UF-160 - RAM-Verbrauch

[manni4]

Hallo zusammen,

ich habe ein paar Fragen bezüglich Lancom Firewall, genauer gesagt UF-160 und hoffe hier paar Antworten zu bekommen.

Ich habe mir zum Testen die o.g. Firewall, mit einem Jahr Full-Lizenz, gebraucht gekauft.

Der Hintergrund - ich wollte ein paar meine Kunden von Lancom Router auf die Firewall umstellen, wegen mehr Sicherheit, usw. Ich habe extra nicht die kleinste Firewall UF-60 genommen, wegen Zukunftssicherheit und Performancepuffer für die Zukunft.

Die Firewall (mit aktuellen Firmware, 11.1 RU2) habe ich so weit konfiguriert, es gibt 5 Netze, 2 VPN-Verbindungen, alles läuft so weit, jetzt habe ich zum Schluss alle UTM-Features (außer Reverse-Proxy) aktiviert und den Rest so weit auch konfiguriert, dabei ist mir aufgefallen, dass der RAM ständig auf Gelb oder Rot steht, also dauerhaft 75 % oder auch mehr und nach gewisse Zeit (24-48 Stunden) läuft auch der Swap voll. Die root-Partition ist auch schon auf 59 % und dauerhaft gelb. Ist das normal, was den RAM-Verbrauch anbetrifft?

Hier die TOP5 - RAM-Verbrauch:
24 % - IDS/IPS
20 % - Firewall Processes
10 % - System
4 % - Proxy
3 % - URL/Content Filter

Aktuell habe ich einen Kunden, für den ich die Firewall bestellen wollte, aber mit diesen Erkenntnissen, dass die Firewall jetzt schon am Anschlag arbeitet, kann ich es mit gutem Gewissen nicht empfehlen. Wenn ich Hardware kaufe, dann gleich mit 5 Jahren Garantie, aber wenn die Firewall jetzt schon am Anschlag arbeitet, wie sieht es in 1, 2 oder 3 Jahren aus?

Meine Firewall ist die Gen1 Version (zumindest so steht nach der Anmeldung per SSH), weiß nicht, wie alt diese ist, ich denke 3 Jahre alt. Werden vielleicht die aktuell verkauften Firewalls UF-160 (Gen2 oder 3) mit mehr RAM (8 GB) ausgestattet oder nach wie vor mit 4 GB?

Ich glaube, die UF-260 hat 8 GB RAM, aber diese kommt wegen der höheren Kosten nicht infrage, es geht um einen kleinen Kunden, Surfen, Mail und zwei VPN-Verbindungen.


Vielen Dank im Voraus
Manni

[UKernchen]

Schau dir mal die OPNsense an.

Du kannst jede beliebige x86 Hardware nehmen.
Bauform, Ports, Prozessor, RAM nach Wahl.

IPS mußt du lizenzieren, wenn du dir das wirklich antun willst.
Seit ich das einmal gemacht habe, ist die UF-xxx für mich keine Option mehr.

Uwe

[UKernchen]

Schau mal hier:
viewtopic.php?p=120911#p120911

Thomas hat eine UF-300 mal zerlegt.

[manni4]

Hi Uwe,

vielen Dank für die schnelle Antwort und die Informationen

Die OPNsense habe ich mir gestern angeschaut. Hast du die "OPNsense Business Edition Subscription" dazu gekauft?
Reichen 8 GB oder doch lieber 16 GB RAM?

"IPS mußt du lizenzieren, wenn du dir das wirklich antun willst" - wie meinst du das mit antun?

Ja, den Beitrag habe ich auch schon gesehen.

Vielen Dank und viele Grüße
Manni

[C/5]

Hallo Manni,

da habe ich ähnliche Erfahrungen gemacht und würde, wenn es heute in Frage käme, mind. eine UF260 in Betracht ziehen.

Einige UTM-Funktionen gehen offenbar sehr auf die Hardwareressourcen. In meinem Use-Case hätte ich z.B. sehr gerne den IMAP-SSL-Proxy genutzt, der seinerzeit als neues Feature gerade dazugekommen war. Mit nur 1 User, aber schon das führte zur Auslastung und Störungen samt IMAP-Verbindungsabbrüchen. Ich habe es über fast den gesamten Subscription-Zeitraum so genutzt - trotz der Einschränkungen. Insofern kann ich das auch über mehrere Firmwareversionen und ~3 Jahre betrachten. Tatsächlich war die Swap-Partition in meinem Anwendungs-Szenario auch zu klein ausgelegt und musste modifiziert werden, was immerhin Besserung brachte. Aber das selbst nur 1 User, mit mehreren IMAP-Accounts den Proxy so stark fordert, dass es immer wieder Probleme damit gab, war dann schon so etwas wie ein KO-Kriterium für eine Nachfolge UF.

CU
C/5

[manni4]

Hi C/5,

danke für deine Antwort und das Teilen deiner Erfahrungen.

Hast du auch die UF-160 gehabt?

Die UF-160 ist für 15 Geräte/Arbeitsplätze ausgerichtet (laut Webseite) und wenn diese schon wie bei dir und bei mir mit einem Gerät den RAM so auslastet, dann muss ich leider sagen, dass die Hardware viel zu schwach dafür ist. Hier mussten mindestens 8 GB, wenn nicht sogar 16 GB (für die Zukunft) verbaut werden.

Ich habe bei mir 6 Postfächer über IMAP-SSL-Proxy, das hat eigentlich gut funktioniert, außer halt das Problem mit dem RAM-Verbrauch.

Eben habe ich IDS/IPS, gesamten E-Mail-Schutz (Proxy, Virenscan, Antispam und Mailfilter) und Application-Management deaktiviert und der RAM-Verbraucht ist auf 48 % runter.

Wenn ich das alles abschalte, dann kann ich gleich einen Lancom Router kaufen, da weiß ich, dass es funktioniert, performant und die Fehlersuche gut funktioniert

Ich werde jetzt als Erstes die OPNsense mal testen und dann die passende Hardware dafür suchen.

Vielen Dank und viele Grüße
Manni

[UKernchen]

Mit IDS/IPS empfehle ich min 16 GB RAM.
8 GB bekommt man beim Spielen an den Einstellungen schon voll.
IPS ist eine Vollbeschäftigung für den Admin.

Richtig geil wird die OPNsense mit Zenarmor.

Aber auch als kleine Billig-Schachtel macht sie ohne Lizenzen als Firewall und VPN-Gateway einen guten Job.
(Nutzerverwaltung, OpenVPN mit 2-Faktor-Authentisierung....)

Grüße Uwe

[hyperjojo]

hallo,

bei den Features wie IDS/IPS empfiehlt es sich, dies nur für den relevanten Traffic in öffentliche Netze anzuschalten. Bei den Netzbeziehungen untereinander wird dies i.d.R. nicht benötigt, kostet aber einiges an Performance.

Gruß hyperjojo

[tstimper]

hallo,

bei den Features wie IDS/IPS empfiehlt es sich, dies nur für den relevanten Traffic in öffentliche Netze anzuschalten. Bei den Netzbeziehungen untereinander wird dies i.d.R. nicht benötigt, kostet aber einiges an Performance.

Gruß hyperjojo

Genau, ein beliebter Fehler ist es, das auch für internen Traffic anzuschalten.
Wenn man das wirklich will und braucht, muss man echer die größte verfügbare UF nehmen.
In solchen LANS will man ja meist auch 10 Gbit...

Viele Grüße

ts

[tstimper]

Schau mal hier:
viewtopic.php?p=120911#p120911

Thomas hat eine UF-300 mal zerlegt.

Meine UF-300 läuft jetzt mit einer 480 GB SATA Samsung Server SSD um Welten besser als mit der original verbauten Apacer 32 GB SSD.
Der Ram Verbrauch ist natürlich immer noch hoch.
Sobald ich dazu komme, werde ich den auch noch aufrüsten.

Also eine gebrauchte UF zu nehmen und dann SSD und RAM aufzurüsten nd dann eine Lizenz draufzuschalten geht.
Eine zur Seriennummer der UF passende Lizenzoption.

Der Hardware Support ist ja oft sowieso abgelaufen und die Lizenz ist nur Software Support.

Viele Grüße

ts

[manni4]

Hallo,

Mit IDS/IPS empfehle ich min 16 GB RAM.
8 GB bekommt man beim Spielen an den Einstellungen schon voll.
IPS ist eine Vollbeschäftigung für den Admin.

Richtig geil wird die OPNsense mit Zenarmor.

Aber auch als kleine Billig-Schachtel macht sie ohne Lizenzen als Firewall und VPN-Gateway einen guten Job.
(Nutzerverwaltung, OpenVPN mit 2-Faktor-Authentisierung....)

Grüße Uwe

das mit IDS/IPS werde ich ganz nach hinten schieben. Zenarmor habe ich mir auch schon angeschaut, sieht richtig gut aus

Momentan habe ich das Ganze in Hyper-V getestet und ich muss sagen, ich bin begeistert, was man alles einstellen kann und wie relativ einfach die Fehlersuche ist und die ganzen Informationen, die man zu sehen bekommt

Sobald die Hardware da ist und ich Zeit habe, werde ich die anderen Funktionen testen (VLANs, VPN, Web und Mail Security, usw...). 

hallo,

bei den Features wie IDS/IPS empfiehlt es sich, dies nur für den relevanten Traffic in öffentliche Netze anzuschalten. Bei den Netzbeziehungen untereinander wird dies i.d.R. nicht benötigt, kostet aber einiges an Performance.

Gruß hyperjojo

Danke für den Hinweis, kann ich das auf der UF-Firewall irgendwo einstellen, ich habe nichts gefunden außer IDS/IPS "AN oder AUS" oder bezieht sich der Hinweis auf die OPNsense?

Meine UF-300 läuft jetzt mit einer 480 GB SATA Samsung Server SSD um Welten besser als mit der original verbauten Apacer 32 GB SSD.
Der Ram Verbrauch ist natürlich immer noch hoch.
Sobald ich dazu komme, werde ich den auch noch aufrüsten.

Also eine gebrauchte UF zu nehmen und dann SSD und RAM aufzurüsten nd dann eine Lizenz draufzuschalten geht.
Eine zur Seriennummer der UF passende Lizenzoption.

Der Hardware Support ist ja oft sowieso abgelaufen und die Lizenz ist nur Software Support.

Viele Grüße

ts

Na ja, für mich könnte ich auch die UF-160 mit neuer SSD und mehr RAM aufrüsten, das wäre, denke ich, kein Problem, aber für die Kundschaft ist das nicht so ganz optimal...

Ich versuche erst mal mit der OPNsense alles umzusetzen, was ich benötige, und wenn das mir gelingt, dann wird die OPNsense zum Standard.

Habe erst mal einen mini-PC mit 2 Netzwerkanschlüssen, Turbo CPU , 32 GB RAM und 500 GB SSD. Für ein WAN und ein LAN mit VLANs völlig ausreichend. Sollte am Ende doch die OPNsense zum Standard werden, gibt es auch mini-PCs mit 4 LANs oder auch mit PCIe-Slot für 1 NIC.

Momentan bin ich Land unter und werde später zu weiteren Tests kommen, aber ich werde hier berichten, wie es ausgegangen ist

Viele Grüße
Manni

[hyperjojo]

hi,

hyperjojo hat geschrieben: 7. Juni 2025 07:50
hallo,

bei den Features wie IDS/IPS empfiehlt es sich, dies nur für den relevanten Traffic in öffentliche Netze anzuschalten. Bei den Netzbeziehungen untereinander wird dies i.d.R. nicht benötigt, kostet aber einiges an Performance.

Gruß hyperjojo
Danke für den Hinweis, kann ich das auf der UF-Firewall irgendwo einstellen, ich habe nichts gefunden außer IDS/IPS "AN oder AUS" oder bezieht sich der Hinweis auf die OPNsense?

in den Stationsobjekten, die keine entsprechenden externen/zu kontrollierenden Traffic haben, den Haken "Von IDS/IPS-Überprüfung ausnehmen" setzen.
Oder regelbasiert: https://knowledgebase.lancom-systems.de ... d=50135758

Gruß hyperjojo

[lna]

Hier die TOP5 - RAM-Verbrauch:
24 % - IDS/IPS

8 GB bekommt man beim Spielen an den Einstellungen schon voll.

IDPS sorgt dafür, dass jedes Frame, was durch die Firewall geht, gegen die Pattern-Datenbank geprüft wird.
Das sorgt dafür, dass die gesamte Pattern-Datenbank mit mittlerweile 3, GB in den RAM geladen wird und je nach Netzwerklast die CPU ordentlich gequält wird.

Ein beliebter Fehler ist, im Projekt, wo noch nicht viel los ist, IDPS auf "Monitoring Only" zu stellen (macht ja vermeintlich nichts kaputt) und sich dann zu wundern, warum sich der Kunde nach der Übergabe beschwert, dass alles so langsam ist.
Monitoring ist Ressourcen-intensiver als das tatsächliche Bearbeiten des Datenverkehrs. Bei Drop muss zumindest kein Forwarding passieren
Hier über die Desktop-Objekte einzelne Netze oder Hosts von der Prüfung ausnehmen und das Regelwerk etwas feintunen, bevor man IDPS aktiviert.

IPS ist eine Vollbeschäftigung für den Admin.

Sehe ich auch so. Auf jeden Fall in der Einführungsphase, im Betrieb muss man immer wieder damit rechnen, dass "seltsame Phänomene" durch aktualisierte IDPS-Pattern ausgelöst werden.

Wenn IDPS an ist, sollte man mit Monitoring starten und die Logmeldungen beobachten. Idr. gibt es am Anfang einige false-positives, die man erst bewerten und ggf. freigeben sollte.
Beispiel: meine Test Maildomain endet auf die tld ".top" (weil günstig und geringe Hürde zur Registrierung).
"weil günstig und geringe Hürde zur Registrierung" sind *.top Domains in einigen Pattern als potentiell schädlich hinterlegt und sorgt damit für Probleme.
Wenn man die erste Ausnahme gesetzt hat (z.B. DNS Query für *.top), sieht man erst die nächste (z.B. SMTP an eine *.top mailadresse). Man muss iterativ vorgehen.

Das Datenblatt hilft beim Sizing. Schau dir den "UTM-Durchsatz" an. Da sind für die UF-160 wohlwollende 170mbit bei Nutzung aller Module angegeben.
In die 170mbit muss sämtlicher Traffic passen (also nicht nur Websurfen, sondern auch inter-vlan-routing) und das ist relativ wenig.

Für Praxisvernetzungsszenarien (2-5 PC-Arbeitsplätze, Gast-WLAN, wenig VPN) nutze ich idr. die UF-260, für mein Home-Office (30 WLAN Clients, 10 VLAN, 25 LAN-Clients, eine Hand voll VMs) nutze ich eine UF-360.
Die UF-60 ist aus meiner Sicht eher etwas für das Anbinden von Home-Offices im Sinne von 1 PC + 1 Drucker + 1 IP-Telefon.

Die UF-160 ist für 15 Geräte/Arbeitsplätze ausgerichtet (laut Webseite)

Wo steht das denn? Wenn du den Firewall-Finder meinst, würde ich den so zitieren, dass die UF-160 maximal 5 Geräte/Arbeitsplätze unterstützt?