PfSense auf welcher Hardware sinnvoll nutzbar?

Mitglied: cerberus90

cerberus90 (Level 1) - Jetzt verbinden

27.11.2016 um 01:12 Uhr, 2149 Aufrufe, 7 Kommentare

Hallo,

ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit

AMD 5400K APU (2x3,4Ghz)
8 GB DDR3 1600 RAM
64 GB SSD

Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich glaub das Paket heißt pfblock oder so) eingeschaltet bzw. benutzt

Geoblocking

Squid Proxy mit clamAV


Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
dann eine CPU Auslastung von etwa 75%-90%

Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner Meinung nach) überdimensionierten Systems.

Was haltet ihr davon? Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck nicht zu gebrauchen?
Mitglied: 108012
27.11.2016 um 01:58 Uhr
Hallo,

hallo @cerberus90 kannst Du uns einmal sagen wie groß Dein Netzwerk ist und wie
viele Geräte es hat und was Du nun wirklich erreichen willst? Wir reden hier aber von
pfSense was eine Firewall ist und nicht von OpenWRT oder DD-WRT was "nur" Router
sind und wenn man dann noch mit Squid und ClamAV loslegt kann das schon einmal
die Bandbreite halbieren und wenn Squid und pfBlockerNG noch dazu kommen reden
wir von einer richtigen UTM Lösung die dann aber auch mit guter oder angemessener
Hardware richtig flott laufen kann. Ich würde gerne einmal wisse wie schnell ist denn
Internetzugang und hast Du Squid als Caching Proxy aufgesetzt?

ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit
Du findest es gut und aus besteht es denn bitte noch?
- NICs Marke, Hersteller Modell
igb_numqueue to 4
mbuf to 1000000
rx/tx level auf 8k (unter Vorbehalt und je nach Hersteller und Modell)

- Mainboard
neuestes BIOS drauf?

AMD 5400K APU (2x3,4Ghz)
Sollte für recht viele Sachen reichen und kann mittels einschalten von PowerD
(High adaptive) auch mitunter erst richtig seine volle Kraft entfalten denn einige
CPUs bleiben sonst auf 800NHz stehen und das ist dann eben zu wenig wenn es
richtig ab gehen soll.

8 GB DDR3 1600 RAM
Reichen in der Regel für Squid & SquidGuard, pfBlockerNG, Snort und ClamAV
und zum erhöhen der mbuf size auf 1000000

64 GB SSD
Wenn Squid zum Cachen benutzt wird würde ich den TRIM Support einschalten!

Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich
glaub das Paket heißt pfBlockerNG oder so) eingeschaltet bzw. benutzt zum
Geoblocking
Das ist ok so und sollte keine Probleme verursachen!

Squid Proxy mit clamAV
Stelle bitte zwei Sachen sicher;
- Aktiviere TRIM für die SSD
- Aktiviere PowerD (high adaptive)

> Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
> dann eine CPU Auslastung von etwa 75%-90%
Wenn die CPU (aus welchem Grund auch immer) bei sagen wir einmal 800MHz
hängen bleibt kann man das mittels PowerD (high adaptive) in den Griff bekommen.

Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung
war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner
Meinung nach) überdimensionierten Systems.
Du verwechselst hier einige Sachen! SPI/NAT sind nicht gleich SPI/NAT + Firewallregeln
auch wenn pfSense verdamt schnell ist mit dem "Packet Filter" braucht er dennoch Zeit
und Ressourcen! Und mit ClamAV geht hier richtig die Port ab!!!!

Was haltet ihr davon?
Versuch einmal die kleinen Tuning Tipps umzusetzen und sage etwas zu Deiner Squid
Konfiguration (Cachen oder nicht).

Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck
nicht zu gebrauchen?
Eine der meistverbauten kleinen Appliances hier in Deutschland basiert auf
PC Engines APU1D4 und APU2C4 und die haben definitiv keine 3,4GHz CPU.

Gruß
Dobby
Bitte warten ..
Mitglied: cerberus90
27.11.2016, aktualisiert um 02:13 Uhr
Hi Dobby,

Danke für deine Antworten, das mit dem PowerD höre ich tatsächlich zum ersten mal....wäre natürlich blöd wenn die CPU tatsächlich nur mit 800 Mhz gelaufen ist :D

Bei den NICs handelte es sich um
1x OnBoard Realtek (AsRock MB)
1x Realtek (TP-Link PCIe)

Den Cache hatte ich konfiguriert.

Die Sache mit den IP Blocklisten hat mir an pfsense besonders gefallen, inbesondere mit der "Aufzeichnungs-Funktion"! (Ich nutze die Listen von iBlocklist auf einigen Servern).

Meinen anderen Beitrag mit den 2 Firewalls hast du ja auch gelesen. Ich würde die Cisco RV320 eigentlich sehr gerne für (nur) 1 PC mit einer pfsense ersetzen.

Der Test mit der APU hat mich aber sehr geschockt...weshalb ich mir nicht sicher war ob so eine kleine alix wirklich genug power hat....hast du zufällig eine im Einsatz? Eine 2D13 wäre z.B. preislich TOP

//edit:
Ziel sind 100 Mbit Down/up stabil innerhalb des LAN und zum WAN
Bitte warten ..
Mitglied: 108012
27.11.2016 um 02:32 Uhr
Danke für deine Antworten, das mit dem PowerD höre ich tatsächlich zum
ersten mal....wäre natürlich blöd wenn die CPU tatsächlich nur mit 800 Mhz
gelaufen ist :D
Die setzt sich dann irgend wie fest! Bei der alten APU1D4 sind da mitunter
von 500 MBit/s Durchsatz bis zu 600 MBit/s oder gar 850 MBit/s drin wenn
man einen iPerf Test macht und das ist doch schon dicke was. Bei anderen
Boards ist es leider völlig egal ob PowerD eingeschaltet ist oder nicht! Etwa
bei den Supermicro C2x58 (Rangeley) Boards oder bei den neuen APU2C4´s.

Bei den NICs handelte es sich um
1x OnBoard Realtek (AsRock MB)
1x Realtek (TP-Link PCIe)
Die sind nicht so pralle, aber was soll es, ist ja auch nur für Zuhause oder?
die mbuf size würde ich einmal auf 1000000 setzen wollen um zu sehen
ob das etwas bringt und zwar zusammen mit PowerD (high adaptive)!!!!

> Den Cache hatte ich konfiguriert.
Kann sein das der zu klein ausfällt oder aber das Du da etwas verkonfiguriert
(falsch eingestellt) hast.

Die Sache mit den IP Blocklisten hat mir an pfsense besonders gefallen,
inbesondere mit der "Aufzeichnungs-Funktion"! (Ich nutze die Listen von
iBlocklist auf einigen Servern).
Kann ja sein aber das sollte das System mit 3,4GHz locker "wuppen" daran sollte
es wirklich nicht liegen!

Der Test mit der APU hat mich aber sehr geschockt...weshalb ich mir nicht
sicher war ob so eine kleine alix wirklich genug power hat....hast du zufällig
eine im Einsatz? Eine 2D13 wäre z.B. preislich TOP
Die schafft das nie! Die ist nur mit einer 500MHz CPU ausgestattet und hat
schon Probleme beim GUI das Grotten langsam läuft.

//edit:
Ziel sind 100 Mbit Down/up stabil innerhalb des LAN und zum WAN
- mbuf size auf 1000000
- TRIM aktivieren
- PowerD (high adaptive)

Am besten alle drei nach einander aktivieren und dann noch einmal einen Test
machen. Und Squid kann man nur als reinen HTTP-Proxy verwenden und auch
als Caching Proxy, eventuell einmal mit diesen Einstellungen und ohne ClamAV
probieren.

Gruß
Dobby
Bitte warten ..
Mitglied: byt0xm
27.11.2016 um 10:11 Uhr
Hallo,

schau Dir mal bitte die CPU Auslastung an welche durch das ClamAV erzeugt wird.
Ich hatte damals das Problem das beim ersten Start das ClamAV (aus Gründen von Fehlkonfiguration oder ersten Updates das weiß ich nicht mehr genau) fast zu 100% die CPU belastet hatte. Und das war nen Server mit Octacore Maschine.

Gruß
Bitte warten ..
Mitglied: cerberus90
27.11.2016 um 14:10 Uhr
Hallo,

ich habe jetzt aufgrund der Hinweise ein neues System bestellt....diesmal jedoch mit einem mATX MB damit ich diesmal als NIC eine

Intel PRO/1000 PT Dual Port (PCIe x4)

verwenden kann.

Ich hoffe die ist gut?
Bitte warten ..
Mitglied: 108012
27.11.2016 um 14:21 Uhr
Intel PRO/1000 PT Dual Port (PCIe x4)
Ich denke die benutzt den em_x Treiber und ist sicherlich nicht schlecht.
Und was ist das denn für ein MB, was Du bestellt hast?

Ich hoffe die ist gut?
Je nach verbautem Chipsatz kann die richtig gut am WAN Port sein.

Gruß
Dobby
Bitte warten ..
Mitglied: cerberus90
27.11.2016 um 15:12 Uhr
Super

Wieder ein AsRock mit A58 Chipsatz (A58M...) liegt hier noch rum^^
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netInformationSicherheit19 Kommentare

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ausbildung
MCSA Kurs Server 2016 mit VM Jobchancen
gelöst IntershipFrageAusbildung17 Kommentare

Hallo Leute, dies ist eine dringende Frage für mich, da ich gerne einen MCSA Kurs belegen möchte. Ich brauche ...

DSL, VDSL
Glasfaser Neuvertrag möglich, bei bereits vorhandenem alten Telefonvertrag im Haus?
gelöst nioletFrageDSL, VDSL15 Kommentare

Hi Könnte eigentlich im gleichen Haus ein neuer Glasfaservertrag abgeschlossen werden, sagen wir mal auf Stockwerk 0, wenn bereits ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server15 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

Peripheriegeräte
Kaufberatung 32" Monitor mit WQHD Auflösung
gelöst GrueneSosseMitSpeckFragePeripheriegeräte11 Kommentare

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Netzwerke
SonicWall VPN - Windows top - Mac flopp
MazenauerFrageNetzwerke11 Kommentare

Grüezi und hallo Vorgeschichte, das Übliche: Marketingfirma. Corona. Homeoffice. Soweit so normal, nur scheinen die iMacs irgendein Problem mit ...

Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Festplatten, SSD, Raid
Raidaufteilung sinnvoll?
Noah12FrageFestplatten, SSD, Raid7 Kommentare

Guten Abend Wir planen uns einen neuen Server anzuschaffen. Es handelt sich um einen HP ProLiant DL380 Gen9. Die ...

Windows Update
WSUS - Sinnvoll integrieren
gelöst askandoFrageWindows Update3 Kommentare

Hallo Zusammen, nach einer kompletten Umstruktierung unserer Landschaft (mehrere Standorte) über vpn verbunden, plane ich nun mein Update Management. ...

Windows 10
Bitlocker Preboot sinnvoll?
gelöst ARO-CHFrageWindows 102 Kommentare

Hallo, ist es sinnvoll wenn man Bitlocker nutzt die Preboot Authentifizierung per GPO zu aktivieren? Was hat das für ...

Router & Routing
Pfsense Gatewayüberwachung sinnvoll
gelöst Daniel.HuferFrageRouter & Routing4 Kommentare

Bei psense gibt es unter: zwei Optionen, von denen ich nicht weiß was für Vorteile die mir bringen. Wann ...

Hyper-V
Linux Debian Maus nicht nutzbar!
gelöst TechProbsFrageHyper-V5 Kommentare

Hi, wir haben einen 2 Host Cluster Hyper V Umgebung auf 2016er Windows Server. Wir haben versucht von Vsphere ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT