[Hardware] APU.2 von PCEngines Infos

Tobi

Wie groß sind die Netze mit wie viel Trafic wo ihr das Board einsetzt?
Mir macht die "langsame" CPU ein wenig Sorgen, dass sie schon mit reinem Routig/FW zwischen den Netzen gut ausgelastet wird. Wenn ich dann noch ~2 VPN Verbindungen aufbaue wird sie ganz überfordert.

xidendt

hier läuft die APU2 mit pfsense

insgesamt 6 getrennte Netze, etwa 12 PC's, darunter ein Gamer der mir aufs Dach steigen würde wenn sein Ping lagt, ein Mediaserver der insgesamt 5 Fernseher mit BlueRay HD stream versorgt was wohl den größten Datendruchsatz bringt und dennoch schaffe ich an meiner 100mit Unitymedia Leitung gleichzeitig volle Leistung im Downstream und kann dabei moch enspannt surfen. Quer durch die pfsense in verschieden Daten schubsen und den Mediaserver füttern klappt auch sehr gut.

Die Auslastung der CPUs dümpelt bei 30% herum.

Mir reicht die APU erstmal

Tobi

OK, das liest sich nicht schlecht. VPN nutzt Du aber nicht oder?

no_Legend

@Tobi

VPN hatte ich auf der APU1 am laufen.
Bin gerade dabei die APU2 zu installieren.
VPN habe ich aber momentan noch nicht mal laufen.

Hast du vor größere Datenmengen durch das VPN zu schieben?

Gruß Robert

Tobi

Hallo Robert,

nein ich kann mir nicht vorstellen, dass es wirklich große Datenmengen sein werden. Wobei hier ist die Frage was sind "große Datenmengen".
Ich brauche es nicht täglich und meistens (so die Idee) wenn ich in Skandinavien am fotografieren bin. Dann wurden an Tagen ggf. die Fotos rüber kommen. So fern das so klappt - sagen wir ~500 Dateien a 35MB
Auf jedem Fall hat VPN nicht die oberste Priorität. Mir ist halt nur wichtig, wenn ich VPN nutze, dass nicht gleich restliches Netz zum Stillstand kommt. Wenn ich es nicht ganz falsch alles über VPN verstanden habe, gibt es hier auch Unterschiede an Performance und Anforderungen7 Möglichkeiten zwischen IPSec und OpenVPN (zumindest was die BSD Implementierung angeht)

no_Legend

Also das was du vor hast bezeichne ich schon mal als "große Datenmengen". 17,5 GB sind nicht gerade wenig.
Wie ist den der Upload in Scandinavien und dein Download Zuhause?

Laut Ct kann die APU2 laut iperf mit knapp 960mbit umgehen. (nagel mich nicht auf den genauen wert fest, alles gerade aus dem Kopf)
Allerdings hier ohne VPN udn ob das beim Routing gemessen wurde, weis gerade auch nicht mehr.

Du kannst auch mal grob schreiben was du für vorsetzungen hast:
Anzahl WAN Verbindungen
Bandbreite jeder WAN Verbindung
Anzahl VPN User gleichzeitig.
Dienste die sonst noch gewünscht sind, Proxy oder so.

Denke dann können wir dir hier schon sagen ob die APU2 langt oder doch zu klein ist.

Gruß Robert

athurdent

@no_Legend:

Laut Ct kann die APU2 laut iperf mit knapp 960mbit umgehen.

Wurde das auch mit pfSense gemessen? Linux und BSD unterscheiden sich ggf im Durchsatz, darüberhinaus spielen u.a. Faktoren wie NAT/PPPoE/QoS/Filterregeln eine Rolle.

no_Legend

Ich kann es nicht mehr genau sagen, hab es nur so grob noch im Kopf.

Hier kann man sich alles dazu durchlesen:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-3458348.html

Sorry der link oben ist nur für Multi WAN, dass hier ist wegen der Hardware:
https://www.heise.de/ct/ausgabe/2016-24-x86-Kompakt-Barebones-fuer-Router-Distributionen-3458365.html

athurdent

Oh, hatte ich ganz übersehen, den Bericht. :)

Mit pfSense 2.3.2: NAT 939 MBit/s, mit PPPoE obendrauf nur 335.

Tobi

Ja also die ~180GB lesen sich erst mal viel. Erst mal, denn der Upload wurde eben wegen der Datenmenge nachts laufen wo eh alle schlafen, spricht sonst nichts läuft. Tagsüber wurden auf der Strecke vielleicht 1x Täglich 2 Dateien a ~300 MB kopiert.

Hier habe ich VDSL 100/40. Drüben "alles zwischen 10/4 bis Telekom LTE 300". Damit ist es auch klar, die 18GB kann ich in seltensten (wenn überhaupt) nutzen. Somit bleiben nur die 2 x300MB

Max gleichzeitige VPN Verbindungen 2. Wobei hier gleiches gilt 2x ~300MB und in seltensten Fällen auch um 10-12 GB an Daten.

Was ich noch vielleicht gerne machen wurde - Bind/ DHCP darauf verlagern. Ist aber nicht zwingend da die Sachen bereits woanders laufen. Mit der Zeit könnte ein IDS in Frage kommen. Hier weiß ich aber noch nicht mal Zeitpunkt wann ich es umsetzen könnte/ wollte.

Kurz ich bin der einzige Teilnehmer der richtig Traffic im Netz durch die ganze Fotos und Bearbeitungen verursacht. Nachts laufen Backups. Alle anderen Teilnehmer sind Surf-Leute die hier und da eine Mail schicken.
Der andere mit VPN ist nie lokal und damit wird es mit den Daten vermutlich wie bis jetzt behandelt - Datenträger per Post.

An sich wurde ich es weiter virtuell laufen lassen. Dummerweise mag sich der XenServer mit pfSense bzw. glaube eher 64Bit BSD nicht so gerne. Hatte so viele Probleme, dass ich kurzzeitig auf Citrix Netscaler ausgewichen bin. Hier ist aber nichts mit VPN ;). Also alles kann man nicht haben oder man will/kann es nicht bezahlen.

no_Legend

@athurdent:

Oh, hatte ich ganz übersehen, den Bericht. :)

Mit pfSense 2.3.2: NAT 939 MBit/s, mit PPPoE obendrauf nur 335.

Knapp vorbei ist auch daneben. Da lag ich doch mit meinen 960 aus dem kopf garnicht so falsch.

@Tobi:

Ja also die ~180GB lesen sich erst mal viel. Erst mal, denn der Upload wurde eben wegen der Datenmenge nachts laufen wo eh alle schlafen, spricht sonst nichts läuft. Tagsüber wurden auf der Strecke vielleicht 1x Täglich 2 Dateien a ~300 MB kopiert.

Hier habe ich VDSL 100/40. Drüben "alles zwischen 10/4 bis Telekom LTE 300". Damit ist es auch klar, die 18GB kann ich in seltensten (wenn überhaupt) nutzen. Somit bleiben nur die 2 x300MB

Max gleichzeitige VPN Verbindungen 2. Wobei hier gleiches gilt 2x ~300MB und in seltensten Fällen auch um 10-12 GB an Daten.

Was ich noch vielleicht gerne machen wurde - Bind/ DHCP darauf verlagern. Ist aber nicht zwingend da die Sachen bereits woanders laufen. Mit der Zeit könnte ein IDS in Frage kommen. Hier weiß ich aber noch nicht mal Zeitpunkt wann ich es umsetzen könnte/ wollte.

Kurz ich bin der einzige Teilnehmer der richtig Traffic im Netz durch die ganze Fotos und Bearbeitungen verursacht. Nachts laufen Backups. Alle anderen Teilnehmer sind Surf-Leute die hier und da eine Mail schicken.
Der andere mit VPN ist nie lokal und damit wird es mit den Daten vermutlich wie bis jetzt behandelt - Datenträger per Post.

An sich wurde ich es weiter virtuell laufen lassen. Dummerweise mag sich der XenServer mit pfSense bzw. glaube eher 64Bit BSD nicht so gerne. Hatte so viele Probleme, dass ich kurzzeitig auf Citrix Netscaler ausgewichen bin. Hier ist aber nichts mit VPN ;). Also alles kann man nicht haben oder man will/kann es nicht bezahlen.

Ich denke du wirst schon mit der APU2 auskommen.
Die 100VDSL im Download machen ja nicht mehr als  13mbit netto hin.

DHCP und DNS kannst du auf jedenfall auf der APU machen. Das verbraucht nicht wirklich viel Performance.
Bei IDS kann ich es nicht sagen

Was denkst du athurdent?

Gruß Robert

athurdent

@no_Legend:

Was denkst du athurdent?

Ganz ehrlich, ich würde Xen runterwerfen und sowas wie Proxmox installieren :)

Ansonsten:
Ich hab kein APU Board, daher kann ich nichts zum IPsec oder OpenVPN Durchsatz sagen. Der ist ggf zumindest bei OpenVPN nicht ganz so hoch, OpenVPN profitiert eigentlich nur von CPUs mit hoher Single-Thread-Performance, AES-NI hilft nicht soviel. Bei IPsec könnte das etwas besser aussehen, da habe ich aber keine Erfahrungen.

JeGr

AES-NI hilft nicht soviel

Willkommen bei OpenVPN 2.4. Jetzt schon. :)

athurdent

@JeGr:

AES-NI hilft nicht soviel

Willkommen bei OpenVPN 2.4. Jetzt schon. :)

Bei meinem C2758 nicht wirklich, I am holding it wrong :)
https://forum.pfsense.org/index.php?topic=123915.0

JeGr

Re-read: OpenVPN 2.4 - ich sprach nicht von pfSense 2.4, die nicht umsonst noch nicht im Release Stadium ist. Der Punkt ist, dass AES-GCM jetzt verfügbar ist und damit auch AES-NI wesentlich mehr/sinnvoller genutzt wird als bei AES-CBC. Ergo profitieren auch kleinere Systeme davon.

athurdent

[2.4.0-BETA][root@pfsense]/root: uname -a
FreeBSD pfsense 11.0-RELEASE-p7 FreeBSD 11.0-RELEASE-p7 #27 6317ca7fc42(RELENG_2_4): Sat Feb 11 00:57:51 CST 2017

[2.4.0-BETA][root@pfsense]/root: openvpn --version
OpenVPN 2.4.0 amd64-portbld-freebsd11.0 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Dec 30 2016

OpenVPN 2.4.0

JeGr

SEUFZ
Nochmal: Ich rede schlicht von OpenVPN 2.4. NICHT von OpenVPN 2.4 in pfSense 2.4 BETA(!) was noch durchaus seine Probleme hat. Was war daran so schwer zu verstehen? Der restliche Punkt bleibt bestehen. AEAD ist vorhanden, wie du richtig zeigst, der Rest muss sich eben einspielen, bis die Bugs und Implementierungsprobleme raus sind. Nichts desto trotz: die APU2 WIRD von OpenVPN 2.4 in pfSense 2.4+ profitieren. Mehr als sie es jetzt tut.

Ist das jetzt so schwer zuzugeben dass man da ewig dran rumoxidieren muss? :o

jahonix

@no_Legend:

… garnicht so falsch.

Doch so falsch, das "garnicht"!
Denn "garnicht" wird gar nicht zusammengeschrieben.  8)

athurdent

@JeGr:

die APU2 WIRD von OpenVPN 2.4 in pfSense 2.4+ profitieren. Mehr als sie es jetzt tut.

Ist das jetzt so schwer zuzugeben dass man da ewig dran rumoxidieren muss? :o

Nun, ich habe nie etwas anderes behauptet. Re-read: "AES-NI hilft nicht soviel". Nicht "überhaupt nicht".

Dass es bei einem C2758 nicht besonders viel bringt, liegt wahrscheinlich am Tun/Tap Overhead ( https://www.reddit.com/r/PFSENSE/comments/5l45jk/openvpn_240_is_now_available_on_pfsense_24/dbuzo85/ ), den man eher mit hoher Single-Thread-Performance ausgleichen kann.
Und ggf. daran, dass AES-NI bei kleineren Intel CPUs nicht so kräftig ist ( https://www.heise.de/ct/hotline/Was-bringt-ein-Prozessor-mit-AES-NI-3010518.html ). Ob dies auch auf die APU CPU zutrifft, kann ich natürlich nicht sagen, vielleicht ist das da unterschiedlich. Wäre zu wünschen.

Im ersten Link schreibt "jemand", dass ggf. Netmap Unterstützung für OpenVPN etwas bringen würde. Da besteht also tatsächlich vielleicht Hoffnung, OpenVPN mit kleineren CPUs auf andere Art und Weise etwas performanter zu bekommen.

Meine Empfehlung bleibt also weiterhin, sich nicht zuviel Hoffnung machen, dass AES-NI "den" Performance Schub für OpenVPN bringt. Wenn ich Unrecht habe, bin ich übrigens der Erste der sich freut.

Tobi

Das wurde wenn ich nicht alles ganz falsch verstanden habe für mich bedeuten, das ich doch eher mit einem Intel J1900 besser dran wäre als mit dem APU2 Board, da der Intel doppelt so schnell getaktet ist und damit auf jedem Fall schon mal besser die Daten zwischen einzelnen Interfaces/ VLANS schaufeln kann und bei VPN könnte er auch durch die höhere Taktung es "fast" ausgleichen was der AMD durch AES-NI an Vorteil in dem Bereich hat (u.U abhängig von eingesetzter VPN Lösung).

Richtig oder doch totaler Müll was ich geschrieben habe?