Расчет производительности pfsense

neexon

Добрый день!

Подскажите, как рассчитать примерную производительность железа для pfsense? на данный момент требуется около 3-х офисов соединить OpenVPN, скорость тоннеля не должна быть менее 30 мбит (лучше - больше). Ну и плюс запас на еще вновь появившиеся офисы.

Хватит ли, например
https://www.nix.ru/autocatalog/motherboards_gigabyte/GIGABYTE-GA-J3455N-D3H-rev10-Celeron-J3455-onboard-RTL-Dsub-plus-HDMI-2xGbLAN-SATA-Mini-ITX-2DDR3-SO-DIMM_303739.html

Fallen_A

@neexon:

Добрый день!

Подскажите, как рассчитать примерную производительность железа для pfsense? на данный момент требуется около 3-х офисов соединить OpenVPN, скорость тоннеля не должна быть менее 30 мбит (лучше - больше). Ну и плюс запас на еще вновь появившиеся офисы.

Хватит ли, например
https://www.nix.ru/autocatalog/motherboards_gigabyte/GIGABYTE-GA-J3455N-D3H-rev10-Celeron-J3455-onboard-RTL-Dsub-plus-HDMI-2xGbLAN-SATA-Mini-ITX-2DDR3-SO-DIMM_303739.html

Вам хватило бы и 775 сокета. Вопрос только в самом канале, ибо в OpenVPN мне не удавалось поднять выше 30 мбит/с.

pigbrother

На Celeron N3150 1.60GHz я получал 60 Мбит Open VPN, т.е. всю ширину канала ISP.  Это без включения  AES-NI.

Выбранная плата на схожем процессоре - Celeron J3455, имеет  поддержку  AES-NI. Без нее 3 туннеля Open VPN могут сильно нагрузить CPU.  Если планируется гонять большой трафик по всем трем туннелям одновременно может оказаться выгодным поднять по экземпляру Open VPN сервера для каждого филиала, каждый будет грузить свое ядро (Open VPN - однопоточный).
Насколько поможет включение поддержки  AES-NI - в рабочих условиях не проверял, подождем ответа werter.

Минус выбранной платы - сетевые Реалтек. Не смертельно, но крайне желателен Intel. У этой и похожих плат есть свободный  PCI-E, можно купить (БУ) двухпортовую сетевую Intel.

ComProf

на реалтеках заходим в System/Advanced/Networking и ставим галку "Disable hardware checksum offload" как говорит об этом мануал.

@pigbrother:

Минус выбранной платы - сетевые Реалтек. Не смертельно, но крайне желателен Intel. У этой и похожих плат есть свободный  PCI-E, можно купить (БУ) двухпортовую сетевую Intel.

Тут лучше конкретизировать, потому как они бывают разные. Да еще и по разному реализованы (хардвар вилан или 2 отдельных чипа). соответственно можно еще больше проблем на голову получить.

Рекомендую автору: RB750Gr3. меньше 50 на соединение не упадет. раз уже что-то покупать придется. если оно уже есть, то рекомендация скорее всего не уместна.

werter

Добрый.
@ComProf:

Да еще и по разному реализованы (хардвар вилан или 2 отдельных чипа). соответственно можно еще больше проблем на голову получить.
Два чипа - что-то уж оч. древнее. И невыгодное в плане произ-ва. Сейчас все в одном SOC-е живет.

Рекомендую автору: RB750Gr3.

Было уже. Есть в разы дешевле и не хуже. С тем же iptables на борту. Плюс аппаратно AES поддерживается.
https://forum.pfsense.org/index.php?topic=147079.msg798873#msg798873

ComProf

@werter:

Добрый.

Рекомендую автору: RB750Gr3.

Было уже. Есть в разы дешевле и не хуже. С тем же iptables на борту. Плюс аппаратно AES поддерживается.
https://forum.pfsense.org/index.php?topic=147079.msg

Изучая рынок, я не нашел в той же ценовой категории (50-52у.е.) роутер на 2х ядрах 880MHz каждое (MediaTek MT7621A,
Crypto:200Mbps Crypto Suite) и 256MB мозгами. Просто 1 как центральный, остальные слейвы и вот оно щастье. или если офис из 1-2 человека то вообще 1 как головной и закончились растраты. джунипер и т.д. - на порядок дороже и имхо нужен если у тебя там 100-150 абонентов интернету в 100мбит мозг ковыряют.

Кстати сразу скажу что PF тоже не для всех задач подходит. В связи с ограничениями FreeBSD и как оказалось достаточно серьездными, в тонкости вдаватся не буду.

Ниже написанное - мое имхо, которое исходит из анализа и наблюдений в течении 5 дней несносного конфигурирования данного продукта.
Что касательно просчета железа, давайте попробуем ответить. И так:
Для обычного роутинга и просто так загрузившись ось съедает около 200мб, сис требования минимум гиг для норм работы. но у нас впн+шифрование… если взять хардвар шифрование то это уже не меньше Core i3, всякие селероны и атомы и пентиумы в топку(от головной боли по дальше). если уж софтвар все таки, то 2 ядра по гигагерца 3 - для комфортной работы. ну и памяти влепил бы 4гб чтоб запасик был =) можно и на похуже конечно, но думаю поплохеет в час пик ей.

werter

Изучая рынок, я не нашел в той же ценовой категории (50-52у.е.) роутер на 2х ядрах 880MHz каждое (MediaTek MT7621A, Crypto:200Mbps Crypto Suite) и 256MB мозгами.

Роутеры по ссылке выше имеют тоже семейство SOC Медиатек. Да, не 2-ух ядерный цпу, но мы же про впн-клиентов говорим.
И стоят они по 20-25 у.е. новые, БУ можно в 1.5-2 раза дешевле найти на авито.

если взять хардвар шифрование то это уже не меньше Core i3

Интел? Спасибо, не надо. В этом году они достаточно уже "удивили". С уязвимостями и тормозами после 100500 патча.
Плюс стоимость их явно завышена.

https://www.cyberciti.biz/faq/how-to-find-out-aes-ni-advanced-encryption-enabled-on-linux-system/

AMD Bulldozer/Piledriver/Steamroller/Jaguar/Puma-based processors.
AMD Geode LX processors.

Т.е. фактически любой массовый цпу АМД на рынке на сегодня.

pigbrother

Интел? Спасибо, не надо. В этом году они достаточно уже "удивили". С уязвимостями и тормозами после 100500 патча.
Плюс стоимость их явно завышена.
Возможно эта новость:
https://www.ixbt.com/news/2018/05/03/v-processorah-intel-najdeno-eshjo-vosem-ujazvimostej-chetyre-iz-kotoryh-otnosjatsja-k-kriticheskim-.html
Заставить вас любить относиться к AMD еще лучше.
Возможно это новость из разряда ОБС, возможно уязвимы и процессоры AMD… Время покажет.

ComProf

и те и другие хороши. НО ПРОЧТИТЕ ВНИМАТЕЛЬНО:
Уязвимости в процессоре.

Шта? Вы вообще понимаете о чем пишут эти дегроды?! в процессоре, вы серьезно?
Я конечно слыхал об этом еще в конце прошлого года, но блин реально дальше слов

Уязвимости в процессоре

можно не читать.
Не умение(желание) программировать начиная с i8086 которое изящно уничтожалось с появлением этой архитектуры и привело к таким последствиям.

werter

Добрый.
Уязвимости в архитектуре CPU. И они действительно существуют и действительно оч. серъезны.
Например, позволяют вытаскивать данные аутентификации из "RAM" вирт. машин прямо на гипервизоре. Этого уже достаточно.

Другой вопрос - баг это в архитектуре CPU или фича (бэкдор) для сами-знаете-кого  8)

derwin

@werter:

Другой вопрос - баг это в архитектуре CPU или фича (бэкдор) для сами-знаете-кого  8)

насколько помню линукс по этой причине генерирует рандомные значения на основе рандомных данных со входа микрофона.
А то одна известная корпорация как то сознавалась в закладке в процессоре для сами знаете кого, когда рандом на самом деле не рандом. А значит вся твоя нагенерированная криптография на самом деле не такая уж и нагенерированная, и уже подвержена MITM уязвимости.