Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?

NOCling

@tobi said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:

Zwischen 3 VLANS kommt viel Traffic und ich möchte nicht dass die FW/ Router ein Flaschenhals hier wird.

Definiere mal viel Traffic?
MBit/s oder GB/d bzw. TB/d

Ein GBit Link schafft rund 9TB/d, wenn das nicht reicht musst auf 10G hoch oder mehrere Links zum Switch stecken.

JeGr

@tobi said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:

Das hängt doch von der Netzstruktur ab. Gab es auch eine Diskussion in Bezug auf die Ubiquiti UDM Pro dazu.

Nope, da ging es nicht um Struktur, da gings um Hardware Anbindung. Die UDM Pro ist physikalisch mit PCI Lanes und intern auf dem entsprechenden Uplink Chip shared und bekommt nicht mehr durch. Hier gehts aber drum, dass ein i5 oder i7 genug Bums hat, um auch mehr als 1Gbps zu fahren und dann wäre das in einer Box, die nur ein paar 1G Ports hat eben auch ziemlich verschwendet, wenn man ne Box hat, die auch 2.5Gbps und 10Gbps Ports hat. Das ist gemeint.

So fern meine Schlussfolgerung hier nicht falsch ist - macht für mich großartige Betrachtung von VPN keine Relevanz.

Das hängt eben davon ab, was man als eigene Obergrenze haben will. Limitiere ich mich auf 20Mbps VPN weil ich via VPN oft eh nicht mehr schieben kann an guffeligen ADSL Anschlüssen oder gehe ich davon aus, dass die Mehrzahl an Versuchen, in denen ich VPN nutzen möchte ich ggf. mehr Durchsatz habe als bspw. 50-1000Mbps. Also kann ich auch sinnvoll bspw. auf dem Mobile via LTE mit 100Mbps VPN machen und über mein VPN intern Dinge tun oder extern über meine Hausleitung raussurfen ohne Einbußen.
Das zu berücksichtigen macht dann durchaus Sinn und mit OVPN/Wireguard stehen Technologien zur Verfügung die man gern und viel auf Mobiles nutzen kann.

Ein GBit Link schafft rund 9TB/d, wenn das nicht reicht musst auf 10G hoch oder mehrere Links zum Switch stecken.

Und der Switch muss es können.

Tobi

@jegr said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:

Nope, da ging es nicht um Struktur,

klar doch ging es auch darum. Ich glaube auch Deine Aussage war in etwa "wenn alle Ports im gleichen VLAN sind ist doch perfekt". So bald die aber wegen anderem VLAN zu CPU müssen ist eben eng. (Oder aber wir reden zwar von gleichen Sachen, beschreiben es total anders)

JeGr

@tobi Ich weiß nicht von welcher "Struktur" du redest an der Stelle?

Bei der UDM Pro ging es u.a. darum, dass die Kiste selbst Gigabit Ports hat, die aber intern an der Platine gar nicht voll angebunden sind und du damit niemals bei eingesteckten Geräten an der UDM maximale Performance bekommen wirst, wenn du nicht deren 10G Uplink Port nutzt, weil die 1G Ports da nur Makulatur sind.

Bei den IPUs sind es AFAIK einzelne Gigabit Ports ohne irgendwelches Gemauschel intern auch wenn ich nicht weiß wie performant die angebunden sind und ob genug PCIe Lanes vorhanden sind, aber das setze ich jetzt einfach mal voraus. Wenn du jetzt intern 3-4 VLANs konfiguriert hast (auf dem Switch) kannst du die einfach auf 3-4 Gigabit Ports stecken und du solltest mit ner halbwegs vernünftigen Kiste eben von einem VLAN ins andere deine normalen Gigabit haben. Bei der UDM Pro hast dus nicht weil wegen siehe oben - da kommt HW seitig nicht genug Saft durch. ABER: ganz anderes Thema, darum sagte ich, das ist hier nicht das Thema, was NOCling bzw viragomann gemeint haben.

Was ihr dann noch zusätzlich durcheinander geworfen habt ist die Aussage "VLAN" - nur weil ich VLANs intern definiere muss ich die ja nicht als 1 physikalisches Kabel mit 3 VLANs in der pfSense einrichten. Wenn ich ne Box mit 6-8 Interfaces habe, wäre das ja ziemlich unsinnig. Daher sollten die internen Netze auf Netzwerkport Seite kein Problem haben, weil genug phys. Schnittstellen - man muss nur genug Ports auf nem Switch noch dazu frei haben. Oder eben wie NOCling meinte bspw. die SG6100 nehmen, die hat echte(!) 2.5Gbps Ports (4 Stk, intern an 10G angeschlossen also volle Power auf jeder Ader, KEIN UDM Pro oder SG7100 Bullshit) und hat 2Stk 10G Ports, die man nutzen kann. Mit einem Switch der 10G hat ist das dann einfacher zu verstrippen - einfach einmal 10G rüberlegen und dann eben alle Subnetze als VLANs draufpappen. Dann teilen sich die 3 Netze nen 10G Port - das reicht weit über 1G locker aus.

Ich denke jetzt sollte es klarer werden, wer was gemeint hat :)

Cheers

thiasaef

@Tobi, mein Intel Celeron (Kaby Lake mit 1.8 GHz) schafft 350 Mbit/s via OpenVPN. Ein 1000/500er Glasfaseranschluss lässt sich mit der CPU voll ausreizen, aber viel Luft ist dann nicht mehr. Bei Datentransfers im Heimnetz (zwischen VLANs) ist spätestens bei einer Summengeschwindigkeit von 4 Gbit/s (also beispielsweise 4 x 1 Gbit/s) das Ende der Fahnenstange erreicht.

Wenn die IPU881 lieferbar wäre, würde ich dir diese ans Herz legen.

NOCling

Muss einen der Kommentar zur Rev 2 der genannten IPU sorgen machen was die Port 5-8 angeht?

thiasaef

@nocling, bei mir läuft die 8-Port-Variante seit über einem halben Jahr absolut perfekt (BIOS; Version: 5.12; Release Date: Mon Jan 6 2020).

NOCling

@thiasaef said in Neue Hardware - IPU660, IPU662, IPU6672 - merke ich Unterschied?:

IPU881

Ok auf dem Handy habe ich nur keine i350 gesehen, dafür sind jetzt i211 drin, dann ist ja alles ok.

Aber bei der Power würde sich 10G halt schick machen, sonst muss ich ja 6-8 Ports auf dem Switch verballern.

hec

@nocling

Das Thema mit 10G habe ich schon mit dem Distri besprochen. Ich bin ja nicht der einzige der 10G gerne haben würde.
Teilweise gibts dann auch wieder keine 19" Zoll Varianten.

Am liebsten hätte ich so ein Gerät:

• Rackmount 1HE
• Dual PSU
• 2x 10G Intel, 2x 1G Intel
• 16G RAM
• moderne CPU möglichst sparsam wegen Kühlung
• m2 SSD mit 16G+

Meistens lande ich dann bei einem echten Server. DL20 ist da so ein Kandidat.

NOCling

Dan kannst auch gleich ein org Appliance kaufen, bei den beiden großen kannst dann noch die Crypto Karte rein stecken, wenn die Power nicht reich weil so viele viele Daten durchs VPN schieben musst.

Tobi

Ich habe die IPU882 bestellt. Ob das jetzt überdimensioniert wird oder nicht - die 50 EUR Unterschied zu IPU881 nehme ich einfach in Kauf.
Schneller als meine aktuelle APU wären beide und das vermutlich auch deutlich. Mit der 882 werde ich dann der Sense andere Pakete auflegen.

viragomann

@tobi
Meine Heim-pfSense läuft virtualisiert auf der Box. Daneben beherbergt sie noch meine Nextcloud, einen Musikserver und einen DLNA Server.
Mir war es wichtig, alles möglichst kompakt und ohne viele Kabeln zu haben.

Vielleicht wäre das auch für dich interessant, bspw. einen Video Überwachungsserver zusätzlich darauf laufen zu lassen.
Das setzt allerdings ein gewisses Vertrauen in die Technik voraus.