Hardware Empfehlung für 200mbit von
-
@gtrdriver
TK hat da grobe Hardwareanforderungen ins Netz gestellt, die früher Netgate selbst veröffentlicht hatte:
https://www.thomas-krenn.com/de/wiki/Hardwareanforderungen_pfSenseMit einer halbwegs aktuelle AES-NI CPU und GCM Cipher sollten die 200 Mbit/s locker zu schaffen sein.
Du könntest aber auch IPSec oder Wireguard in Erwägung ziehen. Die sind da angeblich performanter. -
Hallo
Danke für den link Und die Tips...
Ich nutze wg in einer anderen Umgebung zum anbinden einzelner clients möchte es aber nicht s2s einsetzen.
Bezgl aes ni und openvpn gibt es irgendwo ein how to do für die optimalen settings in Sachen Performance für openvpn Verbindung?
Bezgl apu
Nein in diesem Umfeld wird keine apu zum Einsatz kommen wenngleich ich das nicht bestätigen ich hab hier bestimmt 12 apus am laufen allesamt mit zfs (weil die ufs installationen allesamt anfällig waren aber nicht nur auf den apus).
Ansonsten noch nie ein Problem damit gehabt
-
Was ist denn an den anderen Standorten für eine Hardware im Einsatz?
Für S2S kann man sehr effektiv IPsec einsetzen, mit AES128 GCM hat man da einen sehr effektiven Tunnel, da schafft sogar eine 1100/2100 diese Bandbreite per VPN. -
@nocling
HalloAktuell sind da telekom digi Boxen vorhanden für den neuen glasfaser Anschluss ist aktuell noch nix bestellt
-
Ich habe einen recht interessanten Artikel gefunden in dem es um aes ni und verschlüsselung/Bandbreite geht.
Dieser bezieht sich jetzt auf die relativ schwachbrüstigen apu boxen
https://teklager.se/en/knowledge-base/apu2-vpn-performance/
Ist aber recht interessant was damit machbar ist...
-
@gtrdriver
Interessant finde ich vor allem die Werte von Wireguard. Dass der Unterschied derart gravierend ist, hätte ich nicht erwartet, lässt sich aber zum größten Teil durch das Multithreading erklären. Die APU hat eben 4 Kerne, und da haben Anwendungen, die das unterstützen klare Vorteile. -
@gtrdriver Einfach das Netgate-eigene Dokument mal ansehen, dort ist ehrlich auch nicht nur IPERF sondern auch IMIX gemessen worden, was realistischer ist als die oft genannten IPERF MAX Werte die nur optimal erreicht werden können.
https://info.netgate.com/hubfs/website-assets/netgate-hardware-comparison-doc.pdf
Unter einer 4100 muss man da also gar nicht anfagen, da ansonsten schon der IMIX von IPsec zu gering ist. OpenVPN mit Zert+GCM oder wenns auf Performance ankommt Wireguard können ab der 4100 aber sicherlich die 200Mbps Duplex stemmen, schon weil sie die Last via QAT besser abfeuern können.
Daten sind auf Stand Plus-22.01
Cheers
-
Hallo zusammen,
also so pauschal kann man das alles gar nicht beantworten
finde ich zumindest. Denn zum Einen wissen wir ja gar nicht ob dort PPPoE am WAN anliegt und zum anderen auch nicht wie viele VPN Benutzer es sind und was Sie über die VPN Verbindung machen wollen. Also bei OpenVPN würde ich glatt sagen nicht unter 3,0GHz
und eine richtige CPU und kein Atom. Also so ein
Xeon E3-1230v3 mit 16/32 GB RAM sind da wohl angesagt, wenn da dann noch andere Sachen drauf
laufen sollen, denn alle reden meist nur von einer
Firewall und bohren die pfSense dann zu einer
vollen UTM auf. Wir raten hier alle im freien Fall und
von daher ist das dann wohl auch her nicht so das
"gelbe vom Ei".Zu den APUs, was würdest Du uns denn empfehlen?
Eine SG1100 oder die 3100?Solange es eine noch CE Edition zum Download gibt und
und es sich in in Deutschland bei der Anzahl der Internetzugänge immer noch mehrheitlich um VDSL
Zugänge handelt die maximal 300 MBit/s liefern sollte
man auch hier und dort noch zu einer APU greifen dürfen.
Ich habe davon mehrere und die laufen alle ohne Probleme. pfSense+ (Plus), TSNR (Home), OpenWRT, RouterOS und DanOS und VyOS. Läuft alles auf APU3/4/6
und das mit dem neuesten Bios 4.17.02 (Mainline). Die neue APU7 kommt mit 2,5 GBit/s Ports und ist sicherlich einen Blick wert. -
Hallo zusammen
ich habe hier jetzt mal ein wenig am dem Glasfaser Anschluss getestet.
Mit Wireguard ist es in der Tat so dass die performance voll durch schlägt. Aber auch OpenVPN läuft hier ordentlich.Was auffällt ist das (zumindest mir schon öfter untergekommene) PPPOE Performance Problem mit einer APU an dem Anschluss.
Jenseits der 600mbit und wenn viel Traffic stattfindet geht die Latenz hoch die Packet Losts steigen hier stark an.
Ohne PPPoe (mit vorgeschaltetem router) wäre wohl sogar eine APU hier nicht überfordert.Ich hab jetzt mal ne 2100 Netgate Bestellt (weil ich die schon länger mal testen wollte).
Mit den aktuellen APU Preisen macht das auch keinen großen Unterschied mehr - ich meine das Board für eine 4 Port APU liegt bei knapp 220 Euro + Netzteil + Gehäuse + Speicher - ich denke dass da noch ein 100er differenz bleibt...War richtig schockiert - die letzten APU´s hatte ich komplett mit Gehäuse und Netzteil für ca. 150 Euronen gekauft
-
@dobby_ said in Hardware Empfehlung für 200mbit von:
finde ich zumindest. Denn zum Einen wissen wir ja gar nicht ob dort PPPoE am WAN anliegt und zum anderen auch nicht wie viele VPN Benutzer es sind und was Sie über die VPN Verbindung machen wollen. Also bei OpenVPN würde ich glatt sagen nicht unter 3,0GHz
Ach quatsch... Ich weiß nicht bei welchem Jahr OpenVPN du stehen geblieben bist, aber 3GHz sind genauso polemisch wie "mit PPPoE ist es langsam". Hängt alles von den Umgebungsvariablen ab. Und alleine eine C3000 Atom Box(!) die weit entfernt von 3GHz ist, kann dank AES-NI, QAT und Co auch nen halbes Gigabit über OVPN wuppern, wenn mans richtig einstellt. Also bitte mal halblang.
@gtrdriver said in Hardware Empfehlung für 200mbit von:
Was auffällt ist das (zumindest mir schon öfter untergekommene) PPPOE Performance Problem mit einer APU an dem Anschluss.
Die HW ist auch steinalt, ein 1GHz AMD Jaguar wird nicht jünger ;)
@gtrdriver said in Hardware Empfehlung für 200mbit von:
Jenseits der 600mbit und wenn viel Traffic stattfindet geht die Latenz hoch die Packet Losts steigen hier stark an.
Daher sage ich nicht umsonst, dass man sich ab 300-500Mbps von ner APU als sinnvolle Lösung verabschieden sollte. Völlig egal ob theoretisch Gigabit geroutet durchgehen, der praktische Einsatz ist IMIX und nicht IPERF und hat ggf. noch VPN mit im Spiel, damit ist die Kiste einfach überfordert.
@dobby_ said in Hardware Empfehlung für 200mbit von:
und eine richtige CPU und kein Atom
Auch leider quark. Siehe Netgates eigene Performanceliste, auf der VIER Atom C3000 Geräte stehen (3 davon aktuell im Lineup).
@dobby_ said in Hardware Empfehlung für 200mbit von:
Eine SG1100 oder die 3100?
Du solltest dich vielleicht ein wenig up2date bringen, nicht nur in den Details zu OpenVPN, Atom C-Series SOCs und anderen Themen ;) Die 3100 ist schon länger EOL und nicht mehr supported. Wir haben entweder die 2100 oder 4100 am Start je nachdem welche Größenordnung gebraucht wird.
@gtrdriver said in Hardware Empfehlung für 200mbit von:
War richtig schockiert - die letzten APU´s hatte ich komplett mit Gehäuse und Netzteil für ca. 150 Euronen gekauft
Jap die sind genauso gestiegen wie alles, nur dass die HW dabei eben weiterhin Alteisen ist während andere Kisten für die Preise neue Architekturen sind, die auch bei kleineren Taktraten deutlich mehr Bumms haben :)
Cheers
PS: Empfehle mal einen Blick in das offizielle Hardware Specsheet bzw. den Vergleich und die CPUs/SOCs zu vergleichen und deren IPERF/IMIX Durchsatz.
--> https://info.netgate.com/hubfs/website-assets/netgate-hardware-comparison-doc.pdf -
Hallo ich wollte hier nochmals kurz eine Rückmeldung geben.
Wir setzten das VPN ausschließlich für RDP ein und hier ist bei 10 Arbeitsstationen ab 60MBIT VPN keine Steigerung mehr zu messen. (außer alle schauen im Vollbild Video)... - im normalen Arbeitsbetrieb wie gesagt ist bei 10 Arbeitsplätzen und selbst bei intensiver Nutzung ab 60mbit nicht mehr zu gewinnen.
Interessant ist auch dass RDP hier extrem kurze Peaks hat die mit den normalen Tools aufgrund der Auflösung nicht zu sehen sind.
So zieht RDP beim Browsen mal für einige ms tatsächlich 30mbit - fällt dann auf 4-5 mbit ab - schaut man hier nicht genau könnte man denken dass 5-6mbit pro Sitzung ja dann das maximum sind - stimmt im Mittel auch - aber diese kurzen Peaks machen sich unheimlich in der Haptik bemerkbar wenn das VPN oder die Leitung das nicht hergibt ...
Ich habe jetzt auf der Server Seite eine Viritualisierte pfsense mit nem Xeon CPU
und auf der Client seite netgate Hardware
