PfSense auf welcher Hardware sinnvoll nutzbar?
Hallo,
ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit
AMD 5400K APU (2x3,4Ghz)
8 GB DDR3 1600 RAM
64 GB SSD
Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich glaub das Paket heißt pfblock oder so) eingeschaltet bzw. benutzt
Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
dann eine CPU Auslastung von etwa 75%-90%
Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner Meinung nach) überdimensionierten Systems.
Was haltet ihr davon? Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck nicht zu gebrauchen?
ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit
AMD 5400K APU (2x3,4Ghz)
8 GB DDR3 1600 RAM
64 GB SSD
Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich glaub das Paket heißt pfblock oder so) eingeschaltet bzw. benutzt
Geoblocking
Squid Proxy mit clamAV
Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
dann eine CPU Auslastung von etwa 75%-90%
Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner Meinung nach) überdimensionierten Systems.
Was haltet ihr davon? Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck nicht zu gebrauchen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322181
Url: https://administrator.de/contentid/322181
Ausgedruckt am: 24.11.2024 um 10:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
hallo @cerberus90 kannst Du uns einmal sagen wie groß Dein Netzwerk ist und wie
viele Geräte es hat und was Du nun wirklich erreichen willst? Wir reden hier aber von
pfSense was eine Firewall ist und nicht von OpenWRT oder DD-WRT was "nur" Router
sind und wenn man dann noch mit Squid und ClamAV loslegt kann das schon einmal
die Bandbreite halbieren und wenn Squid und pfBlockerNG noch dazu kommen reden
wir von einer richtigen UTM Lösung die dann aber auch mit guter oder angemessener
Hardware richtig flott laufen kann. Ich würde gerne einmal wisse wie schnell ist denn
Internetzugang und hast Du Squid als Caching Proxy aufgesetzt?
ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit
Du findest es gut und aus besteht es denn bitte noch?- NICs Marke, Hersteller Modell
igb_numqueue to 4
mbuf to 1000000
rx/tx level auf 8k (unter Vorbehalt und je nach Hersteller und Modell)
- Mainboard
neuestes BIOS drauf?
AMD 5400K APU (2x3,4Ghz)
Sollte für recht viele Sachen reichen und kann mittels einschalten von PowerD(High adaptive) auch mitunter erst richtig seine volle Kraft entfalten denn einige
CPUs bleiben sonst auf 800NHz stehen und das ist dann eben zu wenig wenn es
richtig ab gehen soll.
8 GB DDR3 1600 RAM
Reichen in der Regel für Squid & SquidGuard, pfBlockerNG, Snort und ClamAVund zum erhöhen der mbuf size auf 1000000
64 GB SSD
Wenn Squid zum Cachen benutzt wird würde ich den TRIM Support einschalten!Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich
glaub das Paket heißt pfBlockerNG oder so) eingeschaltet bzw. benutzt zum
Geoblocking
Das ist ok so und sollte keine Probleme verursachen!glaub das Paket heißt pfBlockerNG oder so) eingeschaltet bzw. benutzt zum
Geoblocking
Squid Proxy mit clamAV
Stelle bitte zwei Sachen sicher;- Aktiviere TRIM für die SSD
- Aktiviere PowerD (high adaptive)
> Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
> dann eine CPU Auslastung von etwa 75%-90%
Wenn die CPU (aus welchem Grund auch immer) bei sagen wir einmal 800MHz
hängen bleibt kann man das mittels PowerD (high adaptive) in den Griff bekommen.
Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung
war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner
Meinung nach) überdimensionierten Systems.
Du verwechselst hier einige Sachen! SPI/NAT sind nicht gleich SPI/NAT + Firewallregelnwar irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner
Meinung nach) überdimensionierten Systems.
auch wenn pfSense verdamt schnell ist mit dem "Packet Filter" braucht er dennoch Zeit
und Ressourcen! Und mit ClamAV geht hier richtig die Port ab!!!!
Was haltet ihr davon?
Versuch einmal die kleinen Tuning Tipps umzusetzen und sage etwas zu Deiner SquidKonfiguration (Cachen oder nicht).
Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck
nicht zu gebrauchen?
Eine der meistverbauten kleinen Appliances hier in Deutschland basiert aufnicht zu gebrauchen?
PC Engines APU1D4 und APU2C4 und die haben definitiv keine 3,4GHz CPU.
Gruß
Dobby
Danke für deine Antworten, das mit dem PowerD höre ich tatsächlich zum
ersten mal....wäre natürlich blöd wenn die CPU tatsächlich nur mit 800 Mhz
gelaufen ist :D
Die setzt sich dann irgend wie fest! Bei der alten APU1D4 sind da mitunterersten mal....wäre natürlich blöd wenn die CPU tatsächlich nur mit 800 Mhz
gelaufen ist :D
von 500 MBit/s Durchsatz bis zu 600 MBit/s oder gar 850 MBit/s drin wenn
man einen iPerf Test macht und das ist doch schon dicke was. Bei anderen
Boards ist es leider völlig egal ob PowerD eingeschaltet ist oder nicht! Etwa
bei den Supermicro C2x58 (Rangeley) Boards oder bei den neuen APU2C4´s.
Bei den NICs handelte es sich um
1x OnBoard Realtek (AsRock MB)
1x Realtek (TP-Link PCIe)
Die sind nicht so pralle, aber was soll es, ist ja auch nur für Zuhause oder?1x OnBoard Realtek (AsRock MB)
1x Realtek (TP-Link PCIe)
die mbuf size würde ich einmal auf 1000000 setzen wollen um zu sehen
ob das etwas bringt und zwar zusammen mit PowerD (high adaptive)!!!!
> Den Cache hatte ich konfiguriert.
Kann sein das der zu klein ausfällt oder aber das Du da etwas verkonfiguriert
(falsch eingestellt) hast.
Die Sache mit den IP Blocklisten hat mir an pfsense besonders gefallen,
inbesondere mit der "Aufzeichnungs-Funktion"! (Ich nutze die Listen von
iBlocklist auf einigen Servern).
Kann ja sein aber das sollte das System mit 3,4GHz locker "wuppen" daran sollteinbesondere mit der "Aufzeichnungs-Funktion"! (Ich nutze die Listen von
iBlocklist auf einigen Servern).
es wirklich nicht liegen!
Der Test mit der APU hat mich aber sehr geschockt...weshalb ich mir nicht
sicher war ob so eine kleine alix wirklich genug power hat....hast du zufällig
eine im Einsatz? Eine 2D13 wäre z.B. preislich TOP
Die schafft das nie! Die ist nur mit einer 500MHz CPU ausgestattet und hatsicher war ob so eine kleine alix wirklich genug power hat....hast du zufällig
eine im Einsatz? Eine 2D13 wäre z.B. preislich TOP
schon Probleme beim GUI das Grotten langsam läuft.
//edit:
Ziel sind 100 Mbit Down/up stabil innerhalb des LAN und zum WAN
- mbuf size auf 1000000
- TRIM aktivieren
- PowerD (high adaptive)
Am besten alle drei nach einander aktivieren und dann noch einmal einen Test
machen. Und Squid kann man nur als reinen HTTP-Proxy verwenden und auch
als Caching Proxy, eventuell einmal mit diesen Einstellungen und ohne ClamAV
probieren.
Gruß
Dobby
Hallo,
schau Dir mal bitte die CPU Auslastung an welche durch das ClamAV erzeugt wird.
Ich hatte damals das Problem das beim ersten Start das ClamAV (aus Gründen von Fehlkonfiguration oder ersten Updates das weiß ich nicht mehr genau) fast zu 100% die CPU belastet hatte. Und das war nen Server mit Octacore Maschine.
Gruß
schau Dir mal bitte die CPU Auslastung an welche durch das ClamAV erzeugt wird.
Ich hatte damals das Problem das beim ersten Start das ClamAV (aus Gründen von Fehlkonfiguration oder ersten Updates das weiß ich nicht mehr genau) fast zu 100% die CPU belastet hatte. Und das war nen Server mit Octacore Maschine.
Gruß
Intel PRO/1000 PT Dual Port (PCIe x4)
Ich denke die benutzt den em_x Treiber und ist sicherlich nicht schlecht.Und was ist das denn für ein MB, was Du bestellt hast?
Ich hoffe die ist gut?
Je nach verbautem Chipsatz kann die richtig gut am WAN Port sein.Gruß
Dobby