Und wieder eine Hardwarefrage :)



  • Mahlzeit.

    Es geschehen doch gelegentlich Zeichen und Wunder hier. Wir bekommen hier bei uns im Dörfchen im 3. Quartal 2018 oder im 1. Quartal 2019, das weiss noch keiner so genau ;D, VDSL von der Telekom bereitgestellt. Es sollen 50 Mbit/s, eventuell auch 100 Mbit/s zur Verfügung gestellt werden. Also gestern bei abklingenden Alkoholgehalt und Kopfschmerzen die APU1D4 frisch mit der 2.4.3 aufgesetzt und paar Tests gestartet. Bei aktuell 5 Mbit/s hier ist die Langeweile groß. Nur mit einer Handvoll Regeln sind hier 350 - 400 Mbit/s möglich. Wird IPsec genutzt, sind es knapp 70 Mbit/s, die durch die Interfaces fliesssen. IPsec ist unsere erste Wahl um von außen auf das Intranet zu zugreifen. Hinzu kommt noch eine permanente VPN-Verbindung zu Hide.me per OpenVPN, welche noch nicht läuft.

    Wird das mit der Hardware nicht ein bisschen knapp? Hier sind noch kein Traffic Shaper, Squid oder andere Dienste installiert. Würde die APU2 mit der AES-NI CPU das besser wuppen? Oder lieber etwas potenteres wie z.B. ein Supermicro Board: https://www.supermicro.nl/products/motherboard/Atom/X10/A1SRi-2358F.cfm bzw. https://www.supermicro.nl/products/motherboard/Atom/X10/A1SRi-2558F.cfm oder äquivalent?

    Unser Profil: Wir sind ein Privathaushalt, gelegentlicher Zugriff von außen per IPsec, Serienjunkies und Netflixsüchtig, bisschen VLAN für die Gäste und Spielekonsolen über das dritte Interface.

    Gruß, Mike



  • Moin,

    die APU2 wuppt schon ein wenig mehr, langfristig wirst du um eine Aufrüstung wohl nicht umhin kommen, https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html. was soll denn über Hide.me laufen? Lediglich surfen oder richtig Traffic?

    -teddy



  • Ich bin sehr zufrieden mit dem etwas älteren Supermicro: https://www.supermicro.com/products/motherboard/X11/X11SBA-LN4F.cfm

    Nutze es mit dem Vigor 130 an einem VDSL100 Anschluss und einem Netgear LB2120 als Failover.
    Dazu mehrere VLANs, zb. für die China Gadgets, Gäste WiFi etc.



  • @magicteddy:

    Moin,

    die APU2 wuppt schon ein wenig mehr, langfristig wirst du um eine Aufrüstung wohl nicht umhin kommen, https://www.netgate.com/blog/pfsense-2-5-and-aes-ni.html. was soll denn über Hide.me laufen? Lediglich surfen oder richtig Traffic?

    -teddy

    Danke für die Infos. Wir teilen uns mit 4 Leuten ein Hide.me Premium,, das sind 25 Taler im Jahr und da looft richtig Traffic drüber. Soll sich auch lohnen. ;D
    Das APU1D4 wird ab 2.5 nicht mehr supported, meine ich hier mal gelesen haben. Also ist ein Upgrade unumgänglich. Fur das APU2 spricht eigentlich nur der Boardtausch. ein alternatives mITX ist ebenfalls nicht so tragisch, ein 1HE Gehäuse ind paar SODIMM liegt noch hier rum,

    Ich bin sehr zufrieden mit dem etwas älteren Supermicro: https://www.supermicro.com/products/motherboard/X11/X11SBA-LN4F.cfm

    Nutze es mit dem Vigor 130 an einem VDSL100 Anschluss und einem Netgear LB2120 als Failover.
    Dazu mehrere VLANs, zb. für die China Gadgets, Gäste WiFi etc.

    Und, kannst du damit wilde Sau spielen oder bricht irgendwas weg an Leistung?



  • Joa, was heisst wilde Sau… habe an 5 Interfaces (inkl. diverse VLANs) snort laufen und nutze VPN um mich von außen zu connecten (IPSec und OpenVPN sowohl über VDLS als auch LTE auf der Firewall). Die Kiste hat definitiv noch genug Luft. Mit iperf Tests habe ich mich noch nicht beschäftigt.
    Temperatur liegt so bei knapp 50° im 1U in meinem Serverschrank. 2 Supermicro Lüfter sind darin verbaut.



  • Also ich habe dasselbe MB von Supermicro, wie @renegade und bin damit ebenso absolut zufrieden. Da du hier VPN ansprichst, kann ich dir sagen, dass man damit zumindest 25MB/s ausreizen kann (mit der bestmöglichen Verschlüsselung per OpenVPN), mehr gibt meine Leitung nicht her. Dabei bewegt sich die CPU Last bei ca. 50-60%.

    Allerdings würde ich persönlich dieses jetzt nicht mehr neu kaufen, da gibt es bessere/aktuellere Hardware mit mehr Potential, z.B. Supermicro A2SDi-4C-HLN4F.



  • Sorry für die späte Antwort.

    @renegade:

    Joa, was heisst wilde Sau… habe an 5 Interfaces (inkl. diverse VLANs) snort laufen und nutze VPN um mich von außen zu connecten (IPSec und OpenVPN sowohl über VDLS als auch LTE auf der Firewall). Die Kiste hat definitiv noch genug Luft. Mit iperf Tests habe ich mich noch nicht beschäftigt.
    Temperatur liegt so bei knapp 50° im 1U in meinem Serverschrank. 2 Supermicro Lüfter sind darin verbaut.

    Na wilde Sau wäre 2 Streams mit je 20 Mbit/s über VPN, dazu SQUID und 2 Dutzend Regeln, so was in der Art. Scheint sie aber zu wuppen.

    @un1que:

    Allerdings würde ich persönlich dieses jetzt nicht mehr neu kaufen, da gibt es bessere/aktuellere Hardware mit mehr Potential, z.B. Supermicro A2SDi-4C-HLN4F.

    Das Board wird hier für ein NAS genutzt, produziert meiner Meinung nach mächtig Abwärme. Meine auch gelesen zu haben, das die C3000 Serie noch nicht unterstützt werden. Lass mich auch eines Besseren belehren. Was ist mit der 2-Kern Version, der A2SDi-2C-HLN4F? Die nächste Bandbreitenerhöhung werde ich wohl nicht miterleben, da müssten sie FTTH anbieten.



  • @mike69:

    Na wilde Sau wäre 2 Streams mit je 20 Mbit/s über VPN, dazu SQUID und 2 Dutzend Regeln, so was in der Art. Scheint sie aber zu wuppen

    Also ich hab hier das APU2C4 mit Samsung EVO und 64Bit Installation an einer 250Mbit Leitung für ca 100 Clients. 3 VLAN's auf LAGG0 , pfBlockerNG & LetsEncrypt (Acme) sind auch dabei. Zudem nutze ich DNS Resolver, DHCP Server und DNSSEC. CPU & MBUF pendeln meist so zwischen 6-9%.  IPsec nutze ich nicht, dafür findest du hier was https://bsdrp.net/documentation/examples/ipsec_performance_of_a_pc_engines_apu2



  • Danke für den Link.

    Abgesehen davon, Wenn es hier nur für 50Mbit/s reicht, ist neue Hardware sowieso obsolet, zumindest solange 2.4.x supported wird. Werden es bald wissen.

    Danke nochmal für die Infos.



  • Hallo mike69,

    falls du dich für eine APU2C4 entscheiden solltest, würde ich mich über einen Durchsatztest im VPN freuen.
    Bei meinen 50MBit/s kommt sie nicht annähernd an eine Grenze.
    Kannst ja einfach nochmal Rückmeldung geben hier.

    Viele Grüße und Dankeschön



  • @bepo:

    Hallo mike69,

    falls du dich für eine APU2C4 entscheiden solltest, würde ich mich über einen Durchsatztest im VPN freuen.
    Bei meinen 50MBit/s kommt sie nicht annähernd an eine Grenze.
    Kannst ja einfach nochmal Rückmeldung geben hier.

    Viele Grüße und Dankeschön

    Klar.

    Bei der letzten Spielerei mit squid, clamav, IPsec und paar Regeln kam das APU1D4 auf gerade mal 16 Mbit/s. Zwei Rechner, verbunden mit GBit-LAN über die Interfaces LAN und OPT1, inkl. aktivierter IPsec-VPN, einfach mal 5GB über Sambafreigaben verschoben. Das witzige an der Sache war die CPU-Last, keine 40%.
    Entweder eine zerschossene Konfig oder die APU kann es nicht besser. /var und /tmp liegen übrigens im RAM.

    Vielleicht kann da einer was dazu sagen.



  • @mike69:

    Vielleicht kann da einer was dazu sagen.

    Es gilt vielleicht zu berücksichtigen das zwischen APU1 (AMD Bobcat)  und APU2 (AMD Jaguar) ein unterschied besteht. Erstere will man nicht und letztere kennt man aus Xbox One / PS4 (wenngleich mit höherem Takt).  Es ist daher auch kein Zufall das die beiden CPUs auf unterschiedlichen Sockeln platziert sind, und sich die Chipsätze unterscheiden. Nicht zu erwähnen daß die neuere USB3, AES-NI & ECC anbietet. Davon ganz abgesehen hat man bei den NIC's von Realtek zu Intel gewechselt.

    M.M.n wäre es nicht falsch von einen Vergleich zwischen Apfel und Birne zu reden. LINK



  • @Bordi:

    @mike69:

    Vielleicht kann da einer was dazu sagen.

    Es gilt vielleicht zu berücksichtigen das zwischen APU1 (AMD Bobcat)  und APU2 (AMD Jaguar) ein unterschied besteht. Erstere will man nicht und letztere kennt man aus Xbox One / PS4 (wenngleich mit höherem Takt).  Es ist daher auch kein Zufall das die beiden CPUs auf unterschiedlichen Sockeln platziert sind, und sich die Chipsätze unterscheiden. Nicht zu erwähnen daß die neuere USB3, AES-NI & ECC anbietet. Davon ganz abgesehen hat man bei den NIC's von Realtek zu Intel gewechselt.

    M.M.n wäre es nicht falsch von einen Vergleich zwischen Apfel und Birne zu reden. LINK

    Mir ging es um die Leistung der APU1, kam wohl nicht so richtig rüber. 16 Mbit/s mit squid, clamav über eine IPsec Verbindung bei dezenter CPU-Last, nehme an, da wird der Speicher, Chipsatz oder ähnliches der limitierende Faktor sein. 50% höherer Speichertakt wird dieses worst cast Scenario nicht auf 50 Mbit puschen.

    Ansonsten hast Du Recht, zwei verschiedene Boards. Intel NICs und AES-NI haben schon was.





  • Den hab ich auch.

    Die pfSense läuft darauf allerdings in einer KVM-VM. Bislang no prob.



  • Dank diesem Post meine ich die geeignete Hardware gefunden zu haben, und zwar die APU4B4. :)

    @bepo:

    Hallo mike69,

    falls du dich für eine APU2C4 entscheiden solltest, würde ich mich über einen Durchsatztest im VPN freuen.
    Bei meinen 50MBit/s kommt sie nicht annähernd an eine Grenze.
    Kannst ja einfach nochmal Rückmeldung geben hier.

    Viele Grüße und Dankeschön

    Geht bald an, wenn die Installation funktioniert.



  • @bepo said in Und wieder eine Hardwarefrage :):

    Hallo mike69,

    falls du dich für eine APU2C4 entscheiden solltest, würde ich mich über einen Durchsatztest im VPN freuen.
    Bei meinen 50MBit/s kommt sie nicht annähernd an eine Grenze.
    Kannst ja einfach nochmal Rückmeldung geben hier.

    Viele Grüße und Dankeschön

    Noch Interesse?

    Hier das Ergebniss:
    0_1530696944892_pfSense.home - Status: Dashboard - Mozilla Firefox_052.png

    0_1530696961288_Terminal - mike@T530: ~_054.png

    Um die 70 Mbit/s.
    Da war die APU1D4 auch nicht wirklich schlechter. Man muss aber auch erwähnen, dass sich die Sense auch um das VLAN kümmern muss, was die APU1 nicht brauchte.



  • @mike69 Danke dir :-) Mittlerweile hab ich es sogar selbst evaluieren können. Welche VPN Technologie und Settings wurden verwendet?



  • @bepo said in Und wieder eine Hardwarefrage :):

    @mike69 Danke dir :-) Mittlerweile hab ich es sogar selbst evaluieren können. Welche VPN Technologie und Settings wurden verwendet?

    Nutze IPsec mit AES 128 bits, wie in der Wiki beschrieben.
    0_1530697836954_Auswahl_055.png

    Habe noch ein bissl mit PowerD rumexperimentiert, keine Änderung.☹
    Hatte mir mehr erhofft.
    Wass solls, jetzt steht das Ding hier und reicht für ne 50 Mbit Leitung.😏