Pfsense und zusätzliche Netzwerkkarte - wer kann helfen?



  • Hallo zusammen!

    Ich bin ein wenig ratlos, wie ich meine zusätzliche Netzwerkkarte für ein LAN in Pfsense einbinden kann.

    Mein System ist ein MSI H81I - Board mit Intel i3-4170 und 8GB RAM.
    Da das Mainboard nur einen Netzwerk-Anschluss hat, habe ich für den PCI-E-Slot eine IBM Intel PRO/1000 PT Quad Port Server-Netzwerkkarte (Low Profile) eingebunden.

    Diese wird leider schon bei der automatischen Erkennung (Punkt 1 "Assign Interfaces") nicht erkannt, wie die boardeigene Netzwerkschnittstelle und ebenso bei der Auswahl in der Webobfläche (Interfaces -> assign) ebenfalls nicht angezeigt.
    Lediglich ein blau unterlegter Hinweis mit "Interfaces that are configured as members of a lagg(4) interface will not be shown." ist neben der boardeigenen Netzwerkkarte zu finden.

    Was habe ich verkehrt gemacht?
    Soll ich besser ein andere Main-Board kaufen, bei welchem von vornherein mehrere Netzwerkbuchsen vorhanden sind oder bin ich einfach zu blond?

    Meinen Freund kann ich leider mit dem Thema nicht belästigen, denn der kennt sich mit solchen Sachen noch weniger aus.

    Liebe Grüsse und vielen Dank im Voraus.



  • Deine Intel Karte sollte eigentlich mit pfSense funktionieren.
    Schau mal unter  Interfaces: assign  auf dem Tab "LAGG" ganz rechts nach, ob die aus irgend einem Grund zu einem LAGG gebonded sind - wobei der Hinweis eigentlich immer unter der Tabelle steht.
    https://doc.pfsense.org/index.php/LAGG_Interfaces

    Ansonsten unter  Diagnostics: Command Prompt  die Datei  /var/log/dmesg.boot  herunterladen und posten. Dann können wir sehen, ob die Karte beim Booten überhaupt erkannt wird.



  • Hallo,

    offenbar wird dieNetzwerkkarte in deinem System nicht erkannt. An pfSense wird es wohl nicht liegen.
    Die Konstellation Mainboard mit on-Board NIC + Quad Port Netzwerkkarte darf auch nicht das Problem sein. Ich habe selbst 2 MB mit je 2 NICs + Intel Quad Port Karte in Betrieb, da gab es nie Schwierigkeiten.

    Die Karte scheint ja schon ein etwas älteres Modell zu sein, ist möglicherweise nicht ganz kompatibel mit dem Board oder mit den aktuellen Einstellungen. Die Karte kann wohl nur PCI-e Gen. 1, das Board Gen. 2 od. 3.
    Im Mainboard BIOS gibt es in den "Advanced Settings" die Option "PCI Subsystem Settings" > "PEG0 - Gen X". Stelle diese mal auf Gen1 und speichere die Sache und versuch nochmals dein Glück.

    Vielmehr als das und das Übliche wie Karte schlecht eingesteckt oder kaputt oder Mainboard kaputt fällt mir dazu leider auch nicht ein.

    Grüße



  • Erstmal viele Dank für die schnelle Reaktion.

    Mit meinem Projekt eines Routers via. Pfsense scheine ich offenbar nicht unter einem guten Stern zu stehen.  :-[

    Erst kaufte ich mir ein Asus-Board Z87-K, welches offensichtlich nicht mit dem i3-4170 (entgegen der Asus-Kompatibilitätsliste) nicht funktionieren wollte und nun die Erfahrung mit der Netzwerkkarte - das ist schon frustrierend.

    Doch nun zurück zur Netzwerkkarte und der dmesg.boot-Datei, welche ich hier mal als Anhang mit anfüge.

    In den erweiterten Einstellungen vom BIOS habe ich die PCI-Subsystemeinstellungen von "AUTO" mal auf "Gen.1" geändert, doch die Situation bleibt irgendwie unverändert.

    Die Netzwerkkarte wird sowohl im Terminal-Menü bei Auswahl des Punktes 1. "Assign Interfaces" nicht erkannt und in der Weboberfläche von Pfesense unter "Interfaces"->"(assign)" ebefalls nicht angezeigt.

    Lediglich ein blau unterlegter Bereich mit dem Hinweis "Interfaces that are configured as members of a lagg(4) interface will not be shown." weisst darauf hin, dass da noch mehr Interfaces sind, doch diese Mitglieder von "lagg" sind.

    Sobald ich aber unter "LAGGs" diese einbinden will, fehlt mir das "Parent-Inferface" welchem ich diese zuordnen kann.

    dmesg-boot.txt


  • Moderator

    Lediglich ein blau unterlegter Bereich mit dem Hinweis "Interfaces that are configured as members of a lagg(4) interface will not be shown." weisst darauf hin, dass da noch mehr Interfaces sind, doch diese Mitglieder von "lagg" sind.

    Dieser Hinweis erscheint immer und hat nichts mit deiner Situation oder der Karte zu tun. Nicht davon ablenken lassen. Dein Problem ist hier wirklich die Karte, die komplett vom DMESG auch nicht angezeigt oder erkannt wird. Ich zumindest finde keine Spur davon, dass die Karte erkannt wird.

    Andere Frage: Normalerweise sollte sich die Karte auch im BIOS o.ä. zeigen, da die großen Intel NICs normalerweise PXE Boot o.ä. können. Sprich die Karte müsste ja bereits während / nach dem BIOS und vor dem Booten kurz angezeigt werden, damit man ihr Controller BIOS aufrufen kann. Funktioniert das denn? Oder ist die Karte ggf. selbst das Problem?



  • Die Karte wird so gar nicht im DMESG erwähnt, dass es schon wieder auffällig ist.
    Vermutlich leuchtet auf der Pro1000 auch nirgends eine LED, oder?
    Ich würde behaupten, dass die einfach defekt ist.



  • Im Bios taucht bei den bootbaren Verbindungen nirgends auf. Bei Anschluss eines Netzwerkkabels leuchtet lediglich bei einem der 4 NIC eine grüne Diode, so dass ich vermute, dass entweder die Netzwerkarte komplett defekt ist oder die Karte für das Mainboard zu alt ist.



  • Um dem Drama ein wenig Abhilfe zu verschaffen, werde ich nun kommende Woche ein anderes Mainboard (Supermicro A1SRM-2758F) mit 4 GB-NICs on Board bestellen. Ich denke, dass dies der beste Weg sein wird und hoffe, dass es mit dem neuen Mainboard und Pfsense keine Probleme geben dürfte.

    Probehalber hatte ich gestern noch 2 Rankie USB3.0 to RJ45-Gigabit-Adapter bestellt, welche zwar an und für sich funktionieren, doch in der WEG-Gui von Pfsense zwar ohne weitere Informationen angezeigt werden und ferner ein eigenartiges asynchrones Verhalten aufweisen.

    Wir haben hier eine synchrone 300Mbps-Leitung (Upstream=Downstream) und unter Einsatz der USB-Adapter erhalte ich je nach Anschlussart in eine Richtung nur 10% von dem, was möglich ist.
    Soll heissen, dass wenn ich den USB-Adapter mit dem Router verbinde, der Upstream nur 30Mbps ist … klemme ich das Ganze um und verbinde den boardeigenen NIC direkt mit dem Router, habe ich im Downstream nur 30Mbps und im Upstream 300Mbps. :o

    Komisches Verhalten und ich vermute, dass dies nur mit den Adaptern zusammenhängen kann.

    Bin mal gespannt, wie das mit dem Supermicro-Board funktioniert  ::)



  • Moin,

    ob das eine gute Idee war? :o
    https://forum.pfsense.org/index.php?topic=125202.0

    -teddy



  • Noch habe ich es noch nicht bestellt  ;)

    Welches Board in dem Bereich mit 4 NIC oder mehr wäre denn alternativ für den Einsatz mit Pfsense zum empfehlen?


  • Moderator

    Zum Einen: m.E. zu großes Trara über die ganze Sache. Zum Anderen werden - angeblich - bereits erste Boards mit Workaround versprochen an Kunden mit RMA. Ist zwar nicht gesichert, dass eine neue Bestellung ein Board erwischt mit Workaround implementiert aber in DE hast du auch 2 Jahre Gewährleistung was allein schon über die "angeblichen" 18 Monate hinaus geht.
    Ansonsten gibt es aber auch im 4-Kern Bereich das ein oder andere Board mit 4NICs.



  • @nastyBCN:

    Um dem Drama ein wenig Abhilfe zu verschaffen, werde ich nun kommende Woche ein anderes Mainboard (Supermicro A1SRM-2758F) mit 4 GB-NICs on Board bestellen.

    Dann schaue Dir das Board an Supermicro X11SBA-LN4F


  • Moderator

    Hallo Tobi,

    mit Verlaub: warum? Der N3700 ist ja schon schwächer als der C2558. Warum dann sich diesen anschauen? Kerntakt niedriger, auch nur ein 4-Kerner, macht mir gerade wenig Sinn. Wenn ich eh schon das C2758er Board in Betracht ziehe und dem Atom Kram ausweichen will, kann man entweder warten und die C3000er in Empfang nehmen (den Nachfolger von Rangely und Avoton) oder sich bspw. den Xeon-D 1508, 1518 oder 1528 anschauen. So viel mehr wie ein C2758 kosten die Boards auch nicht, haben dann schon DDR4 an Bord und das Board des bspw. 1518er 4Kerners ist eine wahre Goldgrube an Schnittstellen:

    https://www.supermicro.com/products/motherboard/Xeon/D/X10SDV-TP8F.cfm

    6x Gigabit
    2x SFP+ 10GE
    und noch IPMI, was will man mehr :)



  • Hi,

    mit Verlaub: warum?

    • sein derzeitiges Setup ist auch nicht so "der ganz großer burner"
    • Sollte es wirklich Schwierigkeiten mit der C2 Serie geben (hab das nur am Rande mitbekommen) wäre es eine Alternative
    • Ob er jetzt bei einer FW mit einem der beider Boards unbedingt "besser" dran wird …


  • @JeGr:

    So viel mehr wie ein C2758 kosten die Boards auch nicht

    X11SBA-LN4F: 265,-
    X10SDV-TP8F: 495,-
    Das halte ich bei einer privaten Installation schon für relevant, und ob da ein XEON wirklich die sinnvollere Wahl ist?

    @Tobi:

    • sein derzeitiges Setup…

    ihr jetziges Setup…



  • @nastyBCN:

    Rankie USB3.0 to RJ45-Gigabit-Adapter

    Was ich so auf die Schnelle herausfinden konnte war, dass da wohl ein Realtek Chip drinsteckt.
    Als was wurde der denn erkannt, sowas wie re0 oder rl0 oder so?

    Generell sind USB NICs unter FreeBSD nicht wirklich anzuraten, da gibt es wohl mehr Probleme als glückliche User.



  • @jahonix:

    Was ich so auf die Schnelle herausfinden konnte war, dass da wohl ein Realtek Chip drinsteckt.
    Als was wurde der denn erkannt, sowas wie re0 oder rl0 oder so?

    Generell sind USB NICs unter FreeBSD nicht wirklich anzuraten, da gibt es wohl mehr Probleme als glückliche User.

    Die beiden USB-NICs (ich hatte gleich 2 von denen gekauft) werden von Pfsense als ue0 und ue1 erkannt und bei der automatischen Erkennung bzw. Anzeige als "(down)" angezeigt.
    In der Web-GUI stehen keine weiteren Infos zum jeweiligen NIC drin. Bei dem boardeigenen NIC steht ja zum Beispiel "Vollduplex" usw drin. Bei den USB steht rein gar nix drin - nur halt ein grüner Pfeil, dass da halt was dran ist.
    Ist aber auch nicht so schlimm, da es nur ein kleiner Notbehelf war, um zu sehen, ob das überhaupt klappt.

    @jahonix:

    X11SBA-LN4F: 265,-
    X10SDV-TP8F: 495,-
    Das halte ich bei einer privaten Installation schon für relevant, und ob da ein XEON wirklich die sinnvollere Wahl ist?

    Das Xeon-Board ist tatsächlich verlockend …. doch man sollte nicht vergessen, dass es immerhin ja nicht nur beim Boardbreis von derzeit 559,-€ bleibt (https://www.sona.de/.1934295384-Supermicro-Mainboard-X10SDV-TP8F-Single), sondern dann ja die passenden RAM's gekauft werden müssen.
    Für das C2758 Board (https://www.sona.de/.1115958728-Supermicro-Mainboard-A1SRM-2758F-Single) mit derzeit 377,97€, habe ich an und für sich hier noch reichlich DDR3-RAM rumliegen. Die Frage ist halt nur, ob man unbedingt ECC-RAM braucht oder nicht, denn den müsste ich dann kaufen.

    Auf der anderen Seite hat das Xeon-Board bereits zusätzlich 2 x SFP+ on Board - man sollte also die zusätzlichen Kosten von ner gebrauchten Duo-SFP+-PCI-e-Karte nicht vergessen, welche ja immerhin mit zusätzlichen 150,-€ sich in Summe auf 528,-€ belaufen und ferner auch von der Fehleranfälligkeit her grösser ist, als die SFP+-NIC on Board.

    Ich werde heute morgen abwarten, was Sona zu dem Thema sagt, insbesondere zu dem Thema der C2xxx-er Reihe.

    An und für sich halte ich den Atom mit 8 Kernen für keine schlechte Option, denn er soll ja lediglich das Netzwerk nach aussen sichern und die Nezwerke der derzeit 2 Anbieter (1x FBTH + 1x SAT).
    Intern läuft dann hier eh alles in erster Linie über ne Switch von Mikrotik (CRS226-24G-2S+RM) - daher ja auch der Punkt, dass der PCI auf dem Board eher für ne SFP+-Karte verwendet werden soll, welche dann mit dem Switch verbunden wird.

    Rein vom Bauchgefühl tendiere ich derzeit zum X10SPV-TP8F ;)

    Sicher ist das mit den bisherigen Boards ne dumme Geschichte und hat halt Geld gekostet. Ich könnte mich zwar drüber ärgern, doch bringen würde es mir zum jetzigen Zeitpunkt vermutlich nichts viel.
    Insofern denke ich, dass das mit dem Supermicro-Borad die bessere Option ist.

    Euch allen hier nochmals vielen lieben Dank für Eure Hilfe und herzliche Grüsse aus Barcelona - Tassja


  • Moderator

    Ahoi :)

    unbedingt ECC-RAM braucht oder nicht, denn den müsste ich dann kaufen.

    Unbedingt nicht, es ist aber gerade beim Gateway/Firewall schon angenehm, sich nicht mit Bitfehlern oder -kippern herumschlagen zu müssen und was ein einzelnes Bit so anrichten kann, gab es schon die ein oder andere Story zu. Es gibt bspw. Malware Sites, die speziell auf Domains aufgebaut wurden, die durch Bit-Fehler im DNS entstehen und damit den DNS Namen dann falsch übermitteln… Aua.
    Aber starten könnte man da mit anderem RAM natürlich schon - nur muss das, was du noch rumliegen hast, da auch reinpassen von der Kompatibilität her ;)

    Das halte ich bei einer privaten Installation schon für relevant, und ob da ein XEON wirklich die sinnvollere Wahl ist?

    Autsch. Sorry, da hatte ich noch andere Preise auf dem Radar :/

    Ich werde heute morgen abwarten, was Sona zu dem Thema sagt, insbesondere zu dem Thema der C2xxx-er Reihe.

    Persönlich und Privat halte ich das Thema immer noch für wesentlich größer aufgebauscht als es ist und würde mir da weniger Gedanken drum machen, aber das darf und soll natürlich jeder für sich selbst entscheiden.

    Bauchgefühl zum Xeon Board

    Also das Board ist ja u.a. die Basis für die 5018D-FN8T Server.
    http://www.supermicro.com/products/system/1U/5018/SYS-5018D-FN8T.cfm
    Die haben wir schon fast ein dutzend Mal verkauft und selbst 3 davon im Einsatz - u.a. im RZ Betrieb - und die Teile laufen toll. Klar in der WebUI könnten sie manchmal doch noch nen Tacken schneller sein, aber das wird hoffentlich mit zunehmender pfSense und weniger PHP von selbst kommen (und ist auch durch CARP etc. bedingt).
    Bei uns laufen die Teile aber auch an Switchen mit SFP+ und das ist wirklich ein Plus. Leider das einzige Supermicro Board / Superserver, der momentan mit dieser tollen Bestückung kommt. Gäbe es ein ähnliches Board mit C2558 oder C2758 (oder den neuen C3000er dann), wäre das eine richtig runde Sache.

    Euch allen hier nochmals vielen lieben Dank für Eure Hilfe und herzliche Grüsse aus Barcelona - Tassja

    Zu meiner Schande gestehe ich, dass ich auch das sie/er nicht gelesen hatte, wobei Geschlechter hier ja Schall und Rauch sind :D Trotzdem schön wieder einen weiblichen User mehr zu begegnen - ich hoffe das Wetter in Barcelona ist gerade angenehmer als in Deutschland :D

    Grüße
    Jens



  • Ja das Wetter hier in Barcelona ist auf jeden Fall zur Zeit schöner (es reicht zumindest zum Sonnen auf der Terrasse, für's Wasser ist's allerdings noch ein wenig zu frisch) - Aussenthermometer zeigt derzeit hier so um die 17Grad im Schatten an.

    Habe eben das X10SDV-TP8F mit nem 16GB ECC-DDR4 bestellt und harre mal der Dinge, bis es hier eintrifft.

    Das Board mit dem i3 werde ich mal für andere DInge (NAS o.Ä) verbasteln - da fällt mir schon etwas ein.

    LG - Tassja

    P.S. Keine Angst wegen des "er" ..  :) Da stehe ich drüber und ich vermute, dass es wohl dieser Bereich hier ohnehin eher eine Männerdomäne ist.



  • Kurzer Zwischenbericht:

    Das neue Board (Supermicro X10SDV-TP8F) ist gestern eingetroffen und Pfsense ist neu installiert.

    Alles funktioniert derzeit bestens!  :)

    Mit den verschiedenen Filtern und Modulen werde ich mich aber noch auseinandersetzen müssen.

    Trotz allem - vielen Dank für die Hilfe und liebe Grüße aus Barcelona - Tassja


  • Moderator

    Das ist schön zu hören! Wenn du über 10G nachdenkst und das Board etwas weiter ausreizen willst würden sich zwar diverse Performance Einstellungen, Sysctl Tweaks und evtl abschalten vom Hyperthreading noch als Tuning anbieten, aber ansonsten hast du damit garantiert Spaß :)



  • Hallo,

    warum bringt das Abschalten von Hyperthreading einen Performancegewinn? Oder besser gefragt, was genau könnte sich damit steigern lassen?
    Kann mir ja nicht vorstellen, dass das aktuelle FreeBSD HT nicht nutzen kann.



  • Bei Firewalls kenne ich das Abschalten von Hyperthreading als Empfehlung bisher nur von Checkpoint / GAiA, und da auch nur bei Openserver (eigener Hardware). Das aber nur, um Stabilitätsproblemen vorzubeugen, schneller werden die dadurch nicht. Bei den eigenen Appliances wird Anschalten empfohlen und u.U. 30% Performancegewinn versprochen.

    Bei pfSense wüsste ich nicht, wie das Abschalten ein Board weiter ausreizen würde.



  • @JeGr:

    Das ist schön zu hören! Wenn du über 10G nachdenkst und das Board etwas weiter ausreizen willst würden sich zwar diverse Performance Einstellungen, Sysctl Tweaks und evtl abschalten vom Hyperthreading noch als Tuning anbieten, aber ansonsten hast du damit garantiert Spaß :)

    Die CPU ist derzeit immer noch bei 0% … also muss ich vermutlich über's Tunen noch nicht nachdenken.

    Ich hatte gestern erstmal damit zu tun, um die Hitze vom Board weg zu bekommen, denn das Rack (1U) hatte ne recht bescheidene Belüftung und die Supermicro-Boards werden an einigen Stellen sehr warm.
    Da die Einheit jedoch im obersten Einschub des Serverschranks ist, habe ich einfach oben unmittelbar über dem Board einen 8cm-Lüfter nach Aussen gebaut. Nun schnurrt die CPU bei 37C und die Stelle, welche auch laut nem andren englischen Forum bis zu 60C heiss wird, ist laut Sensoren runter auf 45C.

    Kommende Woche kommt noch die Mikrotik-Switch und dann werde ich auch die Server, NAS-Systeme und die Satelliten-Verbindung in das neue Netzwerk einbinden.
    Mal sehen, wie dann die CPU ausgelastest ist.  ;)


  • Moderator

    Die CPU ist derzeit immer noch bei 0% … also muss ich vermutlich über's Tunen noch nicht nachdenken.

    Tuning bezieht sich weniger auf CPU als mehr auf IO Durchsatz der Interfaces. :)
    Es gibt da einige Puffer und Queues die sich evtl. verbessern lassen, aber dazu musst du sehen, ob du da Bedarf hast und an Limits kommst. HT ausmachen und Parameter wie igb_num_queues anpassen ist gemeint.



  • @JeGr:

    HT ausmachen

    Und wo bringt das nun genau Performance?


  • Moderator

    Wird bei High-Performance Throughput und low latency networking unter FreeBSD generell empfohlen. U.a. nachzulesen

    https://calomel.org/freebsd_network_tuning.html

    Steht auch in den entsprechenden Files in den Kommentaren (sysctl.conf / loader.conf)

    Edit:
    https://calomel.org/network_performance.html

    What about Intel Hyper threading or simultaneous multithreading (SMT) ?

    Disable Hyper-Threading.

    When you have a single operation or thread generating high CPU utilization, Hyper-Threading does not increase performance. Hyper-Threading can only help when you have high CPU utilization caused by a number of separate threads trying to execute at the same time where the number of threads is at least twice the amount of real cpu cores. This is where you trade increased latency for increased throughput as explained and tested by Intel in the paper titled, Performance Insights to Intel® Hyper-ThreadingTechnology According to Intel the most you will gain is a 20% throughput advantage with added thread processesing latency.

    Hyper-Threading, also called simultaneous multithreading in the BIOS, can increase message rate for multi process applications by having more logical cores. This increases the latency of a single process due to lower frequency of a single logical core when hyper-threading is enabled. This means interrupt processing of the NICs will be slower, load will be higher and packet rate will decrease.

    We highly recommend disabling Hyper-Threading for latency and message rate sensitive applications like firewalls, routers, storage, dns and ntp servers.



  • Klingt logisch. Jedenfalls teilweise.

    Meine Denke war, ich habe einige Prozesse auf der pfSense laufen, wie mehrere OpenVPN Server, Suricata, ntopng oder den Webserver, die allesamt wieder in mehreren Threads laufen können, und da sollte HT was bringen. Ja, aber die meisten dieser sind eh ständig im Idle-Mode.

    Letzten Endes kann es wohl eh nur jeder für sich durch Benchmarks herausfinden, was die optimale Einstellung ist.

    Danke für die Erläuterung.