[Hardware] APU.2 von PCEngines Infos
-
Ich kann es nicht mehr genau sagen, hab es nur so grob noch im Kopf.
Hier kann man sich alles dazu durchlesen:
https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-3458348.htmlSorry der link oben ist nur für Multi WAN, dass hier ist wegen der Hardware:
https://www.heise.de/ct/ausgabe/2016-24-x86-Kompakt-Barebones-fuer-Router-Distributionen-3458365.html -
Oh, hatte ich ganz übersehen, den Bericht. :)
Mit pfSense 2.3.2: NAT 939 MBit/s, mit PPPoE obendrauf nur 335.
-
Ja also die ~180GB lesen sich erst mal viel. Erst mal, denn der Upload wurde eben wegen der Datenmenge nachts laufen wo eh alle schlafen, spricht sonst nichts läuft. Tagsüber wurden auf der Strecke vielleicht 1x Täglich 2 Dateien a ~300 MB kopiert.
Hier habe ich VDSL 100/40. Drüben "alles zwischen 10/4 bis Telekom LTE 300". Damit ist es auch klar, die 18GB kann ich in seltensten (wenn überhaupt) nutzen. Somit bleiben nur die 2 x300MB
Max gleichzeitige VPN Verbindungen 2. Wobei hier gleiches gilt 2x ~300MB und in seltensten Fällen auch um 10-12 GB an Daten.
Was ich noch vielleicht gerne machen wurde - Bind/ DHCP darauf verlagern. Ist aber nicht zwingend da die Sachen bereits woanders laufen. Mit der Zeit könnte ein IDS in Frage kommen. Hier weiß ich aber noch nicht mal Zeitpunkt wann ich es umsetzen könnte/ wollte.
Kurz ich bin der einzige Teilnehmer der richtig Traffic im Netz durch die ganze Fotos und Bearbeitungen verursacht. Nachts laufen Backups. Alle anderen Teilnehmer sind Surf-Leute die hier und da eine Mail schicken.
Der andere mit VPN ist nie lokal und damit wird es mit den Daten vermutlich wie bis jetzt behandelt - Datenträger per Post.An sich wurde ich es weiter virtuell laufen lassen. Dummerweise mag sich der XenServer mit pfSense bzw. glaube eher 64Bit BSD nicht so gerne. Hatte so viele Probleme, dass ich kurzzeitig auf Citrix Netscaler ausgewichen bin. Hier ist aber nichts mit VPN ;). Also alles kann man nicht haben oder man will/kann es nicht bezahlen.
-
Oh, hatte ich ganz übersehen, den Bericht. :)
Mit pfSense 2.3.2: NAT 939 MBit/s, mit PPPoE obendrauf nur 335.
Knapp vorbei ist auch daneben. Da lag ich doch mit meinen 960 aus dem kopf garnicht so falsch.
Ja also die ~180GB lesen sich erst mal viel. Erst mal, denn der Upload wurde eben wegen der Datenmenge nachts laufen wo eh alle schlafen, spricht sonst nichts läuft. Tagsüber wurden auf der Strecke vielleicht 1x Täglich 2 Dateien a ~300 MB kopiert.
Hier habe ich VDSL 100/40. Drüben "alles zwischen 10/4 bis Telekom LTE 300". Damit ist es auch klar, die 18GB kann ich in seltensten (wenn überhaupt) nutzen. Somit bleiben nur die 2 x300MB
Max gleichzeitige VPN Verbindungen 2. Wobei hier gleiches gilt 2x ~300MB und in seltensten Fällen auch um 10-12 GB an Daten.
Was ich noch vielleicht gerne machen wurde - Bind/ DHCP darauf verlagern. Ist aber nicht zwingend da die Sachen bereits woanders laufen. Mit der Zeit könnte ein IDS in Frage kommen. Hier weiß ich aber noch nicht mal Zeitpunkt wann ich es umsetzen könnte/ wollte.
Kurz ich bin der einzige Teilnehmer der richtig Traffic im Netz durch die ganze Fotos und Bearbeitungen verursacht. Nachts laufen Backups. Alle anderen Teilnehmer sind Surf-Leute die hier und da eine Mail schicken.
Der andere mit VPN ist nie lokal und damit wird es mit den Daten vermutlich wie bis jetzt behandelt - Datenträger per Post.An sich wurde ich es weiter virtuell laufen lassen. Dummerweise mag sich der XenServer mit pfSense bzw. glaube eher 64Bit BSD nicht so gerne. Hatte so viele Probleme, dass ich kurzzeitig auf Citrix Netscaler ausgewichen bin. Hier ist aber nichts mit VPN ;). Also alles kann man nicht haben oder man will/kann es nicht bezahlen.
Ich denke du wirst schon mit der APU2 auskommen.
Die 100VDSL im Download machen ja nicht mehr als 13mbit netto hin.DHCP und DNS kannst du auf jedenfall auf der APU machen. Das verbraucht nicht wirklich viel Performance.
Bei IDS kann ich es nicht sagenWas denkst du athurdent?
Gruß Robert
-
Was denkst du athurdent?
Ganz ehrlich, ich würde Xen runterwerfen und sowas wie Proxmox installieren :)
Ansonsten:
Ich hab kein APU Board, daher kann ich nichts zum IPsec oder OpenVPN Durchsatz sagen. Der ist ggf zumindest bei OpenVPN nicht ganz so hoch, OpenVPN profitiert eigentlich nur von CPUs mit hoher Single-Thread-Performance, AES-NI hilft nicht soviel. Bei IPsec könnte das etwas besser aussehen, da habe ich aber keine Erfahrungen. -
AES-NI hilft nicht soviel
Willkommen bei OpenVPN 2.4. Jetzt schon. :)
-
AES-NI hilft nicht soviel
Willkommen bei OpenVPN 2.4. Jetzt schon. :)
Bei meinem C2758 nicht wirklich, I am holding it wrong :)
https://forum.pfsense.org/index.php?topic=123915.0 -
Re-read: OpenVPN 2.4 - ich sprach nicht von pfSense 2.4, die nicht umsonst noch nicht im Release Stadium ist. Der Punkt ist, dass AES-GCM jetzt verfügbar ist und damit auch AES-NI wesentlich mehr/sinnvoller genutzt wird als bei AES-CBC. Ergo profitieren auch kleinere Systeme davon.
-
[2.4.0-BETA][root@pfsense]/root: uname -a FreeBSD pfsense 11.0-RELEASE-p7 FreeBSD 11.0-RELEASE-p7 #27 6317ca7fc42(RELENG_2_4): Sat Feb 11 00:57:51 CST 2017 [2.4.0-BETA][root@pfsense]/root: openvpn --version OpenVPN 2.4.0 amd64-portbld-freebsd11.0 [SSL (OpenSSL)] [LZO] [LZ4] [MH/RECVDA] [AEAD] built on Dec 30 2016
OpenVPN 2.4.0
-
SEUFZ
Nochmal: Ich rede schlicht von OpenVPN 2.4. NICHT von OpenVPN 2.4 in pfSense 2.4 BETA(!) was noch durchaus seine Probleme hat. Was war daran so schwer zu verstehen? Der restliche Punkt bleibt bestehen. AEAD ist vorhanden, wie du richtig zeigst, der Rest muss sich eben einspielen, bis die Bugs und Implementierungsprobleme raus sind. Nichts desto trotz: die APU2 WIRD von OpenVPN 2.4 in pfSense 2.4+ profitieren. Mehr als sie es jetzt tut.Ist das jetzt so schwer zuzugeben dass man da ewig dran rumoxidieren muss? :o
-
… garnicht so falsch.
Doch so falsch, das "garnicht"!
Denn "garnicht" wird gar nicht zusammengeschrieben. 8) -
die APU2 WIRD von OpenVPN 2.4 in pfSense 2.4+ profitieren. Mehr als sie es jetzt tut.
Ist das jetzt so schwer zuzugeben dass man da ewig dran rumoxidieren muss? :o
Nun, ich habe nie etwas anderes behauptet. Re-read: "AES-NI hilft nicht soviel". Nicht "überhaupt nicht".
Dass es bei einem C2758 nicht besonders viel bringt, liegt wahrscheinlich am Tun/Tap Overhead ( https://www.reddit.com/r/PFSENSE/comments/5l45jk/openvpn_240_is_now_available_on_pfsense_24/dbuzo85/ ), den man eher mit hoher Single-Thread-Performance ausgleichen kann.
Und ggf. daran, dass AES-NI bei kleineren Intel CPUs nicht so kräftig ist ( https://www.heise.de/ct/hotline/Was-bringt-ein-Prozessor-mit-AES-NI-3010518.html ). Ob dies auch auf die APU CPU zutrifft, kann ich natürlich nicht sagen, vielleicht ist das da unterschiedlich. Wäre zu wünschen.Im ersten Link schreibt "jemand", dass ggf. Netmap Unterstützung für OpenVPN etwas bringen würde. Da besteht also tatsächlich vielleicht Hoffnung, OpenVPN mit kleineren CPUs auf andere Art und Weise etwas performanter zu bekommen.
Meine Empfehlung bleibt also weiterhin, sich nicht zuviel Hoffnung machen, dass AES-NI "den" Performance Schub für OpenVPN bringt. Wenn ich Unrecht habe, bin ich übrigens der Erste der sich freut.
-
Das wurde wenn ich nicht alles ganz falsch verstanden habe für mich bedeuten, das ich doch eher mit einem Intel J1900 besser dran wäre als mit dem APU2 Board, da der Intel doppelt so schnell getaktet ist und damit auf jedem Fall schon mal besser die Daten zwischen einzelnen Interfaces/ VLANS schaufeln kann und bei VPN könnte er auch durch die höhere Taktung es "fast" ausgleichen was der AMD durch AES-NI an Vorteil in dem Bereich hat (u.U abhängig von eingesetzter VPN Lösung).
Richtig oder doch totaler Müll was ich geschrieben habe?
-
Naja, wie gesagt, je nach darunterliegender Hardware Deiner Virtualisierungsplattform würde vielleicht ein Wechsel weg von Xen bereits reichen :)
Ich hab weder APU noch J1900, daher kann ich Dir das nicht beantworten. Anhaltspunkte:
Mein C2758 macht was OpenVPN angeht bei ca. 200MBit (unter Laborbedingungen) Schluss, egal ob mit pfSense 2.3.x oder 2.4x Beta. Laborbedingungen bekommst Du eh nicht, je nach Latenzen, Peerings und Paketgrössenanpassungen auf dem Weg geht da immer etwas verloren.Wenn ich das richtig sehe, sollten bei Deiner aktuellen Internetanbindung 100MBit möglich sein, damit Du VPN komplett auslasten könntest? Daran solltest Du Dich dann orientieren.
Hier wird über OpenVPN Geschwindigkeiten vom APU diskutiert: https://forum.pfsense.org/index.php?topic=106444.msg677630#msg677630
Zum J1900 hab ich auf die Schnelle nichts gefunden. Edit: Doch noch was gefunden: https://forum.pfsense.org/index.php?topic=115673.msg674739#msg674739IPsec dürfte mit AES-NI Unterstützung um Einiges schneller sein, aber ist halt störungsanfälliger und so manche Billig-Router-Firewall hat damit vielleicht auch Probleme…
-
Hallo,
ich werde also mit dem APU2C4 probieren wie weit ich damit komme. Das Paket wird wohl morgen da sein.
Da habe ich 3 Fragen auf die ich nicht wirklich eine Antwort gefunden habe- muss man bei jedem Board BIOS Update machen oder doch nicht? Aus dem PDF von PC Engines wurde ich sagen, nein denn die Doku ist scheinbar neuer als BIOS auf der Seite
- wieso wird für Install von pfSense "kopieren auf TinyCore Stick und dann mit dd enpacken auf die Platte" gesprochen? Kann man nicht direkt mit pfSense Stick booten und auf die mSSD Installieren?
- wie kriege ich die Zuordnung pfSense Interfaces zu Buchsen auf der Platine ohne Experimente?
-
zu 1. Du musst schauen welche BIOS Version drauf ist.
Bei mir war die Aktuelle Drauf.
zu 2. Das Image Laden auf USB Bootabel entpacken, kommt auf den verwendeten Rechner welche Vorgehensweise geht.
zu 3. Die Zuordnung musst du selbst raus finden. Geht nicht anderster.
Ich habe von der LED Seite gehen folgende zu geornder: LINK = LAN / MITTE = OPT1 / RECHTS = WAN
Da man dass per Konsole ganz einfach ändern kann ist das kein großes Problem.
Welche Interfacenamen es genau sind, kann ich dir nach Arbeit kurz schicken.Hast du denn auch einen RS232 Anschluss am PC?
Wenn nicht brauchst du zwingend einen RS232 USB Adapter, Nullmodemkabel/Nullmodemadapter. -
Hast du denn auch einen RS232 Anschluss am PC?
Wenn nicht brauchst du zwingend einen RS232 USB Adapter, Nullmodemkabel/Nullmodemadapter.So direkt habe ich es nicht. Nutze seit Jahren für Haussteuerung USB/RS232 Adapter.
Was mir so ein wenig Sorgen macht - um die Bootreihenfolge zu ändern muss man F10 drücken. Wie schickt man über Putty (Windows) oder Screen (OSX) Funktionstasten?
-
Ganz einfach, indem du im aktiven Putty Fenster bzw. Screen Terminal die F10 Taste drückst. :)
-
Waas :o das ist viel zu einfach.
-
Hat jemand einen Link zu einem Selbstgebautem 19" 1HE Rack?
Ich bin am überlegen ob ich mir noch eine weiter NIC einbaue.Allerdings eins kaufen wollte ich jetzt nicht, finde die Preise schon ein wenig überzogen.