Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Olisi mielenkiintoista perehtyä syvemmin tähän järjestelmään, kuten täsdä ketjussa pari käyttäjää selkeästi on tehnyt.
Tuo on nimenomaan tehokas työkalu siinä vaiheessa, kun graafinen puoli ei enää auta. Kuten tuo päivitys uusimpaan CE-versioon joillain käyttäjillä, yksi käsky komentoriville vs kanna palomuurikone talon toiseen päähän, kytke näyttö, näppis ja buuttaa tikulta asenna uusi versio, palauta conf, vie takaisin.
Kuten jo totesin: pfSense on tarkoitettu konfattavaksi webbikälin kautta, ei cli/ssh:n kautta.

Niitä konfauksia voi tehdä, mutta ne käskyt pitää googlettaa. Jos sitä mitä tarvitsee ei löydy esim. ssh-yhteyden tervetuloa-valikosta (alla kuvassa), niin sitten menee hankalaksi, kuten mikajh jo myös totesi (hän taitaa olla se toinen niistä pfSensen käyttäjistä joihin viittasit). pfSense kun nääs jyrää surutta yli ne käyttäjän muokkaukset konffi filuihin, joita se ei voi sovittaa webbikäliin. Ja se jyräys ei tapahdui MUISTAAKSENI vain päivitysten yhteydessä.

Itellä palo käämit pfsensen haproxyn kanssa, kun haproxyn konffia piti säätää käsin shellin/clin/ssh:n kautta, että se toimi niinkuin halusin, mutta se lakkas toimimasta aina jonkun ajan jälkeen (ilman päiviyksiä). Googlauksen jälkeen selvisi, et pfSense jyrää ne konffit webbikälin mukaiseksi tasaisin väliajoin...

Alla muuten se kyseinen ssh-valikko jotakautta ne tärkeimmät muokkaukset pitäis onnistua, tosin ILMAN että tarttuu kohtaan 8:n (Shell):
pfsense-valikko.jpg
 
pfSensen FreeRadius paketti on vähän jäljessä. Puuttuu vielä EAP TLS 1.3 tuki.

1701600797343.png

Clientin päässä Apple tukee tuota jo.
In iOS 17, iPadOS 17 and macOS 14, devices now support connections to 802.1X networks using EAP-TLS with TLS 1.3 (EAP-TLS 1.3).

1701601113734.png


Ei toimi jos clienttiin pakottaa TLS 1.3. Kokeilin puukottaa pfSensen /usr/local/etc/raddb/mods-enabled/eap tiedostoa niin seuraavasta herjasi.
1701601291123.png


Kokeilin clienttiin min. 1.2 ja max 1.3 niin menee tuolla 1.2 (Wireshark).
1701601606079.png
 
Kumpi pfsense vai opensense on parempi jos käyttöön pitää ottaa IPv6 ja ipv4 kummatkin? Onko noiden konfigurointiin paljonkin säädettävää vai meneekö kohtuu helposti.
Entä rauta mikä on hyvä perusrauta noista Pfsense käytöön tarkoitettu purkkea olen katsonut aliexpesisstä. Millaista laatua onko bios päivityksiä noihin jos on reikäisiä firmiksiä. Entä muuten kestävyys virtalähteitä on kuulemma vaihdettu jo uutena ne kun on vähän heikkoa laatua monessa... Entä muut vaihtoehdot kun nämä "kiinan tuotteet".
 
Viimeksi muokattu:
Kumpi pfsense vai opensense on parempi jos käyttöön pitää ottaa IPv6 ja ipv4 kummatkin? Onko noiden konfigurointiin paljonkin säädettävää vai meneekö kohtuu helposti.
Entä rauta mikä on hyvä perusrauta noista Pfsense käytöön tarkoitettu purkkea olen katsonut aliexpesisstä. Millaista laatua onko bios päivityksiä noihin jos on reikäisiä firmiksiä. Entä muuten kestävyys virtalähteitä on kuulemma vaihdettu jo uutena ne kun on vähän heikkoa laatua monessa... Entä muut vaihtoehdot kun nämä "kiinan tuotteet".

Itsestä Pfsense helpompi koska olen sitä käyttäny vuosia. Löytyy myös paremmat ohjeet. Itse luovuin IPV6 koska pidin turvattomana. IPV4 käyttää NAT:a joten kotiverkko ei ole suoraan ulkonetissä. IPV6 jakaa ulkoisen netin osoiteavaruutta sisäverkkoon. Toki kun huolehtii ettei avaa mitää turhaa on se turvallinen.
En vain koskaan oikein tahdo ymmärtää miten osoiteet muodostetaan ja tuntuu että se saattaa vielä poistua ja korvautua uudella.
Kannattaa ensin laittaa käyttöön toimivaksi IPV4 ja siitä sitten varmuuskopio ja kun alkaa leikkiä IPV6:lla voi paremmin ymmärtää mitä pitää tehdä.

Joitan Bioksia on tuolla, mutta ne on sitten mallikohtaisia. esim. KingNovy, Topton merkeille. Sivut vain välillä jumissa.
pan.changwang.com
Protectli brändää jotain kiinan laitteita ja tarjoaa bioksia jotka käy kiinan laitteisiin jos vastaavan löytää.
BIOS Versions for the Vault – Protectli Knowledge Base
Kokemuksia voi lukea esim. Networking | ServeTheHome Forums


Itsellä ajatus päivittää tämä kun tulee. Kaikki kovan tarjouksen laitteet on epävarmempia kun saattaa juuri olla viallista mukana.
Aina se hiukan arpapeliä on aliexpressiin kanssa. Mutta eipä nuo niin hirveän kalliita ole.
Kannattavin on ostaa ilman sisuskaluja ja sitten ostaa parempaa sopivasta paikasta.

N100 153€ Bf tarjous ilman romuja

Tuon saatan ostaa kärkkäiseltä, tosin löytyy jotain levyä itseltäkin.
XPG SX6000 Lite 128GB M.2 SSD-asema | Karkkainen.com verkkokauppa

Käytän myös useita kiinalaisia SSD, tosin nyt vähentämässä kun alkaa olla QLC levyjä.
Näistäkin on ssd kaksoiskappaleet, jos SSD sattuisi sekoamaan, tai teen oman virheen voi heti laittaa toisen laittaa tilalle.
(tämä sen takia että 15 minuutin internetkatkos ajaa muut jatkuviin kysymyksiin , mikä kestää! miksi ei toimi. Tosin eipä noissa ole onglmia muuten kuin omien kokeilujen ja paranteluiden johdosta).
Jos mokaat sen verran että et saa yhteyttä laitteeseen, ei varmuuskopiota pääse palauttamaan vanhaan ohjelmistoon. Varmuuskopion teko on sekunnin juttu ja tärkein että sulla on tiedossa mikä oli toimiva.

Jos laitat usb tikullle toimivan version varmuuskopion, pfsense asentuu se automaattisesti oikeilla asetuksilla.
Backup and Recovery — Automatically Restore Configuration During Installation | pfSense Documentation (netgate.com)

Ohjelma usb tikulle vaikka Rufuksella, (Nyt tuli muistikatkos olenko purkanu 7-zipillä enen usb asennusta.)
pfSense-CE-memstick-2.7.1-RELEASE-amd64.img.gz
Download pfSense Community Edition
Rufus - Luo boottaavat USB-asemat helpolla tavalla
 
Viimeksi muokattu:
Kumpi pfsense vai opensense on parempi jos käyttöön pitää ottaa IPv6 ja ipv4 kummatkin? Onko noiden konfigurointiin paljonkin säädettävää vai meneekö kohtuu helposti.
Entä rauta mikä on hyvä perusrauta noista Pfsense käytöön tarkoitettu purkkea olen katsonut aliexpesisstä. Millaista laatua onko bios päivityksiä noihin jos on reikäisiä firmiksiä. Entä muuten kestävyys virtalähteitä on kuulemma vaihdettu jo uutena ne kun on vähän heikkoa laatua monessa... Entä muut vaihtoehdot kun nämä "kiinan tuotteet".
Raudaksi käy periaatteessa mikä vaan x86 rauta, oman budjetin ja tarpeiden (hiljaisuus, energiatehokkuus jne) mukaan.

Mun YouTube-kanavalta löydät useita pfSense-opasvideoita aiheesta, mukaanlukien pitkähkön listan vaihtoehdoista raudaksi.
 
Itsestä Pfsense helpompi koska olen sitä käyttäny vuosia. Löytyy myös paremmat ohjeet. Itse luovuin IPV6 koska pidin turvattomana. IPV4 käyttää NAT:a joten kotiverkko ei ole suoraan ulkonetissä. IPV6 jakaa ulkoisen netin osoiteavaruutta sisäverkkoon. Toki kun huolehtii ettei avaa mitää turhaa on se turvallinen.
En vain koskaan oikein tahdo ymmärtää miten osoiteet muodostetaan ja tuntuu että se saattaa vielä poistua ja korvautua uudella.
Kannattaa ensin laittaa käyttöön toimivaksi IPV4 ja siitä sitten varmuuskopio ja kun alkaa leikkiä IPV6:lla voi paremmin ymmärtää mitä pitää tehdä.

Joitan Bioksia on tuolla, mutta ne on sitten mallikohtaisia. esim. KingNovy, Topton merkeille. Sivut vain välillä jumissa.
pan.changwang.com
Protectli brändää jotain kiinan laitteita ja tarjoaa bioksia jotka käy kiinan laitteisiin jos vastaavan löytää.
BIOS Versions for the Vault – Protectli Knowledge Base
Kokemuksia voi lukea esim. Networking | ServeTheHome Forums


Itsellä ajatus päivittää tämä kun tulee. Kaikki kovan tarjouksen laitteet on epävarmempia kun saattaa juuri olla viallista mukana.
Aina se hiukan arpapeliä on aliexpressiin kanssa. Mutta eipä nuo niin hirveän kalliita ole.
Kannattavin on ostaa ilman sisuskaluja ja sitten ostaa parempaa sopivasta paikasta.

N100 153€ Bf tarjous ilman romuja

Tuon saatan ostaa kärkkäiseltä, tosin löytyy jotain levyä itseltäkin.
XPG SX6000 Lite 128GB M.2 SSD-asema | Karkkainen.com verkkokauppa

Käytän myös useita kiinalaisia SSD, tosin nyt vähentämässä kun alkaa olla QLC levyjä.
Näistäkin on ssd kaksoiskappaleet, jos SSD sattuisi sekoamaan, tai teen oman virheen voi heti laittaa toisen laittaa tilalle.
(tämä sen takia että 15 minuutin internetkatkos ajaa muut jatkuviin kysymyksiin , mikä kestää! miksi ei toimi. Tosin eipä noissa ole onglmia muuten kuin omien kokeilujen ja paranteluiden johdosta).
Jos mokaat sen verran että et saa yhteyttä laitteeseen, ei varmuuskopiota pääse palauttamaan vanhaan ohjelmistoon. Varmuuskopion teko on sekunnin juttu ja tärkein että sulla on tiedossa mikä oli toimiva.

Jos laitat usb tikullle toimivan version varmuuskopion, pfsense asentuu se automaattisesti oikeilla asetuksilla.
Backup and Recovery — Automatically Restore Configuration During Installation | pfSense Documentation (netgate.com)

Ohjelma usb tikulle vaikka Rufuksella, (Nyt tuli muistikatkos olenko purkanu 7-zipillä enen usb asennusta.)
pfSense-CE-memstick-2.7.1-RELEASE-amd64.img.gz
Download pfSense Community Edition
Rufus - Luo boottaavat USB-asemat helpolla tavalla
Minulla ei ole vielä ipv6 käytössä, mutta ei se ole käsittääkseni yhtään enempää auki maailmalle kuin ipv4, palomuuri estää kaiken sisäänpäin tulevan kuitenkin, ellei erikseen sallittu. Nat ajattelu lisä turvana on väärä.
 
Ipv6 osoitteiden hankalin puoli on se että jos oma prefix muuttuu, muuttuu myös ne "sisäverkon" osoitteet. Tietysti tuohon on ratkaisuna käyttää ipv6 privaosoitetta, mutta mitä etua tuosta sitten olisi verrattuna ipv4 privaosoitteeseen?
 
Ipv6 osoitteiden hankalin puoli on se että jos oma prefix muuttuu, muuttuu myös ne "sisäverkon" osoitteet. Tietysti tuohon on ratkaisuna käyttää ipv6 privaosoitetta, mutta mitä etua tuosta sitten olisi verrattuna ipv4 privaosoitteeseen?

Itsellä useamman vuoden ollu ipv6 käytössä, prefiksi on pysynyt aina samana. Varmasti operaattorikohtaisuuksia löytyy, mutta muurin ipv6 konffi ja laitteet sen takana ovat toimineet ok ilman tunkkausta. Opnsense ja tais olla pfsense käytössä alkuunsa.
Melkomoni videopalvelu toimii ipv6 kanssa.
 
En ole ainakaan nähnyt tai kuullut, että i226:sta olisi fakeja. Toisaalta, en ole myöskään törmännyt i226 PCI-E -korttiin. Ainoastaan (NUC)-bokseihin, jossa tämä piiri.
i225:sta löytyy PCI-E -korttina, mutta sillä piirillä onkin sitten ollut ongelmia. Ja paljon. Siitä tehtiin mm. B3 hardware-revisio, joka korjasi suurimmat ongelmat, mutta suosittelisin välttämään.
Osta suoraan boksi, jossa on haluttu piiri? Esim teklagerilta tuosta länsinaapurista. Luotettava kauppa ja tuotteet mitä luvataan:
 
Joo ihan kaksi porttisena korttina pitäisi löytyä.
Ei ole kuin yksi korttipaikka tuossa pfSense koneessa, ja siinä nyt tosiaan kaksiporttinen Intelin gigainen kortti.
 
Jahas Fujitsusta (Futro S920) oli vähän puolen yön jälkeen mennyt kovalevy. Aamuun asti toimi jotenkin, mm. vlanit oli jollain tapaa hengissä, mutta netti ulkomaailmaan oli poikki. Huomasin ongelman aamusta 8.30 aikoihin kun ei kotiautomaatio saanut yhteyksiä enää ulkomaailmaan. WLAN pohjalla toimivat anturit pelasivat vielä ja mm. Telegraf palomuurilta edelleen lähetti dataa influx kantaan. Boottasin Fujitsun ja sen jälkeen ei noussut enää pystyyn ja VLANit ja WLANit myös lakkasi pelaamasta, Unifit pudottivat kaikki laitteet pois WLAN verkoista. Tukiasemat toimivat vain siltana joka syynä kai tähän. Oli melko kuumana tuo Fujitsu kun sen kävin riipaisemassa irti. Ei ihmekään kun on käynyt koko yön reilun 80% prosessorikuormalla. Lyhyttä testailua ja vaikutti että kovalevy siitä oli mennyt. Onneksi noita erilaisia kovalevyjä on varastossa ja juuri (fyysisesti) oikean kokoinen 128Gt mSata levykin sattui olemaan. Ei muuta kuin uusi pfSense asennus siihen. Backupin olin onneksi ottanut jokin aikaa aiemmin 2.7.1 päivityksen jälkeen. Nyt näytti uusin olevan jo 2.7.2. Ei muuta kuin backup sisään ja klo 9.30 aikaan, tunti vian huomaamisesta, kaikki oli taas tulilla. Olen vähän miettinyt, että voisi kokeilla vaikka OPNsenseä. Nyt olisi tietenkin ollut siihen hyvä hetki, mutta juuri nyt ei aikaa alkaa säätämään. Tulipa todettua kuitenkin että pfsensen backupit näyttävät toimivan ihan hyvin. Kannattaa ottaa backup aina silloin tällöin ;)

Todennäköisesti taidan hommata jossain kohtaa toisen raudan proxmoxille. Nyt yhdessä ajetaan muutamaa virtuaalikonetta, mm. influx, grafana, home assistant, unifi yms. Jos virtualisoisi myös palomuurin ja samalla saisi "kahdennuksen" tuohon virtuaalipalvelimeen. Nopea palauttaa virtuaalikoneet toiselle raudalle ajoon jos toinen sippaa. Pitäisi perehtyä tarkemmin josko jopa proxmoxin high availability (HA) toimisi jo kahden raudan klusterilla, vai vaatikohan se aina vähintään kolme rautaa että saa klusterin. Pitää perehtyä...

1702713402209.png
 
Viimeksi muokattu:
Muutaman viikon jo pyörinyt ehta DIY-muuri. Alista N100 purkki ja sille Arch Linux. Siihen sitten tarvittavat palvelut pyörimään ja ite muuri nftablesilla. Koko homman hallinta Ansiblella niin voi järjestelmän palautella muutamalla komennolla blankon käyttiksen päälle. Gigasesta kuidusta sai loputkin 200M käyttöön kun vanha APU2 ei jaksanut pfSensen kanssa täydellä kaistaa routata (ko. purkki myynnissä tuolla myyntialueella). Idean koko hommaanhan sain tästä keskustelusta :notworthy:
 
Tämmöinen lähti tulemaan palomuuriksi (144€ posteineen 0GB SSD / 8GB RAM), 10Gbit tulevaisuutta ajatellen: Lenovo M75S-1 SFF Ryzen 5 PRO 3400G 8/16/32GB 0/240/480/960GB Windows 11 Pro | eBay
3400GE on ~i7-7700k tasoinen suorituskyvyltään. Ei ollut ihan megasupertinySFF, mutta tarpeeksi pieni kuitenkin. Jo olemassaoleva X540-T2 kiinni verkkokortiksi. Myös löytyy 16GB optane-levyjä ylimääräisenä M.2 muodossa, sellaisesta tulee hyvä boottilevy.

Harkitsin kiinan N100-kamppeita mutta niihin ei saa 10GbE:tä, paitsi 400€ maksavissa valmisbokseissa. Myöskin DIY N100 on vain pci-e x1 tai pci-e x2.

Nykyinen i3-2100 HP ML110 G7 toimi vallan mainiosti, mutta vaihdan pfSensestä OPNsenseen, niin ajattelin raudan päivittää samalla, koska miksi ei.
 
Viimeksi muokattu:
Tuli sitten taas eilen shoppailtua Ebayssa ja nyt tulossa Futro s920 ja X540 T2 verkkokortti. Jonkin PCIe-riserin taitaa Futro vielä vaatia, mutta testaillaan ja leikitään noilla nyt alkuun. Katsoo sitten, tarviiko vielä päivitellä ssd:tä tai muistia isommaksi.
 
Tuli sitten taas eilen shoppailtua Ebayssa ja nyt tulossa Futro s920 ja X540 T2 verkkokortti. Jonkin PCIe-riserin taitaa Futro vielä vaatia, mutta testaillaan ja leikitään noilla nyt alkuun. Katsoo sitten, tarviiko vielä päivitellä ssd:tä tai muistia isommaksi.

Jaksaako tuo Futro gigaista valokuitua? Vai loppuuko raaka teho?
 
Minulla on Futro S920 ja giganen kuitu. Kyllä se aika hyvin jaksaa. Juuri speedtestillä tein yhden vedon. Tämä koneella, joka cat piuhalla (20m) kiinni Telewellin gigaisessa "halpis" kytkimessä. Eli nämä välissä olevat palikat ja kaapeliveto voivat myös jotain vaikuttaa. Toki itse konekin. Muistaakseni läppärillä suoraan palomuurin LAN portista sain aika lailla maksimit joskus ulos kun testasin.
1703234036205.png

Mutta täydellä nopeudella CPU käyttö on kyllä jo aika tapissaan Futrossa ja isompaa settiä ladattaessa saattaa välissä hetkellisesti nopeus vähän laskeakin. Muutamien gigojen paketteja lataa kyllä aika lailla maksimivauhtia. En mikään hardcore käyttäjä ole kylläkään, joku sellainen osannee kertoa tarkemmin. Itse ehkä harkitsisin jotain hitusen jämerämpää gigaiselle yhteydelle jos varman päälle haluaa pelata. Varsinkin jos tarve ladata/upata paljon ja jatkuvammin. Itsellä oli aiemmin 100/100 ja nyt vasta nostin nopeuden gigaan. Mietinnässä jo, että josko hommaisi toisen Proxmox raudan ja virtualisoisi muurin siihen. Mutta kyllä tällä Futrollakin pärjää kohtuullisen hyvin gigaisellakin kuidulla. Snortti ja pfblockerng pyörii palveluina, jotka varmastikin tuovat lisäkuormaa. Normikäytössä menee aivan loistavasti.
 
Viimeksi muokattu:
Jaksaako tuo Futro gigaista valokuitua? Vai loppuuko raaka teho?

Sen näkee sitten, mutta luultavasti.

EDIT: Tulikin tuohon väliin jo ihan kokemusperäinen vastaus. Vaihdetaan sitten rautaa jos ei omaan käyttöön riitäkään. Nykyisin kuitenkin Edgerouter X gigaisen kuidun kanssa.
 
Viimeksi muokattu:
Mutta täydellä nopeudella CPU käyttö on kyllä jo aika tapissaan Futrossa ja isompaa settiä ladattaessa saattaa välissä hetkellisesti nopeus vähän laskeakin.

Mitenkä muistin käyttö tässä tilanteessa?
Ts. onko pFsenseen mitään ideaa tökkiä vaikka 16/32GB muistia jos prossu on edes jotenkin järkevä?
 
Mitenkä muistin käyttö tässä tilanteessa?
Ts. onko pFsenseen mitään ideaa tökkiä vaikka 16/32GB muistia jos prossu on edes jotenkin järkevä?
Muistinkäyttö pyörii yleenä n. 30% pinnassa (yht. 4GB rammia). Ainakaan hetkellisellä kuormituksella ei ole tuohon juurikaan vaikutusta. Joskus näyttää hetkellisiä piikkejä olevan muistinkäytössä jonnekin 60% pintaan. En tiedä mitä muuri tekee, mutta näitä näyttää tulevan lähinnä puolen yön jälkeen tosiaan silloin tällöin. Ilmeisesti jonkin tällaisen "piikin" yhteydessä hajosi viimeksi se kovokin. Näyttää tuossa yhteydessä lataavan ~1,5Gt edestä jotain ja myös CPU käyttö käy hyvin hetkellisesti korkeammalla.

EDIT: katselin logeista ja näyttää pfBlockerNG ja Snort tekevän päivityksiä välillä 00:00 - 00:40. Muistinkäyttöpiikit liittynevät niihin. Mutta siis se ei näytä muistinkäyttöön juuri vaikuttavan vaikka latailisikin koko kaistan leveydeltä.

1703321641408.png

Yllä oleva on 20.12 ja alempi viime yöltä.
1703321827934.png
 
Viimeksi muokattu:
Muistinkäyttö pyörii yleenä n. 30% pinnassa (yht. 4GB rammia). Ainakaan hetkellisellä kuormituksella ei ole tuohon juurikaan vaikutusta. Joskus näyttää hetkellisiä piikkejä olevan muistinkäytössä jonnekin 60% pintaan. En tiedä mitä muuri tekee, mutta näitä näyttää tulevan lähinnä puolen yön jälkeen tosiaan silloin tällöin. Ilmeisesti jonkin tällaisen "piikin" yhteydessä hajosi viimeksi se kovokin. Näyttää tuossa yhteydessä lataavan ~1,5Gt edestä jotain ja myös CPU käyttö käy hyvin hetkellisesti korkeammalla.

EDIT: katselin logeista ja näyttää pfBlockerNG ja Snort tekevän päivityksiä välillä 00:00 - 00:40. Muistinkäyttöpiikit liittynevät niihin. Mutta siis se ei näytä muistinkäyttöön juuri vaikuttavan vaikka latailisikin koko kaistan leveydeltä.

1703321641408.png

Yllä oleva on 20.12 ja alempi viime yöltä.
1703321827934.png
Jep porttien kuormitus ei vaikuta muistin käyttöön, vaan sessioiden määrä. Ja niitähän ei kotikäytössä juuri tule. Ainoa mihin muistia oikeasti voi tarvita on nuo lisäpalikat kuten Snort tai ntopng. Itse pärjäsin hienosti 4GB muistilla niidenkin kanssa.
 
Jep porttien kuormitus ei vaikuta muistin käyttöön, vaan sessioiden määrä. Ja niitähän ei kotikäytössä juuri tule. Ainoa mihin muistia oikeasti voi tarvita on nuo lisäpalikat kuten Snort tai ntopng. Itse pärjäsin hienosti 4GB muistilla niidenkin kanssa.
Sessioiden määrä voi tietyissä tilanteissa nousta tuhansiin esim. torrent-latauksissa. Yksittäinen kone voi käyttää vaikka 50 000 sessiota. Puhumattakaan jos samassa verkossa on useampi lataaja. Jos torrent-lataukset eivät kuulu harrastukseen, näin isot sessiolukemat ovat kuitenkin todella harvinaisia.
 
Sessioiden määrä voi tietyissä tilanteissa nousta tuhansiin esim. torrent-latauksissa. Yksittäinen kone voi käyttää vaikka 50 000 sessiota. Puhumattakaan jos samassa verkossa on useampi lataaja. Jos torrent-lataukset eivät kuulu harrastukseen, näin isot sessiolukemat ovat kuitenkin todella harvinaisia.
itse en ole yli 2000-3000 seasiota nähnyt vaikka torrentteja joskus harrastanutkin, mutta vaikka olisi 50000 niin tarkoittaisi 100Mt muistia. Tyypillinen määrä sessioita normaalissa tietokoneessa jossain 30-100 välissä, mobiililaitteilla 10-20. Noista voi laskea tarvetta.
 
Prossukin toki vaikuttaa, mutta mitään hirveitä ei kyllä vaadi. Esim. N100 lähes idlailee 600M kuormalla ja normikäyttö vie vaihtelevalla kuormalla 0-1%. Muistia tosin olen saanut maistumaan lähes 7GB suricata + zenarmor combolla.
 
Mulla on prosessorina N6005, pfSense virtuaalisena Proxmoxin päällä ja kaksi ydintä annettu pfSensen käyttöön. Ethernet adapterit pci-passthrough tilassa.

Nyt kun tuli 1G/1G valokuitu taloon ja testailin kaikenlaista niin huomasin että jostain syystä pfSense VM:n CPU käyttöaste nousi 100 % Proxmoxin GUI:ssa kun Speedtest oli päällä ja kuorma n. 1020 Mbps. pfSensen päästä kun katsoi top-komentoa niin se arvioi CPU-käytön olevan ehkä 20-30 % luokkaa. Kokeilin seuraavia juttuja:

- Annoin pfSenselle vain yhden ytimen. CPU käyttöaste oli 100 % Proxomin GUI:ssa kun speedtest ajossa, mutta speedtest näytti silti linjanopeutta 1020 Mbps ilman mitään droppeja. Myöskin Proxmoxissa seurattu top-komentoa ja CPU kuormitus tippunut.
- Otin NICien pci-passthroughin pois ja tilalle virtio NICit (yksi CPU vieläkin käytössä) jolloin speedtest tulos tippui n. 750-800 Mbps lukemaan. Otin perään hardware offloadit pois, mutta ne eivät nopeutta muuttaneet.
- Palautin takaisin toisen PCU:n ja NICit takaisin pci-passthrough tilaan jonka jälkeen laitoin pfSensen tehdasasetuksille. Testaus antoi samaa pfSense VM:n CPU käyttöaste 100 % Proxmoxin GUI:ssa kun Speedtest oli päällä ja kuorma n. 1020 Mbps.

Ei ollut aikaa testailla, joten laitoin toistaiseksi pfSenselle vain yhden ytimen, sillä se näyttää riittävän toistaiseksi linjanopeuteen ja tällä tavalla Proxmoxin CPU-kuormitus on mahdollisimman vähäistä kunnes keksin miten "overhead" saadaan pienemmäksi. Pitää varmaan seurata interrupteja sekä I/O operaatioita seuraavaksi ja koittaa lukea foorumeilta kokemuksia aiheesta.

Kyllähän tämä on saanut minut katselemaan taas barebone buildin suuntaan, mutta toisaalta en haluaisi lisää laitteita jalkoihin pyörimään.
 
Mulla on prosessorina N6005, pfSense virtuaalisena Proxmoxin päällä ja kaksi ydintä annettu pfSensen käyttöön. Ethernet adapterit pci-passthrough tilassa.

Nyt kun tuli 1G/1G valokuitu taloon ja testailin kaikenlaista niin huomasin että jostain syystä pfSense VM:n CPU käyttöaste nousi 100 % Proxmoxin GUI:ssa kun Speedtest oli päällä ja kuorma n. 1020 Mbps. pfSensen päästä kun katsoi top-komentoa niin se arvioi CPU-käytön olevan ehkä 20-30 % luokkaa. Kokeilin seuraavia juttuja:

- Annoin pfSenselle vain yhden ytimen. CPU käyttöaste oli 100 % Proxomin GUI:ssa kun speedtest ajossa, mutta speedtest näytti silti linjanopeutta 1020 Mbps ilman mitään droppeja. Myöskin Proxmoxissa seurattu top-komentoa ja CPU kuormitus tippunut.
- Otin NICien pci-passthroughin pois ja tilalle virtio NICit (yksi CPU vieläkin käytössä) jolloin speedtest tulos tippui n. 750-800 Mbps lukemaan. Otin perään hardware offloadit pois, mutta ne eivät nopeutta muuttaneet.
- Palautin takaisin toisen PCU:n ja NICit takaisin pci-passthrough tilaan jonka jälkeen laitoin pfSensen tehdasasetuksille. Testaus antoi samaa pfSense VM:n CPU käyttöaste 100 % Proxmoxin GUI:ssa kun Speedtest oli päällä ja kuorma n. 1020 Mbps.

Ei ollut aikaa testailla, joten laitoin toistaiseksi pfSenselle vain yhden ytimen, sillä se näyttää riittävän toistaiseksi linjanopeuteen ja tällä tavalla Proxmoxin CPU-kuormitus on mahdollisimman vähäistä kunnes keksin miten "overhead" saadaan pienemmäksi. Pitää varmaan seurata interrupteja sekä I/O operaatioita seuraavaksi ja koittaa lukea foorumeilta kokemuksia aiheesta.

Kyllähän tämä on saanut minut katselemaan taas barebone buildin suuntaan, mutta toisaalta en haluaisi lisää laitteita jalkoihin pyörimään.
Eikö Proxmox jaa resurssit tarpeen mukaan, eli ei tarvetta rajata esim. vain 2 ydintä pfSenselle? Oletko kokeillut nostaa ydinmäärää?
 
Eikö Proxmox jaa resurssit tarpeen mukaan, eli ei tarvetta rajata esim. vain 2 ydintä pfSenselle? Oletko kokeillut nostaa ydinmäärää?

Joku ohje jota seurasin suositteli kahta ydintä alkuun. Nostin ydinmäärän neljään ja suljin kaikki muut VM:t. Idle CPU käyttö näyttää n. 5-10 % sekä Proxmox että pfSense VM:n top-komennoilla. Speedtestiä ajaessa täyttä 1G/1G vauhtia Proxmox näytti n. 91 % CPU käyttöä ladatessa ja 65 % lähettäessä. pfSense n. 43 % ja 35 % luvut.
 
Joku ohje jota seurasin suositteli kahta ydintä alkuun. Nostin ydinmäärän neljään ja suljin kaikki muut VM:t. Idle CPU käyttö näyttää n. 5-10 % sekä Proxmox että pfSense VM:n top-komennoilla. Speedtestiä ajaessa täyttä 1G/1G vauhtia Proxmox näytti n. 91 % CPU käyttöä ladatessa ja 65 % lähettäessä. pfSense n. 43 % ja 35 % luvut.
Eikös tuo prossu oo aika nuhanen jos aikoo enempikin virtualisointi hommia harrastaa? Menee ehkä jos siellä vaan se palomuuri distro ja jotain muuta kevyttä pyörii.

Open vSwitch - Proxmox VE Tämä vois olla parempi suorituskyvyltään kuin se perus linux silta/vlan
 
Eikös tuo prossu oo aika nuhanen jos aikoo enempikin virtualisointi hommia harrastaa? Menee ehkä jos siellä vaan se palomuuri distro ja jotain muuta kevyttä pyörii.

Open vSwitch - Proxmox VE Tämä vois olla parempi suorituskyvyltään kuin se perus linux silta/vlan

Kevyttä siellä pyöriikin. VM:t ovat pfSense, Home Assistant ja Openmediavault. Lisäksi Jellyfin toimii LXC:nä kun oli paljon helpompi saada iGPU toimimaan tuolla tavalla.

Ihmettelin vain CPU:n käyttäytymistä ja miten yhdellä corella vs kaksi/neljä corea pfSenselle VM:lle näkyy vain lisääntyneenä CPU käyttönä ilman mitään hyötyä. Tai toisinpäin, yksi core käytössä netin nopeus ei näytä tippuvan yhtään, mutta resursseja vapautuu hurja määrä muille alustoille.
 

Statistiikka

Viestiketjuista
257 833
Viestejä
4 485 166
Jäsenet
74 004
Uusin jäsen
S Mike

Hinta.fi

Back
Ylös Bottom