Hardwareupdate
-
Hallo zusammen,
ich habe aktuell ein APU1D Board im Einsatz. Angedacht war, dass ich auf ein APU2C4 umsteige. Bei einer Suche habe ich gerade noch das APU4B4 gesehen, was von den Spezifikationen her wohl dem 2C4 gleicht, aber zusätzliche USB Ports hat.
Ich merke allerdings, dass mein aktuelles (1D) Board in meinem kleinen Privatnetzwerk schon extremst in die Knie geht!! CPU-Auslastung von 100% ist nicht selten, und das war schon, bevor ich überhaupt VLAN eingerichtet hatte. Jetzt mit VLAN gibt es ständig Verbindungsabbrüche etc., die ich mir nur durch mangelnde Power erklären kann (bzw. es liegt zumindest nicht an den Firewall-Regeln o.Ä., denn ich habe beispielsweise ein VLAN für iot eingerichtet; der Zugriff funktioniert grundsätzlich (anpingen, Webcamstreams, ...), ist dann aber plötzlich minutenlang oder noch länger komplett weg).
APU1D hat 2x 1GHz AMD T40E, die anderen beiden hätten zumindest 4x 1GHz AMD GX-412TC. 4GB RAM sind/wären in allen Boards verbaut.
Ich nutze pfSense für
- Firewall
- VLAN (mehrere!)
- DNS Server
- DHCP Server (mehrere, je 1x pro VLAN)
- NTP Server
- pfblocker-ng
- DDNS
- openVPN (use case 1-2 User gleichzeitig verbunden, maximal 6 User gleichzeitig verbunden)
...wo ich gerade einen Screenshot machen wollte, läuft die CPU schön zwischen 11 - 24%, war klar :D
Welche Hardware empfehlt Ihr mir? Ich möchte andere Möglichkeiten (z.B. Proxy, Reverse-Proxy, darkstat, ...) gerne in Zukunft, wenn ich mich voll eingespielt habe, auch mal ausprobieren. Daher sollte leistungstechnisch schon Luft nach oben sein bei der passenden Hardware für mein aktuellen Anforderungen.
3 Ethernet Ports reichen mir, also mehr wird zumindest nicht wirklich benötigt. 1x WAN, 1x LAN (daran hängt ein Switch, der sich auch um VLAN kümmern kann) ist eigentlich ausreichend. Andererseits hat selbst meine aktuelle 1D schon drei Ethernet Ports, und auch gegen mehrere hätte ich natürlich nichts, solange sie nicht übermäßig den Preis in die Höhe treiben.
Ausgeben wollte ich ~350 EUR, Schmerzgrenze sind 500 EUR. Gibt es da etwas Passendes? Schneller Versand (amazon oÄ) ist gern gesehen, denn die 1D-Gurke treibt mich momentan gerade echt zur Verzweifelung, weil alles ewig dauert. Selbst die Weboberfläche reagiert total langsam, dabei bin ich direkt per Ethernet Kabel verbunden (also über den Switch, aber der bremst jetzt nicht großartig aus).
Es sollen ca. 30 Devices (lan und wifi) bespaßt werden, was allerdings komplett durch ubiquiti Hardware übernommen wird (pfsense muss halt DHCP etc. für jedes Gerät machen). Auch hier habe ich lieber etwas Luft nach oben, als später noch einmal nachrüsten zu müssen....
Vielen Dank für Eure Tipps :) LG
-
Habe seit einer Woche die APU4B4 am laufen, meine eine fixere Bedienung erkannt zu haben. Und scheint ein Tick kühler zu laufen, kann auch an der Toleranz der Messzellen liegen.
Bei der Hardware mit mehr als 2 Nics wird die Luft schon dünner.
Weiter unten stellte ich dieselbe Frage bezüglich potenterer Hardware, da sind paar Alternativen von anderen Usern.
-
Danke für die Info!
Was meinst Du mit "meine eine fixere Bedienung erkannt zu haben"? Bzw. was war denn vorher im Einsatz? Ich merke bei der 1D wirklich, dass sie extrem laggt. Beispiel Wechsel von Dashboard auf DHCP Leases dauert bestimmt 5 Sekunden.
Ich bin ja leider eher so ein Overkill-Mensch und liebäugle gerade mit der XG-7100, die nun wirklich mal mein geplantes Budget überschreitet, aber mit der dann für die nächsten Jahre erstmal Ruhe sein sollte ;)
-
Na das klicken durch die Menüs finde ich persönlich ein bissl fixer. Das Dashboard braucht lange, ist auch ein Haufen drinne bei mir.
Komme von einer APU1D4, steht ja noch in der Signatur.
Die XG-7100 ist fett, besitzt aber keine 10 Netzwerkports, sondern nur 4. 2 x 10Gbps SFP+ Ports und die anderen 8 sind ein Switch und die werden von den anderen 2 2,5 Gbps versorgt. Wenn es dich nicht stört, schickes Ding für den Keller, wäre mir allerdings zu mächtig.
-
@mike69 ist mir eigentlich auch zu mächtig, bzw. zu teuer!! Von der Größe her fnd ich es schon ganz nett, da es das 19" Rack weniger leer aussehen lassen würde ^^
Wenn mir 2-3 Ethernet Ports reichen (3 sollten es eigentlich schon sein), gibt es dann keine andere Lösung? Ein eingebauter Switch ist nicht notwendig, es sollten nur CPU und RAM Luft nach oben für alle benötigten Services haben (selbst die APUB4B hat ja "nur" 4x1,irgendwas GHz)...
-
Gibt es.
Weiter unten wurde ebenfalls eine Hardwarefrage gestellt. Da sind einige Lösungen bekanntgegeben, einige User nutzen da z.B Supermicro Boards.
-
Servus,
ich werde mir die nächste Woche mal meinen Dell R210 II mit einem E3 1245 anschauen. Habe den noch rumliegen und eine 4er NIC Karte.
Hoffe damit kann ich dann 1Gbit durch die VLANs routen/switchen. -
Aktuell -seit dem Werksreset und komplett neuer Einrichtung- läuft die APU1D relativ gut. Die WebGUI könnte immer noch schneller sein, aber insgesamt hat das gesamte Netzwerk eine bessere (gefühlte) Geschwindigkeit.
Ich gehe davon aus, dass dann eine APU2C4/APU4C4 oder ggf. APU4B4 ausreichen wird.
Abgesehen von openVPN habe ich erstmal alles eingerichtet, was ich für die tägliche Nutzung brauche, und die Leistung ist zumindest ausreichend - da sollte das "kleine" Hardwareupdate ausreichen.
Ich bin kein Profi und habe hier ein kleines Heimnetzwerk (zwei User, 30 Clients, davon viele IOT), für das ich zwar theoretisch auch gerne den Hardware-Overkill hätte, andererseits ist es ja auch eine Kostenfrage...
-
Die Hardwarefrage stellte sich mir auch, da ich bis vor einem Monat eine APU1D im Einsatz hatte.
Im Kostenrahmen von ca. 400 EUR habe ich mich für folgende Lösung entschieden:
- Mainbord Board: Jetway NF792i-3160 (zwei I211-Ethernet-Controller)
- Gehäuse: Chieftec IX-03B-85W
- RAM: CRUCIAL (DDR3/1600, 4GB)
- SSD: TRANSCEND (120GB, M.2 2242)
In der Summe waren 370 EUR zu legen. Nun, eine APU2C4 ist billiger zu haben
und hat auch einen Ethernet-Port mehr im Vergleich zu meiner Lösung.
Dennoch habe ich mich wegen mangelnder Leistungsreserven bzgl. OpenVPN nicht
für eine APU2 entschieden. OpenVPN profitiert nun mal von einem höheren Takt
des Prozessorkernes.Fazit:
Das Teil läuft stabil mit pfSense 2.4.3 und hat im Vergleich zur APU1D eine satte
Verbesserung der OpenVPN-Leistung vorzuweisen.DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.7.0-RELEASE (amd64)
-
Bei der Gelegenheit will ich mal eine Lanze für die APU2C4 brechen. Habe davon mehr als 10 Stück im Einsatz. Teilweise mit mit IPS (Snort), pfBlockerng und HAProxy. Die CPU ist meist bei ca. 10-20% im normalen Betrieb.
IPSec (P1 & P2 mit AES-256, SHA-256 und DH14) läuft problemlos bis ca. 100 MBit/s.Und das für weniger als 200€ ist unschlagbar.
Viele Grüße
-
Ich habe in der Firma sogar noch eine APU1 laufen, auf deren SD-Karte (keine SSD) ich gerade frisch 2.4.3-P1 installiert habe.
Einen ständigen IPsec Tunnel und noch keine weiteren Pakete installiert - macht eine Load Average 0.39 0.48 0.31 Damit kann ich bis zu neuer Hardware echt leben.
Gefühlt ist das Web-Interface auch deutlich schneller als vorher unter 2.2.6, womit ich nie gerechnet hätte. -
Ansonsten gibts mit 3 Interfaces genug alternative Lösungen, die Frage ist immer wie groß der Geldbeutel und wie gut die Verarbeitung sein soll. Bei 4 Interfaces ists momentan nicht ganz so schön, wird aber besser und bei ~6 ist die Auswahl wieder massiv größer.
-
Moin,
@gladius während die Zwerge spielen habe ich mal eben einen FTP Upload auf meinen via OpenVPN angebundenen Server geschoben, Durchsatz etwa 2Mbyte/Sek. die APU2 hat Lastspitzen bei 33%. Mehr Bandbreite hatte ich gerade nicht , da Junior 2 wohl wieder seine spielerische Leistung live streamt und ich kann ja auch nicht immer der Böse sein :-). Es sind schließlich seine letzten Ferien ...
Die Lanner auf der anderen Seite lag im Schnitt bei 18-20%
-teddy
-
Folgendes Szenarium habe ich mir zum Test der OpenVPN-Leistung des jetzt von mir im
Einsatz befindlichen Jetway-Boards ausgedacht.Da ich eine SSD mit ausreichend Speicherplatz auf der Firewall habe, stelle ich auf dem
PC eine Verbindung zum OpenVPN-Server her und kopiere eine ca. 4 GB grosse Datei
mittels sftp auf die SSD und hole mir die Datei danach wieder auf den PC.
Lan-Interface ist 1000baseTX. Damit sollte eigentlich OpenVPN der
Flaschenhals bei diesem Testszenarium sein.Zu den OpenVPN-Parametern:
- Device mode (tun)
- Protocol (tcp)
- NCP Algorithms (aes-128-gcm)
- Compression (default)
pfSense Einstellungen:
- Cryptographic Hardware (none)
Transferleistungen über den Tunnel:
- Datei von der Firewall zum PC: zwischen 184 MBit/s und 192 MBit/s
- Datei vom PC zur Firewall: zwischen 164 MBit/s und 172 MBit/s
In beiden Fällen ist der Kern auf dem OpenVPN läuft mit 100% am Anschlag.
Der Kern mit SFTP werkelt mit ca. 50%.Im Vergleich zur alten APU1D ist das eine deutliche Verbesserung.
Leider kann ich dieses Testszenarium nicht mit einer APU2C4
durchführen. Ich habe keine zur Verfügung.Frage an die Runde. Ist dieses Szenarium für die Messung der
OpenVPN-Leistung brauchbar oder sollte ich es verwerfen?
Ich würde gern ein paar Meinungen hören.LG
-
Der Test scheint die Grenzen Deiner Hardware aufzuzeigen, mein Flaschenhals wäre hier ganz klar der Upstream, bei 50Mbit ist hier Schluss und damit ist so eine potente Hardware für mich in meiner Situation Perlen vor die Säue
Meine Haupt Gegenstelle hat sogar "nur" einen 35Mbit Downstream. Bei Gelegenheit teste ich noch mal mit der CH Gegenstelle...Magst du mal mit UDP als Protokoll testen? Die Integrität des Datenstroms ist ja durch OpenVPN schon sicher gestellt.
Bei Mikrotik Routern taucht TCP only ja immer wieder als Kritikpunkt auf...
Mich interessiert halt ob das spürbar was ausmacht.-teddy
-
Bezüglich OpenVPN über UDP habe ich bei sonst gleichen Bedingungen nun auch mein Testszenarium genutzt.
Die Werte für die OpenVPN-Leistung mit UDP als Protokoll sind etwas schlechter als die mit TCP.
Eine stichhaltige Erklärung für diese Tatsache habe ich nicht. Kann es sein, daß TCP intern
die Sende-/Empfangspuffer besser optimiert als es bei UDP der Fall ist?
Ich möchte die Aussagen auch nicht verallgemeinern, da sie sich ja nur auf mein spezielles
Testszenarium beziehen.Transferleistungen über den Tunnel mit UDP:
- Datei von der Firewall zum PC: zwischen 154 MBit/s und 160 MBit/s
- Datei vom PC zur Firewall: zwischen 118 MBit/s und 121 MBit/s
Ich habe auch noch mal mit TCP gemessen und muß eine Korrektur bzgl. der vorherigen
Messung anmerken. Hier die neuen Werten.Transferleistungen über den Tunnel mit TCP:
- Datei von der Firewall zum PC: zwischen 183 MBit/s und 187 MBit/s
- Datei vom PC zur Firewall: zwischen 134 MBit/s und 138 MBit/s
Im Endeffekt kann ich sagen, daß die Leistung des Jetway-Boards meiner Meinung nach genügend Reserven
bzgl. der OpenVPN-Leistung aufweist. Meine Anbindung an das Internet ist zur Zeit VDSL50
und da hätte es die APU1D auch noch getan, wenn da nicht pfSense 2.5 mit der AES-NI Problematik
im Raum stehen würde.
Außerdem hat es Spaß gemacht die neue Firewall aus einzelnen Komponenten aufzubauen was auch
völlig unproblematisch verlief.LG
-
OpenVPN-Leistung des Jetway- Boards NF792i-3160 mit AES-128-CBC
Bei sonst gleichen Testbedingungen ergaben sich folgende Werte:
- Datei vom PC zur Firewall: zwischen 108 MBit/s und 112 MBit/s
- Datei von der Firewall zum PC: zwischen 144 MBit/s und 148 MBit/s
Das ist im Vergleich zur standardmäßig von mir verwendeten AEAD cipher
AES-128-GCM eine deutlich geringere Leistung, die aber selbst bei einem
Internetzugang mit z. B. VDSL100 nicht gegen die Verwendung
von OpenVPN als VPN-Protokoll spricht. -
OpenVPN-Leistung des Jetway- Boards NF792i-3160 getunnelt über SSL.
Am PC wird stunnel und auf der Firewall HAProxy für den SSL-Tunnel
(ciphersuite: ECDHE-RSA-AES256-GCM-SHA384, TCP-Port 443) eingesetzt.Die OpenVPN-Parameter sind wieder:
- Device mode (tun)
- Protocol (tcp)
- NCP Algorithms (aes-128-gcm)
- Compression /default)
pfSense Einstellungen:
- Cryptographic Hardware (none)
Transferleistungen über den Tunnel:
- Datei von der Firewall zum PC: zwischen 148 MBit/s und 160 MBit/s
- Datei vom PC zur Firewall: zwischen 102 MBit/s und 106 MBit/s
Das ist im Vergleich zur alten APU1D wieder eine deutliche Verbesserung. Die vier Kerne des Celeron N3160
in Verbindung mit dem höheren CPU-Takt machen den Unterschied. -
Moin, ich habe den vorgänger von dieser hier:
http://www.lannerinc.com/products/network-appliances/x86-desktop-network-appliances/nca-1020 -
Wie sieht es mit Bezugsquellen von "Lanner-Teilen" aus? Wer kann dazu was sagen?
LG
