Hardwareupdate
-
Aktuell -seit dem Werksreset und komplett neuer Einrichtung- läuft die APU1D relativ gut. Die WebGUI könnte immer noch schneller sein, aber insgesamt hat das gesamte Netzwerk eine bessere (gefühlte) Geschwindigkeit.
Ich gehe davon aus, dass dann eine APU2C4/APU4C4 oder ggf. APU4B4 ausreichen wird.
Abgesehen von openVPN habe ich erstmal alles eingerichtet, was ich für die tägliche Nutzung brauche, und die Leistung ist zumindest ausreichend - da sollte das "kleine" Hardwareupdate ausreichen.
Ich bin kein Profi und habe hier ein kleines Heimnetzwerk (zwei User, 30 Clients, davon viele IOT), für das ich zwar theoretisch auch gerne den Hardware-Overkill hätte, andererseits ist es ja auch eine Kostenfrage...
-
Die Hardwarefrage stellte sich mir auch, da ich bis vor einem Monat eine APU1D im Einsatz hatte.
Im Kostenrahmen von ca. 400 EUR habe ich mich für folgende Lösung entschieden:
- Mainbord Board: Jetway NF792i-3160 (zwei I211-Ethernet-Controller)
- Gehäuse: Chieftec IX-03B-85W
- RAM: CRUCIAL (DDR3/1600, 4GB)
- SSD: TRANSCEND (120GB, M.2 2242)
In der Summe waren 370 EUR zu legen. Nun, eine APU2C4 ist billiger zu haben
und hat auch einen Ethernet-Port mehr im Vergleich zu meiner Lösung.
Dennoch habe ich mich wegen mangelnder Leistungsreserven bzgl. OpenVPN nicht
für eine APU2 entschieden. OpenVPN profitiert nun mal von einem höheren Takt
des Prozessorkernes.Fazit:
Das Teil läuft stabil mit pfSense 2.4.3 und hat im Vergleich zur APU1D eine satte
Verbesserung der OpenVPN-Leistung vorzuweisen.
DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.7.0-RELEASE (amd64)
-
Bei der Gelegenheit will ich mal eine Lanze für die APU2C4 brechen. Habe davon mehr als 10 Stück im Einsatz. Teilweise mit mit IPS (Snort), pfBlockerng und HAProxy. Die CPU ist meist bei ca. 10-20% im normalen Betrieb.
IPSec (P1 & P2 mit AES-256, SHA-256 und DH14) läuft problemlos bis ca. 100 MBit/s.Und das für weniger als 200€ ist unschlagbar.
Viele Grüße
-
Ich habe in der Firma sogar noch eine APU1 laufen, auf deren SD-Karte (keine SSD) ich gerade frisch 2.4.3-P1 installiert habe.
Einen ständigen IPsec Tunnel und noch keine weiteren Pakete installiert - macht eine Load Average 0.39 0.48 0.31 Damit kann ich bis zu neuer Hardware echt leben.
Gefühlt ist das Web-Interface auch deutlich schneller als vorher unter 2.2.6, womit ich nie gerechnet hätte. -
Ansonsten gibts mit 3 Interfaces genug alternative Lösungen, die Frage ist immer wie groß der Geldbeutel und wie gut die Verarbeitung sein soll. Bei 4 Interfaces ists momentan nicht ganz so schön, wird aber besser und bei ~6 ist die Auswahl wieder massiv größer.
-
Moin,
@gladius während die Zwerge spielen habe ich mal eben einen FTP Upload auf meinen via OpenVPN angebundenen Server geschoben, Durchsatz etwa 2Mbyte/Sek. die APU2 hat Lastspitzen bei 33%. Mehr Bandbreite hatte ich gerade nicht , da Junior 2 wohl wieder seine spielerische Leistung live streamt und ich kann ja auch nicht immer der Böse sein :-). Es sind schließlich seine letzten Ferien ...
Die Lanner auf der anderen Seite lag im Schnitt bei 18-20%
-teddy
-
Folgendes Szenarium habe ich mir zum Test der OpenVPN-Leistung des jetzt von mir im
Einsatz befindlichen Jetway-Boards ausgedacht.Da ich eine SSD mit ausreichend Speicherplatz auf der Firewall habe, stelle ich auf dem
PC eine Verbindung zum OpenVPN-Server her und kopiere eine ca. 4 GB grosse Datei
mittels sftp auf die SSD und hole mir die Datei danach wieder auf den PC.
Lan-Interface ist 1000baseTX. Damit sollte eigentlich OpenVPN der
Flaschenhals bei diesem Testszenarium sein.Zu den OpenVPN-Parametern:
- Device mode (tun)
- Protocol (tcp)
- NCP Algorithms (aes-128-gcm)
- Compression (default)
pfSense Einstellungen:
- Cryptographic Hardware (none)
Transferleistungen über den Tunnel:
- Datei von der Firewall zum PC: zwischen 184 MBit/s und 192 MBit/s
- Datei vom PC zur Firewall: zwischen 164 MBit/s und 172 MBit/s
In beiden Fällen ist der Kern auf dem OpenVPN läuft mit 100% am Anschlag.
Der Kern mit SFTP werkelt mit ca. 50%.Im Vergleich zur alten APU1D ist das eine deutliche Verbesserung.
Leider kann ich dieses Testszenarium nicht mit einer APU2C4
durchführen. Ich habe keine zur Verfügung.Frage an die Runde. Ist dieses Szenarium für die Messung der
OpenVPN-Leistung brauchbar oder sollte ich es verwerfen?
Ich würde gern ein paar Meinungen hören.LG
-
Der Test scheint die Grenzen Deiner Hardware aufzuzeigen, mein Flaschenhals wäre hier ganz klar der Upstream, bei 50Mbit ist hier Schluss und damit ist so eine potente Hardware für mich in meiner Situation Perlen vor die Säue
Meine Haupt Gegenstelle hat sogar "nur" einen 35Mbit Downstream. Bei Gelegenheit teste ich noch mal mit der CH Gegenstelle...Magst du mal mit UDP als Protokoll testen? Die Integrität des Datenstroms ist ja durch OpenVPN schon sicher gestellt.
Bei Mikrotik Routern taucht TCP only ja immer wieder als Kritikpunkt auf...
Mich interessiert halt ob das spürbar was ausmacht.-teddy
-
Bezüglich OpenVPN über UDP habe ich bei sonst gleichen Bedingungen nun auch mein Testszenarium genutzt.
Die Werte für die OpenVPN-Leistung mit UDP als Protokoll sind etwas schlechter als die mit TCP.
Eine stichhaltige Erklärung für diese Tatsache habe ich nicht. Kann es sein, daß TCP intern
die Sende-/Empfangspuffer besser optimiert als es bei UDP der Fall ist?
Ich möchte die Aussagen auch nicht verallgemeinern, da sie sich ja nur auf mein spezielles
Testszenarium beziehen.Transferleistungen über den Tunnel mit UDP:
- Datei von der Firewall zum PC: zwischen 154 MBit/s und 160 MBit/s
- Datei vom PC zur Firewall: zwischen 118 MBit/s und 121 MBit/s
Ich habe auch noch mal mit TCP gemessen und muß eine Korrektur bzgl. der vorherigen
Messung anmerken. Hier die neuen Werten.Transferleistungen über den Tunnel mit TCP:
- Datei von der Firewall zum PC: zwischen 183 MBit/s und 187 MBit/s
- Datei vom PC zur Firewall: zwischen 134 MBit/s und 138 MBit/s
Im Endeffekt kann ich sagen, daß die Leistung des Jetway-Boards meiner Meinung nach genügend Reserven
bzgl. der OpenVPN-Leistung aufweist. Meine Anbindung an das Internet ist zur Zeit VDSL50
und da hätte es die APU1D auch noch getan, wenn da nicht pfSense 2.5 mit der AES-NI Problematik
im Raum stehen würde.
Außerdem hat es Spaß gemacht die neue Firewall aus einzelnen Komponenten aufzubauen was auch
völlig unproblematisch verlief.LG
-
OpenVPN-Leistung des Jetway- Boards NF792i-3160 mit AES-128-CBC
Bei sonst gleichen Testbedingungen ergaben sich folgende Werte:
- Datei vom PC zur Firewall: zwischen 108 MBit/s und 112 MBit/s
- Datei von der Firewall zum PC: zwischen 144 MBit/s und 148 MBit/s
Das ist im Vergleich zur standardmäßig von mir verwendeten AEAD cipher
AES-128-GCM eine deutlich geringere Leistung, die aber selbst bei einem
Internetzugang mit z. B. VDSL100 nicht gegen die Verwendung
von OpenVPN als VPN-Protokoll spricht. -
OpenVPN-Leistung des Jetway- Boards NF792i-3160 getunnelt über SSL.
Am PC wird stunnel und auf der Firewall HAProxy für den SSL-Tunnel
(ciphersuite: ECDHE-RSA-AES256-GCM-SHA384, TCP-Port 443) eingesetzt.Die OpenVPN-Parameter sind wieder:
- Device mode (tun)
- Protocol (tcp)
- NCP Algorithms (aes-128-gcm)
- Compression /default)
pfSense Einstellungen:
- Cryptographic Hardware (none)
Transferleistungen über den Tunnel:
- Datei von der Firewall zum PC: zwischen 148 MBit/s und 160 MBit/s
- Datei vom PC zur Firewall: zwischen 102 MBit/s und 106 MBit/s
Das ist im Vergleich zur alten APU1D wieder eine deutliche Verbesserung. Die vier Kerne des Celeron N3160
in Verbindung mit dem höheren CPU-Takt machen den Unterschied. -
Moin, ich habe den vorgänger von dieser hier:
http://www.lannerinc.com/products/network-appliances/x86-desktop-network-appliances/nca-1020 -
Wie sieht es mit Bezugsquellen von "Lanner-Teilen" aus? Wer kann dazu was sagen?
LG
-
-
@magicteddy said in Hardwareupdate:
ich habe einfach JeGr angehauen, hat problemlos geklappt.
Okay, die Teile von Lanner sind sicher ihr Geld wert. Bin aber auch mit meiner Bastellösung zufrieden.
Danke für die Info.
LG -
Basteln ist für zu Hause auch überhaupt nichts Schlimmes - auch wenn ich inzwischen in dem "ich will dass es einfach (lange) läuft" Alter bin und keine Lust mehr habe, nach 45h+ Woche dann noch zu Hause zum Netzwerker zu mutieren
Ich habe eben leider bei einigen Marken im "Prosumer" bzw. KMU Umfeld die Erfahrung gemacht, dass "billig kaufen, doppelt kaufen" heißt - oder jede Menge Ärger und Zeit. Darum bin ich dort kein Freund von Netgear, wie von den APU Geräten. Ist wie gesagt einfach eigene (teils schmerzliche) Erfahrung, aber wenn man dann von den Systemtechnikern schon das zweite Mal eine APU2 zurückgeschickt bekommt, die unter Last und Temperatur eben die Grätsche macht, wirds einfach lästig. Denn was die kosten weiß hier ja so ziemlich jeder. Und wenn man dann mal einfach darüber nachdenkt, wieviel Zeit dann bei Kunden wie bei mir dafür draufgeht, das Mistding ständig zu prüfen, auszutauschen, in der Republik herumzuschicken - dann ist das echt nicht mehr lustig.
Darum schreibe ich meine Meinungen auch immer aus der/meiner Sicht - und nicht weil ich heiß bin Geräte zu verticken
-
@jegr bei der Aussage bin ich zu 100% bei Dir, denn für einen professionellen Kunden oder für meine Firma wird das ganz schnell kostspielig, wenn Geräte nicht mehr oder nicht mehr zuverlässig laufen.
Daher werden in größeren Unternehmen Netzwerk-Switche nach spätestens 5 Jahren auch stumpf ausgetauscht, egal ob sie (noch) laufen oder bislang nie ein Problem gezeigt haben. Dass ich mit meiner Consumer-Mütze genau diese Geräte dann für Daheim kaufe ist eine ganz andere Denkweise. Beides ist in Ordnung.
Wenn ich Zuhause dann auch Ruhe haben will und nicht nach Fehlern suchen möchte, dann wähle ich auch JeGr's Ansatz und kaufe neu/hochwertiger als vielleicht nötig. Dafür habe ich Ruhe und kann Zeit mit meiner Familie verbringen. Das ist mir oftmals mehr Wert als Geld gespart zu haben. -
aber ganz ehrlich, im privat bereich gibt es kein problem wenn man
einen swicht etc. aus einem rechenzentrum kauft ... laufzeit ohne ende aber power up cycles gegen unerheblich. die teile rennen auch im keller noch eine halbe ewigkeit für weit weniger als der consumer switch neu, vorausgesetzt man benötigt alle oder gerade die features. -
Moin,
die typischen ausgemusterten Switche aus einem Rechenzentrum o.ä. möchte ich hier definitiv nicht verbauen, ich schraub mir doch kein Föhn ins Rack :-) , mein Haussegen hing schon gewaltig schief als mein G8 Microserver eine etwas potentere und lautere Kühlung für den neuen Xeon statt des original verbauten Celeron erhielt. zum Glück gab es dann die Dell Cashback Aktion für den Dell T20, leiser, gleiche Leistung, mehr Platz, geringerer Stromverbrauch.
Auch vom Stromverbrauch dürften die ausgemusterten Switche in einer anderen Liga spielen.
Ich hatte Glück, ein Cisco SG300-20 für 100€ per Abholung gleich ums Eck, was will man mehr ...-teddy
@Work Lanner FW-7525B pfSense 2.7.2
@Home APU.2C4 pfSense 2.7.2
@CH APU.1D4 pfSense 2.7.2 -
@jahonix said in Hardwareupdate:
Daher werden in größeren Unternehmen Netzwerk-Switche nach spätestens 5 Jahren auch stumpf ausgetauscht, egal ob sie (noch) laufen oder bislang nie ein Problem gezeigt haben.
Hmm,
ab wann ist ein Unternehmen ein 'größeres' Unternehmen!?
Bei uns haben wir noch einen ProCurve 4208VL am Laufen (~10 Jahre). Ist sogar noch in Wartung! Hab aber zur Sicherheit bzw. Einfachheit halber mal einen 2. 4208VL gebraucht gekauft. Gab es für 150€ bei ebay.
Im Falle des Falles einfach die aktuelle Config rein und umstöpseln. Dann ist die Fertigung wieder am Netz.
Schneller als jeder Hersteller-Mission-Critical-Support.
Aber so ein Teil würde ich mir auch nie zu Hause hinstellen. Wäre mit FC und 120 LAN Ports auch etwas oversized!
