Hardwareupdate



  • Hallo zusammen,

    ich habe aktuell ein APU1D Board im Einsatz. Angedacht war, dass ich auf ein APU2C4 umsteige. Bei einer Suche habe ich gerade noch das APU4B4 gesehen, was von den Spezifikationen her wohl dem 2C4 gleicht, aber zusätzliche USB Ports hat.

    Ich merke allerdings, dass mein aktuelles (1D) Board in meinem kleinen Privatnetzwerk schon extremst in die Knie geht!! CPU-Auslastung von 100% ist nicht selten, und das war schon, bevor ich überhaupt VLAN eingerichtet hatte. Jetzt mit VLAN gibt es ständig Verbindungsabbrüche etc., die ich mir nur durch mangelnde Power erklären kann (bzw. es liegt zumindest nicht an den Firewall-Regeln o.Ä., denn ich habe beispielsweise ein VLAN für iot eingerichtet; der Zugriff funktioniert grundsätzlich (anpingen, Webcamstreams, ...), ist dann aber plötzlich minutenlang oder noch länger komplett weg).

    APU1D hat 2x 1GHz AMD T40E, die anderen beiden hätten zumindest 4x 1GHz AMD GX-412TC. 4GB RAM sind/wären in allen Boards verbaut.

    Ich nutze pfSense für

    • Firewall
    • VLAN (mehrere!)
    • DNS Server
    • DHCP Server (mehrere, je 1x pro VLAN)
    • NTP Server
    • pfblocker-ng
    • DDNS
    • openVPN (use case 1-2 User gleichzeitig verbunden, maximal 6 User gleichzeitig verbunden)

    ...wo ich gerade einen Screenshot machen wollte, läuft die CPU schön zwischen 11 - 24%, war klar :D

    Welche Hardware empfehlt Ihr mir? Ich möchte andere Möglichkeiten (z.B. Proxy, Reverse-Proxy, darkstat, ...) gerne in Zukunft, wenn ich mich voll eingespielt habe, auch mal ausprobieren. Daher sollte leistungstechnisch schon Luft nach oben sein bei der passenden Hardware für mein aktuellen Anforderungen.

    3 Ethernet Ports reichen mir, also mehr wird zumindest nicht wirklich benötigt. 1x WAN, 1x LAN (daran hängt ein Switch, der sich auch um VLAN kümmern kann) ist eigentlich ausreichend. Andererseits hat selbst meine aktuelle 1D schon drei Ethernet Ports, und auch gegen mehrere hätte ich natürlich nichts, solange sie nicht übermäßig den Preis in die Höhe treiben.

    Ausgeben wollte ich ~350 EUR, Schmerzgrenze sind 500 EUR. Gibt es da etwas Passendes? Schneller Versand (amazon oÄ) ist gern gesehen, denn die 1D-Gurke treibt mich momentan gerade echt zur Verzweifelung, weil alles ewig dauert. Selbst die Weboberfläche reagiert total langsam, dabei bin ich direkt per Ethernet Kabel verbunden (also über den Switch, aber der bremst jetzt nicht großartig aus).

    Es sollen ca. 30 Devices (lan und wifi) bespaßt werden, was allerdings komplett durch ubiquiti Hardware übernommen wird (pfsense muss halt DHCP etc. für jedes Gerät machen). Auch hier habe ich lieber etwas Luft nach oben, als später noch einmal nachrüsten zu müssen....

    Vielen Dank für Eure Tipps :) LG



  • Habe seit einer Woche die APU4B4 am laufen, meine eine fixere Bedienung erkannt zu haben. Und scheint ein Tick kühler zu laufen, kann auch an der Toleranz der Messzellen liegen.

    Bei der Hardware mit mehr als 2 Nics wird die Luft schon dünner.

    Weiter unten stellte ich dieselbe Frage bezüglich potenterer Hardware, da sind paar Alternativen von anderen Usern.



  • Danke für die Info!

    Was meinst Du mit "meine eine fixere Bedienung erkannt zu haben"? Bzw. was war denn vorher im Einsatz? Ich merke bei der 1D wirklich, dass sie extrem laggt. Beispiel Wechsel von Dashboard auf DHCP Leases dauert bestimmt 5 Sekunden.

    Ich bin ja leider eher so ein Overkill-Mensch und liebäugle gerade mit der XG-7100, die nun wirklich mal mein geplantes Budget überschreitet, aber mit der dann für die nächsten Jahre erstmal Ruhe sein sollte ;)



  • Na das klicken durch die Menüs finde ich persönlich ein bissl fixer. Das Dashboard braucht lange, ist auch ein Haufen drinne bei mir.
    Komme von einer APU1D4, steht ja noch in der Signatur.
    👇 👇 ☺

    Die XG-7100 ist fett, besitzt aber keine 10 Netzwerkports, sondern nur 4. 2 x 10Gbps SFP+ Ports und die anderen 8 sind ein Switch und die werden von den anderen 2 2,5 Gbps versorgt. Wenn es dich nicht stört, schickes Ding für den Keller, wäre mir allerdings zu mächtig.



  • @mike69 ist mir eigentlich auch zu mächtig, bzw. zu teuer!! Von der Größe her fnd ich es schon ganz nett, da es das 19" Rack weniger leer aussehen lassen würde ^^

    Wenn mir 2-3 Ethernet Ports reichen (3 sollten es eigentlich schon sein), gibt es dann keine andere Lösung? Ein eingebauter Switch ist nicht notwendig, es sollten nur CPU und RAM Luft nach oben für alle benötigten Services haben (selbst die APUB4B hat ja "nur" 4x1,irgendwas GHz)...



  • Gibt es.

    Weiter unten wurde ebenfalls eine Hardwarefrage gestellt. Da sind einige Lösungen bekanntgegeben, einige User nutzen da z.B Supermicro Boards.



  • Servus,

    ich werde mir die nächste Woche mal meinen Dell R210 II mit einem E3 1245 anschauen. Habe den noch rumliegen und eine 4er NIC Karte.
    Hoffe damit kann ich dann 1Gbit durch die VLANs routen/switchen.



  • Aktuell -seit dem Werksreset und komplett neuer Einrichtung- läuft die APU1D relativ gut. Die WebGUI könnte immer noch schneller sein, aber insgesamt hat das gesamte Netzwerk eine bessere (gefühlte) Geschwindigkeit.

    Ich gehe davon aus, dass dann eine APU2C4/APU4C4 oder ggf. APU4B4 ausreichen wird.

    Abgesehen von openVPN habe ich erstmal alles eingerichtet, was ich für die tägliche Nutzung brauche, und die Leistung ist zumindest ausreichend - da sollte das "kleine" Hardwareupdate ausreichen.

    Ich bin kein Profi und habe hier ein kleines Heimnetzwerk (zwei User, 30 Clients, davon viele IOT), für das ich zwar theoretisch auch gerne den Hardware-Overkill hätte, andererseits ist es ja auch eine Kostenfrage...



  • Die Hardwarefrage stellte sich mir auch, da ich bis vor einem Monat eine APU1D im Einsatz hatte.

    Im Kostenrahmen von ca. 400 EUR habe ich mich für folgende Lösung entschieden:

    • Mainbord Board: Jetway NF792i-3160 (zwei I211-Ethernet-Controller)
    • Gehäuse: Chieftec IX-03B-85W
    • RAM: CRUCIAL (DDR3/1600, 4GB)
    • SSD: TRANSCEND (120GB, M.2 2242)

    In der Summe waren 370 EUR zu legen. Nun, eine APU2C4 ist billiger zu haben
    und hat auch einen Ethernet-Port mehr im Vergleich zu meiner Lösung.
    Dennoch habe ich mich wegen mangelnder Leistungsreserven bzgl. OpenVPN nicht
    für eine APU2 entschieden. OpenVPN profitiert nun mal von einem höheren Takt
    des Prozessorkernes.

    Fazit:
    Das Teil läuft stabil mit pfSense 2.4.3 und hat im Vergleich zur APU1D eine satte
    Verbesserung der OpenVPN-Leistung vorzuweisen. ☺



  • Bei der Gelegenheit will ich mal eine Lanze für die APU2C4 brechen. Habe davon mehr als 10 Stück im Einsatz. Teilweise mit mit IPS (Snort), pfBlockerng und HAProxy. Die CPU ist meist bei ca. 10-20% im normalen Betrieb.
    IPSec (P1 & P2 mit AES-256, SHA-256 und DH14) läuft problemlos bis ca. 100 MBit/s.

    Und das für weniger als 200€ ist unschlagbar.

    Viele Grüße



  • Ich habe in der Firma sogar noch eine APU1 laufen, auf deren SD-Karte (keine SSD) ich gerade frisch 2.4.3-P1 installiert habe.
    Einen ständigen IPsec Tunnel und noch keine weiteren Pakete installiert - macht eine Load Average 0.39 0.48 0.31 Damit kann ich bis zu neuer Hardware echt leben.
    Gefühlt ist das Web-Interface auch deutlich schneller als vorher unter 2.2.6, womit ich nie gerechnet hätte.


  • Moderator

    Ansonsten gibts mit 3 Interfaces genug alternative Lösungen, die Frage ist immer wie groß der Geldbeutel und wie gut die Verarbeitung sein soll. Bei 4 Interfaces ists momentan nicht ganz so schön, wird aber besser und bei ~6 ist die Auswahl wieder massiv größer.



  • Moin,

    @gladius während die Zwerge spielen habe ich mal eben einen FTP Upload auf meinen via OpenVPN angebundenen Server geschoben, Durchsatz etwa 2Mbyte/Sek. die APU2 hat Lastspitzen bei 33%. Mehr Bandbreite hatte ich gerade nicht , da Junior 2 wohl wieder seine spielerische Leistung live streamt und ich kann ja auch nicht immer der Böse sein :-). Es sind schließlich seine letzten Ferien ...

    Die Lanner auf der anderen Seite lag im Schnitt bei 18-20%

    -teddy



  • @magicteddy

    Folgendes Szenarium habe ich mir zum Test der OpenVPN-Leistung des jetzt von mir im
    Einsatz befindlichen Jetway-Boards ausgedacht.

    Da ich eine SSD mit ausreichend Speicherplatz auf der Firewall habe, stelle ich auf dem
    PC eine Verbindung zum OpenVPN-Server her und kopiere eine ca. 4 GB grosse Datei
    mittels sftp auf die SSD und hole mir die Datei danach wieder auf den PC.
    Lan-Interface ist 1000baseTX. Damit sollte eigentlich OpenVPN der
    Flaschenhals bei diesem Testszenarium sein.

    Zu den OpenVPN-Parametern:

    • Device mode (tun)
    • Protocol (tcp)
    • NCP Algorithms (aes-128-gcm)
    • Compression (default)

    pfSense Einstellungen:

    • Cryptographic Hardware (none)

    Transferleistungen über den Tunnel:

    • Datei von der Firewall zum PC: zwischen 184 MBit/s und 192 MBit/s
    • Datei vom PC zur Firewall: zwischen 164 MBit/s und 172 MBit/s

    In beiden Fällen ist der Kern auf dem OpenVPN läuft mit 100% am Anschlag.
    Der Kern mit SFTP werkelt mit ca. 50%.

    Im Vergleich zur alten APU1D ist das eine deutliche Verbesserung.
    Leider kann ich dieses Testszenarium nicht mit einer APU2C4
    durchführen. Ich habe keine zur Verfügung.

    Frage an die Runde. Ist dieses Szenarium für die Messung der
    OpenVPN-Leistung brauchbar oder sollte ich es verwerfen?
    Ich würde gern ein paar Meinungen hören.

    LG



  • Der Test scheint die Grenzen Deiner Hardware aufzuzeigen, mein Flaschenhals wäre hier ganz klar der Upstream, bei 50Mbit ist hier Schluss und damit ist so eine potente Hardware für mich in meiner Situation Perlen vor die Säue 😎
    Meine Haupt Gegenstelle hat sogar "nur" einen 35Mbit Downstream. Bei Gelegenheit teste ich noch mal mit der CH Gegenstelle...

    Magst du mal mit UDP als Protokoll testen? Die Integrität des Datenstroms ist ja durch OpenVPN schon sicher gestellt.
    Bei Mikrotik Routern taucht TCP only ja immer wieder als Kritikpunkt auf...
    Mich interessiert halt ob das spürbar was ausmacht.

    -teddy



  • @magicteddy

    Bezüglich OpenVPN über UDP habe ich bei sonst gleichen Bedingungen nun auch mein Testszenarium genutzt.
    Die Werte für die OpenVPN-Leistung mit UDP als Protokoll sind etwas schlechter als die mit TCP.
    Eine stichhaltige Erklärung für diese Tatsache habe ich nicht. Kann es sein, daß TCP intern
    die Sende-/Empfangspuffer besser optimiert als es bei UDP der Fall ist?
    Ich möchte die Aussagen auch nicht verallgemeinern, da sie sich ja nur auf mein spezielles
    Testszenarium beziehen.

    Transferleistungen über den Tunnel mit UDP:

    • Datei von der Firewall zum PC: zwischen 154 MBit/s und 160 MBit/s
    • Datei vom PC zur Firewall: zwischen 118 MBit/s und 121 MBit/s

    Ich habe auch noch mal mit TCP gemessen und muß eine Korrektur bzgl. der vorherigen
    Messung anmerken. Hier die neuen Werten.

    Transferleistungen über den Tunnel mit TCP:

    • Datei von der Firewall zum PC: zwischen 183 MBit/s und 187 MBit/s
    • Datei vom PC zur Firewall: zwischen 134 MBit/s und 138 MBit/s

    Im Endeffekt kann ich sagen, daß die Leistung des Jetway-Boards meiner Meinung nach genügend Reserven
    bzgl. der OpenVPN-Leistung aufweist. Meine Anbindung an das Internet ist zur Zeit VDSL50
    und da hätte es die APU1D auch noch getan, wenn da nicht pfSense 2.5 mit der AES-NI Problematik
    im Raum stehen würde.
    Außerdem hat es Spaß gemacht die neue Firewall aus einzelnen Komponenten aufzubauen was auch
    völlig unproblematisch verlief.

    LG



  • OpenVPN-Leistung des Jetway- Boards NF792i-3160 mit AES-128-CBC

    Bei sonst gleichen Testbedingungen ergaben sich folgende Werte:

    • Datei vom PC zur Firewall: zwischen 108 MBit/s und 112 MBit/s
    • Datei von der Firewall zum PC: zwischen 144 MBit/s und 148 MBit/s

    Das ist im Vergleich zur standardmäßig von mir verwendeten AEAD cipher
    AES-128-GCM eine deutlich geringere Leistung, die aber selbst bei einem
    Internetzugang mit z. B. VDSL100 nicht gegen die Verwendung
    von OpenVPN als VPN-Protokoll spricht.



  • OpenVPN-Leistung des Jetway- Boards NF792i-3160 getunnelt über SSL.

    Am PC wird stunnel und auf der Firewall HAProxy für den SSL-Tunnel
    (ciphersuite: ECDHE-RSA-AES256-GCM-SHA384, TCP-Port 443) eingesetzt.

    Die OpenVPN-Parameter sind wieder:

    • Device mode (tun)
    • Protocol (tcp)
    • NCP Algorithms (aes-128-gcm)
    • Compression /default)

    pfSense Einstellungen:

    • Cryptographic Hardware (none)

    Transferleistungen über den Tunnel:

    • Datei von der Firewall zum PC: zwischen 148 MBit/s und 160 MBit/s
    • Datei vom PC zur Firewall: zwischen 102 MBit/s und 106 MBit/s

    Das ist im Vergleich zur alten APU1D wieder eine deutliche Verbesserung. Die vier Kerne des Celeron N3160
    in Verbindung mit dem höheren CPU-Takt machen den Unterschied.





  • Wie sieht es mit Bezugsquellen von "Lanner-Teilen" aus? Wer kann dazu was sagen?

    LG



  • @gladius

    Moin,

    ich habe einfach JeGr angehauen, hat problemlos geklappt.

    -teddy



  • @magicteddy said in Hardwareupdate:

    ich habe einfach JeGr angehauen, hat problemlos geklappt.

    Okay, die Teile von Lanner sind sicher ihr Geld wert. Bin aber auch mit meiner Bastellösung zufrieden. ☺

    Danke für die Info.
    LG


  • Moderator

    Basteln ist für zu Hause auch überhaupt nichts Schlimmes - auch wenn ich inzwischen in dem "ich will dass es einfach (lange) läuft" Alter bin und keine Lust mehr habe, nach 45h+ Woche dann noch zu Hause zum Netzwerker zu mutieren 😉

    Ich habe eben leider bei einigen Marken im "Prosumer" bzw. KMU Umfeld die Erfahrung gemacht, dass "billig kaufen, doppelt kaufen" heißt - oder jede Menge Ärger und Zeit. Darum bin ich dort kein Freund von Netgear, wie von den APU Geräten. Ist wie gesagt einfach eigene (teils schmerzliche) Erfahrung, aber wenn man dann von den Systemtechnikern schon das zweite Mal eine APU2 zurückgeschickt bekommt, die unter Last und Temperatur eben die Grätsche macht, wirds einfach lästig. Denn was die kosten weiß hier ja so ziemlich jeder. Und wenn man dann mal einfach darüber nachdenkt, wieviel Zeit dann bei Kunden wie bei mir dafür draufgeht, das Mistding ständig zu prüfen, auszutauschen, in der Republik herumzuschicken - dann ist das echt nicht mehr lustig. 😅

    Darum schreibe ich meine Meinungen auch immer aus der/meiner Sicht - und nicht weil ich heiß bin Geräte zu verticken 😄



  • @jegr bei der Aussage bin ich zu 100% bei Dir, denn für einen professionellen Kunden oder für meine Firma wird das ganz schnell kostspielig, wenn Geräte nicht mehr oder nicht mehr zuverlässig laufen.
    Daher werden in größeren Unternehmen Netzwerk-Switche nach spätestens 5 Jahren auch stumpf ausgetauscht, egal ob sie (noch) laufen oder bislang nie ein Problem gezeigt haben. Dass ich mit meiner Consumer-Mütze genau diese Geräte dann für Daheim kaufe ist eine ganz andere Denkweise. Beides ist in Ordnung.
    Wenn ich Zuhause dann auch Ruhe haben will und nicht nach Fehlern suchen möchte, dann wähle ich auch JeGr's Ansatz und kaufe neu/hochwertiger als vielleicht nötig. Dafür habe ich Ruhe und kann Zeit mit meiner Familie verbringen. Das ist mir oftmals mehr Wert als Geld gespart zu haben.



  • aber ganz ehrlich, im privat bereich gibt es kein problem wenn man
    einen swicht etc. aus einem rechenzentrum kauft ... laufzeit ohne ende aber power up cycles gegen unerheblich. die teile rennen auch im keller noch eine halbe ewigkeit für weit weniger als der consumer switch neu, vorausgesetzt man benötigt alle oder gerade die features.



  • Moin,

    die typischen ausgemusterten Switche aus einem Rechenzentrum o.ä. möchte ich hier definitiv nicht verbauen, ich schraub mir doch kein Föhn ins Rack :-) , mein Haussegen hing schon gewaltig schief als mein G8 Microserver eine etwas potentere und lautere Kühlung für den neuen Xeon statt des original verbauten Celeron erhielt. zum Glück gab es dann die Dell Cashback Aktion für den Dell T20, leiser, gleiche Leistung, mehr Platz, geringerer Stromverbrauch.

    Auch vom Stromverbrauch dürften die ausgemusterten Switche in einer anderen Liga spielen.
    Ich hatte Glück, ein Cisco SG300-20 für 100€ per Abholung gleich ums Eck, was will man mehr ...

    -teddy



  • @jahonix said in Hardwareupdate:

    Daher werden in größeren Unternehmen Netzwerk-Switche nach spätestens 5 Jahren auch stumpf ausgetauscht, egal ob sie (noch) laufen oder bislang nie ein Problem gezeigt haben.

    Hmm,
    ab wann ist ein Unternehmen ein 'größeres' Unternehmen!? 😉
    Bei uns haben wir noch einen ProCurve 4208VL am Laufen (~10 Jahre). Ist sogar noch in Wartung! Hab aber zur Sicherheit bzw. Einfachheit halber mal einen 2. 4208VL gebraucht gekauft. Gab es für 150€ bei ebay.
    Im Falle des Falles einfach die aktuelle Config rein und umstöpseln. Dann ist die Fertigung wieder am Netz.
    Schneller als jeder Hersteller-Mission-Critical-Support.
    Aber so ein Teil würde ich mir auch nie zu Hause hinstellen. Wäre mit FC und 120 LAN Ports auch etwas oversized!😂



  • @magicteddy said in Hardwareupdate:

    ich schraub mir doch kein Föhn ins Rack :-)
    Auch vom Stromverbrauch dürften die ausgemusterten Switche in einer anderen Liga spielen.

    Mit Sicherheit, daher bevorzuge ich effiziente Switche ohne Lüfter für Zuhause. Zum Beispiel die SG300 oder SG350 Serien von Cisco.
    Und mein Bedarf an PoE hält sich (noch?) in Grenzen, das erledige ich mit einzelnen Injektoren.

    @monstermania said in Hardwareupdate:

    Im Falle des Falles einfach die aktuelle Config rein und umstöpseln.

    Also ich hätte den schon mit aktueller Firmware und Config versorgt, so dass er bei Bedarf allein mit dem Netzstecker in Betrieb zu nehmen ist. Cold Spare halt.



  • @magicteddy

    stimme dir zu.
    manchmal kann es aber wirklich (und das ist von fall zu fall zu überlegen)
    sinnvoller sein used Hardware zu kaufen wenn gewisse features notwendig sind
    (ad hoc fällt mir keines ein die ich jetzt() sofort benötigen würde) die von einem SBS Gerät nicht abgedeckt werden können.

    Positver Nebeneffekt wenn man einen Fön im Rack im Keller hat,
    man erspart sich die Heizung (rechenbsp ob das was bringt steht aus) und die wäsche im winter wird besser trocken (ob die luftfeuchtigkeit noch exakt optimal für die teile im rack ist sollte gemessen werden)

    ;) lg



  • @noplan said in Hardwareupdate:

    Positver Nebeneffekt wenn man einen Fön im Rack im Keller hat,
    man erspart sich die Heizung (rechenbsp ob das was bringt steht aus) und die
    wäsche im winter wird besser trocken (ob die luftfeuchtigkeit noch exakt optimal

    Man(n) muss halt abwägen, wir haben keinen Keller, nur unseren recht vollen Abstellraum direkt an die Küche grenzend, das bedeutet mit jedem dB Lärm steigt die Gefahr einer schlagartigen Konfrontation meines Denkbunkers mit dem marmornen Nudelholz, ich glaube hier kann jeder meine Argumentation für meine Situation nachvollziehen, ich bin halt kein lebensmüder Masochist ⛑ und meine Frau hat Geduld, wehe wenn ich einschlafe ...👩‍🔧

    -teddy


  • Moderator

    Der WAF ist defintiv ein lebenswichtiger und enorm überlebenswichtiger Bestandteil der Hardware Planung zu Hause 😄



  • @magicteddy

    ich bin voll bei dir !

    Aber .... !!
    wo krieg ich für unsere Küche ein Nudelholz aus Marmor her ;)


  • Moderator

    @noplan said in Hardwareupdate:

    wo krieg ich für unsere Küche ein Nudelholz aus Marmor her ;)

    We got you covered: https://www.amazon.de/dp/B07B7P7VH7/

    🤣 😆 😄



  • Moin,

    @noplan said in Hardwareupdate:

    ... wo krieg ich für unsere Küche ein Nudelholz aus Marmor her ;)

    Glaub mir, das willst Du nicht wirklich anschaffen, ganz schnell wendet es sich gegen dich ⛑
    Je nach Potenzial und Wut des Nudelholzschwingers wird es ganz schnell vom Beulenmacher 🤕 zum Dellenmacher 💀

    -teddy