108012
Goto Top

PfSense Infos

Hallo zusammen,


pfSense 2.6 CE (Community Edition)
- Ab jetzt (stable) wird am WAN Interface der Netzwerkverkehr auf mehrere Queues verteilt und somit wird
auch die "Schwupsichkeit" am WAN Interface erhöht bzw. es sollte einen etwas besseren Durchsatz bringen/geben.

Ergo profitiert jetzt der eine oder andere von Euch mit oder wegen einer Mehrkern-CPU und/oder sogar noch
TurboBoost und Hyperthreading von seiner Hardware angeboten bekommt. Bei einer Lasterhöhung macht sich
der Turboboost bemerkbar und bei dem verteilen des WAN Verkehrs auf mehrere Queues kommen dann die CPU
Core und HT mit ins Spiel, mehr Kerne mehr Queues oder mehr Queues auf/über mehr CPU Kerne.

- Konntet Ihr bei Euch etwas bemerken? Ist Euch etwas aufgefallen von wo habt Ihr upgegradet? (2.3, 2.4, 2.5,..)
- Habt Ihr trotz alledem noch Eure NICs (Interfaces) angepasst? (Mbufsize, Queues,....)
- Sind bei Euch Probleme mit Realtek Ports aufgetreten?


pfSense 2.6+ (Plus)
Wer eine 2.6 installiert hat und auf eine Plus Version "umsteigt" oder upgradet, kann jetzt auch das Verhalten
von AES-NI und/oder Intel QAT (Quick Assist) "steuern". Im Dashboard der pfSense Plus werden beide Optionen
(AES-NI und Intel QAT) angezeigt.
Unter pfSense -> Settings -> System -> Miscellaneous kann Intel QuickAssist "eingeschaltet" werden
(danach sollte man aber auch rebooten damit das ganze auch zum "tragen kommt")
In der Konsole noch ein
 kldstat
um sich zu vergewissern.

Das AES-NI.ko ist immer noch vorhanden und wird im laufenden Prozess nicht entladen, das kommt
erst mit dem Reboot ins Spiel. Es wird nach dem Reboot nicht mehr geladen, und wird nun auch im
Dashboard als inaktiv und QAT als aktiv angezeigt!

Hat man eine oder mehrere VPN Gegenstelle(n) die auch pfSense+ (Plus) mit aktiviertem Intel QAT benutzt(en)
und/oder einen VPN Provider der so etwas nutzt ist das sicherlich sinnvoll. Hat man keine Gegenstelle und
benutzt IPSec VPN ist man mit AES-NI besser beraten, am besten auch wieder auf beiden Seiten. Muss nun
aber nicht mehr unbedingt pfSense sein und ist von daher wohl eher etwas universeller.

Der QAT Treiber ist zur Zeit nur in der pfSense+ (Plus) vorhanden und/oder dieser Teil des Dashboards wird zur Zeit auch nur in
der Plus Version angezeigt. pfSense+ (Plus) & pfSense+(Plus Performance) & pfSense+ (Plus) VPN Performance Scaling


Netgate TSNR
Man kann aktuell nun auch eine Lizenz für Heimnetzwerke und/oder Testnetzwerke bekommen, die aber nur
nicht kommerziell
genutzt werden darf/kann/soll. Finde ich richtig gelungen. Hat jemand von Euch TSNR im
Einsatz, egal ob nun mit Netgate Hardware und/oder beruflich, oder auf Eurer eigenen Hardware ("Rig") und
privat. Was sind Eure Erfahrungen damit bzw. Euer Eindruck davon. TSNR Software Preise


WireGuard (Und Intel QAT)
Es gibt seit längerer Zeit einen Hinweis darauf, dass eventuell, das DPDK (Data Plane Development Kit) auch
gebrauch vom Intel QAT Treiber macht und Einzug in FreeBSD hält. Denn dort wurde der "Chacha20-Poly1305
algorithm" als Patch hinzugefügt und den nutzt wiederum WireGuard! Auch wenn der Treiber nicht direkt
genutzt werden kann, sondern über den Umweg "cryptodev" so könnte WireGuard davon gut profitieren.
Es kommt dann eben auch darauf an welchen Algorithmus benutzt bzw. schränkt einen ein.
Add Chacha20-Poly1305 algorithm to QAT


Netgate Hardware (aktuell)
Netgate hat sein Portfolio etwas gestrafft und/oder einfach nur geändert.
Netgate Appliances


Hardware: (Aktuell)
Hier mal ein USB to Ethernet Adapter der wirklich "out of the box" mit pfSense zusammen funktioniert,
darüber wurden im pfSense Forum schon so viele Beitrage und/oder Fragen gestellt und von daher wollte
ich den eben auch noch schnell einmal mit nennen, ist aus England, aber auch relativ günstig zu bekommen.
pfSense USB Network Adapter High Speed USB 3.0 to RJ45 Gigabit Ethernet LAN WAN


Quellenhinweis


Netgate Forum & Netgate (DOCs) & DPDK.org

Quellenhinweis


The pfSense Documentation

Content-ID: 2354616151

Url: https://administrator.de/contentid/2354616151

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 31.03.2022 um 14:25:35 Uhr
Goto Top
Moin,

danke für deinen Beitrag.
Ich habe zwei Installation im Einsatz und beide von der 2.5 CE auf 2.6 CE gezogen. Das liefe ohne Probleme.
Gefühlt ist die gesamte Installation so schnell wie nie. Sei es der Durchsatz oder das Webinterface.
Belastbare Test kann ich aber gerade nicht beisteuern.

Bezüglich Wireguard werde ich jetzt allerdings nicht wieder zum testen zurück rudern. Die Performance ist deutlich besser als bei IPsec. Meine Tests verliefen hier entgegen dem VPN Scale Tut aus dem Wiki sehr positive.
Tatsächlich nutze ich hier Wireguard schon für eine S2S sowie C2S Anbindung.

Gruß
Spirit
108012
108012 31.03.2022 aktualisiert um 15:44:26 Uhr
Goto Top
Hallo,

Ich habe zwei Installation im Einsatz und beide von der 2.5 CE auf 2.6 CE gezogen.
Das ist das interessante für mich dabei gewesen. Viele haben gleich auf 2.6 und dann
auf 2.6+ Plus oder gar TSNR gewechselt, das Feedback von vielen war halt gemischt
ausgefallen. Einmal wegen der NBase-T Unterstützung und dem Intel T710 Support.

Das liefe ohne Probleme.
Wie bei fast allen die Intel NICs im Einsatz haben, von einigen mit Realtek NICs
war zu vernehmen dass dort die Ports nicht mehr erkannt worden waren.

Gefühlt ist die gesamte Installation so schnell wie nie. Sei es der Durchsatz oder
das Webinterface.
Am WAN sicherlich der Queues wegen.

Belastbare Test kann ich aber gerade nicht beisteuern.
Ist schon klar, hätte ja sein können das der Durchsatz besser oder schlechter wäre, die
Verbindungen stabil und/oder instabil gewesen wären nach dem Update.

Tatsächlich nutze ich hier Wireguard schon für eine S2S sowie C2S Anbindung.
Profitiert sicherlich von dem "Queuing" mehr als andere!

IPSec ist kampferprobt
OpenVPN der heimliche defacto Industriestandard
WireGuard ist der Hoffnungsträger am Horizont

BlueKobold
1915348599
1915348599 31.03.2022, aktualisiert am 21.04.2022 um 18:39:01 Uhr
Goto Top
Zitat von @108012:
BlueKobold
Da hat sich jemand verraten 😉?!
Looser27
Looser27 31.03.2022 um 17:19:02 Uhr
Goto Top
Meine pfSense läuft schon auf 2.6

Der Grund für das Upgrade war aber die Sicherheitslücke.
Veränderungen habe ich im privaten Bereich bis dato keine festgestellt.

Die Implementierung von Wireguard ist für mich eher zweitrangig, da der Client für Windows nur mit administrativen Rechten vernünftig zi bedienen ist. Daher bleibe ich bei OpenVPN.

Gruß

Looser
1915348599
1915348599 31.03.2022, aktualisiert am 21.04.2022 um 18:39:21 Uhr
Goto Top
Zitat von @Looser27:
Die Implementierung von Wireguard ist für mich eher zweitrangig, da der Client für Windows nur mit administrativen Rechten vernünftig zi bedienen ist. Daher bleibe ich bei OpenVPN.

Das geht auch mit einem normalen User reibungslos man muss nur wissen wie man es für die User einmal einrichten muss face-smile

Wireguard und RDP-Skript
Looser27
Looser27 31.03.2022 um 21:17:13 Uhr
Goto Top
@1915348599

Sorry, aber das ist keine Option. Eine Sofware sollte für einen User ohne administrative Rechte nutzbar sein ohne dass man solche Workarounds benutzen muss. OpenVPN kann das schließlich auch.

Just my 2 Cents