*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)
Ja, wenn der AppleTV an einem anderen Port wie Dein PC an der Sense hängt, musst Du das Interface natürlich separat beregeln und einrichten. Schnittstellenzuordnung, DHCP, Firewall. Falls Du das gemacht hast und es ein mDNS Problem ist, kannst Du das Plugin mDNS Repeater installieren und einrichten.
Ok Kurzabriss:
Weil ich bei verschiedenen Kunden meistens gezwungen bin, Meraki, Sophos oder Barracuda einzusetzen.
Das funktioniert, aber seit dem ich diesen Thread verfolge, wollte ich immer OPNsense einsetzen.
Nun hab ich endlich einen Kunden, der es schon im Einsatz hat und nur die Hardware getauscht worden ist (hatte auf paar Seiten weiter vorn danach gefragt) und nun bin ich Feuer und Flamme.
Daher hab ich mir eine Appliance bestellt und losgelegt. Die Netzsegmentierung steht als nächstes an.
@AliManali
alle Clients hängen am selben Port aktuell.
1xWAN 1xLAN
DMZ und Co sind später dran.
Weil ich bei verschiedenen Kunden meistens gezwungen bin, Meraki, Sophos oder Barracuda einzusetzen.
Das funktioniert, aber seit dem ich diesen Thread verfolge, wollte ich immer OPNsense einsetzen.
Nun hab ich endlich einen Kunden, der es schon im Einsatz hat und nur die Hardware getauscht worden ist (hatte auf paar Seiten weiter vorn danach gefragt) und nun bin ich Feuer und Flamme.
Daher hab ich mir eine Appliance bestellt und losgelegt. Die Netzsegmentierung steht als nächstes an.
@AliManali
alle Clients hängen am selben Port aktuell.
1xWAN 1xLAN
DMZ und Co sind später dran.
Ich hol die Frage nochmal auf.
Hat hier schon Jemand Erfahrung mit CPU-Pinning / Affinity gemacht ?
ChatGPT gibt mehr irgendwie immer andere Vorschläge.
Aktuell bin ich bei:
Kern 0 - System / frei
Kern 1 - LAN IRQ ix0 - Zenarmor Worker 1
Kern 2 - LAN IRQ ix1 - Zenarmor Worker 2
Kern 3 - WAN IRQ igc0, igc1, igc2
Kern 4 - Suricata Management
Kern 5 - Suricata Receive / Worker (low)
Kern 6 - Worker (medium)
Kern 7 - Worker (high)
Sannyboy111985
Experte
- Mitglied seit
- 19.08.2016
- Beiträge
- 205
Es wundert mich nicht, das ChatGPT immer andere Vorschläge macht.
Ich würde die Frage stellen ob es ohne CPU Pinning geht oder es Performance Probleme gibt. Wenn nicht würde ich grundsätzlich darauf verzichten wollen.
Ich weiß nicht sicher ob ein pinning gleichzeitig verhindert dass andere als die gepinnten Prozesse auf die CPU kommen. Ich gehe davon aus, dass Prozesse ohne Pinning überall laufen können.
Ansonsten gilt, die interfaces und Prozesse die Latenz kritisch oder eine hohe Last haben sollten gepinnt werden. Da helfen sicher Top und irq-stat um die relevanten Dinge zu finden.
Da wo nicht viel passiert entweder gar nicht pinnen oder auf die ungenutzten Cores pinnen.
Grundsätzlich solltest du dir beim Pinning Gedanken über NUMA und Caches machen, damit die Dinge die zusammen gehören bzw. Kurze Wege zum IO haben auf den zusammenhängenden Cores laufen.
Ansonsten gilt, ohne zu wissen was wo angeschlossen ist, welche Last anliegt, wo es Probleme gibt, mehr Leistung oder besseres Reaktionsverhalten gewünscht ist kann dir keiner sinnvolle Vorschläge geben.
Ich würde die Frage stellen ob es ohne CPU Pinning geht oder es Performance Probleme gibt. Wenn nicht würde ich grundsätzlich darauf verzichten wollen.
Ich weiß nicht sicher ob ein pinning gleichzeitig verhindert dass andere als die gepinnten Prozesse auf die CPU kommen. Ich gehe davon aus, dass Prozesse ohne Pinning überall laufen können.
Ansonsten gilt, die interfaces und Prozesse die Latenz kritisch oder eine hohe Last haben sollten gepinnt werden. Da helfen sicher Top und irq-stat um die relevanten Dinge zu finden.
Da wo nicht viel passiert entweder gar nicht pinnen oder auf die ungenutzten Cores pinnen.
Grundsätzlich solltest du dir beim Pinning Gedanken über NUMA und Caches machen, damit die Dinge die zusammen gehören bzw. Kurze Wege zum IO haben auf den zusammenhängenden Cores laufen.
Ansonsten gilt, ohne zu wissen was wo angeschlossen ist, welche Last anliegt, wo es Probleme gibt, mehr Leistung oder besseres Reaktionsverhalten gewünscht ist kann dir keiner sinnvolle Vorschläge geben.
Ja scheinbar hab ich mir durch das Pinnen der IRQs direkt mal Zenarmor zerschossen
Ich schau mal wie sich das Ganze schlägt wenn reale Last anliegt und kann dann ggf. mich nochmal an die Fein-Justierung machen.
FieserOstfriese
Enthusiast
Pfsense 2.8.1-RELEASE ist draußen. Gab keine Probleme beim Update grade.
Hi, ich habe eine Hardwarefrage bzgl. Opnsense.
Ich plane schon länger meine Fritzbox gegen eine Opnsense auszutauschen und auch die Repeater dann nach und nach auszutauschen.
Zunächst hatte ich geplant einen N100 oder N150 Mini-PC anzuschaffen.
Derzeit hätte ich allerdings noch ein B450 Mainboard mit einem Ryzen 3 2400G rumliegen. Die überlegen war jetzt einfach noch eine 2,5Gbit Netzwerkkarte anzuschaffen und das ganze für die Opnsense zu benutzen.
Wäre das ganze Overkill oder sogar zu langsam?
Wir werden demnächst an Glasfaser mit 1Gbit angeschlossen. Laufen müsste darauf Wireguard, ein Reverseproxy, Adguard etc.
VPN bin ich mir noch nicht sicher.
Ich plane schon länger meine Fritzbox gegen eine Opnsense auszutauschen und auch die Repeater dann nach und nach auszutauschen.
Zunächst hatte ich geplant einen N100 oder N150 Mini-PC anzuschaffen.
Derzeit hätte ich allerdings noch ein B450 Mainboard mit einem Ryzen 3 2400G rumliegen. Die überlegen war jetzt einfach noch eine 2,5Gbit Netzwerkkarte anzuschaffen und das ganze für die Opnsense zu benutzen.
Wäre das ganze Overkill oder sogar zu langsam?
Wir werden demnächst an Glasfaser mit 1Gbit angeschlossen. Laufen müsste darauf Wireguard, ein Reverseproxy, Adguard etc.
VPN bin ich mir noch nicht sicher.
Die N100 Büchsen sind ja nicht wirklich flott, von daher sollte das schon mehr als ausreichend sein. Stromverbrauch würde ich aber im Auge behalten.
Ähnliche Themen
- Artikel
[User-Review]
Synology ActiveProtect Appliance DP320 im Lesertest
- Frage / Lösungssuche
