OPNsense Forum

International Forums => German - Deutsch => Topic started by: ruggerio on February 15, 2021, 10:14:22 am

Title: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: ruggerio on February 15, 2021, 10:14:22 am
Hallo zusammen,

habe ne APU4, damit geht IPS nicht wirklich. Max. 80 mbit/s. Suche nach beserer Hardware und wollte nachfragen, ob jemand Erfahrungen mit den Celeron CPU's hat:

Intel Celeron N4100
Oder der J9100

Habe in Zukunft max. 400 mbit/s Download und würde gerne IPS mitlaufen lassen, damit aber möglichst den Durchsatz erreichen.

Gruss
Roger
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: micneu on February 15, 2021, 11:38:20 am
ich bin der meinung du benötigts viel ram (16GB, kann sein das es auch mit 8GB geht).
CPU würde ich schon so ab Core i3 aufwärts und auch nicht älter als 4 Jahre
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: ruggerio on February 15, 2021, 03:55:18 pm
Danke für die Info. Celeron in dem Fall eher nicht. Die wären eher stromsparender unterwegs.
Title: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: micneu on February 15, 2021, 05:32:04 pm
Ganz vergessen, streiche bitte die j1900 komplett, die sind schon lange veraltet und nicht sehr performant
Bei NRG-Systems kann ich dir die
- IPU672, IPU675, IPU882 und IPU885 empfehlen, die anderren
Haben für mein Geschmack zu alte CPU‘s
Am besten nutz du mal die suche im Forum, wir hatten da einige Themen zu Hardware, dann müssen wir das hier nicht nochmal alles wiederholen.

Gesendet von iPad mit Tapatalk Pro
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: lewald on February 15, 2021, 06:02:28 pm
Bezüglich CPU kann ich nur aus Erfahrung sagen.

Bitte ab i3 aufwärst. Wenn VPN zusätzlich im Spiel ist eher i5 oder besser.
Und ja die CPU sollte nicht älter als 4 Jahre sein. AES in CPU ist Pflicht.

Beim Ram reichen 8 GB völlig. Habe 1 Gbit auf diversen Servern mit IPS am laufen.
Erreiche dort ohne Probleme 9x0 im up und down.
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: micneu on February 15, 2021, 06:25:59 pm
Der RAM ist abhängig von der Anzahl an ids Regeln
Sowas kann JrGr besser erklären


Gesendet von iPad mit Tapatalk Pro
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: lewald on February 15, 2021, 06:29:24 pm
Ok,

aber wer braucht 20.000 Regeln? Zuhause? Die Frage ist dann doch welche Dinge kommen rein (Gibt es Dienste von Außen nach innen) oder Dinge die raus gehen. Bei Dingen die raus gehen würde ich dem nicht Profi eher Sensei Empfehlen. Auch wenn es etwas kostet.
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: JeGr on February 15, 2021, 07:23:21 pm
> aber wer braucht 20.000 Regeln? Zuhause? Die Frage ist dann doch welche Dinge kommen rein (Gibt es Dienste von Außen nach innen) oder Dinge die raus gehen. Bei Dingen die raus gehen würde ich dem nicht Profi eher Sensei Empfehlen. Auch wenn es etwas kostet.

Ketzerisch gefragt wäre sowieso eher: was brauche ich (außer wegen Informationsoverflow) IPS zu Hause? Zumindest mit so vielen Regeln? Michael hat das ja in seinem Talk bei TK schonmal gesagt und wir betens genauso runter: mit TLS (almost) everywhere sind eh sehr viele Signaturen heute überflüssig oder nicht erkennbar, weil das IDS den Kram gar nicht mehr sieht. Und dann muss man auch sinnvoll selektieren, welche Kategorien und Gruppen ich überhaupt aktiviere, weil sie auf mich zutreffen oder nicht. Aber bspw. das ET Pro Ruleset rannehmen und zusammen mit Community Rulesets einfach raufwerfen und "ON" klicken bringt außer jeder Menge false positives und CPU/RAM Drama nicht wirklich sinnvolle Matches ;) Zumal in den Rulesets oft auch Gruppen drin stecken, die einfach nur platte IP Listen sind - und die mit IDS zu blocken ist wirklich das Äquivalent von "mit einer Gattling auf eine Ameise feuern". Da wird CPU verbraten für nen simplen IP Block, der ggf. (vom WAN) eh geblockt worden wäre oder (von LAN) den man mit einer simplen IP Table abfrühstücken kann (indem man bspw. Firehol1-3 in/outbound blockt).

Wenn es um Spielchen wie App-Detection oder Traffic Abfluß geht, wo ich im Detection Mode einfach nur sehen will was wohin blubbert, Alrighty have fun.
Wobei jetzt RAM eher weniger der Punkt ist bei IDS, sondern CPU. Darum "teuer" - IDS Rule Detection ist vergleichsweise teuer ggü dem Matching auf States (superschnell) und die pf-Regeln/Tables (schnell). Dagegen wird beim IDS das Paket im Kernelspace direkt vom Interface gemopst, gegen die hunderte/tausende Signaturen abgeglichen und dann erst weiter geschoben. Und der Match kostet eben vergleichsweise mehr CPU als einfache IP Checks.

Das mal zur kurzen Erklärung zwischendurch ;)
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: opnboi on February 15, 2021, 07:27:21 pm
Danke @JeGr

Besser hätte man es nicht beschreiben können ;D
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: ruggerio on February 16, 2021, 04:13:01 pm
Also, mir würds vor allem darum gehen, "ältere" Infrastruktur, die nicht mehr zwingend alle Updates kriegen zu schützen.

Das wird vor allem im Webumfeld sein, nehm ich jetzt mal an, sofern die User nicht noch in irgendwelchen zweifelhaften App-Stores rumstöbern.

Korrekt, IDS greift den TLS-Traffic nicht ab? Da heute noch die meisten Websites sowieso mit HSTS auf TLS umleiten, wäre damit das eigentlich mehrheitlich hinfällig. Da wäre nur noch der Schutz meiner wenigen Web- und Mailserver damit möglich. Und das meiste sortier ich damit aus, dass ich die Firehol (und andere) Rules auf den Interfaces in der Firewall am mitlaufen habe.

Somit wärs eigentlich nahezu sinnfrei, die IPS laufen zu lassen und CPU zu vergeuden (jetzt in meinem Fall). Oder tatsächlich einfach ne spielerei, damit man seine Freizeit in Corona nicht mit Tabak und Alkohol vergeudet :)

Gruess
Roger
Title: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: micneu on February 17, 2021, 02:47:40 pm
Ach, alkohol ist auch keine Lösung, macht aber auch spaß :)
Auch wenn du dich gegen ids entscheiden solltest (Gratulation)
Ist meine Empfehlung trotzdem nicht die kleinste CPU/älteste CPU zu nehmen. Meine Devise ist immer lieber haben und nicht brauchen als brauchen und nicht haben.
(Auf Performance / Ausstattung bezogen)

Gesendet von iPad mit Tapatalk Pro
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: ruggerio on February 17, 2021, 08:34:15 pm
Spass muss srin 😀

Och hab aktuell ne APU4 im Einsatz, die bringt ca. 700 mbps download hin, ohne dass die CPU echten Load kriegt. Mit Prxy gehts auf rund 200 mbps retour, da kriegt CPU auch load.

Wenn man auf IDP\IPS verzichten will und mit der Bandbreite durchkommt, ne feine Sache. Streame lit 4 Geräten. Für normalen SOHO-Gebrauch wohl genügend. Bastler und andere experimentierfreudige sollten was kräftigeres nehmen. Mein Sohn hat während dem Streamen auch mit Steam gegamed, keine Probleme.

Zur Info für interessierte.
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: lenny on February 18, 2021, 08:56:27 am
Sehe ich auch so, im Heimgerbauch.
Ich habe einen N4200 - verbraucht 6 Watt. Gerade im Homeuse nicht ganz unrelevant finde ich...
Core i fangen beim dreifachen an...

Ohne Proxy und IDS auch absolut problemfrei.
Proxy und IDS braucht ressourcen. Aber da SSL Injection sowieso nicht richtig toll funktioniert, braucht man auch nahezu keinen Proxy. Und das IDS eigentlich nur für den Server in der DMZ
Title: Re: Erfahrungen mit Intel Celeron CPU's mit IPS/IDP
Post by: ruggerio on February 18, 2021, 02:04:06 pm
Ich hab nicht mal mehr für die Server IDS/IDP aktiv. Mit den ganzen Firehol und ähnlichen Regeln fliegt da genug auf dem WAN bereits weg, was nicht hin soll.

Habe ausserdem mit ein wenig gefrickel meinen Web- und Mailserver hinter NGINX gehängt, der hat auch ne WAF. Auf dem Server läuft Fail2Ban.

Dürfte wohl paranoid genug sein. Mehr Sicherheit geht immer, am einfachsten ist noch immer Stecker ziehen.