UTM on Netgate RCC-VE 2440

Hi, I've finally found a supplier that makes what looks like a decent multi nic systems.
Netgate Linux Systems
I'm lookling at the RCC-VE-2440 for $353.00 USD
Has any-one got any experience building on one of these, or views on the hardware specs, any-one see any issues..

Below is a quick summary of the hardware.
- 2 core Intel Atom C2358 CPU, 1.7 GHz
- Standard Mini-ITX 170x170mm form factor
- 4 GB DDR3L Non ECC Memory on board
- 4GB eMMC flash on board
- 4x RJ-45 1 GbE Intel Ethernet ports, Intel i350 (i354 on-die)
- Blue Anoidized Enclosure with 5 SMA/RP-SMA sized antenna cutouts
- 1 mini-SATA (mSATA) connector
- 1 SATA II connector
- 2x full length mPCIe slots, one with micro-SIM. Also supports half length cards.
- 2x USB 2.0 Host ports
- 1 Mini-USB Serial Console Port
- Reset Pushbutton
- Power/Status/SATA activity LEDs
- Front Panel Header
- Coin cell holder for RTC backup battery
- 12 VDC Power Input Connector (call for ATX availability and MOQ)
- Coreboot boot loader
- AC/DC Auto-Ranging Switching Power Adapter
- Input Voltage: 90 ~ 264 VAC
- Output Voltage: 12 VDC
- Current Output (Max): 4.16A
- Power (Watts): 50W 
- Fanless operation from 0°C to 65°C ambient temperature. 
- FCC, CE Class B 
- RoHS Compliant

I'm thinking for $353 this is a great option for the home user, compact, powerful, and enough ports to allow multi lan setup. In my case, External, Internal, DMZ and Wireless lans.

The only thing I'll add to it is a 250G or 500G msata card

Trevor..
  • It'll work, but the cpu will be a limiting factor if you plan to enable most of the processor-intensive tasks such as IPS and/or AV scanning. All depends on your WAN bandwidth, and how much of that you want usable to your LAN(s).
  • Hi, that looks pretty attractive assuming below a 100mbps Internet connection.

    However,

    1. I would ask them if the "4 GB of onboard eMMC flash memory" can be disabled or removed; it may interfere with the UTM installer

    2. 4GB RAM; is it upgradeable?

    Barry
  • In reply to BarryG:

    The ram is onbaord, and not upgradeable. but they do have "bigger" devices, that have bigger CPU and more RAM, plus extra ports.

    I ordered the Netgate RCC-VE 2440 yesterday, and I intend to document and
    upload the process on getting the latest UTM software onto it. I'm not expecting too many issues, time will tell.

    To be honest, I'm expecting this to be a pretty painless process, and end up with a pretty capable device, for the home user. (This will also give me a fair idea on their bigger device capabilities. Netgate Linux Systems )
  • Hi,

    You will need to get the serial console working before installing the UTM; hopefully the BIOS has a redirection option.

    I'm also still worried about the onboard flash confusing the installer.

    Let us know how it goes; the price isn't bad considering the # of NICs and being fanless.

    If you can't get it to install, save the 'install.txt' file from the installer and upload it here.

    Barry
  • In reply to BarryG:

    VERDICT TIME
    The Netgate RCC-VE 2440 arrived yesterday, I spent last night playing with it, and setting it up, today it went live here at home, and so far it's awesome. 

    The Netgate is idling along at between 5-20% CPU so far on a normal nights use  (mostly 5%), with the occasional spike up to 60% CPU. In other words, it can easily handle the home environment with a dozen plus devices. I've got all 4 nic's in use, WAN, DMZ, LAN and Wireless, with 15 ip's currently using the system.

    If I was setting this up for a small office, I'd probably use the same device, perhaps look at the RCC-VE-4860 with 4 core Intel Atom and 8G RAM $535 or for the larger business the RCC-VE 8860 System 8 core Intel Atom and 8G RAM $781. 
    Netgate Linux Systems 

    The installation process can be hard or easy, (normally very easy) depending on what you try to do. ie: I stuffed around a lot trying to get the console port to work, and to install the UTM software the way I've always done it. ie: graphically . Once I found the Headless Install script, the install then became a very, very easy process. 
    A huge, and I mean HUGE kudo to trollvottel for his Headless Install script (asg2asi.sh)
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/52/t/28778

    Knowing what I now know, and using the steps in the my pdf, I could go from opening the box, to a configured firewall in an hour. 

    I've always hated how I had to have a full sized pc sitting there doing firewall duties. I've looked at many small devices over the years, but none of them have had either enough nic's, or they only had 10/100 nics. To finally find a small device with multiple GbE Intel nic's, a good cpu and 4gig RAM for only $353 is awesome. 

    This link takes you to my website, where you can download the pdf on my install process. (scroll to bottom of page)
    T-Spoon Software - T-Spoon Software

    So to summarise.  AWESOME. 
    and highly recommended for the home user / small business.
  • I purchased the RCC-VE-4860 with 4 core Intel Atom and 8G RAM.

    I will second Trevor's assessment. For my needs on a 100mbit connection, I am seeing 2%-7% CPU utilization and steady 17% memory utilization using Firewall, IDPS, ATP, and Web Filtering with caching on 9.310-11. I added a 250GB Samsung EVO 850 mSATA drive for storage. This hardware is performing flawlessly and the energy/heat footprint is quite minimal.

    I was able to use the headless install procedure mentioned above to install the UTM software via an external USB DVD drive and it was flawless. The hardest part was getting the syntax right for the installer.ini for the time zone. I used a CentOS Linux VM to build and test the installer script along with a 2nd VM to actually test the unattended build.

    I would estimate that this hardware performed the install in under 30 minutes without any input from me, so it was quite speedy.

    Hints: 
    1. Use the EXACT timezone value as seen in the visual installer into the INI and you will be fine. For me, it was: 
    timezone = America/Chicago

    2. I connected my hardware to my existing router and used an internal IP address that was already on my DHCP scope. This allowed me to perform configuration without taking away my ability to also use my internet connection to search forum while configuring the UTM.

    3. For this hardware, when configuring eth0 in the installer.ini, you must use the the port labeled eth2 on the actual hardware, which is the first port from the left on the 4-cluster of ethernet ports. This was what tripped me up most; the labeling on the actual hardware lists the ethernet ports from left to right, but the OS identifies their index differently.
    Here is the ethernet port mapping for this hardware and how it is represented in the UTM OS:
    H/W  -> OS
    eth0 -> eth5
    eth1 -> eth4
    eth2 -> eth0
    eth3 -> eth1
    eth4 -> eth2
    eth5 -> eth3

    Good luck! I hope this was helpful. I have been VERY pleased with this hardware thus far once I figured out the tripping points mentioned above.
  • Hi,

    Thanks for the updates.

    I would be reluctant to recommend a system which does not have a working console; the headless install isn't officially supported and Mario (Trollvottel) has left these forums.

    If you can get the serial console working however, that would be much more encouraging.

    That said, there are some 2-NIC fanless systems with VGA available for less money, e.g. http://www.ebay.de/itm/Zenion-1037-Luefterloser-Mini-PC-mit-Intel-Celeron-1037-60GB-SSD-4GB-HDMI-USB3-/181712686832 (Germany)

    Barry
  • In reply to BarryG:

    Hi;

    Yes vga would be great but my main requirement is 4 GbE nic's.

    When I first saw the 2440, I thought sounds great, more than enough cpu, plenty ram, an 4 nics. Sounds like it's worth a try..

    The console was a bit of a concern at first, (and it was pointed out by several people) especially for the actual install, but when I found the headless install script, and the fact that it worked without a hitch. Well I now have a complete "process" for installing onto any of the Netgate devices that works perfectly. Actually its a great process for installing onto any machine, especially for remote sites, where I can just send "pre-configured" cd, that can be dropped into any UTM hardware, with instructions to connect portX to the current internal lan, and then I can configure remotely after it reboots.

    The Sophos docs make mention of using install command line switches like "default vga=normal" I played with variations of this when first trying to install and redirect the output to the console port. Also tried "default console=ttyS1,115200n8"  plus a couple of others, but nothing worked. Hindsite, I should have looked at the init line for the Centos install that was already on the 2440. But at the end of the day as I said I found the headless script and that worked flawlessly. (Acknowledged that in the future it night not work, but at the moment awesome)

    A suggestion to Sophos, allow an install switch like the "default vga=normal" that allows output to be redirected to a console, especially in light of how many devices are now appearing on the market configured like the Netgates.
    These tiny little "devices" run as well as a full blown dedicated pc, and cost a fraction of the price. 

    Anyhow, at the end of the day, the only "valid" concern people raised (the console) turned out to NOT be a show stopper. The other concerns about maybee being under-spec'd were way off. For the environment I'm using this in, home use with home-user-licence, it's absolutely perfect.
  • My understanding is that if the BIOS supports console serial redirection, then the installer doesn't need to know anything about it, as long as it's in text mode.
    Right?

    Barry
  • In reply to BarryG:

    Hi,

    You will need to get the serial console working before installing the UTM; hopefully the BIOS has a redirection option.

    I'm also still worried about the onboard flash confusing the installer.

    Let us know how it goes; the price isn't bad considering the # of NICs and being fanless.

    If you can't get it to install, save the 'install.txt' file from the installer and upload it here.

    Barry


    If there is a BIOS redirect to text, I could not find it.

    The onboard flash does NOT seem to trick the installer. The installer, when it has the other variables needed for install provided via the installer.ini, intelligently picked the storage (in my case a 250GB mSATA drive) that has the appropriate available space and ignored the 4GB onboard flash. 

    In fact, I can change the boot option in the BIOS to that onboard flash and still boot to CentOS if I wish.
  • In reply to BarryG:

    Hi,

    Thanks for the updates.

    I would be reluctant to recommend a system which does not have a working console; the headless install isn't officially supported and Mario (Trollvottel) has left these forums.

    If you can get the serial console working however, that would be much more encouraging.

    That said, there are some 2-NIC fanless systems with VGA available for less money, e.g. Zenion 1037 - Lüfterloser Mini-PC mit Intel Celeron 1037: 60GB SSD/4GB/HDMI/USB3 | eBay (Germany)

    Barry


    Serial console DOES work for this unit, it just provides no visual feedback during the UTM installation process as I assume that the install process is looking for a standard VGA output and there seems to be no BIOS redirect to text output. Once the install is finished, you can access SSH via the USB console if desired. All that is needed is a mini USB cable, PuTTY, and a USB to UART driver for your PC.

    I personally think that the feature request related to a console based install is the way to go forward with this particular hardware platform, as the specs  are tailor-made for this software and and power/size footprint is so much more "appliance-like" than even a MiniITX PC sitting on my bookshelf.

    Until that feature request gains traction, the installer.ini will be the best bet for unattended install.
  • In reply to DAC1319:

    Further Updates..

    I've been playing some more on getting the console to work.
    I found the following article, and using this I could see the boot output, as the 2440 started up, BUT when it finished starting no command prompt..
    How to enable boot messages output via serial console V7 on Astaro Security Gateway

    We had a similar thing with some HP Blades at work, where we managed to do  something along the lines of redirecting all to the console. I'll have a look around tomorrow and see if I can find the docs we used, and if they did cover what I'm trying to do.  (memory is a wonderful thing....)

    Trevor..
  • Hi,

    I agree that an option in the installer for a serial console would be great; feature requests can be made/voted upon at
    UTM (Formerly ASG) Feature Requests: Hot (2102 ideas)

    However, I suspect that the number of new devices without VGA (or HDMI) is quickly approaching zero, so I'm not sure Sophos is going to be interested.

    Barry
  • Hi;

    Well the unit has now been up since mid April, (just over two months) and to be honest for the first week, I keep logging in and checking how it was going, then the novelty of a "new toy" wore off, and I left it alone, (forgot about it.)

    It's had a couple of Sophos Firmware updates since then, and that's really the only time I've given it more than a seconds thought.

    CPU is still sitting at around the 5% mark, RAM is at 30%, and I haven't noticed any issues with anything.

    In other words, it's running like I hoped it would, sitting in the corner doing what it's suppose to do, and not giving me any hassles.

    Very highly recommend this device to any home / small business.
  • Thanks Trevor for your post. I was wondering if the pfSense SG2440 product C2358 SG-2440 Desktop Network Firewall Router Hardware Appliance could be repurposed with Sophos UTM. Both the pfSense and Netgate have the same specs so it should be the same experience except for the $150 price difference.