Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Opnsense VM als interner Router - Ressourcen limits? Throughput?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Opnsense VM als interner Router - Ressourcen limits? Throughput? (Read 1689 times)
fras128
Newbie
Posts: 1
Karma: 0
Opnsense VM als interner Router - Ressourcen limits? Throughput?
«
on:
April 30, 2020, 02:55:41 pm »
Hallo,
wir sind am überlegen, ob wir zur Trennung unserer internen Netze (Backbone, Server, Clients etc.) eine OPNsense als VM einsetzen könnten. Also vorerst nur VLAN Routing mit der Möglichkeit des Firewallings bei Bedarf in der Zukunft. Wir haben ca. 250 Clients und ca. 150 virtuelle Server (VMware) am Standort.
Dei Fragen die sich mir nun stellen sind:
1. Macht das überhaupt Sinn?
2. Packt die OPNsense das von der Performance her?
Ich mache mir Sorgen über die Performance wenn wir sämtlichen internen Traffic zwischen den VLANs über die OPNsense schicken. Ich habe leider nicht gefunden wo die Ressourcenlimits der VM Version liegen.
Kann die VM alle Ressourcen nutzen die man ihr zuteilt? Wenn ich der VM z.B. 16 Kerne und 64GB RAM gebe, kann sie diese dann auch nutzen?
Werden auch NICs mit mehr als 1GBit unterstützt?
Vielen Dank für Euer Feedback!
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: Opnsense VM als interner Router - Ressourcen limits? Throughput?
«
Reply #1 on:
April 30, 2020, 03:53:36 pm »
Das kommt auf die genutzten Funktionen an.
VMNet unter VMware können auch 10Gbit. Support für OPNsense bin ich mir gerade nicht sicher.
Wenn du NAT nutzt geht das auf die Performacne.
CPU und RAM haben da nur teilweise Auswirkungen auf die Performance.
Wenn die CPU >2,4GHz und ausreichend RAM für den Betrieb der Firewall da ist, sollte das schon was drüber laufen.
Um einen Test kommt man in solchen Konstelationen sowieso nie rum.
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
mgoerke
Newbie
Posts: 6
Karma: 0
Re: Opnsense VM als interner Router - Ressourcen limits? Throughput?
«
Reply #2 on:
July 16, 2020, 06:50:13 pm »
Hallo,
OPNsense als BSD-Betriebssystem ist natürlich in der Lage, alle Performance zu gewähren.
Demzufolge gehen auch 10 Bit/s Anschlüsse.
Sofern keine weiteren Softwaremodule eingesetzt werden, sollten gut bis sehr gute Server die Performance liefern.
(Was ich mit gut bis sehr gute Hardware meine, kann ich nicht sagen, da ich mich mit Serverhardware nicht auskenne.)
Eine Trennung von VLANs an einer Firewall macht Sinn und ist sogar notwendig, eigentlich alternativlos.
Mein konkreter Vorschlag ist, einen Server mit den Ports zu beschaffen und im ersten proof of concept die Performance zu ermitteln. Das Ergebnis wird eine Auslastung von 20-30% sein. Damit kann man sich produktiv wagen.
Notfalls kann man über 2 CARP/VRRP-Gruppen eine Lastverteilung vornehmen, was ich jedoch nur im Notfall und nicht im planbaren Fall umsetzen würde.
OPNsesne als virtuelle Maschine ist klar:
https://www.iternas.com/post/installation-von-opnsense-in-einer-virtuellen-maschine
Sollte das Problem noch ernsthaft in Diskussion sein, so würde ich unsere Eingesetzen FWs mal auf Performance und Auslastung prüfen und dir dann Rückmeldung geben.
Viele Grüße
Morris Görke
Logged
Morris Görke
iternas GmbH
https://www.iternas.com/opnsense
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: Opnsense VM als interner Router - Ressourcen limits? Throughput?
«
Reply #3 on:
July 17, 2020, 02:26:31 pm »
> Notfalls kann man über 2 CARP/VRRP-Gruppen eine Lastverteilung vornehmen, was ich jedoch nur im Notfall und nicht im planbaren Fall umsetzen würde.
CARP ist KEINE Lastverteilung. CARP hat unter FreeBSD keine Implementation wie unter OpenBSD, dass OutoftheBox Lastverteilung unterstützt wird, sondern lediglich Failover. Keine Verteilung von verschiedenen Netzen auf Node 2 als Master. Das ist so ohne Eingriffe in OPNsense AFAIK nicht möglich!
Zudem ist VirtualBox als Umgebung nur bedingt mit einer größeren vSphere Umgebung zu vergleichen. Was nicht heißt, dass OPNsense damit größere Probleme hätte, aber die Installationen unterscheiden sich da doch ziemlich.
Wenn das Thema nach 3 Monaten noch akut ist, hätte sich der OP sicher noch gemeldet. Performance Messungen sind zwar immer schön, aber solang man keine Requirements kennt außer den Client und Serverzahlen, sind die etwas im Luftleeren Raum. Gigabit Routing ist ja u.a. kein großartiges Problem und kann schon mit recht moderater Hardware erreicht werden. Ohne weitere Details wie Einsatz von IDS, NAT, sonstigem ist das aber dann schon eine sehr theoretische Diskussion
Grüße
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Opnsense VM als interner Router - Ressourcen limits? Throughput?