICs)+WAN port.  Of course not anymore used as a router but in a way that I can use the physical NICs + its AP for the wireless network?  I also have a Netgear R6300 router that has only 4 NICs + dual band 2.4/5GHz wireless. Would this be a better fit to be used as a switch instead of the D-link? 

    Thanks a lot,
  • 0
    Yes, even a multi-port NIC passes all traffic to the motherboard, and the OS (the UTM) has to route/forward it back to another port.

    You'd need 3 NICs if you want a DMZ, unless you get a VLAN switch.

    Yes, you should be able to use the D-Link and/or Netgear as a switch and AP. Tape over the WAN ports on each and read https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21968

    Barry
  • 0
    ok, in this case I am thinking to get this board from Gigabyte, 

    1.  GIGABYTE GA-B85N LGA 1150 Intel B85 HDMI SATA 6Gb/s USB 3.0 Mini ITX Intel    Motherboard 

    comes with 1 Intel NIC + a mSATA ( I do have a Crucial 60GB mSATA card to use as harddisk, thinking will be enough space for OS + logs, reporting),  will be adding a dual Intel NIC card (one for DMZ,  one for LAN going to the switch)

    2. Will get the case you recommended, Fractal Design Node 304, it was all aluminum and looked very nice.

    3.  CPU,   Intel Core i5-4670 Haswell 3.4GHz LGA 1150 84W Quad-Core Desktop Processor Intel HD Graphics BX80646I54670 

    4.  Memory,  8GB in form of 2 x 4GB
        G.SKILL Ripjaws X Series 4GB 240-Pin DDR3 SDRAM DDR3 1866 (PC3 14900) Desktop Memory Model F3-14900CL9S-4GBXL 

    5.   I do have a fanless 450W PSU that will fit the case.  Do you think is enough W for this UTM?
        
    Will also attach one of the routers for LAN ports + Wifi as you recommended in the other link.


    Let me know what you think and I will place an order for these tonight.

    Thanks again,