cerberus90
Goto Top

PfSense auf welcher Hardware sinnvoll nutzbar?

Hallo,

ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit

AMD 5400K APU (2x3,4Ghz)
8 GB DDR3 1600 RAM
64 GB SSD

Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich glaub das Paket heißt pfblock oder so) eingeschaltet bzw. benutzt

back-to-topGeoblocking

back-to-topSquid Proxy mit clamAV


Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
dann eine CPU Auslastung von etwa 75%-90%

Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner Meinung nach) überdimensionierten Systems.

Was haltet ihr davon? Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck nicht zu gebrauchen?

Content-ID: 322181

Url: https://administrator.de/forum/pfsense-auf-welcher-hardware-sinnvoll-nutzbar-322181.html

Ausgedruckt am: 29.12.2024 um 00:12 Uhr

108012
108012 27.11.2016 um 01:58:08 Uhr
Goto Top
Hallo,

hallo @cerberus90 kannst Du uns einmal sagen wie groß Dein Netzwerk ist und wie
viele Geräte es hat und was Du nun wirklich erreichen willst? Wir reden hier aber von
pfSense was eine Firewall ist und nicht von OpenWRT oder DD-WRT was "nur" Router
sind und wenn man dann noch mit Squid und ClamAV loslegt kann das schon einmal
die Bandbreite halbieren und wenn Squid und pfBlockerNG noch dazu kommen reden
wir von einer richtigen UTM Lösung die dann aber auch mit guter oder angemessener
Hardware richtig flott laufen kann. Ich würde gerne einmal wisse wie schnell ist denn
Internetzugang und hast Du Squid als Caching Proxy aufgesetzt?

ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit
Du findest es gut und aus besteht es denn bitte noch?
- NICs Marke, Hersteller Modell
igb_numqueue to 4
mbuf to 1000000
rx/tx level auf 8k (unter Vorbehalt und je nach Hersteller und Modell)

- Mainboard
neuestes BIOS drauf?

AMD 5400K APU (2x3,4Ghz)
Sollte für recht viele Sachen reichen und kann mittels einschalten von PowerD
(High adaptive) auch mitunter erst richtig seine volle Kraft entfalten denn einige
CPUs bleiben sonst auf 800NHz stehen und das ist dann eben zu wenig wenn es
richtig ab gehen soll.

8 GB DDR3 1600 RAM
Reichen in der Regel für Squid & SquidGuard, pfBlockerNG, Snort und ClamAV
und zum erhöhen der mbuf size auf 1000000

64 GB SSD
Wenn Squid zum Cachen benutzt wird würde ich den TRIM Support einschalten!

Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich
glaub das Paket heißt pfBlockerNG oder so) eingeschaltet bzw. benutzt zum
Geoblocking
Das ist ok so und sollte keine Probleme verursachen!

Squid Proxy mit clamAV
Stelle bitte zwei Sachen sicher;
- Aktiviere TRIM für die SSD
- Aktiviere PowerD (high adaptive)

> Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
> dann eine CPU Auslastung von etwa 75%-90%
Wenn die CPU (aus welchem Grund auch immer) bei sagen wir einmal 800MHz
hängen bleibt kann man das mittels PowerD (high adaptive) in den Griff bekommen.

Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung
war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner
Meinung nach) überdimensionierten Systems.
Du verwechselst hier einige Sachen! SPI/NAT sind nicht gleich SPI/NAT + Firewallregeln
auch wenn pfSense verdamt schnell ist mit dem "Packet Filter" braucht er dennoch Zeit
und Ressourcen! Und mit ClamAV geht hier richtig die Port ab!!!!

Was haltet ihr davon?
Versuch einmal die kleinen Tuning Tipps umzusetzen und sage etwas zu Deiner Squid
Konfiguration (Cachen oder nicht).

Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck
nicht zu gebrauchen?
Eine der meistverbauten kleinen Appliances hier in Deutschland basiert auf
PC Engines APU1D4 und APU2C4 und die haben definitiv keine 3,4GHz CPU.

Gruß
Dobby
cerberus90
cerberus90 27.11.2016 aktualisiert um 02:13:40 Uhr
Goto Top
Hi Dobby,

Danke für deine Antworten, das mit dem PowerD höre ich tatsächlich zum ersten mal....wäre natürlich blöd wenn die CPU tatsächlich nur mit 800 Mhz gelaufen ist :D

Bei den NICs handelte es sich um
1x OnBoard Realtek (AsRock MB)
1x Realtek (TP-Link PCIe)

Den Cache hatte ich konfiguriert.

Die Sache mit den IP Blocklisten hat mir an pfsense besonders gefallen, inbesondere mit der "Aufzeichnungs-Funktion"! (Ich nutze die Listen von iBlocklist auf einigen Servern).

Meinen anderen Beitrag mit den 2 Firewalls hast du ja auch gelesen. Ich würde die Cisco RV320 eigentlich sehr gerne für (nur) 1 PC mit einer pfsense ersetzen.

Der Test mit der APU hat mich aber sehr geschockt...weshalb ich mir nicht sicher war ob so eine kleine alix wirklich genug power hat....hast du zufällig eine im Einsatz? Eine 2D13 wäre z.B. preislich TOP

//edit:
Ziel sind 100 Mbit Down/up stabil innerhalb des LAN und zum WAN
108012
108012 27.11.2016 um 02:32:31 Uhr
Goto Top
Danke für deine Antworten, das mit dem PowerD höre ich tatsächlich zum
ersten mal....wäre natürlich blöd wenn die CPU tatsächlich nur mit 800 Mhz
gelaufen ist :D
Die setzt sich dann irgend wie fest! Bei der alten APU1D4 sind da mitunter
von 500 MBit/s Durchsatz bis zu 600 MBit/s oder gar 850 MBit/s drin wenn
man einen iPerf Test macht und das ist doch schon dicke was. Bei anderen
Boards ist es leider völlig egal ob PowerD eingeschaltet ist oder nicht! Etwa
bei den Supermicro C2x58 (Rangeley) Boards oder bei den neuen APU2C4´s.

Bei den NICs handelte es sich um
1x OnBoard Realtek (AsRock MB)
1x Realtek (TP-Link PCIe)
Die sind nicht so pralle, aber was soll es, ist ja auch nur für Zuhause oder?
die mbuf size würde ich einmal auf 1000000 setzen wollen um zu sehen
ob das etwas bringt und zwar zusammen mit PowerD (high adaptive)!!!!

> Den Cache hatte ich konfiguriert.
Kann sein das der zu klein ausfällt oder aber das Du da etwas verkonfiguriert
(falsch eingestellt) hast.

Die Sache mit den IP Blocklisten hat mir an pfsense besonders gefallen,
inbesondere mit der "Aufzeichnungs-Funktion"! (Ich nutze die Listen von
iBlocklist auf einigen Servern).
Kann ja sein aber das sollte das System mit 3,4GHz locker "wuppen" daran sollte
es wirklich nicht liegen!

Der Test mit der APU hat mich aber sehr geschockt...weshalb ich mir nicht
sicher war ob so eine kleine alix wirklich genug power hat....hast du zufällig
eine im Einsatz? Eine 2D13 wäre z.B. preislich TOP
Die schafft das nie! Die ist nur mit einer 500MHz CPU ausgestattet und hat
schon Probleme beim GUI das Grotten langsam läuft.

//edit:
Ziel sind 100 Mbit Down/up stabil innerhalb des LAN und zum WAN
- mbuf size auf 1000000
- TRIM aktivieren
- PowerD (high adaptive)

Am besten alle drei nach einander aktivieren und dann noch einmal einen Test
machen. Und Squid kann man nur als reinen HTTP-Proxy verwenden und auch
als Caching Proxy, eventuell einmal mit diesen Einstellungen und ohne ClamAV
probieren.

Gruß
Dobby
byt0xm
byt0xm 27.11.2016 um 10:11:03 Uhr
Goto Top
Hallo,

schau Dir mal bitte die CPU Auslastung an welche durch das ClamAV erzeugt wird.
Ich hatte damals das Problem das beim ersten Start das ClamAV (aus Gründen von Fehlkonfiguration oder ersten Updates das weiß ich nicht mehr genau) fast zu 100% die CPU belastet hatte. Und das war nen Server mit Octacore Maschine.

Gruß
cerberus90
cerberus90 27.11.2016 um 14:10:21 Uhr
Goto Top
Hallo,

ich habe jetzt aufgrund der Hinweise ein neues System bestellt....diesmal jedoch mit einem mATX MB damit ich diesmal als NIC eine

Intel PRO/1000 PT Dual Port (PCIe x4)

verwenden kann.

Ich hoffe die ist gut?
108012
108012 27.11.2016 um 14:21:03 Uhr
Goto Top
Intel PRO/1000 PT Dual Port (PCIe x4)
Ich denke die benutzt den em_x Treiber und ist sicherlich nicht schlecht.
Und was ist das denn für ein MB, was Du bestellt hast?

Ich hoffe die ist gut?
Je nach verbautem Chipsatz kann die richtig gut am WAN Port sein.

Gruß
Dobby
cerberus90
cerberus90 27.11.2016 um 15:12:21 Uhr
Goto Top
Super

Wieder ein AsRock mit A58 Chipsatz (A58M...) liegt hier noch rum^^