108012
Mar 31, 2022, updated at Sep 25, 2022 (UTC)
3552
6
1
PfSense Infos
Hallo zusammen,
pfSense 2.6 CE (Community Edition)
- Ab jetzt (stable) wird am WAN Interface der Netzwerkverkehr auf mehrere Queues verteilt und somit wird
auch die "Schwupsichkeit" am WAN Interface erhöht bzw. es sollte einen etwas besseren Durchsatz bringen/geben.
Ergo profitiert jetzt der eine oder andere von Euch mit oder wegen einer Mehrkern-CPU und/oder sogar noch
TurboBoost und Hyperthreading von seiner Hardware angeboten bekommt. Bei einer Lasterhöhung macht sich
der Turboboost bemerkbar und bei dem verteilen des WAN Verkehrs auf mehrere Queues kommen dann die CPU
Core und HT mit ins Spiel, mehr Kerne mehr Queues oder mehr Queues auf/über mehr CPU Kerne.
- Konntet Ihr bei Euch etwas bemerken? Ist Euch etwas aufgefallen von wo habt Ihr upgegradet? (2.3, 2.4, 2.5,..)
- Habt Ihr trotz alledem noch Eure NICs (Interfaces) angepasst? (Mbufsize, Queues,....)
- Sind bei Euch Probleme mit Realtek Ports aufgetreten?
pfSense 2.6+ (Plus)
Wer eine 2.6 installiert hat und auf eine Plus Version "umsteigt" oder upgradet, kann jetzt auch das Verhalten
von AES-NI und/oder Intel QAT (Quick Assist) "steuern". Im Dashboard der pfSense Plus werden beide Optionen
(AES-NI und Intel QAT) angezeigt.
Unter pfSense -> Settings -> System -> Miscellaneous kann Intel QuickAssist "eingeschaltet" werden
(danach sollte man aber auch rebooten damit das ganze auch zum "tragen kommt")
In der Konsole noch ein um sich zu vergewissern.
Das AES-NI.ko ist immer noch vorhanden und wird im laufenden Prozess nicht entladen, das kommt
erst mit dem Reboot ins Spiel. Es wird nach dem Reboot nicht mehr geladen, und wird nun auch im
Dashboard als inaktiv und QAT als aktiv angezeigt!
Hat man eine oder mehrere VPN Gegenstelle(n) die auch pfSense+ (Plus) mit aktiviertem Intel QAT benutzt(en)
und/oder einen VPN Provider der so etwas nutzt ist das sicherlich sinnvoll. Hat man keine Gegenstelle und
benutzt IPSec VPN ist man mit AES-NI besser beraten, am besten auch wieder auf beiden Seiten. Muss nun
aber nicht mehr unbedingt pfSense sein und ist von daher wohl eher etwas universeller.
Der QAT Treiber ist zur Zeit nur in der pfSense+ (Plus) vorhanden und/oder dieser Teil des Dashboards wird zur Zeit auch nur in
der Plus Version angezeigt. pfSense+ (Plus) & pfSense+(Plus Performance) & pfSense+ (Plus) VPN Performance Scaling
Netgate TSNR
Man kann aktuell nun auch eine Lizenz für Heimnetzwerke und/oder Testnetzwerke bekommen, die aber nur
nicht kommerziell genutzt werden darf/kann/soll. Finde ich richtig gelungen. Hat jemand von Euch TSNR im
Einsatz, egal ob nun mit Netgate Hardware und/oder beruflich, oder auf Eurer eigenen Hardware ("Rig") und
privat. Was sind Eure Erfahrungen damit bzw. Euer Eindruck davon. TSNR Software Preise
WireGuard (Und Intel QAT)
Es gibt seit längerer Zeit einen Hinweis darauf, dass eventuell, das DPDK (Data Plane Development Kit) auch
gebrauch vom Intel QAT Treiber macht und Einzug in FreeBSD hält. Denn dort wurde der "Chacha20-Poly1305
algorithm" als Patch hinzugefügt und den nutzt wiederum WireGuard! Auch wenn der Treiber nicht direkt
genutzt werden kann, sondern über den Umweg "cryptodev" so könnte WireGuard davon gut profitieren.
Es kommt dann eben auch darauf an welchen Algorithmus benutzt bzw. schränkt einen ein.
Add Chacha20-Poly1305 algorithm to QAT
Netgate Hardware (aktuell)
Netgate hat sein Portfolio etwas gestrafft und/oder einfach nur geändert.
Netgate Appliances
Hardware: (Aktuell)
Hier mal ein USB to Ethernet Adapter der wirklich "out of the box" mit pfSense zusammen funktioniert,
darüber wurden im pfSense Forum schon so viele Beitrage und/oder Fragen gestellt und von daher wollte
ich den eben auch noch schnell einmal mit nennen, ist aus England, aber auch relativ günstig zu bekommen.
pfSense USB Network Adapter High Speed USB 3.0 to RJ45 Gigabit Ethernet LAN WAN
Netgate Forum & Netgate (DOCs) & DPDK.org
The pfSense Documentation
pfSense 2.6 CE (Community Edition)
- Ab jetzt (stable) wird am WAN Interface der Netzwerkverkehr auf mehrere Queues verteilt und somit wird
auch die "Schwupsichkeit" am WAN Interface erhöht bzw. es sollte einen etwas besseren Durchsatz bringen/geben.
Ergo profitiert jetzt der eine oder andere von Euch mit oder wegen einer Mehrkern-CPU und/oder sogar noch
TurboBoost und Hyperthreading von seiner Hardware angeboten bekommt. Bei einer Lasterhöhung macht sich
der Turboboost bemerkbar und bei dem verteilen des WAN Verkehrs auf mehrere Queues kommen dann die CPU
Core und HT mit ins Spiel, mehr Kerne mehr Queues oder mehr Queues auf/über mehr CPU Kerne.
- Konntet Ihr bei Euch etwas bemerken? Ist Euch etwas aufgefallen von wo habt Ihr upgegradet? (2.3, 2.4, 2.5,..)
- Habt Ihr trotz alledem noch Eure NICs (Interfaces) angepasst? (Mbufsize, Queues,....)
- Sind bei Euch Probleme mit Realtek Ports aufgetreten?
pfSense 2.6+ (Plus)
Wer eine 2.6 installiert hat und auf eine Plus Version "umsteigt" oder upgradet, kann jetzt auch das Verhalten
von AES-NI und/oder Intel QAT (Quick Assist) "steuern". Im Dashboard der pfSense Plus werden beide Optionen
(AES-NI und Intel QAT) angezeigt.
Unter pfSense -> Settings -> System -> Miscellaneous kann Intel QuickAssist "eingeschaltet" werden
(danach sollte man aber auch rebooten damit das ganze auch zum "tragen kommt")
In der Konsole noch ein
kldstatDas AES-NI.ko ist immer noch vorhanden und wird im laufenden Prozess nicht entladen, das kommt
erst mit dem Reboot ins Spiel. Es wird nach dem Reboot nicht mehr geladen, und wird nun auch im
Dashboard als inaktiv und QAT als aktiv angezeigt!
Hat man eine oder mehrere VPN Gegenstelle(n) die auch pfSense+ (Plus) mit aktiviertem Intel QAT benutzt(en)
und/oder einen VPN Provider der so etwas nutzt ist das sicherlich sinnvoll. Hat man keine Gegenstelle und
benutzt IPSec VPN ist man mit AES-NI besser beraten, am besten auch wieder auf beiden Seiten. Muss nun
aber nicht mehr unbedingt pfSense sein und ist von daher wohl eher etwas universeller.
Der QAT Treiber ist zur Zeit nur in der pfSense+ (Plus) vorhanden und/oder dieser Teil des Dashboards wird zur Zeit auch nur in
der Plus Version angezeigt. pfSense+ (Plus) & pfSense+(Plus Performance) & pfSense+ (Plus) VPN Performance Scaling
Netgate TSNR
Man kann aktuell nun auch eine Lizenz für Heimnetzwerke und/oder Testnetzwerke bekommen, die aber nur
nicht kommerziell genutzt werden darf/kann/soll. Finde ich richtig gelungen. Hat jemand von Euch TSNR im
Einsatz, egal ob nun mit Netgate Hardware und/oder beruflich, oder auf Eurer eigenen Hardware ("Rig") und
privat. Was sind Eure Erfahrungen damit bzw. Euer Eindruck davon. TSNR Software Preise
WireGuard (Und Intel QAT)
Es gibt seit längerer Zeit einen Hinweis darauf, dass eventuell, das DPDK (Data Plane Development Kit) auch
gebrauch vom Intel QAT Treiber macht und Einzug in FreeBSD hält. Denn dort wurde der "Chacha20-Poly1305
algorithm" als Patch hinzugefügt und den nutzt wiederum WireGuard! Auch wenn der Treiber nicht direkt
genutzt werden kann, sondern über den Umweg "cryptodev" so könnte WireGuard davon gut profitieren.
Es kommt dann eben auch darauf an welchen Algorithmus benutzt bzw. schränkt einen ein.
Add Chacha20-Poly1305 algorithm to QAT
Netgate Hardware (aktuell)
Netgate hat sein Portfolio etwas gestrafft und/oder einfach nur geändert.
Netgate Appliances
Hardware: (Aktuell)
Hier mal ein USB to Ethernet Adapter der wirklich "out of the box" mit pfSense zusammen funktioniert,
darüber wurden im pfSense Forum schon so viele Beitrage und/oder Fragen gestellt und von daher wollte
ich den eben auch noch schnell einmal mit nennen, ist aus England, aber auch relativ günstig zu bekommen.
pfSense USB Network Adapter High Speed USB 3.0 to RJ45 Gigabit Ethernet LAN WAN
- Quellenhinweis
Netgate Forum & Netgate (DOCs) & DPDK.org
- Quellenhinweis
The pfSense Documentation
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2354616151
Url: https://administrator.de/contentid/2354616151
Printed on: April 19, 2024 at 17:04 o'clock
6 Comments
Latest comment
Moin,
danke für deinen Beitrag.
Ich habe zwei Installation im Einsatz und beide von der 2.5 CE auf 2.6 CE gezogen. Das liefe ohne Probleme.
Gefühlt ist die gesamte Installation so schnell wie nie. Sei es der Durchsatz oder das Webinterface.
Belastbare Test kann ich aber gerade nicht beisteuern.
Bezüglich Wireguard werde ich jetzt allerdings nicht wieder zum testen zurück rudern. Die Performance ist deutlich besser als bei IPsec. Meine Tests verliefen hier entgegen dem VPN Scale Tut aus dem Wiki sehr positive.
Tatsächlich nutze ich hier Wireguard schon für eine S2S sowie C2S Anbindung.
Gruß
Spirit
danke für deinen Beitrag.
Ich habe zwei Installation im Einsatz und beide von der 2.5 CE auf 2.6 CE gezogen. Das liefe ohne Probleme.
Gefühlt ist die gesamte Installation so schnell wie nie. Sei es der Durchsatz oder das Webinterface.
Belastbare Test kann ich aber gerade nicht beisteuern.
Bezüglich Wireguard werde ich jetzt allerdings nicht wieder zum testen zurück rudern. Die Performance ist deutlich besser als bei IPsec. Meine Tests verliefen hier entgegen dem VPN Scale Tut aus dem Wiki sehr positive.
Tatsächlich nutze ich hier Wireguard schon für eine S2S sowie C2S Anbindung.
Gruß
Spirit
Hallo,
auf 2.6+ Plus oder gar TSNR gewechselt, das Feedback von vielen war halt gemischt
ausgefallen. Einmal wegen der NBase-T Unterstützung und dem Intel T710 Support.
war zu vernehmen dass dort die Ports nicht mehr erkannt worden waren.
Verbindungen stabil und/oder instabil gewesen wären nach dem Update.
IPSec ist kampferprobt
OpenVPN der heimliche defacto Industriestandard
WireGuard ist der Hoffnungsträger am Horizont
BlueKobold
Ich habe zwei Installation im Einsatz und beide von der 2.5 CE auf 2.6 CE gezogen.
Das ist das interessante für mich dabei gewesen. Viele haben gleich auf 2.6 und dannauf 2.6+ Plus oder gar TSNR gewechselt, das Feedback von vielen war halt gemischt
ausgefallen. Einmal wegen der NBase-T Unterstützung und dem Intel T710 Support.
Das liefe ohne Probleme.
Wie bei fast allen die Intel NICs im Einsatz haben, von einigen mit Realtek NICswar zu vernehmen dass dort die Ports nicht mehr erkannt worden waren.
Gefühlt ist die gesamte Installation so schnell wie nie. Sei es der Durchsatz oder
das Webinterface.
Am WAN sicherlich der Queues wegen.das Webinterface.
Belastbare Test kann ich aber gerade nicht beisteuern.
Ist schon klar, hätte ja sein können das der Durchsatz besser oder schlechter wäre, dieVerbindungen stabil und/oder instabil gewesen wären nach dem Update.
Tatsächlich nutze ich hier Wireguard schon für eine S2S sowie C2S Anbindung.
Profitiert sicherlich von dem "Queuing" mehr als andere!IPSec ist kampferprobt
OpenVPN der heimliche defacto Industriestandard
WireGuard ist der Hoffnungsträger am Horizont
BlueKobold
Zitat von @108012:
BlueKobold
Da hat sich jemand verraten 😉?!BlueKobold
1
Meine pfSense läuft schon auf 2.6
Der Grund für das Upgrade war aber die Sicherheitslücke.
Veränderungen habe ich im privaten Bereich bis dato keine festgestellt.
Die Implementierung von Wireguard ist für mich eher zweitrangig, da der Client für Windows nur mit administrativen Rechten vernünftig zi bedienen ist. Daher bleibe ich bei OpenVPN.
Gruß
Looser
Der Grund für das Upgrade war aber die Sicherheitslücke.
Veränderungen habe ich im privaten Bereich bis dato keine festgestellt.
Die Implementierung von Wireguard ist für mich eher zweitrangig, da der Client für Windows nur mit administrativen Rechten vernünftig zi bedienen ist. Daher bleibe ich bei OpenVPN.
Gruß
Looser
Zitat von @Looser27:
Die Implementierung von Wireguard ist für mich eher zweitrangig, da der Client für Windows nur mit administrativen Rechten vernünftig zi bedienen ist. Daher bleibe ich bei OpenVPN.
Die Implementierung von Wireguard ist für mich eher zweitrangig, da der Client für Windows nur mit administrativen Rechten vernünftig zi bedienen ist. Daher bleibe ich bei OpenVPN.
Das geht auch mit einem normalen User reibungslos man muss nur wissen wie man es für die User einmal einrichten muss
Wireguard und RDP-Skript
@1915348599
Sorry, aber das ist keine Option. Eine Sofware sollte für einen User ohne administrative Rechte nutzbar sein ohne dass man solche Workarounds benutzen muss. OpenVPN kann das schließlich auch.
Just my 2 Cents
Sorry, aber das ist keine Option. Eine Sofware sollte für einen User ohne administrative Rechte nutzbar sein ohne dass man solche Workarounds benutzen muss. OpenVPN kann das schließlich auch.
Just my 2 Cents
Series: pfSense firewall
PfSense Packages update scripte (german)PfSense Links (german)5PfSense 2.7.0 Roadmap (german)9Realtek Treiber 1.97.00 für pfSense 2.60 CE und 22.01 oder 22.05 Plus (german)WireGuard VPN and Intel QAT (german)PfSense Infos (german)6PfSense 2.4.1 Port flapping und Packet loss (german)7PfSense Repository für Version 2.3.x (german)9PC Engines APU1, APU2 und APU3 - pfSense 2.4.0 - LED Update (apuled.ko) (german)5PfSense Monitoring mit ELK (ElasticSearch, Logstash, Kibana) (german)3PfSense OpenVPN beschleunigen (german)PfSense 2.4.0 und Telekom EntertainTV 2.0 funktionieren (german)5PfSense rückt immer näher an die Version 2.4.0 heran (german)Änderungen und Bekanntmachungen zu den pfSense Versionnen 2.4 und 2.5 (german)12Blocklisten für pfSense mit pfBlockerNG plus DNSBL und PI-Hole (german)PfSense does not support i386 or NanoBSD since version 2.4! (german)3PfSense Temperatursensor für das APU2C4 Board (german)PfSense Training - Voleatech (german)1
