OpenVPN Durchsatz - wie 200Mbit schaffen?
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Cool, danke dir für diesen Link!
Auf dem SuperMicro board A1SRM-LN7F-2358 mit Atom C2358 kommt immerhin: 100 raus. Aber in der Praxis nur ca. 27...Auf dem APU 4B4 sind es laut diesem Test theoretisches maximum 40.. Praxis höchstens 20.
Was wäre deine board/Cpu empfehlung (was auch in ein 1HE gehäuse passt), mit mind 4x Ethernet, gerne auch ein paar mehr?
Puh, ich kann die fertige SuperMicro Appliance 1HE (oder Nachfolger) aus meine Signature empfehlen.
Die hat nen Xeon, 6 Ethernet, 2 Optical. Inzwischen 5 x verbaut. Das Board gibts sicher auch einzeln. In einem älteren Post habe ich die Dinger auch vorgestellt.
- pfSense Gold Subscriber -
Sense 1: Shuttle DS57U3 (private)
Sense 2: Supermicro Atom Barebone (Company Test)
Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office) -
Die Telekom liefert mir stabil 80 MBit/s down und 40 MBit/s up. Meine "Bastellösung" (siehe Signatur)
hat in Kombination mit meinem VPN-Anbieter keinerlei Probleme über den OpenVPN-Tunnel
Daten in der höchstmöglichen Geschwindigkeit zu liefern. Es wird mit AES-256-GCM verschlüsselt.Die CPU-Auslastung liegt bei ca. 15% laut pfSense GUI.
Diese in der Praxis erzielten Werte interpretiere ich nun dahin gehend, daß das Ende der
Fahnenstange noch nicht erreicht ist. In Ermangelung eines schnelleren Internetanschlußes
kann ich diesbezüglich keine weiteren Informationen liefern.Können diese von mir genannten belastbaren Informationen anderen eine
Orientierungshilfe geben?LG
-
Ja, das stimmt. Bei einer Dualcore-CPU und voll ausgenutztem OVPN-Tunnel zeigt das System 50% an. Ein Tool das die Cpu-Core Last anzeigt bescheinigt dies. Ein Core ist dann zu 100% "belegt", der andere setzt Spinnweben an.
-
Genau DAS ist ja leider der Pferdefuß bei OpenVPN.
-Rico
-
So richtig schlau werde ich da auch nicht. Scheinbar ist es zu aufwändig auf Basis des bestehenden Quellcodes eine multithreaded Version zu basteln. D.h. alles muss neu gemacht werden. Die letzten OVPN Roadmapinfos sind scheinbar auch aus der Steinzeit (2010).
-
Kann mich nicht entscheiden ...soll ich den China-MiniPC mit i5-7200U oder mit i7-7500U nehmen? TDP scheint bei beiden gleich zu sein... preisdifferenz 50€... OpenVPN 256bit 200Mbit down wäre das Ziel:)
-
Also, schon der i5 sollte dicke ausreichen und noch genügend Reserven haben.
-
okay, habe jetzt die i5 Version bestellt. der Vorteil daran ist auch, dass es die mit 16GB RAM gibt. Die 8GB mehr als bei der i7 Version halte ich für wichtiger. Ich berichte dann! Kann ja aber etwas dauern ;)
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Die 8GB mehr als bei der i7 Version halte ich für wichtiger.
Auszug aus:
https://www.netgate.com/docs/pfsense/book/hardware/hardware-sizing-guidance.htmlLarge State Table RAM Consumption
States Connections RAM Required
8,000,000 4,000,000 ~7800 MBFür den Hausgebrauch wohl mehr als genug.
LG
-
Hehe. Wenn man jetzt pfBlockerNG, Squid mit Caching und ClamAV und vielleicht noch ein IDS drauf hat, ist es nie verkehrt genügend RAM zu haben. Allerdings würden für den Hausgebrauch auch 8 GB locker ausreichen.
Ohne ein IDS, aber mit allen anderen Features braucht es bei mir 15-20% von 8GB derzeit.
-
ja, RAM ist nie verkehrt. ist wie mit hubraum ;)
ntop braucht auch ressourcen... daher sag ich mal, lieber 16 als 8GB RAM, dafür "nur" 64GB HDD anstatt 128..
-
@sensemann
wie ist die genaue bezeichnung des Qotom Teils, welches du jetzt bestellt hast. Habe aktuell ein Kettop (Qotom Ableger) mit einem Celeron J1900 und muss schon alleine wegen der 2.5er Version von pfSense mir langsam aber sicher Gedanken über eine neue Kiste machen. -
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Puh, ich kann die fertige SuperMicro Appliance 1HE (oder Nachfolger) aus meine Signature empfehlen.
Kann ich leider nicht. Fliegen bei uns raus (im Test/Office) weil zu lasche Performance für das was sie kosten. Die "Sparbrötchen" (keine Ahnung wo die Idee herkommt) Appliances sind spezialisiertere Netzwerkhardware. Wo eben nicht wie bei der Supermicro Torte einfach Server HW zusammengeklebt ist. Nachdem wir jetzt noch zwei andere Kunden haben wo die relativ unterirdisch performen, fliegen diese Metabrötchen ;) jetzt bei uns raus. Und kommen nur noch ordentliche Netzwerkhardware mit rein. Und die C3000er Denverton Atoms sind so gut wie fertig um die alten 2000er abzulösen - und das mit genug Luft nach oben :D Zum Sparen ist das nix, aber wie @Rico schon richtig sagt - und unsere Kunden auch - ist ne ordentliche Lösung und Hardware mit Support Vertrag denen lieber als irgendwas selbstgebautes/zusammengeschraubtes, wo nur die Einzelkomponenten (siehe Supermicro) Support haben. Und selbst Netgate scheint da jetzt was bemerkt zu haben, wenn man sich die SG-5100 scharf ansieht ;)
Genau DAS ist ja leider der Pferdefuß bei OpenVPN.
Jep, Single-Core bound. Dafür geht die Geschichte ja m.W. mit OVPN 3 in Richtung Multicore. Da was zu erfahren ist allerdings leider nicht so einfach.
und vielleicht noch ein IDS drauf hat, ist es nie verkehrt genügend RAM zu haben.
OK Butter bei die Fische: Warum will eigentlich jeder zu Hause ohne wirklich triftigen Grund irgendein Guffel-IDS/IPS ausrollen ohne dass das jemand braucht? Kann mir das mal jemand näherbringen? Warum muss ich meinen ausgehenden Mist, den ich selbst verbreche auch noch Tiefenfiltern auf Layer 7??
Entzieht sich mir einfach komplett, sorry ;)Gruß
-
Ich kann nur empfehlen, was ich auch schon selbst im Einsatz hatte und nachweislich das was vom TE gefordert wurde, auch kann. Ich habe zusätzlich kleine Atoms und Celerons in einigen "Netzappliances" und die schaffen das nicht. Punkt. Dass die neueste Generation an Atoms und Celeron Spar-CPUs inzwischen soweit ist, bestreite ich nicht.
Man liest hier oft genug, dass man sich mit völlig untermotorisierter HW dann ärgert, dass dies oder das nicht gescheit performed. Für das reine Firewalling / Packetfiltering reicht auch ein Pi ...
-
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Man liest hier oft genug, dass man sich mit völlig untermotorisierter HW dann ärgert, dass dies oder das nicht gescheit performed.
Sicherlich richtig. Leider auch der Grund, warum diese Xeon-Ds rausflogen, die mögen beim Netzwerkdurchsatz noch ganz annehmbar gelaufen sein, aber die GUI war extrem langsam und bei vielen CARP IPs und Failover flogen die teilweise komplett mal 5-10min weg. Sowas nicht nur bei sich sondern auch beim Kunden zu sehen schreckt dann ab ;)
Ein Pi ist zwar sicher untertrieben aber für reines Filtern reicht sicher was kleines, gar keine Frage. Ich habe da lediglich gegen argumentiert, weil solche Posts und Threads gern aus dem Zusammenhang gerissen dann zitiert und kommentiert werden. Daher habe ich lediglich eingeworfen, dass andere Layouts/Setups durchaus funktionieren können.
Aber wie du schon sagst, das OT war: 200Mbps OpenVPN Durchsatz - richtig, da muss was größeres an CPU her. Völlig d'accord ;) Und unter nem i5 würde ich da auch nicht ansetzen, gerade wegen der bekannten oben diskutierten Limitationen (single core etc.) und da freut man sich dann sicher über Kisten mit i5/e5 oder höher und hoher Taktzahl :)OT: wenn endlich mal die dämlichen Test VMs allesamt ordentlich performen würden und sauber mit v4/v6 spielen, könnte ich auch endlich mal selbst testen und Werte beisteuern.
-
Hattest Du mir nicht damals empfohlen, einen Xeon-D zu nehmen? <scratchhead/>
In unserem RZ hatte ich früher immer die 3 Jahre alten echten 1 HE Serverbleche mit "vollwertigem" Xeon für die Firewall genommen. Die hatten immer schon 4 x 1GBit Intel NIC, RAM wurde auf 8-16GB verkleinert und eine gespiegelte HDD belassen. Da kratzte es mich nicht, ob die Kiste 30 oder 300W frisst :-)
In 6 Außenbüros habe ich auch Atoms und N3xxx Appliances laufen. Aber die machen nur bisserl Paket Filtering und Web-Proxy. Da sind die Teile richtig gut.
-
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Hattest Du mir nicht damals empfohlen, einen Xeon-D zu nehmen? <scratchhead/>
Damals als sie rauskamen und auch die XGs bei Netgate kamen, richtig. Allerdings haben wir recht schnell bemerkt, dass sie bei uns völlig hinter den Erwartungen zurückgeblieben sind. Das mag ja unser Use Case sein - Pech für uns ;) Aber dann hat sich das Verhalten auch bei anderen SM Xeon D Kisten bei Kunden gezeigt, was enorm lästig war, gerade wenn wir die Dinger empfehlen sollen. Deshalb haben wir die Empfehlung nach ca. 9 Monaten zurückgenommen und auch keine weiteren mehr verkauft. Der Xeon-D mag von Intel für den Communication Betrieb konzipiert worden sein, so wie die SM Boards den aber anbinden und nutzen - und leider auch wie träge die CPU in "normalen" Aktionen ist (und Webserver + PHP für die UI ist eben kein direkter Network-only Betrieb) war das für uns in größeren Umgebungen (also größer als C2000 Atom bei kleinen und mittelgroßen Offices oder bei größeren Datendurchsätzen oder LAN/VLAN Infrastrukturen) einfach leider nicht mehr tragbar. Daher ist ab der Größe inzwischen eine Appliance mit i5 und für größere Gebiete ein i7/e5/e7 verbaut was einen enormen Unterschied bei gleichem Setup macht.
Seitenaufbau auf der Xeon-D Anzeige der Filterregeln auf dem WAN (nur Liste der Regeln anzeigen): bis 20s
Seitenaufbau auf neuer Appliance mit i5/i7: ~2sbei sonstigem gleichen Aufbau. Das ist sicherlich abhängig vom Einsatzzweck/Gebiet, völlig klar, aber wie beschrieben dadurch für uns nicht mehr tragbar. Sollte mit 2.5 oder später mal die UI entkoppelt sein und es nur noch um reine Network Performance gehen, kann das sicherlich anders sein, bis dahin haben wir aber die UI noch mit in der Rechnung die auch sauber funktionieren muss :) Und da mit bei einem CARP Failover von ~60VIPs häufiger dann wegen IRQ und UI Problemen die ganze Kiste wegstirbt, ist das eben sehr unschön.
In unserem RZ hatte ich früher immer die 3 Jahre alten echten 1 HE Serverbleche mit "vollwertigem" Xeon für die Firewall genommen.
Hatten wir vorher auch, die Kiste war dann allerdings echt mal mega überdimensioniert ;)
Und beim Rest sind wir da sicher auch D'accord :)Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
habe
Product properties: 16G RAM 128G SSD + Q550G6 6200U NO WiFi
€ 378,72 X1
https://www.aliexpress.com/item/Qotom-Mini-PC-with-Celeron-Core-i3-i5-Pfsense-AES-NI-6-Gigabit-NIC-Router-Firewall/32863096123.htmlKann aber noch 1-3 Wochen dauern bis es da ist. Melde mich dann wenn ich Ergebnis habe.
-
@jegr said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
... und leider auch wie träge die CPU in "normalen" Aktionen ist (und Webserver + PHP für die UI ist eben kein direkter Network-only Betrieb) ...
Allerdings muss ich dazu sagen, dass gerade bei vielen Daten und größeren Listen der CARP Faktor (Failover-Konfig) einen viel stärkeren (negativen) Einfluss hat. Teilweise gibt es Seiten die auf einer Single-Firewall 10-20x schneller geladen werden, als auf einer identischen Maschine die geclustert wurde.
Ansonsten hatte ich hier noch auf keiner SuperMicro und Xeon-D Maschine Ausfälle oder Probleme. Höchstens mal mit Versatel IPv6 ;-) ... ok, den Insider-Joke verstehst jetzt nur Du ...
-
Der neue Core i7-8086K geht im Turbo ja hoch auf 5 GHz, da wäre mal ein OpenVPN Test interessant. ;-)
-Rico
