Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?
-
@tobi
Wenn du den Anschluss voll ausreizen möchtest und die Firewall gleichzeitig auch noch hohen internen Traffic zu managen hat, nimm den i5. Der kostet nun mal 15% mehr, hat aber Leistungsreserven.
Wenn du nicht großen Wert auf permanenten maximalen Durchsatz legst, wird dir der i3 auch viel Freude bereiten.
Abgesehen von der Taktrate haben die beiden CPUs aber keine spürbaren Differenzen.8 GB sollten für SoHo auf jeden Fall ausreichen.
Richtwerte für die Hardwareanforderung hat Netgate hier veröffentlicht: https://www.pfsense.org/products
-
@tobi
RAM ist so eine Sache wenn du ein IDS verwendest und noch ein paar andere Dienste laufen hast kann man da schon mehr als 8GB brauchen.
Preislich macht das eh fast keinen Unterschied.Overkill ist Ansichtssache. Ich denke du wirst mit allen Systemen zufrieden sein und wesentlich mehr Traffic durchbekommen als bisher.
Ich würde mir überlegen ob ich Storage Traffic über die Firewall jage. Das kann durchaus die Firewall ordentlich beschäftigen und zu Performance Problemen führen.
-
Danke für die Antworten.
Ich denke ich werde dann zu der goldener Mitte greifen also IPU662. Mit RAM schaue ich noch.
Jetzt läuft bei mir auf dem APU Board nur OVPN und eben Routig.
(Mein Bind und DHCP laufen weiter unter Linux da ich bis jetzt keine Möglichkeit gefunden habe wie ich die Sachen Schmerzfrei migrieren könnte. )
Bei dem neuen Board wollte ich pfBlocker einrichten und mich etwas damit beschäftigen. -
@tobi said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Ich denke ich werde dann zu der goldener Mitte greifen also IPU662. Mit RAM schaue ich noch.
Jetzt läuft bei mir auf dem APU Board nur OVPN und eben Routig.Damit wirst du keine 2 GB voll bekommen.
(Mein Bind und DHCP laufen weiter unter Linux da ich bis jetzt keine Möglichkeit gefunden habe wie ich die Sachen Schmerzfrei migrieren könnte. )
Kann nicht sein!
Bei dem neuen Board wollte ich pfBlocker einrichten und mich etwas damit beschäftigen.
Normales Geo-Blocking füllen auch kaum 2 GB. Wenn du alle Features von BlockerNG Devel ausreizt, könnten es aber schon gut 4 GB sein. Mit diesem Thema hat man sich hier schon mal in einem Thread beschäftigt.
BlockerNG erstellt und verwendet einfach IP-/Netz-Tabellen, die in den Speicher geladen werden. Je mehr Einträge diese haben, desto mehr RAM benötigen sie.
Auch dafür ist in der Doku ein Richtwert zu finden. -
@viragomann said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Damit wirst du keine 2 GB voll bekommen.
Ja das war bis jetzt so :)
Kann nicht sein!
Was kann nicht sein? Ich habe zumindest nicht gefunden wie ich meine Zonendefinitionen in bind9 auf der Sense migrieren kann.
Bei isc-dhcp-server hält sich das so weit in Grenzen, dass ich die wenige statische Einträge und Netze manuell wieder eintippen könnte. Bei bind ist es mir zu viel des Guten ;)Wenn ich also "vor lauter Bäume den Wald nicht sehe" - klär mich bitte auf. Es wäre mir nur Recht die Dienste bei mir quasi "zentral" zu haben.
-
@tobi said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Wenn ich also "vor lauter Bäume den Wald nicht sehe" - klär mich bitte auf. Es wäre mir nur Recht die Dienste bei mir quasi "zentral" zu haben.
Keine Idee, woran es scheitern könnte. Der DNS Resolver (unbound) arbeitet out of the box und der DHCP Server muss sinnvollerweise manuell aktiviert werden, um Überschneidungen zu vermeiden.
Wenn du nicht sehr spezielle Anforderungen hast, die ebensolche Konfigurationen erfordern würden, wüsste ich nicht, wo es ecken könnte. -
@viragomann said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Keine Idee, woran es scheitern könnte
Vielleicht reden/ schreiben wir aneinander vorbei. Unter Migration/Schmerzfreien Wechsel verstehe ich: ich habe jetzt Text-Dateien mit bind9 Konfig und Zonen und kann diese irgendwo im pfSense 1:1 einfügen und die werden bei Bedarf an anderes Format angepasst. Das gleiche betrifft DHCP Server.
Klar manuell alles neu eingeben und suchen/ schauen wo ich mich vertippt habe o.ä kann ich natürlich immer. -
@tobi
BIND müsste erst zusätzlich aus dem Repository installiert werden. Ob dann die vorhanden Konfigdatei aus einem anderen System einfach übernommen werden kann, kann ich nicht sagen, ich verwende das Paket nicht.
Für meine Anforderungen wäre BIND ein Overkill. Um ein paar Zonen und Host Overrides zu definieren, reicht der Resolver auch ganz gut, und hier empfiehlt es sich, die GUI zur Konfiguration zu verwenden.Möglicherweise sind deine Anforderungen um ein Vielfaches umfangreicher, hätte ich im SoHo Bereich aber nicht erwartet.
Der pfSense DHCP Server arbeitet ganz gut mit den Standardwerten. Einfach fürs jeweilige Interface aktivieren und den IP-Bereich festlegen.
Speziellere Konfiguration lassen sich aber auch meist in der GUI rasch einrichten. -
@viragomann said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Möglicherweise sind deine Anforderungen um ein Vielfaches umfangreicher, hätte ich im SoHo Bereich aber nicht erwartet.
Wirklich umfangreicher - vermutlich nicht. Ich sag das mal so - ich habe die bind Konfiguration unter Linux irgendwann vor ~15 Jahren gemacht und passe die einfach nur an an aktuellen Bedarf. Läuft super und Fehler die bei einer neuen Version oder so auftreten kann ich relativ gut zuordnen und lösen.
Bei derartigen Diensten wo ich Wissenslücken habe, bin ich vorsichtig und neige eher doch das "altbewährte" zu nehmen.
So hatte ich auch versucht bind9 Paket irgendwann zuletzt im Sommer dieses Jahres auf meinem APU zu aktivieren. Ist mir nicht gelungen und so läuft es weiter auf meiner Linux Kiste.
Vielleicht werden ich noch mal ein Versuch unternehmen, wenn ich die neue IPU habe und damit ein Gerät wo ich "experimentieren" kann.
(Jetzt müssen die IPU Boards nur noch lieferbar sein) -
Das Lieferzeitenproblem ist bekannt.
Meine Infos sind derzeit dass sich die Problematik erst wieder 2023 entspannen wird.
Nachdem derzeit hauptsächlich Chips das Problem sind kommen nun andere Komponenten die ein Problem darstellen.
Habe von mehreren Herstellern dazu Infos bekommen.Es gibt Produkte da sind die Lieferzeiten aktuell über ein Jahr.
Nachdem ich selber die IPUs bei Kunden einsetze bin ich sehr gespannt wo man die noch herbekommt und zu welchen Preisen.
Muss mich wohl nach anderer Hardware umsehen die lieferbar ist. -
@hec ich persönlich würde ab der IPU675 schauen, alle anderen habe schon recht alte cpu generationen, in den neueren cpu‘s ist auch eine etwas bessere aes einheit und für z. b. openvpn macht das wirklich sinn.
-
Tja da sagst Du was. Sicherlich kann die neuere CPU Generation "alles" besser/ schneller/ bunter. Nur demgegenüber steht auch wieder Stromaufnahme - ~50W sind auch nicht wenig. Blöd ist natürlich "für mich" die IPU882 ist halt sofort lieferbar. So hätte ich noch etwas Zeit alles vorzubereiten bevor wirklich der Anschluss kommt.
-
@tobi said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Nur demgegenüber steht auch wieder Stromaufnahme - ~50W sind auch nicht wenig.
Wo hast denn diese Angabe gefunden?
Laut Intel: Durchschnittliche Verlustleistung (TDP) = 15W
Alle IPUs haben Intel Prozessoren der U-Serie. Die sind sehr sparsam ausgelegt und takten rasch runter, wenn die Leistung nicht benötigt wird, bzw. schalten einzelne Kerne ganz ab. Der Stromverbrauch richtet sich also stark nach der Beanspruchung. Ich denke daher, ein i7 wird in deinem System nur minimal mehr verbrauchen als ein i5.
Die Anzahl genutzter Kerne lässt sich meist auch im BIOS beschränken, halte ich aber hier für sinnlos.Ich habe selbst ein ähnliches Kästchen, allerdings mit einem alten i5-4200U (auch TDP = 15W) und 4 NICs. Das verbraucht hier durchschnittlich 7,5 W.
Ich würde aber nur ungern den Mehrpreis bezahlen wollen, wenn ich keinen Nutzen daraus ziehen kann und würde bis zur Lieferung des passenden Systems die APU weiter verwenden. Aber das sollst du für dich selbst entscheiden. -
In den Regionen vom Stromverbrauch bewegt sich auch ein SG-6100, nur das kann auch 2,5G oder sogar 10G schieben, die IPU Dinger mögen ja reichlich Rechenleistung zu haben, was nützt das wenn ich es durch die Ports nicht rein und raus bekomme was ich an Rohleistung in der CPU habe.
Als Hypervisor mag das wieder anders aussehen, aber bei so schnellen CPUs braucht es schon weit mehr als GBit Ports das sich das auch lohnt.
Dann lieber gleich mit einem Gehäuse 1-2HE was selber bauen, da kann man dann später noch ne 10G Karte nachstecken. Bei der IPU ist da wieder Ende und die CPU langweilt sich dann, während die NICs immer am Anschlag laufen.
-
@viragomann said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Wo hast denn diese Angabe gefunden?
Laut Intel: Durchschnittliche Verlustleistung (TDP) = 15WIPU882 - i5-8250U Kaby Lake
Leistungsaufnahme: 1,3W / 7,7W / 23,4W / 33,5W / 36,5W / 55-62W (Standby/Idle/stress 1 Task/stress 4 Tasks (gedrosselt)/stress 8 Tasks (gedrosselt)/stress 8 Tasks (bis zu 25s))Die 15W beziehen sich auf die CPU und nicht gesamtes System.
@nocling said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
SG-6100, nur das kann auch 2,5G oder sogar 10G schieben
Das hängt doch von der Netzstruktur ab. Gab es auch eine Diskussion in Bezug auf die Ubiquiti UDM Pro dazu.
-
@tobi said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
IPU882 - i5-8250U Kaby Lake
Leistungsaufnahme: 1,3W / 7,7W / 23,4W / 33,5W / 36,5W / 55-62W (Standby/Idle/stress 1 Task/stress 4 Tasks (gedrosselt)/stress 8 Tasks (gedrosselt)/stress 8 Tasks (bis zu 25s))
Die 15W beziehen sich auf die CPU und nicht gesamtes System.Also du nimmst "stress 8 Tasks" als Referenz für die Einschätzung deines Stromverbrauchs (Durchschnittsleistung)??
Auch die Leistung des Gesamtsystems hängt von dessen Beanspruchung ab. Meine Box könnte auch über 20 W verbraten, gemessen habe ich aber über 60 Stunden weniger als 7 W.
-
@viragomann said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Also du nimmst "stress 8 Tasks" als Referenz für die Einschätzung deines Stromverbrauchs (Durchschnittsleistung)??
Tja ich weiß es im Moment nicht. Bin halt verunsichert was ich nun bestellen soll.
Da kommt z.B die Sache mit VPN - wann brauche ich es - wenn ich Unterwegs bin. Nach meinem Verständnis nutzt mir aber recht wenig, wenn ich @Home - 1000/500 Leitung habe die auch meine neue Hardware mit VPN komplett bedienen kann, wenn ich selbst doch in der "Pampa" sitze und gerade irgendwo 16MBit Leitung habe.- So fern meine Schlussfolgerung hier nicht falsch ist - macht für mich großartige Betrachtung von VPN keine Relevanz.
Anders sieht es im internen Netz - wie ich oben (oder doch anderen Thread?) schrieb habe ich jetzt alles komplett auf verschiedene VLANS aufgeteilt. Und zwischen 3 VLANS kommt viel Traffic und ich möchte nicht dass die FW/ Router ein Flaschenhals hier wird.
Wenn ich es alles noch richtig im Kopf habe, dann geht jedes Paket was verschiedene VLANS passieren muss durch die CPU. Mit meinem APU Board ist es schwierig, weil die CPU es nicht mehr hergibt. Schafft das aber ein i3 der Skylake Generation oder soll/ muss es ein i5 der Kalby Lake Generation sein? Ich weiß es einfach nicht, weil ich keine Erfahrungen in dem Bereich habe.
Zwischen den 2 Systemen IPU660 und IPU882 liegen 170 EUR Unterschied. Die sind nicht so wichtig. Wichtiger ist mir, dass das System gut ausgelastet läuft aber doch noch Reserven hat. Vermeiden will ich natürlich auch, dass ich z.B für das "billigere" mich entscheide und dann doch zurückschicken usw. muss, weil es nicht so performt wie ich es erhoffe. Da es nur die beiden gerade lieferbar sind, gucke ich nur auf die beiden.
Wenn das IPU882 "zu wenig" Last bekommt und damit auch nicht so viel Strom verbraucht, wäre es u.U auch die sicherere Wahl. Ich werde da sicherlich noch etwas grübeln - bis gar nicht mehr lieferbar sein wird (hoffe ich nicht). -
@tobi
Einen i3 würde ich hier nicht einsetzen. Ein i5 sollte für deine Zwecke noch genügend Reserven haben. Aber das hatten wir oben schon.
Der i3 hat das Manko, kein Turboboost zu haben. Der kann also auch im Bedarfsfall nicht hochtakten.Und zwischen 3 VLANS kommt viel Traffic und ich möchte nicht dass die FW/ Router ein Flaschenhals hier wird.
VLANs machen nur Sinn, wenn du mehrere Netzwerksegmente auf derselben Hardware betreiben möchtest, also teilen sich mehrere Netze einen Netzwerkanschluss. Wie @NOCling schon oben geschrieben hat, könnte da eher die 1 G Netzwerkkarte zum Flaschenhals werden.
-
@tobi said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Zwischen 3 VLANS kommt viel Traffic und ich möchte nicht dass die FW/ Router ein Flaschenhals hier wird.
Definiere mal viel Traffic?
MBit/s oder GB/d bzw. TB/dEin GBit Link schafft rund 9TB/d, wenn das nicht reicht musst auf 10G hoch oder mehrere Links zum Switch stecken.
-
@tobi said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:
Das hängt doch von der Netzstruktur ab. Gab es auch eine Diskussion in Bezug auf die Ubiquiti UDM Pro dazu.
Nope, da ging es nicht um Struktur, da gings um Hardware Anbindung. Die UDM Pro ist physikalisch mit PCI Lanes und intern auf dem entsprechenden Uplink Chip shared und bekommt nicht mehr durch. Hier gehts aber drum, dass ein i5 oder i7 genug Bums hat, um auch mehr als 1Gbps zu fahren und dann wäre das in einer Box, die nur ein paar 1G Ports hat eben auch ziemlich verschwendet, wenn man ne Box hat, die auch 2.5Gbps und 10Gbps Ports hat. Das ist gemeint.
So fern meine Schlussfolgerung hier nicht falsch ist - macht für mich großartige Betrachtung von VPN keine Relevanz.
Das hängt eben davon ab, was man als eigene Obergrenze haben will. Limitiere ich mich auf 20Mbps VPN weil ich via VPN oft eh nicht mehr schieben kann an guffeligen ADSL Anschlüssen oder gehe ich davon aus, dass die Mehrzahl an Versuchen, in denen ich VPN nutzen möchte ich ggf. mehr Durchsatz habe als bspw. 50-1000Mbps. Also kann ich auch sinnvoll bspw. auf dem Mobile via LTE mit 100Mbps VPN machen und über mein VPN intern Dinge tun oder extern über meine Hausleitung raussurfen ohne Einbußen.
Das zu berücksichtigen macht dann durchaus Sinn und mit OVPN/Wireguard stehen Technologien zur Verfügung die man gern und viel auf Mobiles nutzen kann.Ein GBit Link schafft rund 9TB/d, wenn das nicht reicht musst auf 10G hoch oder mehrere Links zum Switch stecken.
Und der Switch muss es können.
