¶ Deciso DEC740 - OPNsense Firewall Appliance Review
Link zum video Review: https://youtu.be/853y4ShbpZg
Die Firma Deciso B.V. bietet mit Ihrer DEC 700er Serie [1] sehr leistungsfähige Firewall Hardware im kompakten Format. Einen besonderen Fokus legt das in der Nähe von Rotterdam ansässige Unternehmen auf die Leistungsaufnahme von nur rund 15 Watt. Erreicht wird dies durch die AMD Ryzen Embedded v1000 Serie, die nicht nur performant und sparsam ist, sondern auch mit Vielfalt glänzt. Gleich zwei 10G Ports sieht man in dieser Kombination auf dem Markt sonst von keinem Hersteller.
Die Eckdaten der Firewall Appliance bringen das Netzwerker Herz ins Schwärmen. Dieses Review wird zeigen, ob sie die versprochene Leistung aus den Datenblättern auch in der Praxis erbringen kann. Dazu teste ich das kleinere Modell, die DEC740 [2].
Neben den 700er Modellen bietet Deciso die auf AMD Epyc Embedded basierende 800er Serie [3] an. Sie sind ebenfalls mit zwei SFP+ Port bestückt, sind etwas leistungsfähiger und dementsprechend stromhungriger.
¶ Hardware im Detail
Das Gehäuse ist vollständig aus Metall und hochwertig verarbeitet. Das Format ist sehr kompakt mit den Maßen von 31mm x 190mm x 160mm (HxBxT). Im Vergleich mit einer PC-Engines APU hat es etwa 18% mehr Volumen, ist also immer noch sehr platzsparend. Der farbige Teil des Gehäuses ist relativ anfällig für Kratzer. Zum Vorschein kommt dann die silberne Farbe des darunter liegenden Metalls.
Die Gehäuseoberseite in einem matten Anthrazit bietet einen sehr schönen Kontrast zu dem etwas schimmernden, lachsroten vorderen Korpus. Eine hell leuchtende blaue LED signalisiert den Betriebszustand. Der graue Teil dient in seinem Kühlrippenformat gleichzeitig als Wärmetauscher für den SoC. Im Betriebszustand arbeitet das Gerät absolut geräuschlos, da keine Lüfter oder andere mechanische Teile verbaut sind.
Die DEC700er Serie ist seit Ende 2021 im Programm und besteht aus zwei Modellen.
| DEC 740 | DEC 750 | |
|---|---|---|
| CPU | Ryzen Embedded v1500b | Ryzen Embedded v1500b |
| Taktrate | 2,2 GHz | 2,2 GHz |
| Kerne / Threads | 4/8 | 4/8 |
| RAM | 4 GB DDR4 | 8 GB DDR4 |
| CPU TDP | 12-25W | 12-25W |
| Leistungsaufnahme (Herstellerangabe) |
15 W | 15 W |
| SSD | M.2 128 GB | M.2 256 GB |
| SFP+ | 2 | 2 |
| 1000Base-T | 3 | 3 |
| Preis (netto) | 699 € | 799 € |
Die Modelle unterscheiden sich demnach nur in der Ausstattung bei der SSD und dem RAM. Die Leistungsdaten im Firewallbetrieb sind nach Datenblatt für beide Modelle identisch.
Im Passmark [4] schneidet der Prozessor mit gut 4000 Punkten für ein passiv gekühltes System außerordentlich gut ab. Die Prozessorleistung ist vor allen Dingen in Umgebungen wichtig, die auf VPN oder auch Intrusion Detection / Intrusion Prevention setzen. Aber auch für Linerate 10G ist eine gewisse Leistungsfähigkeit Voraussetzung.
Dedizierte Intel I210 Chips ermöglichen den Anschluss von bis zu drei Gigabit Teilnehmern. Die zwei 10G SFP+ Ports werden über den AMD SOC sowie den axp [5] FreeBSD Treiber realisiert.
Außerdem verfügt die Appliance über einen USB 3.0 und einen seriellen Konsolen Port. Sehr angenehm ist, dass der Adapter von seriell auf USB intern verbaut ist. Das Mainboard trägt den Namen Netboard A10 Gen.3 [6] [7]. Ein Firmware Update durch den Kunden scheint nicht vorgesehen. Lediglich für eine ältere Version des Netboard ist ein Download verfügbar, zu dem man rät es nur von Deciso Fachpersonal durchführen zu lassen. Insgesamt wirkt das EFI Menü etwas unfertig. Einige Menüpunkte sind leer, manche ausgegraut. Dies ist für den Betrieb der Firewall allerdings wenig relevant.
Vom Formfaktor ist die Hardware eher für den SOHO (Small Office / Home) Bereich gedacht. In diesem Umfeld dürfte kaum mit 10G Internet Uplinks zu rechnen sein, deswegen ist eine solche Firewall wohl mehr für Umgebungen gedacht, die im lokalen Netzwerk 10G Routen möchten. Für das Rechenzentrum ist die DEC2750 erhältlich, die technisch identisch zur DEC750 ist jedoch in einem 19" Format daher kommt.
Lieferumfang Karton:
- Deciso DEC740 Firewall Appliance
- Hochwertiges Meanwell Netzteil 12V 3A
- USB auf Mini USB Kabel
- Getting Started Anleitung in Englisch
Lieferumfang Digital
- Download Link eBook Markus Stubbig OPNsense Praktiker (Deutsch)
- Download Link eBook Markus Stubbig Prtactical OPNsense (Englisch)
- OPNsense Business Key
- Download Link OPNsense OVA Image
¶ dmidecode Details
Im Lieferzustand bootet die Hardware lediglich EFI Images. Im EFI Menü existiert ein Menüpunkt um das Booten von Legacy BIOS Systemen zu aktivieren. Im Test funktionierte das Laden fremder Systeme jedoch meistens nicht. Ein OpenWrt Snapshot ließ sich starten, bei Debian, Fedora oder Alpine stoppte die Ausgabe noch vor Erreichen des Bootloaders. Updates, siehe englisches Review
Scheinbar ist die EFI Software von der INSYDE Corp. [8] entwickelt worden, das verraten zumindest die OEM Felder im dmidecode. Als Produktbezeichnung bekommt man seltsamer Weise DEC2700 zurück, anstatt das offizielle DEC740. Das verbaute RAM Modul im Testgerät ist ein DDR4 2666 Very Low Profile (VLP) von Transcend [9]. Die M.2 SSD [10] wird vom gleichen Hersteller zur Verfügung gestellt.
¶ Gehäuseintern
Öffnet man das Gehäuse erlischt die Herstellergarantie. Dazu ist ein Aufkleber auf einer der vier Torx Schrauben auf der Unterseite angebracht. Entscheidet man sich dennoch zur Öffnung sind sie zu lösen. Nun zieht man den vorderen, lachsfarbenen Teil des Gehäuses nach vorne ab. Die Hauptplatine ist mit der Gehäuserippe verschraubt. Löst man auch diese 4 Kreuzschlitz Schrauben, lässt sich die Platine vom Gehäuse trennen. Auf dem Prozessor befindet sich Wärmeleitpaste.
Der nun freie Zugang zum Mainboard erlaubt es Komponenten wie den Arbeitsspeicher oder die M.2 SSD zu tauschen. Das ist sehr erfreulich, da heute gerne verlötet wird. So ist man auch in der Lage außerhalb der Garantiezeit defekte Bauteile selbständig zu wechseln. Da man jedoch mit diesem Schritt jedes mal den Kühlkörper von der CPU trennt, ist eine regelmäßige Öffnung nicht empfehlenswert. Die funktionsfähigkeit der Wärmeleitpaste sollte dringend sichergestellt werden, da der SoC ansonsten überhitzen könnte.
Beim Zusammensetzen muss man mit Fingerspitzengefühl vorgehen. Der vordere Gehäuseteil steht etwas unter Spannung und muss leicht angehoben werden. Die beiden Gehäuseteile lassen sich ansonsten nicht ineinander schieben. Man muss unbedingt darauf achten die beiden Teile nicht zu verkanten. Die blechernen Rahmen um die Ports müssen vorsichtig und zielgenau durch die Öffnungen geführt werden.
¶ OPNsense Software
Ausgeliefert wird die DEC740 mit OPNsense. Im Lieferzustand war Version 21.1.7 installiert. Kürzlich ist Version 22.1 erschienen, jedoch noch nicht in der Business Edition. Sie folgt einem anderen Nummerierungsschema. Für sämtliche Tests kommt die Community Edition in Version 22.1 zum Einsatz. Die Vorzüge der Business zur Community Edition lassen sich auf der Webseite von OPNsense [11] nachlesen.
¶ Inbetriebnahme
Leider wurde OPNsense mit UFS vorinstalliert. Dies ist laut Deciso den noch nicht angepassten, internen Prozess geschuldet. Die Möglichkeit OPNsense auf ZFS Volumes zu installieren besteht noch nicht sehr lange. Deciso versprach dies in Zukunft ändern zu wollen.Das wurde von Deciso behoben. Abgesehen von der DEC675 (SD Karte) werden die Systeme ab Werk mit ZFS vorinstalliert.
Für die Testumgebung wurde OPNsense 22.1 mit ZFS neu installiert. Über die kann man sich bequem über screen /dev/ttyUSB0 115200 verbinden [12]. Nachdem die Stromversorgung hergestellt ist, dauert es einen Moment bis man ESC drücken kann um dann im Menü den USB Stick mit der serial installer zu starten. Leider hat die noch junge Version 22.1 einen Bug, der dafür sorgt, dass Betätigungen der Pfeiltasten nur manchmal registriert werden. Alle anderen Tasten scheinen einwandfrei zu funktionieren. Deciso arbeitet bereits an der Lösung dieses Problems.Der Bug wurde mittlerweile von Deciso behoben.
Nach Abschluss der Installation benötigt die Hardware nach Herstellung der Stromversorgung nur gut 35 Sekunden, bis das Webinterface auch Anfragen antwortet; ein erstaunlich guter Wert.
Über den 1G-Port mit der Beschriftung 0 lässt sich das Gerät über die https://192.168.1.1 erreichen und mit den Standard Zugangdsaten (root/opnsense) füttern. Der Business Edition Key lässt sich eintragen unter System - Fimrware - Settings - Subscription.
Deciso gibt auf Ihrer Webseite [13] kompatible SFP+ Module an, die mir zu Testzwecken jedoch nicht vorlagen. Eine 10G Verbindung war jedoch in allen getesteten Konstellationen erfolgreich, sowohl über ein Mellanox DAC (10G BASE-CX1) als auch über eine auf Cisco kodierte SFP+ Optik von FS.com [14] (10G BASE-SR).
¶ Routing Performance
Um die Routing Fähigkeiten zu messen verwende ich diesen Labor Aufbau.
Die Messungen werden mit der Open Source Software TREX [15] in der Version 2.93 durchgeführt. Mit ihr können ziemlich beliebig Flows erzeugt, um auch 10G Datenraten problemlos benchmarken zu können.
Ergebnisse des Benchmark im Vergleich mit den Hersteller Angaben:
| Herstellerangabe | Messwert | |
|---|---|---|
| Durchsatz | 8,5 Gbps | 9,9 Gbps |
| Durchsatz mit Threat Protection | 1 Gbps | nicht getestet |
| Packete pro Sekunde | 830k | 1.148k |
| Packete Pro Sekunde Threat Protection | 85.000 | nicht getestet |
| Sessions | 3.000.000 | 3.490.000 |
| Latenz | 150us | Ø 52 us |
¶ Durchsatz
Für den Datendurchsatz wurde mit Jumbo Frames getestet und 1.600 parallelen Flows. Die genauen Parameter für den Benchmark:
./t-rex-64 -f cap2/imix_9k.yaml -l 1000 -m 20 --hdrh
Die Grafik zeigt eine beachtliche Bandbreite von 9,9 Gbps. Die Datenrate ist im Laufe des Tests konstant auf dem Niveau geblieben. Der Stromverbrauch lag dabei um die 14W.
Der Traffic Graph im Webinterface der OPNsense bestätigt den Wert.
¶ Pakete Pro Sekunde.
Um möglichst viele Pakete pro Sekunde über die Leitung zu bekmomen wurden nur 64 Byte große Pakete versendet. In dem Testzeitraum von zwei Minuten sind insgesamt 275.551.874 Pakete über die beiden 10G Interfaces übertragen worden. Das entspricht gut 1,1 Millionen Paketen pro Sekunde.
./t-rex-64 -f cap2/imix_64_100k.yaml -c8 -m 200 -d 120 -l 10
¶ VPN Performance
Es stehen unterschiedliche VPN Protokolle zur Verfügung die sich sowohl für Site 2 Site als auch für Roadwarrior Setups eignen. Sie unterscheiden jedoch erheblich in der Leistungsfähigkeit. Die Userspace GO Wireguard Implementierung [16] kann mit der Kernel Implementierung bei Linux [17] nicht mithalten. OpenVPN ist die langsamte der Lösungen und wird deswegen nicht betrachtet. Gute Unterstützung ist für IPsec vorhanden. So sieht das Testsetup aus.
iperf3 Server:
- virtualisiert Rocky Linux 8
- 4 GB RAM
- 16 Kerne Intel i7 10700t
- Mellanox ConnectX 3
iperf3 Client:
- Bare Metal Fedora 35
- 16 GB RAM
- AMD Ryzen 7 3700X
- Mellanox ConnectX 3
Zum testen der Leistungsfähigkeit wird über die Dauer von einer Minute iperf3 mit diesen Parametern laufen gelassen.
Server:
iperf3 -s
Client:
iperf3 -P 20 -t 60 -c 192.168.1.101
Die erzielten Ergebnisse sind unter Laborbedingungen gemessen und dürften in der Praxis etwas nach unten abweichen. Der Paketfilter hat lediglich ein Allow All konfiguriert. Die Performance bei steigender Anzahl von Regeln ist bei pf relativ konstant. [18] Gemessen wurde ohne Intrusion Detection. [19]
¶ IPSec Performance
Deciso verspricht in ihren Datenblättern [20] eine IPsec Performance von 1,2 Gbit/s. Die Testergebnisse bringen bessere Werte hervor. Die Transferrate bewegt sich zwischen 1,6 und 2 Gbit/s, im Schnitt ca. 1,8 Gbit/s.
¶ Wireguard Performance
Wie zu erwarten liegt die Wireguard- unter der IPsec-Leistung. Erreicht wurden knapp 800 Mbit/s. Im Vergleich mit IPsec also deutlich geringer. Der Wert könnte jedoch interessant für potentielle Nutzer sein, die auf jeden Fall auf Wireguard zurück greifen möchten. In Zukunft ist auch bei FreeBSD bzw. OPNsesnse mit einer Wireguard Kernel Implementierung und mit messbar besserer VPN Performance zu rechnen.
¶ Leistungsaufnahme
Deciso gibt den Stromverbrauch der Firewall mit etwa 15W an. Die TDP (thermische Verlusteistung) der CPU laut AMD liegt bei 12-25W. Interessant ist für den Benutzer der Praxiswert, der mit einem Voltkraft Energy Monitor 3000 [21] gemessen wird.
Hier die Ergebnisse:
| Leistungsaufnahme in Watt | |
|---|---|
| Bootvorgang | 8-14W |
| Idle | 8W |
| Idle mit beiden SFP+ in Nutzung |
9,3W |
| Routing Benchmark | 12,7 - 13,4W |
| IPsec Benchmark | 16,4W |
| Wireguard Benchmark | 17,1W |
Das Gehäuse selber ist mit Kühlrippen ausgestattet und wird im Leerlauf etwa handwarm. Der geringe Stromverbrauch der DEC740 ist wirklich ein Highlight. Bei einer Firewall muss man von einem Betrieb rund um die Uhr ausgehen (24/7). Bei einem Strompreis von 33 cent pro KwH ergibt sich eine Kostenersparnis von etwa 250€ im Jahr im Vergleich zu einer Firewall mit 100W Verbrauch. Geräte mit 2 x 10 G Ports können solche Werte erreichen. Selbst bei einem Modell mit nur 50W läg die Ersparnis immer noch bei ca. 100€ pro Jahr.
¶ Support
Während des DEC740 Testbetriebs ergaben sich eine Reihe von Fragen und Schwierigkeiten. Über Email wurde mir stets kompetent und mit kurzer Reaktionszeit geholfen. Für Unternehmen ist eine Support Option [22] sicherlich interessant, wenn man auf möglichst zügige und Kompetente Hilfe angewiesen ist. Auf der Webseite von Decisio gibt es einen FAQ [23] [24] Bereich der ebenfalls sehr hilfreich bei der Inbetriebnahme half.
¶ Fazit
Die gemessenen Leistungsdaten der Firewall übertrefen in allen Bereichen die Angaben des Herstellers. 10 Gigabit wird selten derart zuverlässig im Routing Modus erzielt. Selbst die angegebenen 15W werden im Betrieb meistens unterschritten. In Büroumgebungen macht das Gerät auch im sichtbaren Bereich eine gute Figur mit schickem Design ohne Betriebsgeräuschen.
FreeBSD AMD SoC 10G Treiber commits (AMD EPYC integrated NIC) ↩︎
Arstechnice Artikel über die Integration von Wireguard in den Linux Kernel ↩︎