- Učlanjen(a)
- 19.04.2005
- Poruke
- 4,633
- Poena
- 2,125
Ukoliko 10G kartica nema direktan pristup pfSense-u, to je neka maksimalna brzina koju možeš očekivati bez pravog TCP/IP offloading-a koji je po defaultu aktivan u pfSense-u, ali ne radi ako su interfejsi virtuelnog tipa. Inače nema razlike između brdige-a i razdvajanja po različitim subnetovima. U oba slučaja CPU procesira pakete. Takođe možeš imati problem ako 10G čip nije Intel.Komp i jedan port na serveru sam upgrade sa 10gb karticom.
Iperf je dolazio do oko 5.5-6gbps, a pfsense cpu je isao na 100%. U pitanu su 4 jezgra na intel 12700h, ne bas slab cpu. Proxmox sam deli izmedju P i E jezgra.
proxmox cpu type je x86-64-v2-AES po nekom uputsvu koje sam odavno iskoristio.
Dugo sam ignorisao savet da ne kreiram bridge za interfejse pa da LAN interfejs bude bridge jer sam inistirao na jednostavnosti i da mi svi interfejsi budu u istom subnetu.
interfejs 1 je 10gb NIC
interfejs 2 je 2.5gb nic koji ide na switch/wifi AP
interfejs 3 je proxmox virtuelni NIC za VM
interfejs 4 je za jedan izolovani VM
Konacno sam poslusao savet i razdvojio sve. Sada imam 4 subneta, 4 dhcp. Snasao sam se da postavim FW rules da bi se medjusobno videli i u pfsense ne postoji nijedan bridge.
Trebalo mi je jos par sati dok sam prepakovao sve IP adrese za sve servise, static mapping...
Sav srecan palim iperf3 opet da vidim sta se promenilo.... 5.5-6gbps i cpu na 100%
Kada iskljucim snort service, cpu se drzi na oko 85-90%, ali se brzina iperf ne menja.
Kako postici vecu brzinu
Jedan od načina je aktiviranjem opcije AP isolation na samom access pointu. Na taj način uređaji imaju pristup samo internetu dok je pristup svim privatnim IP adresama zabranjen. Ako ta opcija postoji, onda u pfSense-u napravi jedan alias u koji ćeš staviti IP adrese svih iOT uređaja i jedan alias u koji ćeš staviti IP adrese laptopa, telefona...itd. Onda napravi jedan reject rule gde ćeš kao source staviti alias u kojem su iOT uređaji, a kao destination, alias u kojem su telefoni, laptopovi...itd. Vodi računa da taj rule bude ispred rule-a koji daje pristup internetu uređajima u tom subnetu.I totalno drugo pitanje, nevezano za brzinu, kako da sprecim neke uredjaje da mogu da pristupe ostalim uredjajima?
U pitanju su neki smart uredjaji, kineski pa bihda ih izolujem takoda mogu da koriste internet zbog svojih funkcija, ali ne bih i da potencijalno svrljaju po mrezi.
Verovatno bih se snasao (preko brdo fw pravila i nebas elegantno) da ih izolujem od racuanra koji je sam na svom subnet i VM koji su zasebno, ali ne znam kako da ih sprecim da pristupaju laptopu ili telefonu koji su u istom subnet.
Nemam managed switch i ne verujem da cu ga imati.