Hardware Upgrade Gigabit WAN

[JeGr]

Hallo Oliver,

was @mic da aufzeigt mit dem Supermicro ist im Prinzip die Hardware die ich meinte/angesprochen hatte.
Das hier war meine Idee: https://www.scope7.de/hardware/scope7-1510
Oder wenns 19" sein soll: https://www.scope7.de/hardware/scope7-7907

dann gibts noch 2 Ports mehr :) Ansonsten ist momentan noch was in der Mache mit C3000er Atom und 10G Ports aber das sehe ich jetzt bei dir eher nicht als Bedarf ;)

Generell sollte der C3000 SOC aber genug Reserven noch für dich haben bei dem was ich lese. Das Einzige sind ja die Gigabit im Downstream und das schaffte schon der Vorgänger mit C2000 problemlos mit Filtering und Co. Die 3000er sind dann bei VPN und Co doch nochmal ne ganze Ecke stärker.

Was man aus Mics Grafik auch auffällt ist, dass der Atom E irgendwie wohl nicht/nicht korrekt AES-NI beherrscht oder nutzt. Vor allem dass GCM langsamer sein soll in der Messung macht mich da stutzig. Ansonsten sieht man die Unterschiede da ja recht deutlich was VPN Konfiguration mit den richtigen Ciphern und CPU Support ausmachen kann.

[donoli]

Hallo zusammen

Danke nochmal viel mal für eure Hilfe.
Vielleicht noch kurz, für die die es interessiert, wie habe ich mich nun entschieden. Ich habe die mit Kanonen auf Spatzen Lösung gewählt.
Ich habe meinen i7 4790K, mein Motherboard Asus z97 und eine Intel i350-T4 in ein 2HE Rack Gehäuse gezwängt und das ganze mit OPNsense bestückt. Läuft wie ein Träumchen!
Ich wusste gar nicht, dass das GUI so schnell sein kann :D Eine tolle Verbesserung zum APU2. Und der Durchsatz kann sich nun auch sehen lassen.

Wenn jemand noch genaueres wissen möchte, ich werde immer wieder mal vorbeischauen, und vielleicht auch mal wieder die eine oder andere Diskussion starten. Ich möchte euch noch kurz auf den Weg geben, dass dies hier eine tolle und hilfsbereite Community ist.

Betrachtet den Thread meinerseits als geschlossen.
Grüsse
Oliver

[micneu]

cool, na dann viel spaß mit deinem system.
kannst du mal bitte auf deiner sense die OpenSSL leistung testen.

Code Select Expand


openssl speed -elapsed -evp aes-256-cbc

und

Code Select Expand


openssl speed -elapsed -evp aes-256-gcm


[donoli]

Hey micneu,
darf ich Fragen, was ist die Aussage dieses Test? Was kannst du damit ablesen?

Ich habe dies mal ausgeführt:

Code Select Expand

openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 111743513 aes-256-cbc's in 3.02s
Doing aes-256-cbc for 3s on 64 size blocks: 29665797 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 256 size blocks: 7588242 aes-256-cbc's in 3.03s
Doing aes-256-cbc for 3s on 1024 size blocks: 1892411 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 8192 size blocks: 238479 aes-256-cbc's in 3.03s
Doing aes-256-cbc for 3s on 16384 size blocks: 118399 aes-256-cbc's in 3.01s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-cbc     591345.52k   631226.52k   640854.42k   644265.18k   644493.19k   644936.88k


Code Select Expand

openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 68388283 aes-256-gcm's in 3.03s
Doing aes-256-gcm for 3s on 64 size blocks: 48043911 aes-256-gcm's in 3.03s
Doing aes-256-gcm for 3s on 256 size blocks: 25670129 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 1024 size blocks: 7723837 aes-256-gcm's in 3.02s
Doing aes-256-gcm for 3s on 8192 size blocks: 1096931 aes-256-gcm's in 3.02s
Doing aes-256-gcm for 3s on 16384 size blocks: 560639 aes-256-gcm's in 3.03s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-gcm     360977.33k  1014370.41k  2184828.02k  2622742.91k  2979832.95k  3030271.13k


[micneu]

Die aes Performance deiner CPU


Gesendet von iPhone mit Tapatalk Pro

[opnsenseuser]

da schaut meine dagegen echt schlecht aus. Atom c3558. dafür nur 16 watt!!

root@router:~ # openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 44326919 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 64 size blocks: 15285787 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 256 size blocks: 4543435 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 1024 size blocks: 1190765 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 8192 size blocks: 150802 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 16384 size blocks: 75467 aes-256-cbc's in 3.00s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-cbc     236410.23k   326096.79k   386699.42k   406447.79k   411789.99k   412150.44k



root@router:~ # openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 29957426 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 64 size blocks: 19358048 aes-256-gcm's in 3.11s
Doing aes-256-gcm for 3s on 256 size blocks: 7455970 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 1024 size blocks: 2158742 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 8192 size blocks: 279345 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 16384 size blocks: 140122 aes-256-gcm's in 3.01s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-gcm     159772.94k   398445.05k   636242.77k   734936.70k   762798.08k   763265.28k

[JeGr]

Naja warum schlecht? :) Schau dir doch mal bei GCM die Zahlen an! Natürlich sind die Zahlen von @donoli toll!

Aber:
> aes-256-gcm     360977.33k  1014370.41k  2184828.02k  2622742.91k  2979832.95k  3030271.13k

Ich sehe eigentlich keinen Bedarf, VPN mit Multi-Gigabit Möglichkeit zu nutzen ;) Und das Maximum sagt hier ~3Gbps (bei 360Mbps als kleinster Wert). Also grob ein IMIX von wahrscheinlich um die 1,5-2Gbps. Das packt eh keine Endkundenleitung momentan :D

Dein 3558 hat ja als grober IMIX Wert für IPSEC (AES-128-GCM) ~385Mbps und als Maximum ~900Mbps - mir würde das locker reichen :D

Aber ein schöner Neubau in 2HE. Dürfte aber auch nicht sehr leise sein, oder?

[micneu]

also, ich hatte mir die Supermicro SYS-E302-9D angeschaut, Silent, keine Lüfter, genau was ich haben wollte.
jetzt kommt das Aber:
die Kiste wurde so warm das ich mir nach ca. 3 Stunden FAST die Finger verbrannt habe.
was mir bei der kiste gefallen hat:
- Leise (keine lüfter)
- viele Netzwerkkarten & 10GBit Kupfer/Glas

was mir nicht gefallen hat:
- wird sehr warm
- für den preis zu wenig leistung

hier mal die aes performance werte die ich mit OPNsense 20.7.2 ermittelt habe.
Xeon D-2123IT aes-256-cbc   396.512,31k   205.419,33k   206.535,04k   207.105,83k   207.230,88k   207.730,97k
Xeon D-2123IT aes-256-gcm   278.376k   736.917,88k   1.348.889,61k   2.042.660,17k   2.434.977,72k   2.458.827,58k

ich habe mich erstmal dazu entschieden mein Core i7 System weiter einzusetzen

[JeGr]

@mic: schöne Hardware mit redundantem Netzteil und 10G kann ich dir später im UG Treffen auch zeigen ^^

[Meditux]

Hi Leute,

hier mal die Werte meiner neuen Box daheim. Die Werte dienen zur Einschätzung der Leistung, falls mal wieder jemand nach geeigneter Hardware sucht. Die Kiste lauft auf 15W TDP (über das Bios begrenzt). Sie wird nur leicht warm, die Temperatur war bis jetzt laut Dashboad und Reporting nie höher als 44c. Diesmal war sogar der Zoll mit mir gnädig und hat nur moderat zugeschlagen ;-)

Topton Industrielle Mini PC Intel Core i5 8265U 6 Lan Intel i211/i210

root@RedBox:~ # openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 69597882 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 64 size blocks: 20078693 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 256 size blocks: 5136026 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 1024 size blocks: 1294009 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 8192 size blocks: 158294 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 16384 size blocks: 80566 aes-256-cbc's in 3.00s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-cbc     371188.70k   428345.45k   438274.22k   441688.41k   432248.15k   439997.78k
root@RedBox:~ # openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 44672966 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 64 size blocks: 30344287 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 256 size blocks: 13998168 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 1024 size blocks: 5100237 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 8192 size blocks: 762332 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 16384 size blocks: 388632 aes-256-gcm's in 3.00s
OpenSSL 1.1.1d-freebsd  10 Sep 2019
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-256-gcm     238255.82k   647344.79k  1194510.34k  1740880.90k  2081674.58k  2122448.90k
root@RedBox:~ #


Gruß Meditux

[Schubbie]

Moin,
seit gestern habe ich Cable Max 1000 (1000 Mbit/s down und 50 Mbit/s up).
Eigentlich dachte ich, dass ein J3160 mit 8 GB RAM für eine Firewall ausreichend ist, da eine Fritz Box erheblich schwächer auf der Brust sein dürfte und ich die OPNsense nur für mich privat einsetze, also nicht übermäßig viele Regeln/Filter abzuarbeiten sind.
Es kam anscheinend, wie es kommen musste. Klemme ich die OPNsense zwischen Kabelrouter (ist noch nicht im Bridged Mode, dauert noch 7 Tage bis zur Umstellung..., aber wir vermutlich die Lage nicht verbessern?) und PC, dann sinkt der Downlaod auf ca. 460.000 kbit/s. Ich nehme an, dass dafür mein Prozessor verantwortlich ist? Beim Download einer großen Daten liege ich allerdings bei 30% Prozessorauslastung, im Speedtest sind es kurz bei 60 - 70%.

Code Select Expand

openssl speed -elapsed -evp aes-256-cbc
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-cbc for 3s on 16 size blocks: 24294120 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 64 size blocks: 9709132 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 256 size blocks: 2989559 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 1024 size blocks: 792782 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 8192 size blocks: 100952 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 16384 size blocks: 50505 aes-256-cbc's in 3.00s
OpenSSL 1.1.1o-freebsd  3 May 2022
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type                16 bytes        64 bytes        256 bytes      1024 bytes    8192 bytes    16384 bytes
aes-256-cbc     129568.64k   207128.15k   255109.03k   270602.92k   275666.26k   275824.64k

Code Select Expand

openssl speed -elapsed -evp aes-256-gcm
You have chosen to measure elapsed time instead of user CPU time.
Doing aes-256-gcm for 3s on 16 size blocks: 16807142 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 64 size blocks: 8434318 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 256 size blocks: 2915497 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 1024 size blocks: 813165 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 8192 size blocks: 104667 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 16384 size blocks: 52447 aes-256-gcm's in 3.01s
OpenSSL 1.1.1o-freebsd  3 May 2022
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(int) aes(partial) idea(int) blowfish(ptr)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type                  16 bytes       64 bytes       256 bytes      1024 bytes     8192 bytes    16384 bytes
aes-256-gcm      89638.09k   179932.12k   248789.08k   277560.32k   285810.69k   285686.57k

Gibt es da auch etwas günstiges, um die nötige Performace zu erreichen?
Es steht ein VPN zu einer FritzBox und ich möchte gerne mit den Smartphones per WireGuard drauf (wenn ich WireGuard denn mal irgendwann zum Laufen bekomme...). Des Weiteren habe ich 5 VLANs eingerichtet, jedoch meist nur rund 25 IoT Geräte, 4 Telefoniegeräte, 2 PCs, 3 Smartphones und 3 VM-Wares auf einer Synology DS1821+ im Netz, dazu 3 Ubiquiti APs, also eigentlich geringe Anforderungen für einen Privathaushalt. Das DSL soll noch als Failover laufen, so lange es noch aktiv ist.

Oder würdet ihr zu einer ganz anderen Lösung (mit VLAN und IP-Begrenzung für Portweiterleitungen (für die Telefonanlage)) raten?

Leider habe ich da sehr wenig Ahnung von, aber es ist halt ein kleines Hobby solche Dinge auszuprobieren und würde ich einfach eine Fritz Box nutzen, dann würde es bereits an den VLANs scheitern.

[micneu]

1. bitte einen grafischen netzwerkplan
2. haben wir hier im forum unzählige beiträge zu hardware, nutze einfach die forum suche
3. welche dienste hast du genau auf deiner sense am laufen (ids/ips)?
4. ist in deiner hardware realtek netzwerk verbaut, zu dem thema kannst du auch viele beiträge im forum finden?

die genauen beschreibung und der grafische netzwerkplan helfen anderen foren teilnehmern und du musst dir nochmal genau gedanken machen was du da eigentlich tust


Gesendet von iPad mit Tapatalk Pro

[Schubbie]

1. Siehe Anhang (hoffentlich ausreichend)

2. Jepp, dass ist das Problem, welchen nehmen? Ich hatte gehofft, dass man Aufgrund der oben eingefügten Ausgabe festmachen kann, dass der Prozessor zu langsam ist oder irgendetwas anderes das Problem darstellt.

3.
Captive Portal
DHCPv4
Dynamisches DNS
Netzwerk-Zeit
Unbound-DNS (zur Überbrückung, Sperrlisten deaktiviert)

VPN:
IPsec (Site2Site)
WireGuard (Clients, wenn es denn mal wieder läuft...)

4. Danke für den Hinweis. Die NIC zum Switch ist tatsächlich eine Realtek (auf dem Mainboard). Ich habe das Realtek-AddOn installiert, leider keine Änderung.

Ich möchte mir Gedanken machen können, ob ich damit weiter mache. Wenn ich Hardware für 600,-€ benötige, da die jetzige OPNsense zu schwach ist, dann ist es mir das das wahrscheinlich nicht mehr wert. Zudem scheine ich ein Händchen dafür zu haben, dass ich in Bugs tappe, was mich etwas frustriert.
Auch daher die Frage, ob vielleicht jemand eine Alternaitve zu meinem Netzwerkaufbau hat. Ich möchte die VLANs behalten und auch die IP-Filterung zur Portfreigabe auf meine Telefonanlage, da diese die Firewall der Telefonanlage sauber hält.

[Schubbie]

Hier noch das Dashboard.

[micneu]

4. Danke für den Hinweis. Die NIC zum Switch ist tatsächlich eine Realtek (auf dem Mainboard). Ich habe das Realtek-AddOn installiert, leider keine Änderung.

Ich möchte mir Gedanken machen können, ob ich damit weiter mache. Wenn ich Hardware für 600,-€ benötige, da die jetzige OPNsense zu schwach ist, dann ist es mir das das wahrscheinlich nicht mehr wert. Zudem scheine ich ein Händchen dafür zu haben, dass ich in Bugs tappe, was mich etwas frustriert.

ich kann nur sagen nimm eine hardware mit intel netzwerkkarten .

habe noch eine frage deine jetzige hardware hat wirklich 3 netzwerkanschlüsse odee hast du einen usb ethernet adapter (was eine wehr schlechte idee währe und was eine wichtige info ist)

ps: firewall ist kein günstiges vergnügen, wenn man es ordentlich machen will muss man halt etwas geld in die hand nehmen
ich habe noch ein qtom core i3 mit 16gb ram, 6x intel ethernet zu verkaufen [emoji12]


Gesendet von iPad mit Tapatalk Pro