[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

*Inhalt gelöscht*

 

[AliManali]

Ja, wenn der AppleTV an einem anderen Port wie Dein PC an der Sense hängt, musst Du das Interface natürlich separat beregeln und einrichten. Schnittstellenzuordnung, DHCP, Firewall. Falls Du das gemacht hast und es ein mDNS Problem ist, kannst Du das Plugin mDNS Repeater installieren und einrichten.

 

[xST4R]

wieso hast du denn auf eine opnsense gewechselt wenn du sowieso keine vlans usw. nutzt ? du machst es dir quasi unnötig schwer bei keinerlei verbesserung der sicherheit.

 

[Mac_leod]

Ok Kurzabriss:
Weil ich bei verschiedenen Kunden meistens gezwungen bin, Meraki, Sophos oder Barracuda einzusetzen.
Das funktioniert, aber seit dem ich diesen Thread verfolge, wollte ich immer OPNsense einsetzen.
Nun hab ich endlich einen Kunden, der es schon im Einsatz hat und nur die Hardware getauscht worden ist (hatte auf paar Seiten weiter vorn danach gefragt) und nun bin ich Feuer und Flamme.

Daher hab ich mir eine Appliance bestellt und losgelegt. Die Netzsegmentierung steht als nächstes an.

@AliManali
alle Clients hängen am selben Port aktuell.
1xWAN 1xLAN
DMZ und Co sind später dran.

 

[XTaZY]

Hat hier Jemand schon Erfahrungen bzgl. WAN-Throughput mit einem Intel N305 auf einer Sense gemacht ?

- Suricata IPS aktiv (5-6x ETPRO telemetry rules) auf WAN
- Zenarmor auf LAN bzw. 9 VLANs

Kommt er locker über die 1Gbit/s und hat noch ein paar Reserven oder ist er am Brechen ?

IRQs, Suricata & Zenarmor auf verschiedene Kerne gepinnt.

Ich hol die Frage nochmal auf.
Hat hier schon Jemand Erfahrung mit CPU-Pinning / Affinity gemacht ?

ChatGPT gibt mehr irgendwie immer andere Vorschläge.

Aktuell bin ich bei:
Kern 0 - System / frei
Kern 1 - LAN IRQ ix0 - Zenarmor Worker 1
Kern 2 - LAN IRQ ix1 - Zenarmor Worker 2
Kern 3 - WAN IRQ igc0, igc1, igc2
Kern 4 - Suricata Management
Kern 5 - Suricata Receive / Worker (low)
Kern 6 - Worker (medium)
Kern 7 - Worker (high)

 

[Sannyboy111985]

Es wundert mich nicht, das ChatGPT immer andere Vorschläge macht.
Ich würde die Frage stellen ob es ohne CPU Pinning geht oder es Performance Probleme gibt. Wenn nicht würde ich grundsätzlich darauf verzichten wollen.

Ich weiß nicht sicher ob ein pinning gleichzeitig verhindert dass andere als die gepinnten Prozesse auf die CPU kommen. Ich gehe davon aus, dass Prozesse ohne Pinning überall laufen können.
Ansonsten gilt, die interfaces und Prozesse die Latenz kritisch oder eine hohe Last haben sollten gepinnt werden. Da helfen sicher Top und irq-stat um die relevanten Dinge zu finden.
Da wo nicht viel passiert entweder gar nicht pinnen oder auf die ungenutzten Cores pinnen.

Grundsätzlich solltest du dir beim Pinning Gedanken über NUMA und Caches machen, damit die Dinge die zusammen gehören bzw. Kurze Wege zum IO haben auf den zusammenhängenden Cores laufen.

Ansonsten gilt, ohne zu wissen was wo angeschlossen ist, welche Last anliegt, wo es Probleme gibt, mehr Leistung oder besseres Reaktionsverhalten gewünscht ist kann dir keiner sinnvolle Vorschläge geben.