Von Alexander|August 12, 2017|21 Kommentare

Die Zotac ZBox CI327 ist ein Mini PC (Barbone System) welches mit einer Abmessung von 128x57x127 mm daher kommt. Im inneren werkelt ein  Intel Celeron N3450 welcher der Apollo-Lake Familie angehört und über 4 Kerne mit jeweils 1.10 GHz verfügt. Mittels Boost Takt erhöht sich die Geschwindigkeit auf bis zu 2,20 GHz. Da das Gerät passiv gekühlt ist arbeitet es völlig lautlos.

Onboard befindet sich eine Intel HD Graphics 500 welche DirectX 12 unterstützt und für den Office Bereich mehr als geeignet ist. Auch die hardwarebeschleunigte Wiedergabe von VP9- und H.265-Material erfolgt ohne Probleme. Es können bis zu 8GB DDR3L Arbeitsspeicher verbaut werden. Die Leistungsaufnahme des Gerätes beläuft sich auf ca. 7-11 Watt (Office Betrieb mit einer 256 GB SSD und 8 GB Ram).

Anfänglich hatte ich noch das Problem, dass mein Gerät mit 8 GB Arbeitsspeicher immer wieder eingefroren ist. Dies wurde jedoch durch den tollen Kunden Support von Zotac mit einem Bios Update behoben. Hier nochmal vielen Dank für die kompetente Hilfe.

Verwendungszweck:

Da das Gerät über zwei Netzwerkkarten verfügt verwende ich die ZBox als Firewall. Hierbei setze ich natürlich wie gewohnt auf die Sicherheitsprodukte von Sophos die für den Heimgebrauch völlig kostenlos sind. Ich habe Testweise die UTM in Version 9.5 und die XG V16 auf dem Gerät installiert. Beide liefen ohne Probleme. Leider wurde das Wlan Modul nicht erkannt darum habe ich mir ein anderes mit einem ath9k Chip besorgt, welches ich in der UTM zum Laufen bekommen habe. Leider funktioniert dieses nicht mit der XG. Vielleicht tut sich hier ja mit Version 17 etwas. Bleiben wir also gespannt.

Auch der Betrieb eines ESXi Servers erwies sich als recht einfach. Um die aktuellste Version nutzen zu können, muss man lediglich ein Custom Image mit den passenden Nic Treibern erstellen. Anschließend funktioniert alles wie gewohnt und ohne Probleme. Wer sich damit nicht auskennt für den gibt es hier ein Powershell Script, welches sich um alles nötige kümmert. Eine Anleitung wie alles funktioniert gibt es auch auf der Page.

Diesen Beitrag teilen:

21 Kommentare

  1. Hmm – ich versuche grade vergeblich die Sophos UTM 9.5 Home auf der Zotac CI327 zum Laufen zu bekommen. Ich sehe noch den Startbildschirm, dann kommen jede Menge Fehler und das Ding bleibt stehen. Darf ich mal fragen wie man das hinbekommt? Insbesondere die Menge an Optionen im BIOS überfordert mich, vermutlich ist irgendwo in den Einstellungen da der Fehler.
    Hilfe wäre toll, Danke!

    1. Hallo Bernhard,

      in den Bios Einstellungen musst du nur bei den Boot Optionen „Legacy Only“ auswählen. Ansonsten muss hier nichts geändert werden. Den Boot Stick mit dem Iso am Besten mit RUFUS erstellen. Bei der Installation der UTM musst du dann bei den Boot Optionen „default acpi=off“ eingeben, damit alle 4 Cores erkannt werden. Anschließend sollte alles normal installieren.

      Wenn nicht dann bräuchte ich die genaue Fehlermeldung damit ich dir vl. weiterhelfen kann.

      LG Alex

  2. Erstmal vielen Dank für den tollen Blog 🙂

    Aktuell verwende ich eine Sophos UTM virtualisiert unter Proxmox. Diese möchte ich gerne auf einen separaten Rechner und bin auf der Suche nach entsprechender Hardware. Relativ schnell stößt man auf die APU2c4, allerdings auch auf Empfehlungen wie die Zotac-Box.
    Abgesehen von der Anzahl der Schnittstellen: Was sind denn die konkreten Vor- oder Nachteile von APU vs. ZBox? Welche liefert die bessere Performance, wie sieht es mit dem Verbrauch aus? Kann man bei der ZBox ggf. noch LAN-Interfaces per USB nachrüsten?

    Vielen Dank vorab!

  3. Hallo Oliver,

    freut mich, dass dir mein Blog gefällt. Es ist schwierig zu sagen, da jedes System seine Vorzüge hat. Das Nachrüsten eines weiteren LAN-Interfaces mittels USB sollte kein Problem darstellen sofern der Treiber in der UTM integriert ist. Dies sollte sowohl mit der APU2c4 als auch der ZBOX funktionieren.

    Von der Performance her kommt mir die ZBox ein wenig schneller vor. Ich habe hier aber keine Benchmarks oder der gleichen gemacht. Was mich an der Zbox aber doch sehr gestört hat ist der schlechte Wlan Empfang und das obwohl ich eine andere Antenne montiert habe. Außerdem muss man hier das Wlan Modul durch ein anderes mit ath9k Chip ersetzen damit das Wlan mit der UTM überhaupt funktioniert. Dieses ist aber nur schwer zu bekommen.

    Der Energie Verbrauch ist bei beiden Systemen annähernd gleich und bewegt sich zwischen 7-11 Watt. Je nach Auslastung.

    Wenn du eine stabile und robuste Firewall haben möchtest, dann würde ich dir immer noch die AP2C4 empfehlen. Bis jetzt konnte ich bei diesem System noch keinerlei Fehler oder abstürzte feststellen. Das System leistet gute Dienste und auch die Performance ist mehr als ausreichend.

    Ich hoffe ich konnte dir ein wenig bei der Entscheidung helfen.

  4. Hallo Alex,

    danke für deine ausführliche Antwort.
    Das Thema WLAN ist bei mir „extern“ mit Unifi-APs gelöst, daher würde ich das für die UTM nicht benötigen. Zum Thema Performance – auch wenn du keine Benchmarks gemacht hast:
    Ist die APU2C4 tatsächlich schnell genug, auch wenn man die ressourcenhungrigen Features der Sophos (e.g. Web Filtering) aktiviert? Dass es für die reine Firewall selbst bei einem 100MBit-Anschluss reicht, ist ja vielfach beschrieben, aber wie sieht es aus, wenn man Abseits von pfSense und co tatsächlich mehr Last erzeugt?

    Danke
    Oliver

    1. Hallo Oliver,

      also ich nutze bei meiner UTM folgende Features:
      Firewall, Intrusion Prevention, Web Filtering, Application Control, Wireless Protection und die Web Application Firewall. Anbei habe ich dir eine Jahresauswertung von der Auslastung meiner UTM angehängt. Den Durchsatz über das LAN Interface müsste ich erst messen. Von WAN nach Internal kann ich meine 50 MBit ohne Probleme nutzen.

      Auswertung

  5. OK, Danke – und deine UTM läuft auf der APU?
    Sieht ja seht entspannt aus 🙂

    1. Ja die UTM läuft auf meiner APU2C4. Hab sie auch auf der ZBox Ci327 getestet hatte hier aber keinen Mehrwert. gesehen. Außerdem weiß ich bei der APU das dieses System stabil und zuverlässig arbeitet, da ich sie selbst schon mehr als 1 Jahr im Dauereinsatz habe.

      Lg Alex

  6. Lässt sich das Bios nur über Windows updaten?? Habe nur einen Installer gefunden?

    LG

    1. Hallo René,

      sorry für die späte Antwort. Nein du musst das BIOS mittels eines USB Sticks welcher mit FAT32 formatiert ist updaten. Eine genaue Beschreibung findest du in der Readme.txt welche sich in der BiosUpdate Zip befindet.

      Hier der Link zum Update: https://www.zotac.com/at/files/download/by_product?p_nid=657492&driver_type=238&os=All

      lg Alex

  7. Hallo Alexander,
    habe gerade UTM 9 auf der Zotac Zbox CI327 installiert. Funktioniert bis auf einen kleinen Schönheitsfehler:
    Die Zeit läuft viel zu schnell.
    Die hardware clock der Zotac läuft richtig (abends im boot screen eingestellt, nächsten Tag kontrolliert), nur wenn UTM 9 hochfährt, beginnt die Zeit zu rasen.
    NTP server ntp.pool.org angegeben.
    Irgendwelche Ratschläge?

  8. Ich habe das gleiche Problem. Die Zeit rennt davon …

    Meine Lösung:

    Per ssh auf die ZBOX und dann

    echo „tsc“> /sys/devices/system/clocksource/clocksource0/current_clocksource

    Über einen Tag hinweg hatte ich dann max. 1 Minute Abweichung.

    Jetzt muss die Einstellung nur noch persistent werden, denn nach einem Neustart gibt es sonst wieder das alte Problem.

    Als Bootparameter muss clocksource=tsc ergänzt werden.

  9. Hallo Michael,
    danke für die Info.
    Werde ich gleich mal ausprobieren

  10. Hallo Michael,
    gerade getestet, funktioniert soweit.
    Habe bei boot die clocksource eingefügt.
    Wie wird die Änderung persistent (edit grub.lst, grub-update) ?
    Danke für die Hilfe

  11. Hallo Fritz,

    ich habe eine einfachere Möglichkeit gefunden den Eintrag dauerhaft zu machen:

    in /etc/init.d/boot den Eintrag

    echo „tsc“> /sys/devices/system/clocksource/clocksource0/current_clocksource

    am Ende einfügen (vor ‚exit 0‘).

    Dann muss die Partition /boot zur Bearbeitung von grub.lst nicht auf RW umgestellt werden und die Kernel Boot Parameter müssen ebenfalls nicht modifiziert werden.

    Funktioniert bei mir prima und übersteht Neustarts. Evtl. muss bei einem Sophos Update die Zeile wieder eingepflegt werden – weiß ich erst nach dem nächsten Update.

    Die Zeit ist jetzt absolut stabil – das Delta zum NTP-Server liegt im Millisekundenbereich 🙂

    Weiterhin ist mir aufgefallen, dass nach der Änderung die Grund CPU Auslastung (wenn auf der Box nichts los ist) etwas gesunken ist: war vorher durchschnittlich bei 5-6% jetzt zwischen 2% und 5%) – aber das ist sicherlich nicht entscheidend 🙂

    Somit ist die kleine Box endlich richtig verwendbar.

  12. Hallo Michael,
    vielen Dank für die Hilfe.
    In der Sophos Community sucht noch ein Leidtragender die Lösung für das gleiche Problem.
    https://community.sophos.com/products/unified-threat-management/f/hardware-installation-up2date-licensing/96474/sophos-utm-9-503-4-home—gaining-time
    Vielleicht kannst du ihm deine Lösung posten (wollte es nicht ohne dein Einverständnis tun).
    Nochmals danke
    Fritz

  13. Hallo Leute,
    ich habe noch ein Problem mit meiner Z-Box:
    Lief jetzt problemlos seit Jänner.
    Heute war ein Update zu installieren, nach dem Reboot war keine Verbindung mehr möglich (Webadmin, SSH, Konsole direkt). System fährt ganz normal hoch, es kommen die Pieptöne, nach denen das System ja funktionieren sollte,
    aber wie gesagt: Weder Webadmin noch eine andere Verbindungsart.
    Hat vielleicht jemand eine Idee ?

    1. Hallo Fritz,

      was zeigt der Monitor an wenn du die ZBox neu startest? Beim Booten kannst du die F2 Taste drücken um so den Bootvorgang zu beobachten.

  14. Hallo Alexander,
    laut Monitor sieht alles normal aus, System fährt hoch, ich sehe alle Meldungen (kein Fehler ersichtlich).
    Es kommen die Pieptöne, die normal anzeigen, dass das System ok ist.
    Am Bildschirm sehe ich die übliche Meldung „all configuration is done etc. etc“. Sieht alles absolut normal aus.
    Ich kann die Box auch im single mode starten. Ich habe memtest stundenlang laufen lassen, die HDD auf badblocks kontrolliert, auf das letzte BIOS geflasht, kein T-shirt (Übrigens: BIOS flashen funktioniert nur mit USB3.0 stick, laut Auskunft ZOTAC)
    Nach mehrmaligem Restart kam ich dann per SSH auf die Box, bekam aber immer nach Eingabe des passwords die Meldung „Access denied“ (shell access per Webadmin konfiguriert, user loginuser)
    Sieht irgendwie aus, als ob entweder die user authentication oder das Netzwerk spinnt.
    Ich habe die Box komplett neu aufgesetzt, jetzt läuft wieder alles. Ich befürchte aber, dass nach einigen Restarts das gleiche Problem auftritt.
    Die einizige Änderung, die ich durchführte, war der Tip von Michael, in /etc/init.d/boot die clocksource auf tsc zu setzten, alle anderen Einstellungen geschahen per Webadmin.
    Hast du vielleicht irgendeine Idee, wo man ansetzten könnte?
    MfG
    Fritz

    1. Hmm klingt sehr komisch. Auf welche Version hast du Upgedatet? War es 9.509-3? Auf alle fälle wurde ich erst mal die Finale Konfiguration sichern und dann auf den USB Stick mit der UTM installation kopieren, somit musst du sofern du die Box nochmals neu installieren musst nichts mehr konfigurieren. Das Backup wird automatisch bei der Installation eingespielt sofern es sich im root Verzeichnis befindet.

      Ansetzen würde ich bei den Log Files. Sofern der Fehler wieder auftritt würde ich mir diese von der Fesplatte mittels USB Adapter kopieren und durchforsten. Dennoch ist das Verhalten sehr komisch und ich hoffe für dich, das dies nur eine einmalige Sache war.

  15. Hallo Alexander,
    Neuinstallation mache immer über DVD Laufwerk. Letzte Version ist jetzt 9.509-3. Ein Backup der Konfiguration lade ich mir immer sofort nach der Installation herunter.
    Sollte der Fehler wieder auftreten, werde ich versuchen die Logfiles zu durchforsten, entweder über single login oder booten einer Live Linux Distro.
    Auf jeden Fall danke für deine Bemühungen.
    MfG
    Fritz

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*