wer hat Banana Pi Router?

[Reinhart]

da ich eine neue Firewall einsetzen möchte (Ipfire), interessiert mich der Datendurchsatz beim Banana Pi. Laut Doku hat der 4 1000Mbit Karten an Board.

Ich habe jetzt ein Via Mini Board mit Dual Core 1,2 Ghz und 4 Stück 100Mbit Karten und schaffe nur einen Internetspeed mit knapp 30Mbit, ohne Firewall aber bis zu 110 Mbit. Da es ja kaum möglich ist eine NIC bis zu 100% auszureizen bin ich mir jetzt nicht sicher ob die schwache Cpu das verursacht oder die Nic selbst. Eigentlich belastet eine NIC nicht die CPU (macht ja alles der Chipsatz), aber bei einer Firewall ist die CPU sehr wohl für den Speed verantwortlich, da ja jeder Frame bei meinen vielen Natregeln mehrfach gecheckt werden muss.

So ein Banana Pi hat ja auch keine wirklich schnelle Cpu, aber die 1Gb Nics wären auf jeden Fall interessant, daher wäre es schön wenn jemand darüber was berichten könnte bevor ich so einen kaufe und auch nicht funktioniert. Momentan läuft alles über einen Netgear WNDR4300 der mit seinen 1Gb Nics das auch problemlos schafft, aber eben keine gute Firewall hat (dd-wrt ist drauf).

LG
Reinhart

[CoolTux]

Hallo Reinhart,

Ich habe das Board.  Erstmal ist es wichtig zu wissen das es nicht 4 NICs sind sondern eine welche an einem OnBoard Switch angeschlossen ist. Effektiv kann man also nur damit arbeiten wenn man VLANs erstellt.
Ich verwende das Board als Router und Firewall.  Habe selbstgeschriebenen Regeln. Dürften gut 200 sein. Ich merke ehrlich gesagt nicht viel von einer CPU Belastung.



Grüße
Leon

[Otto123]

Hallo ihr Leon und Reinhart,

mal eine Nachfrage von einem ganz Unwissenden: Ihr meint den Banana Router?
Wenn ich das richtig verstehe hat der zwei NICs? einen direkt und einen am 4 Port switch?

Gruß Otto

[CoolTux]

Hallo,

Leider nein. Der einzelne ist die NIC die etwas abstehenden sind das Switch welche mit der NIC verbunden sind.



Grüße

[Reinhart]

Danke für die Info Leon,

ist mir eigentlich jetzt erst bewusst geworden, das dies nur ein 4-Port Switch ist, steht eh schwarz auf weiß da.
Hast du auch IPFire darauf laufen oder nutzt du eine andere Software? Gibt offensichtlich nicht sehr viel für ARM.

Ganz rein theoretisch sollte man eigentlich ein externes Port nicht über ein Vlan am gleichen physikalischen internen Anschluß schalten.

Welchen Internet Speed benutzt du eigentlich auf dem Banana Router?

LG

[CoolTux]

Ich verwende keine Software wie Du es meinst.
Ich habe eigene iptables Regeln welche ich in einer Sammlung von Skripten zu stehen habe. Ich habe alles selber zusammen geschrieben.

Was meinst Du mit Internet Speed?

[Reinhart]

ich meine deinen Internet Anschluß mit welchem Speed der vom Provider geliefert wird, denn genau hier habe ich den Engpass zwischen externen und internen Port schaffe ich auf dem Via Board nur 30%. Da ich aber für 100Mbit bezahle möchte ich die auch nutzen.

Ich ziehe den Hut vor dir wenn du die Iptables alle selber verwaltest. Schau dir vielleicht einmal die IPFire an, hat alles was eine FW braucht und kommt eigentlich mit sehr wenig Resourcen gut aus, läuft auch auf i586. Ich habe auch schon die Endian FW getestet, aber die ist sehr Resourcen hungrig und läuft auch nicht auf ARM. Auch die Endian kann auf derselben Hardware nur 30 Mbit zwischen extern -> intern.

LG

[CoolTux]

Ich kenne IPFire, hatte ich mir aus Interesse mal angeschaut. Ich mag meine Art wie ich es mache sehr, ich kenne jede einzelne Regel und weiß was passiert.

Ich habe jetzt ne 100er Leitung. Allerdings kann ich Dir wenig zum verwendeten Speed sagen. Ich habe noch nen Squid mit Squidguard dran hängen. Aber Morgen will ich mal nen DVD Image über Torrent runter laden, mal schauen was geht.

[Wernieman]

Also .. da unter Linux (Unix) die Firewallpogramme eigentlich auch "nur" mti iptables arbeiten, kannst Du mit einer Handoptimierten Lösung immer mehr rausholen.

Aber wenn Du eine 100MBit-Leitung wirklich ausnützen willst .... ist da nicht ein Kleinstrechner überfordert? (Sofern Du Linux nutzt)

[CoolTux]

Das kann ich Dir noch nicht sagen. Ich habe die Leitung auch nur weil hier hin und wieder bis zu drei Leute HD Video schauen. Das schafft er noch so halbwegs.

[chris1284]

hatte mir den bananen router auch mal angesehen udn bin zum schluss gekommen da sman für die 80€ die er kostet auch gleich einen fertigen kaufen kann der zb openwert-tauglich ist.
für ca 40€ gibt einige modelle mit wlan (bgn) , 4 gigabit ports, 1-2 usb-ports und die sind dann auch in der lage die zb 100mbit WAN intern zur verfügung zu stellen (und haben gleich ein gehäuse und netzteil mit daebi  )

ansonsten gibt unter dem begriff "router board" im netz viele interesannte und oft günstige router-hardware für selbstbau router

[Wuppi68]

oder nen gebrauchten Cisco Switch dahin stellen ...

[CoolTux]

Ihr verkennt da aber was. Mir geht es um die freien Möglichkeiten und die Offenheit des Systems. Ich kenne Linux und gerade die Möglichkeiten im Bereich als Router/Firewall/Proxy. Daher kommt bei sowas für mich immer nur ein Linuxsystem in Frage.

[Reinhart]

eines ist für mich ganz wichtig, unbedingt Linux, wenig Stromverbrauch und gute Konfigurationsmöglichkeit mit Logs. dd-wrt wäre schon gut, aber im Bereich Logs leider ganz schlecht. NAT Regeln und VPN funktionieren dagegen gut.

Im Anhang habe ich 2 Bilder angehängt, einmal der Netgear WNDR4300 der mit seinem Atheros 560 Mhz und 4 x 1 Gb Lan das locker macht, leider ist mir hier im dd-wrt Image die Firewall nicht ausreichend.
Im zweiten Bild der Durchsatz eines Via Mini-Boards mit DualCore 1,2Ghz und 4 x 100Mbit Lan und IPFire als SW. Wo der jetzt wirklich einbricht vermute ich in der Lankarte (oder dem Treiber).

Ich bin schon auf den Speedtest von CoolTux gespannt, wie gut die der Switch des Banana die theoretischen 100 Mbit transportiert.


LG

[CoolTux]

Hallo Reinhard,

Bin leider noch nicht dazu gekommen. Und ich denke auch das meine Umgebung kein gutes Beispiel ist für so ein Test.

Mal ne Beschreibung meines verkorksten Systems. Fritzbox als AP, Packet wird routet über Patchkabel in den Router. Durchläuft erste pre Kernelchains, dann den Squid und Squidguard und zurück über das WLan des Routers und durch diverse Kernel chains wieder in die Fritzbox. Beide Netzwerkkarten der Fritzbox stehen von den Beinen her in einer DMZ ebenso ein Beim des Routers. Bisschen Komplex alles bei mir.