pfSense en lagere snelheden

Ik haal dat prima met Snort aan.

pfSense in een VM werkt prima, ik gebruik zelf Xen, dat werkt prima, ook XenServer kan er prima mee werken. Wel belangrijk om te weten: in-memory transports hebben vaak in de virtuele hardware geen checksum calculatie zitten, waardoor pf (zit in nagenoeg elke BSD-router) alle pakketjes dropt om dat ze incorrecte checksums hebben. Makkelijkste manier om dat tegen te gaan is gewoon alle checksum offloading uitzetten. Dan worden de checksums niet door het virtuele apparaat berekend maar door de kernel, wat wel geldige checksums produceert. De reden dat checksums niet gedaan worden is om dat in-memory transport niet dezelfde problemen heeft qua integriteit die je bij fysieke poorten en kabels wel hebt.

Wat ESXi betreft: de vmware hypervisor is niet super fijn naar mijn smaak, de meeste mensen zien ESXi als 'dat gratis vmware ding met die windows interface', en daar houdt het een beetje op. Maar de driver support is bagger, storage is bagger, passthrough is bagger en de enige manier om het een beetje lekker te laten draaien is op peperdure hardware. Xen kan dat ook, maar daar boven op ook nog op commodity hardware, plus heeft alle drivers die Linux ook heeft. Je kan zelf kiezen hoe je je netwerk wil vormgeven, je eigen storage indeling maken en zelf beslissen wat je wel en niet wil ondersteunen.

Terug naar pfSense: ik draai het in PVHVM mode, en trek zo 10Gbit weg. Snort aan, pfBlocker (redundant voor sommige zaken), pfsync aan (HA met CARP/VRRP), diverse tunnels over zowel IKEv2 als OpenVPN zonder een centje pijn. Sure, de laagste configuratie draait op 2 Xeon E3-1250v3 cores met 1GB RAM, dus slappe hardware is het niet te noemen, maar het kan dus prima werken. Ik gebruik zelf voor het virtuele netwerk zowel standaard Linux Bridging als OpenVSwitch, maar ook zo nu en dan directe PCI devices. Ik gebruik vaak dual en quad Intel NIC's (zoals: http://www.amazon.co.uk/gp/product/B014W6AQ38? lekker goedkoop krachtig kaartje) en met VT-d kan je dan prima een 4-poorts LAGG voltrekken.

Virtuele NIC's werken vaak niet heel goed, qemu-dm gebaseerde e1000 werkt nog het beste, als je PVHVM hebt is xn een prima virtuele kaart, de virtuele kaart van VirtualBox is volgens mij niet zo best qua support, net als die van vmware.

Concreet:

- Haal goede hardware
- Gebruik goede configuratie
- Een Xeon + Intel NIC = dikke netwerkpijp

Ik haal dat prima met Snort aan.

pfSense in een VM werkt prima, ik gebruik zelf Xen, dat werkt prima, ook XenServer kan er prima mee werken. Wel belangrijk om te weten: in-memory transports hebben vaak in de virtuele hardware geen checksum calculatie zitten, waardoor pf (zit in nagenoeg elke BSD-router) alle pakketjes dropt om dat ze incorrecte checksums hebben. Makkelijkste manier om dat tegen te gaan is gewoon alle checksum offloading uitzetten. Dan worden de checksums niet door het virtuele apparaat berekend maar door de kernel, wat wel geldige checksums produceert. De reden dat checksums niet gedaan worden is om dat in-memory transport niet dezelfde problemen heeft qua integriteit die je bij fysieke poorten en kabels wel hebt.

Wat ESXi betreft: de vmware hypervisor is niet super fijn naar mijn smaak, de meeste mensen zien ESXi als 'dat gratis vmware ding met die windows interface', en daar houdt het een beetje op. Maar de driver support is bagger, storage is bagger, passthrough is bagger en de enige manier om het een beetje lekker te laten draaien is op peperdure hardware. Xen kan dat ook, maar daar boven op ook nog op commodity hardware, plus heeft alle drivers die Linux ook heeft. Je kan zelf kiezen hoe je je netwerk wil vormgeven, je eigen storage indeling maken en zelf beslissen wat je wel en niet wil ondersteunen.

Terug naar pfSense: ik draai het in PVHVM mode, en trek zo 10Gbit weg. Snort aan, pfBlocker (redundant voor sommige zaken), pfsync aan (HA met CARP/VRRP), diverse tunnels over zowel IKEv2 als OpenVPN zonder een centje pijn. Sure, de laagste configuratie draait op 2 Xeon E3-1250v3 cores met 1GB RAM, dus slappe hardware is het niet te noemen, maar het kan dus prima werken. Ik gebruik zelf voor het virtuele netwerk zowel standaard Linux Bridging als OpenVSwitch, maar ook zo nu en dan directe PCI devices. Ik gebruik vaak dual en quad Intel NIC's (zoals: http://www.amazon.co.uk/gp/product/B014W6AQ38? lekker goedkoop krachtig kaartje) en met VT-d kan je dan prima een 4-poorts LAGG voltrekken.

Virtuele NIC's werken vaak niet heel goed, qemu-dm gebaseerde e1000 werkt nog het beste, als je PVHVM hebt is xn een prima virtuele kaart, de virtuele kaart van VirtualBox is volgens mij niet zo best qua support, net als die van vmware.

Concreet:

- Haal goede hardware
- Gebruik goede configuratie
- Een Xeon + Intel NIC = dikke netwerkpijp