1

Temat: [archeo] Netgate SG-2440

Odbiegniemy dziś od naszej zwykłej codzienności i przyjrzymy się pewnemu produktowi który dawno już zakończył swój żywot i jest oficjalnie elektrozłomem - Netgate SG-2440 lub jak piszą w niektórych miejscach SG-2440 Security Gateway, Netgate SG-2440 Firewall Appliance czy pfSense SG-2440.
Jeżeli ktoś nie kojarzy nazwy pfSense to odsyłam do Wikipedii - jest to projekt firewalla/systemu operacyjnego dla routerów bazującego na FreeBSD (a nie na jądrze Linuksowym jak przytłaczająca większość obecnych systemów). pfSense (jego forki w postaci np. OPNSense) ma swoich zwolenników i chyba tyle samo przeciwników, ma kilka ciekawych rozwiązań ale też ma pewne ograniczenia jak np. liczbę wspieranych platform. System ten można zainstalować na normlanym komputerze i wielu entuzjastów routerów tak zrobiło, ale pfSense (a właściwie pfSense Plus zawierające np. sprzętowe wsparcie dla akceleracji) ma też swoje sprzętowe odbicie w postaci gotowych routerów występujących pod nazwą Netgate.


https://eko.one.pl/files/images/netgate-sg-2440/sg-2440-back.jpg

Widok tylnego panelu SG-2440 - zdjęcie pochodzi z witryny producenta


Model SG-2440 ukazał się na rynku w połowie roku 2015 (przynajmniej w tym okresie występowały pierwsze recenzje), koniec sprzedaży nastąpił z końcem sierpnia 2017 roku a EOL nastąpił z początkiem maja 2020r. Sam projekt sprzętowych routerów nie umarł, o nie, cała linia bardzo się rozwinęła zaś ten SG-2440 dostał solidnego następcę, ale to nie jest tematem tego opisu.

Spójrzcie na zdjęcie tego modelu - co ono Wam przypomina? Mi kojarzy się bezpośrednio z całą linią APU od PCEngines, głownie za sprawą czarnej metalowej obudowy i sposobie zaprojektowania płytki. Nie ma co oczekiwać że na rynku takich routerów można zrobić coś inaczej, więc skojarzenia są jak najbardziej na miejscu, ale jednak jest to całkiem inna konstrukcja.


https://eko.one.pl/files/images/netgate-sg-2440/sg-2440-front.jpg

Widok przedniego panelu SG-2440


W tym sprzętowym routerze mamy do dyspozycji:
- cztery porty ethernet RJ45, każdy 10/100/1000Mbps (oznaczone jako WAN, LAN, OPT1 oraz OPT2) wraz z diodami sygnalizującymi aktywność i szybkość połączenia; każdy port jest osobnym interfejsem
- dwa porty USB 2.0 (mogące służyć np. do podłączenia nośnika instalacyjnego)
- złącze konsoli systemowej w postaci złącza miniUSB (po podłączeniu kabla USB widać to jako UART)
- dwie diody led - czerwono/zielona od statusu systemu oraz od aktywności dysku SATA
- przycisk reset
- gniazdo zasilania 12V z "grubym bolcem" (NB router bez podłączonych akcesoriów i kart zużywa ok 7-9W)

Sprawne oko zobaczy jeszcze 5 zaślepek w otworach w których można wkręcić pigtaile ze złączami RP-SMA. Router nie ma domyślnie ani WiFi ani modemu LTE, ale ma możliwość ich instalacji w odpowiednich slotach. Obudowa ma sporo otworów wentylacyjnych i nietypowo - są one także umiejscowione na górnej części, przez którą widać czarny radiator procesora. Całość jest chłodzona pasywne.


https://eko.one.pl/files/images/netgate-sg-2440/sg-2440-board-msata.jpg

Widok płytki SG-2440 z zaznaczonym miejscem na dysk mSATA - zdjęcie pochodzi z witryny producenta


Sama płytka ujawnia dalsze komponenty:
- procesor, dwurdzeniowy Intel Atom C2358 taktowany częstotliwością 1.74GHz
- trzy sloty miniPCIe, z czego do jednego można włożyć modem LTE (dostępny jest slot kart SIM), do drugiego można dodać dysk mSATA lub np. kartę WiFi i zostaje kolejny slot na następną kartę WiFi
- wbudowana pamięć RAM o pojemności 4GB
- wbudowana pamięć flash o pojemności 8GB (w niektórych opisach pisali że jest to eMMC, ale jest to nośnik podłączony przez magistralę USB 2.0, przedstawiający się jako "Ultra Fast Media")
- bateria od RTC
- złącze SATA

I to ostatnie to sprawa dość kontrowersyjna dla mnie, bo domyślnie jest wlutowane tylko jedno złącze SATA (na płytce są miejsca na cztery dodatkowe), ale nie ma nigdzie dostępnego zasilania do tego dysku. Więc nawet jak coś podłączony to zasilanie i tak trzeba dorobić samodzielnie. Jest też parę miejsc na dodatkowe chipy i złącza, ale nie zostały one domyślnie obsadzone w tym modelu. Płytka identyfikuje się jako "ADI Engineering RCC-VE".

Sprzęt nie ma włącznika zasilania, uruchamia się od razu po podłączeniu do prądu. Ale mała uwaga - polecenie poweroff (np. z linuksa) wyłączy sprzęt i ponowne włączenie wymaga odłączenie prądu na chwilę.

Urządzenie przyszło do mnie ze starą wersję pfSense w wersji 2.4.4 (obecnie mamy pfSense Plus 24.11, a po drodze było jeszcze 27 wersji pośrednich!) oraz starym biosem realizowanym przez projekt OpenCore. I mimo zakończenia wsparcia i sprzedaży tego modelu udało mi się zainstalować aktualną wersję pfSense Plus 24.11 (choć niepotrzebnie, o czym za chwilę) i jego poziomu zaktualizować bios do ostatniej dostępnej wersji (która i tak jest sprzed kilku lat).

Czyli jest to zwykły pecet, tyle że na starym procesorze Atom i bez wyjścia video. I już chyba wiecie do czego dążę - skoro to jest zwykła platforma x86/64 to czemu by nie uruchomić tam OpenWrt. Nie ma z tym najmniejszego problemu. Wgrywamy OpenWrt na USB (obraz bez "efi" w nazwie), podłączmy nośnik do USB i system domyślnie wystartuje z tego USB uruchamiając Wasz ulubiony system operacyjny. Można później system zainstalować na wbudowanym nośniku flash zamiast pfSense lub na dysku mSATA i używać go w ten sposób. OpenWrt widzi normalnie wszystkie podzespoły (usb, karty w miniPCIe, modem LTE). Wcześniej zainstalowałem pfSense bo chciałem wykonać aktualizację biosu która dostępna normalnie z GUI. Okazało się że nie można tego zrobić to wyskakuje błąd (bez podania przyczyny); ale aktualizację można wykonać także z cli i wykorzystywany jest do tego flashrom zaś odpowiedni plik z aktualną wersją biosu można pobrać z githuba producenta. Równie dobrze taką operację można wykonać z poziomu samego OpenWrt, flashrom jest dostępny w repozytorium. Chciałem mieć aktualny bios bo changelogi wspominają m.in o aktualizacji mikrokodu procesora.
OpenWrt traktuje ten model jako "generyczny PC" w związku z tym należy pamiętać o przypisaniu interfejsów sieciowych - w OpenWrt domyślnym interfejsem dla LANu jest eth0, zaś dla WANu - eth1. I tym sposobem w tym modelu za LAN uważany jest port oznaczony jako "WAN" na obudowie, zaś portem WAN - ten oznaczony jako "LAN". Nie jest to kompletnie żaden problem bo wystarczy mała zmiana w konfigu sieci i można sobie odwrócić przypisanie portów, przy okazji dodając do bridge lanowego dwa dodatkowe porty oznaczone jako OPT1 i OPT2. Albo wszystkie porty przypisać do lanu, w zależności od potrzeb i konfiguracji.
Temperatury pracy są więcej niż dobre i w stanie jałowym routera procesor ma temperaturę ok 28st C (przy temperaturze otoczenia 20st C).

Konsola podłączona przez kabel miniUSB ujawnia m.in komunikaty startowe OpenCore i pozwala przez F12 wybrać nośnik z którego ma wystartować system. Wszystko to robi się to przez terminal szeregowy (wykorzystując np. putty) - ponieważ router nie ma wyjścia video to nie można podłączyć monitora oraz klawiatury na USB i tak wybrać nośnik z którego ma się uruchomić system. I mała uwaga - po uruchomieniu OpenWrt ta konsola wewnętrznie widoczna jest jako /dev/ttyS1 - więc nie jako pierwsza, więc komunikaty kernela nie pojawią się na konsoli ponieważ standardowo wysyłane są na /dev/ttyS0 - być może jest on gdzieś na samej płytce.

Jest jeszcze jeden "smaczek" o którym przypomniałem sobie podczas gromadzenia materiałów do tego opisu a związany z zastosowanym procesorem Intel Atom z rodziny C2XXX. W 2017 roku miała miejsce mała afera, gdy okazało się że ta rodzina procesorów zawiera problem sprzętowy z tzw. magistralą LPC (Low Pin Count), problem który obawia się tym że w po pewnym czasie używania tego procesora może on się już nie uruchomić po restarcie (następuje degradacja magistrali LPC oraz SD i USB - jeżeli ktoś jest zainteresowany to niech szuka błędu AVR54). Atomy z rodziny C2000 to były produkty przeznaczone na rynek urządzeń sieciowych/osadzonych, mające działać 24/7, więc taki błąd był bardzo wielkim problemem, a takie procesory wykorzystywały w swoich urządzeniach firmy takie jak np. Cisco czy Synology. Wg komentarza Netgate, w modelu SG-2660 nie jest wykorzystywana ta magistrala, więc teoretycznie ew. problem nie powinien mieć wpływu na działanie produktu.

Widać wyraźnie jak ten router się zestarzał, głównie po jego elementach: konsoli na miniUSB (zamiast microUSB czy USB-C), dysku mSATA (zamiast dysku NVME na M.2) czy USB 2.0 (i brakiem nawet wewnętrznego USB 3.0). Nie zrozumcie źle - to nie tak że on się do niczego nie nadaje. Ma wystarczającą moc żeby wysycić gigabit, nadał dobrze spełnia swoją rolę i może pełnić rolę routera kablowego. Przy niewielkim nakładzie kosztów można go przerobić na router z WiFi, modemem LTE czy nośnikiem na dane (choć to mało opłacalne bo 1TB mSATA to koszt ok 450zł). Przy odrobinie smykałki do majsterkowania można by tam dodać zwykły dysk SSD 2.5".
Mimo że temat ma [archeo] w tytule to tak naprawdę to nadal jest dobry sprzęt do wielu zastosowań. Obecne wersje pfSense zawierają wiele współczesnych funkcji łącznie np. z VPN WireGaurd, IPsec czy OpenVPN, a jeżeli komuś ten system nie pasuje - ma możliwość instalacji OpenWrt i dalszego jego wykorzystania przez długie lata. Procesor pod OpenWrt dosłownie się nudzi, obciążenie jest na "0.0 0.0 0.0", więc mocy na VPN, sambę, transmission czy apache z mysql nie zabraknie. Zawsze lubiłem podobne projekty i ten Netgate szybko przypadł mi do gustu. Fajny sprzęt na zabawę, pewne możliwości rozbudowy i jednocześnie jego uniwersalność przynoszą wspomnienie czasów, kiedy routery się robiło a nie kupowało gotowe.



Na koniec jeszcze wyniki ulubionego ostatnio testu iperf3 z OpenWrt:

root@OpenWrt:~# iperf3 -s -D && iperf3 -c 127.0.0.1
Connecting to host 127.0.0.1, port 5201
[  5] local 127.0.0.1 port 40974 connected to 127.0.0.1 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  1.08 GBytes  9.29 Gbits/sec    0   7.68 MBytes       
[  5]   1.00-2.00   sec  1.08 GBytes  9.29 Gbits/sec    0   7.68 MBytes       
[  5]   2.00-3.00   sec  1.09 GBytes  9.37 Gbits/sec    0   7.68 MBytes       
[  5]   3.00-4.00   sec  1.09 GBytes  9.39 Gbits/sec    0   7.68 MBytes       
[  5]   4.00-5.00   sec  1.09 GBytes  9.40 Gbits/sec    0   7.68 MBytes       
[  5]   5.00-6.00   sec  1.09 GBytes  9.39 Gbits/sec    0   7.68 MBytes       
[  5]   6.00-7.00   sec  1.07 GBytes  9.16 Gbits/sec    0   7.68 MBytes       
[  5]   7.00-8.00   sec  1.06 GBytes  9.11 Gbits/sec    0   7.68 MBytes       
[  5]   8.00-9.00   sec   985 MBytes  8.27 Gbits/sec    0   7.68 MBytes       
[  5]   9.00-10.00  sec  1.08 GBytes  9.31 Gbits/sec    0   7.68 MBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  10.9 GBytes  9.36 Gbits/sec    0             sender
[  5]   0.00-10.00  sec  10.9 GBytes  9.36 Gbits/sec                  receiver

iperf Done.
root@OpenWrt:~# ubus call system board
{
    "kernel": "6.6.60",
    "hostname": "OpenWrt",
    "system": "Intel(R) Atom(TM) CPU  C2358  @ 1.74GHz",
    "model": "ADI Engineering RCC-VE",
    "board_name": "adi-engineering-rcc-ve",
    "rootfs_type": "ext4",
    "release": {
        "distribution": "OpenWrt",
        "version": "24.10-SNAPSHOT",
        "revision": "r28026-faebcc61eb",
        "target": "x86/64",
        "description": "OpenWrt 24.10-SNAPSHOT r28026-faebcc61eb",
        "builddate": "1731712289"
    }
}

Link do strony producenta i manuali: https://docs.netgate.com/pfsense/en/lat … ndex.html#

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

2

Odp: [archeo] Netgate SG-2440

@Cezary - pfsense dziś się dzieli na pfsense CE ( community edition) wolniej rozwijany i pfsense plus płatny lepiej rozwijany  można migrować z ce do plus i nawet jest dla użytku domowego darmowa licencja. ten port sata to może być sata dom port z zasilaniem. atomy z serii cxxx są skierowane na networking i vm - stąd genialna wydajność forwardingu pakietów , no i jest intel qat ( jest hack aktywujący na serii 2xxx) wspomaga sprzętowo szyfrowanie różne w tym ipsec , openvpn  itp. nadal jest to wydajna platforma choć seria c3xxx świetnie zastępuje poprzednią.

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | Dynalink WRX-36 | cudy  ufo | 2x Bpi R4 wifi 7|zyxel gs1900-10hp | Truenas scale 124TB 25Gb| Xpenology 12TB | apc smart ups 750 lcd smile
Podróżne : GL.Inet MT3000  +1TB hdd
Lifepo4 25.6V 100Ah + panel 415w + przetwornica 2.5KW offgrid.

3

Odp: [archeo] Netgate SG-2440

Dzięki za wyprostowanie tematu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

4

Odp: [archeo] Netgate SG-2440

@Cezary - probowales moze uruchomic dpdk z vpp? Wymagania spełnia więc powinno się dać uruchomić, gdyby mial interfejsy 10gb to zamknal by je bez problemu.

Dom : router https://i.imgur.com/IuB6Zwy.png | TP-LINK T1700G-28TQ |Zyxel XGS-1210-12 | Dynalink WRX-36 | cudy  ufo | 2x Bpi R4 wifi 7|zyxel gs1900-10hp | Truenas scale 124TB 25Gb| Xpenology 12TB | apc smart ups 750 lcd smile
Podróżne : GL.Inet MT3000  +1TB hdd
Lifepo4 25.6V 100Ah + panel 415w + przetwornica 2.5KW offgrid.

5

Odp: [archeo] Netgate SG-2440

Nie, nie próbowałem. Dołożyłem msata i postawiłem debiana bo maszynka była mi potrzebna do testów. pfsense kiśnie tam na wbudowanym nośniku.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.