Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense auf welcher Hardware sinnvoll nutzbar?

Mitglied: cerberus90

cerberus90 (Level 1) - Jetzt verbinden

27.11.2016 um 01:12 Uhr, 1534 Aufrufe, 7 Kommentare

Hallo,

ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit

AMD 5400K APU (2x3,4Ghz)
8 GB DDR3 1600 RAM
64 GB SSD

Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich glaub das Paket heißt pfblock oder so) eingeschaltet bzw. benutzt

Geoblocking

Squid Proxy mit clamAV


Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
dann eine CPU Auslastung von etwa 75%-90%

Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner Meinung nach) überdimensionierten Systems.

Was haltet ihr davon? Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck nicht zu gebrauchen?
Mitglied: 108012
27.11.2016 um 01:58 Uhr
Hallo,

hallo @cerberus90 kannst Du uns einmal sagen wie groß Dein Netzwerk ist und wie
viele Geräte es hat und was Du nun wirklich erreichen willst? Wir reden hier aber von
pfSense was eine Firewall ist und nicht von OpenWRT oder DD-WRT was "nur" Router
sind und wenn man dann noch mit Squid und ClamAV loslegt kann das schon einmal
die Bandbreite halbieren und wenn Squid und pfBlockerNG noch dazu kommen reden
wir von einer richtigen UTM Lösung die dann aber auch mit guter oder angemessener
Hardware richtig flott laufen kann. Ich würde gerne einmal wisse wie schnell ist denn
Internetzugang und hast Du Squid als Caching Proxy aufgesetzt?

ich habe pfSense mal testweise auf einem eig. recht guten System aufgespielt mit
Du findest es gut und aus besteht es denn bitte noch?
- NICs Marke, Hersteller Modell
igb_numqueue to 4
mbuf to 1000000
rx/tx level auf 8k (unter Vorbehalt und je nach Hersteller und Modell)

- Mainboard
neuestes BIOS drauf?

AMD 5400K APU (2x3,4Ghz)
Sollte für recht viele Sachen reichen und kann mittels einschalten von PowerD
(High adaptive) auch mitunter erst richtig seine volle Kraft entfalten denn einige
CPUs bleiben sonst auf 800NHz stehen und das ist dann eben zu wenig wenn es
richtig ab gehen soll.

8 GB DDR3 1600 RAM
Reichen in der Regel für Squid & SquidGuard, pfBlockerNG, Snort und ClamAV
und zum erhöhen der mbuf size auf 1000000

64 GB SSD
Wenn Squid zum Cachen benutzt wird würde ich den TRIM Support einschalten!

Dann habe ich pfsense konfiguriert und natürlich auch die IPv4 Blocklisten (ich
glaub das Paket heißt pfBlockerNG oder so) eingeschaltet bzw. benutzt zum
Geoblocking
Das ist ok so und sollte keine Probleme verursachen!

Squid Proxy mit clamAV
Stelle bitte zwei Sachen sicher;
- Aktiviere TRIM für die SSD
- Aktiviere PowerD (high adaptive)

> Das Ende vom Lied waren zuerst über 1000 offene Sessions (warum auch immer).....
> dann eine CPU Auslastung von etwa 75%-90%
Wenn die CPU (aus welchem Grund auch immer) bei sagen wir einmal 800MHz
hängen bleibt kann man das mittels PowerD (high adaptive) in den Griff bekommen.

Das mit den Sessions habe ich dann in den Griff bekommen aber.....die Verbindung
war irgendwie schlecht....die Downloadrate halbiert....und das trotz dieses (meiner
Meinung nach) überdimensionierten Systems.
Du verwechselst hier einige Sachen! SPI/NAT sind nicht gleich SPI/NAT + Firewallregeln
auch wenn pfSense verdamt schnell ist mit dem "Packet Filter" braucht er dennoch Zeit
und Ressourcen! Und mit ClamAV geht hier richtig die Port ab!!!!

Was haltet ihr davon?
Versuch einmal die kleinen Tuning Tipps umzusetzen und sage etwas zu Deiner Squid
Konfiguration (Cachen oder nicht).

Oder sind die "normalen" APUs im Gegensatz zu den AMD Geode für diesen Zweck
nicht zu gebrauchen?
Eine der meistverbauten kleinen Appliances hier in Deutschland basiert auf
PC Engines APU1D4 und APU2C4 und die haben definitiv keine 3,4GHz CPU.

Gruß
Dobby
Bitte warten ..
Mitglied: cerberus90
27.11.2016, aktualisiert um 02:13 Uhr
Hi Dobby,

Danke für deine Antworten, das mit dem PowerD höre ich tatsächlich zum ersten mal....wäre natürlich blöd wenn die CPU tatsächlich nur mit 800 Mhz gelaufen ist :D

Bei den NICs handelte es sich um
1x OnBoard Realtek (AsRock MB)
1x Realtek (TP-Link PCIe)

Den Cache hatte ich konfiguriert.

Die Sache mit den IP Blocklisten hat mir an pfsense besonders gefallen, inbesondere mit der "Aufzeichnungs-Funktion"! (Ich nutze die Listen von iBlocklist auf einigen Servern).

Meinen anderen Beitrag mit den 2 Firewalls hast du ja auch gelesen. Ich würde die Cisco RV320 eigentlich sehr gerne für (nur) 1 PC mit einer pfsense ersetzen.

Der Test mit der APU hat mich aber sehr geschockt...weshalb ich mir nicht sicher war ob so eine kleine alix wirklich genug power hat....hast du zufällig eine im Einsatz? Eine 2D13 wäre z.B. preislich TOP

//edit:
Ziel sind 100 Mbit Down/up stabil innerhalb des LAN und zum WAN
Bitte warten ..
Mitglied: 108012
27.11.2016 um 02:32 Uhr
Danke für deine Antworten, das mit dem PowerD höre ich tatsächlich zum
ersten mal....wäre natürlich blöd wenn die CPU tatsächlich nur mit 800 Mhz
gelaufen ist :D
Die setzt sich dann irgend wie fest! Bei der alten APU1D4 sind da mitunter
von 500 MBit/s Durchsatz bis zu 600 MBit/s oder gar 850 MBit/s drin wenn
man einen iPerf Test macht und das ist doch schon dicke was. Bei anderen
Boards ist es leider völlig egal ob PowerD eingeschaltet ist oder nicht! Etwa
bei den Supermicro C2x58 (Rangeley) Boards oder bei den neuen APU2C4´s.

Bei den NICs handelte es sich um
1x OnBoard Realtek (AsRock MB)
1x Realtek (TP-Link PCIe)
Die sind nicht so pralle, aber was soll es, ist ja auch nur für Zuhause oder?
die mbuf size würde ich einmal auf 1000000 setzen wollen um zu sehen
ob das etwas bringt und zwar zusammen mit PowerD (high adaptive)!!!!

> Den Cache hatte ich konfiguriert.
Kann sein das der zu klein ausfällt oder aber das Du da etwas verkonfiguriert
(falsch eingestellt) hast.

Die Sache mit den IP Blocklisten hat mir an pfsense besonders gefallen,
inbesondere mit der "Aufzeichnungs-Funktion"! (Ich nutze die Listen von
iBlocklist auf einigen Servern).
Kann ja sein aber das sollte das System mit 3,4GHz locker "wuppen" daran sollte
es wirklich nicht liegen!

Der Test mit der APU hat mich aber sehr geschockt...weshalb ich mir nicht
sicher war ob so eine kleine alix wirklich genug power hat....hast du zufällig
eine im Einsatz? Eine 2D13 wäre z.B. preislich TOP
Die schafft das nie! Die ist nur mit einer 500MHz CPU ausgestattet und hat
schon Probleme beim GUI das Grotten langsam läuft.

//edit:
Ziel sind 100 Mbit Down/up stabil innerhalb des LAN und zum WAN
- mbuf size auf 1000000
- TRIM aktivieren
- PowerD (high adaptive)

Am besten alle drei nach einander aktivieren und dann noch einmal einen Test
machen. Und Squid kann man nur als reinen HTTP-Proxy verwenden und auch
als Caching Proxy, eventuell einmal mit diesen Einstellungen und ohne ClamAV
probieren.

Gruß
Dobby
Bitte warten ..
Mitglied: byt0xm
27.11.2016 um 10:11 Uhr
Hallo,

schau Dir mal bitte die CPU Auslastung an welche durch das ClamAV erzeugt wird.
Ich hatte damals das Problem das beim ersten Start das ClamAV (aus Gründen von Fehlkonfiguration oder ersten Updates das weiß ich nicht mehr genau) fast zu 100% die CPU belastet hatte. Und das war nen Server mit Octacore Maschine.

Gruß
Bitte warten ..
Mitglied: cerberus90
27.11.2016 um 14:10 Uhr
Hallo,

ich habe jetzt aufgrund der Hinweise ein neues System bestellt....diesmal jedoch mit einem mATX MB damit ich diesmal als NIC eine

Intel PRO/1000 PT Dual Port (PCIe x4)

verwenden kann.

Ich hoffe die ist gut?
Bitte warten ..
Mitglied: 108012
27.11.2016 um 14:21 Uhr
Intel PRO/1000 PT Dual Port (PCIe x4)
Ich denke die benutzt den em_x Treiber und ist sicherlich nicht schlecht.
Und was ist das denn für ein MB, was Du bestellt hast?

Ich hoffe die ist gut?
Je nach verbautem Chipsatz kann die richtig gut am WAN Port sein.

Gruß
Dobby
Bitte warten ..
Mitglied: cerberus90
27.11.2016 um 15:12 Uhr
Super

Wieder ein AsRock mit A58 Chipsatz (A58M...) liegt hier noch rum^^
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Netzwerkmanagement
DCIM sinnvoll?
Frage von Axel90Netzwerkmanagement6 Kommentare

Hi! - diesmal eine Frage an die Netzwerkfraktion :-) Ich überlege mir gerade, wie man am besten Switche (/Firewalls) ...

Festplatten, SSD, Raid
Raidaufteilung sinnvoll?
Frage von Noah12Festplatten, SSD, Raid7 Kommentare

Guten Abend Wir planen uns einen neuen Server anzuschaffen. Es handelt sich um einen HP ProLiant DL380 Gen9. Die ...

Windows Update
WSUS - Sinnvoll integrieren
gelöst Frage von askandoWindows Update3 Kommentare

Hallo Zusammen, nach einer kompletten Umstruktierung unserer Landschaft (mehrere Standorte) über vpn verbunden, plane ich nun mein Update Management. ...

Neue Wissensbeiträge
Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 30 MinutenWindows 10

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 12 StundenE-Mail8 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 1 TagOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 2 TagenGoogle Android9 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Heiß diskutierte Inhalte
DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS23 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server18 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...