Pfsense hardware

Niet echt een aan/opmerking op jouw build, maar je kunt ook eens kijken naar de bordjes van PCEngines, met namelijk de apu2c2 en apu2c4 (identiek op hoeveelheid RAM na) zijn interessant voor pfsense en je haalt er ook wel 500Mbit/s mee.

Ben je voor hetzelfde geld ook wel klaar, misschien zelfs wat goedkoper en volgens hun eigen specs trekt hij 6 tot 12W afhankelijk van de CPU load.

wouser schreef op dinsdag 02 augustus 2016 @ 08:16:
Dank,ziet er ook uit als prima bordjes alhoewel het wel lastiger aankomen is.

Weet iemand of je nog een prestatie verschil krijgt wanneer je boot van een thumbdrive of SSD?

Waar vandaan je boot maakt niet veel uit, waar je de SWAP op installeerd, dat wel.

Ik zou ook nadenken over een betere switch, de TP-Links zijn prima. Maar als je veel van ze gaat vragen lopen hun buffers snel vol en gaat de snelheid omlaag. Ik heb de TP-Link en D-Link versie van deze naast elkaar getest waarbij al een verschil duidelijk was, de D-Link ging naar 900Mbit bij zware belasting. Echter viel de TP-Link bij dezelfde belasting terug naar 400Mbit. De managed TP-Link die ik heb liggen is dan wel weer prima, die bleef bij dezelfde belasting 960Mbit (die ondersteund daarentegen niet echt IGMP snooping).

Beide stappen zijn trouwens goed te doen, zelf heb ik een i5 pfSense systeem draaien en ik zou niet meer terug willen.

Martin.Air schreef op dinsdag 02 augustus 2016 @ 08:30:
[...]

Beide stappen zijn trouwens goed te doen, zelf heb ik een i5 pfSense systeem draaien en ik zou niet meer terug willen.

Ongetwijfeld waar, maar dat is eigenlijk gekkenwerk voor een thuisnetwerk tenzij je ook met 500Mbit/s wilt VPN'en. Het verschil in stroomverbruik en daarbij behorende kosten van een i5 setup tegenover zo'n embedded bordje is natuurlijk enorm.

The Realone schreef op dinsdag 02 augustus 2016 @ 09:14:
[...]


Ongetwijfeld waar, maar dat is eigenlijk gekkenwerk voor een thuisnetwerk tenzij je ook met 500Mbit/s wilt VPN'en. Het verschil in stroomverbruik en daarbij behorende kosten van een i5 setup tegenover zo'n embedded bordje is natuurlijk enorm.

Ik bedoelde ook niet te zeggen dat er een keuze gemaakt moest worden voor een i5 of dergelijk. Mijn vermelding bestond uit drie delen:

1. Ik gebruik zelf pfSense en heb ook zelf een dergelijke configuratie draaien wat goed in te stellen was.
2. Ik gebruik een i5, dus over mogelijke performance problemen door de pc hardware kan ik helaas geen mededelingen doen, namelijk geen ervaringen mee.
3. pfSense werkt gewoon lekker, en ik zou nooit meer terug willen naar standaard oplossingen.

Ooit komt er ook nog wel een celeron of Atom oplossing te staan. Voor nu is het draaiende houden van een i5 die ik heb staan goedkoper dan vervangen (wat ook geld kost) om te besparen op de energie rekening.

[ Voor 16% gewijzigd door Martin.Air op 02-08-2016 10:01 ]

wouser schreef op woensdag 03 augustus 2016 @ 21:25:
Of doe ik er goed aan om voor een bordje met intel NICs te gaan zoals:
pricewatch: Supermicro X10SBA-L (Retail pack)

Ik zou eerst eens kijken welke CPU deze oplossing heeft (J1900) en vervolgens of deze hardwarematige ondersteuning heeft voor encryptie/decryptie. De J1900 heeft dat niet.

De vraag is dan of hij die snelheden echt kan halen. Ik las ergens anders weer dat je soms beter een snelle desktop/workstation CPU kan nemen zonder hardware versnelling, dan een zwakke die wel hardware versnelling heeft.

Tot nog toe ben ik bij geen van de software matige oplossingen een voor "X" snelheid = minimaal " Y" hardware richtlijn tegen gekomen.

Maakt het er allemaal niet makkelijker op om een goede keuze te kunnen maken.
Als je er inmiddels uit bent, laat het weten en ook welke bij jou snelheden haalbaar zijn gebleken

wouser schreef op woensdag 16 november 2016 @ 07:47:
De processor op dit bord heeft wel hardwarematige ondersteuning voor encrypt/decrypt en dat is de reden geweest deze uiteindelijk wel te nemen.

THX!

Even voor de duidelijkheid.
Je bent voor de https://tweakers.net/pricewatch/445509/supermicro-x10sba-l-(retail-pack).html gegaan?

Want als ik naar de Intel Ark specs kijk zou de Intel Celeron J1900 geen AES-NI hebben
Intel® AES New Instructions Nee

Of komt de hardware matige encryptie/decryptie door de "Intel® Silvermont microarchitecture 22nm System-on-Chip" ?

Maar goed, als hij bij jou 300/30 haalt met OpenVPN AES-256-cbc met LZ compressie dan ziet het er naar uit dat ik niet verder hoef te zoeken

wouser schreef op woensdag 16 november 2016 @ 11:45:
Edit: wellicht belangrijk; de 300/30 haalt hij de reguliere snelheid mee; niet 300 over VPN. Heb geen mogelijkheden om dat te testen.

Dus je bent nog niet aan stap 2 begonnen?

Als je nl via PIA een OpenVPN verbinding hebt (uiteraard met AES-256 encryptie) dan download je welk bestand dan ook encrypted via hun OpenVPN server, die door je dan door je OpenVPN client (jouw DIY pfSense NAT/Firewall /Router in dit geval). weer decrypt moet worden alvorens hij deze naar je eigen PC doorstuurt..

Wat je ook kan proberen is speedtest gebruiken. Eerst zonder OpenVPN actief op je router en vervolgens OpenVPN aanzetten en weer de speedtest doen. (Beide het liefst een paar keer om een gemiddelde te kunnen bepalen)

Ik heb dat laatst via Ookla gedaan met hun VPN 2015 test.

VPN Speedtest

Die van 308,77 is zonder VPN verbinding en de 281,84 is met de nordVPN desktop client ingesteld op een gunstig tijdstip, server afstand EN server load.

Mijn workstation CPU (I7 5960X voor deze test geen OC gebruikt) zal niet zo snel een bottleneck zijn. Als ik naar mijn CPU load kijk gebruikt het maar 1 core komt niet over de 20% load. Gewoon om te kijken hoeveel ik verlies zonder CPU beperking.

Dan heb je tenminste iets om te kunnen vergelijken

300/30 zonder VPN zou ook voor een standaard router van 6 tientjes geen probleem moeten zijn(tenzij hij echt van voor de oorlog is)

wouser schreef op woensdag 16 november 2016 @ 21:16:
Thanks voor deze instructies! Was hiervan niet op de hoogte en heb het dan ook niet geprobeerd

Pure noodzaak omdat er gewoon gebrek is aan echte cijfers waar pfSense VPN'ers wat aan hebben
Er zijn vast betere manieren.

Ben al aan het testen met NZBGet met SSH encrypted usenet door een VPN tunnel om een baseline zonder CPU bottleneck te kunnen maken. Het is jammer dat ik niet weet hoe ik die AES-NI en AES ondersteuning op mijn 5960X uit kan zetten. Dan zou ik hem singlecore zonder hardwareversnelling kunnen testen.

Als ik van het weekend/een dezer dagen wat tijd heb zal ik even kijken of ik wat gedegen tests kan doen om te kijken wat er dan gebeurd

Dat zou echt zijn. Kan niet wachten tot je wat harde prestatie cijfers kan geven Zou echt zijn als we voor 200 euro een router hebben die als Barry Allan (sry da's geheim ) The Flash rondjes om die commerciele overpriced crap kunnen rennen

wouser schreef op donderdag 17 november 2016 @ 11:08:
Hahaha ja inderdaad. De prijs van dit hele project viel mij ontzettend mee en voor een tweaker is de setup ook geen enkel probleem

En... is het gelukt?

Eindelijk wat echte pfSense info gevonden:

https://forum.pfsense.org/index.php?topic=115673.0

Intel Celeron N3150 4x1.6GHz -TDP 6W -CPU Mark 1642 -Single Thread 456
3200/27,5 = 116 Mbps OpenVPN performance (estimate)

Intel Celeron J1900 4x2GHz -TDP 10W -CPU Mark 1881 -Single Thread 528
3200/36,5 = 88 Mbps OpenVPN performance (estimate)

AMD A10-7300 APU 4x1.9GHz -TDP 19W -CPU Mark 3032 -Single Thread 1017
3200/12,5 = 256 Mbps OpenVPN performance (estimate)

Intel i7-4500U 2x1.8GHz -TDP 15W -CPU Mark 3795 -Single Thread 1578
3200/10,7 = 299 Mbps OpenVPN performance (estimate)

Intel i7-4790S 4x3.2GHz -TDP 65W -CPU Mark 9631 -Single Thread 2261
3200/9,6 = 333 Mbps OpenVPN performance (estimate)

Intel i5-6400 4x2.7GHz -TDP 65W -CPU Mark 6530 -Single Thread 1827
3200/9,89 = 323 Mbps OpenVPN performance (estimate)

Intel E8400 - 3200 / 15.68 (real) => 201 Mbps OpenVPN performance (estimate)
Intel E8500 - 3200 / 15.17 (real) => 210 Mbps OpenVPN performance (estimate)

Intel(R) Atom(TM) CPU C2558 @ 2.40GHz
(with aesni.ko loaded): 3200/24.03 = 133.17
(with aesni.ko unloaded): 3200 / 23.58 = 135.71

AMD Sempron 2650 dual core 1.45GHz Kabini part with AES-NI.

Right now I'm trying to make a decision between C2358, C2558, C2758, Xeon D-1518...
Basically, all I need is 500 Mbit/s WAN throughput and around 100 Mbit/s OpenVPN throughput. I would like to use snort.
But the most important point to me right now is to have a stable OpenVPN throughput of 100 Mbit/s...
My theoretical results are about 92Mbps. Real world gets me about 80Mbps give or take. This is with AES-256-CBC on PIA tunnels. FWIW.

Had gedacht dat die Supermicroboards met een C2358, C2558, C2758 (intel Quickassist + AES-NI )
mijn route zou worden, maar ben bang dat die richting niet de performance gaat geven die ik hoopte

(maar nog altijd beter dan een standaard Asus/netgear/TP-Link router )

Denk dat ik voorlopig maar een oude E8500 uit mottenballen haal tot ik een CPU vind die wel minimaal 500 Mbps mogelijkheden bied, een lage TDP heeft met 2 gigabit lanpoorten in mini-itx formaat

Ben nu helemaal overtuigd dat een SOHO router gewoon te zwak is en dat de 500 Mbps cijfertjes van de Asus AC3200 die op dit forum rondzwerven via NordVPN gewoon BS zijn

[ Voor 8% gewijzigd door SB[NL] op 21-11-2016 10:56 ]

wouser schreef op donderdag 24 november 2016 @ 16:57:
In reactie op jou post: Kan moelijk inschatten of die 110 haalbaar is, 500 lijkt me onrealistisch Qua normale WAN gaat mijn bordje dat prima redden,

Inderdaad ziet er goed uit

Ik heb zelf al opgegeven om de router in zijn uppie het hele netwerk via VPN te laten lopen.
Welke CPU is lowpower (<10w TPD) en high performance die gegarandeerd kan doen wat ik
nodig heb.

Heb uit frustratie bijna een Xeon server met alle Intel toeters en bellen voor encryptie en communicatie
ondersteuning Gelukkig kwam ik wat real life metingen tegen die duidelijk lieten zien dat het dan nog
steeds niet te garanderen was (buiten de spits uren).

Sowieso helpt het echt enorm om Ipv6 ondersteuning uit te schakelen bij een VPN verbinding. In mijn geval ging het daardoor van 90 Mbps naar 283 Mbps!

Ik ben maar gaan experimenteren met een oude Dell Latitude E6520 met een Intel i7-2620M CPU en heb er Linux Mint opgeknald. Middels OpenVPN zit ik nu ook zo rond de 280Mbps wat bijna de volle 300 Mbps is en dan is die stream ook nog eens dubbel encrypted (OpenVPN AES256 tunnel waar AES256 encrypted data door heen gaat).

Zie wel wat die nieuwe low power AMD Zen cpu's gaan doen. Kan daarna altijd nog beslissen om in iedergeval een lowbudget / high performance pfsense router te DIY'en Hopelijk is dat inspiratie genoeg voor intel om 5w TDP cpu's op de markt te zetten die wel krachtig genoeg zijn.

Wil echt van die mainstream zielige routertjes af terwijl je veel goedkoper en veiliger een pfsense router
kan aanschaffen met op elke etage een wifi accespoint. Werkt nu al tig keer beter dan op 1 plek een super router van 500 euro neerknallen.