Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos OK, untangle WIN

Avatar de l’utilisateur
poulpito
Messages : 11302
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos WIN

Message par poulpito » mer. 23 oct. 2019 13:07

merlin2000fr a écrit :
mer. 23 oct. 2019 09:27
Salut salut

Je le dis et le répète les débits sont logiquement réduit sur du 10gb sous pf, carte il y a une limitation mise en place sur pf et aussi sur opf qui en découle.

Pour ne pas avoir de limitation il faut passé par la version commercial de pf qui lui n'a plus cette limitation et le matériel qui est vendu avec.
J'ai pu voir la différence chez un client qui avait les deux, migration pf vers la version commerciale du produit et du matériel. c'est le jour et la nuit.

Vous vous prenez la courge pour rien.

Le même discours est valable aussi pour freenas et truenas sur les débit et les fonctionnalités l'un est pour du communautaire accés maison, et l'autre a les options de haute disponibilité et des débits mieux maitrisé et optimisé.

et le fait de passer par du virtualisé c'est le même problème vous enfiler un tube dans un tube automatiquement cela va vous faire une réduction de débit dans le dernier tuyaux inséré, c'est de la mécanique des fluides de base. espérer avoir plus avec moins c'est tordu comme concept et avec de l'info il n'y a pas de bouster de flux non plus.
pfsense et opnsense le soft est gratuit :heink: tu paye que le hardware
et tu paye surtout une matrice de compatibilité optimisée à mon avis. pas de unlock précis dans le software sinon comme c'est opensource tout le monde l'aurai vu

pour le virtualisé on est OK sauf que la je passe pas par du virtualisé mais bien sur du baremetal direct :)
j'ai testé avec la X520-da2 et freebsd dans une VM directement avec la carte en passthrough hier soir, je retrouve mes 8Gbits/sec
donc même avec l'os virtualisé et la carte en direct ca boost !
me reste à tester la carte attribuée à vmware et utiliser un adapt vmxnet3 pour vérifier la aussi ce que ca donne histoire que j'ai mes propres chiffres :)

Avatar de l’utilisateur
poulpito
Messages : 11302
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos WIN

Message par poulpito » mer. 23 oct. 2019 13:11

gizmo78 a écrit :
mer. 23 oct. 2019 09:28
alors :D

les irq/interrupts si t'es quasi à fond du 10G c'est "normal" (lis le wiki de BSDRP et t'auras plus de détails). Sous freebsd tu peux essayer de jouer avec le nombre de queues.

pour pfsense, Z m'avait dit que tu peux avoir des tweaks de perf dans la conf advanced, à voir ce que ça donne
ouai ... sauf que à 8Gbits le cpu glandouille tranquillement et j'ai pas d'irq/interrupt outre mesure ^^
pour moi c'est les softs de traitement des paquets qui font des irq le temps d'arriver à traiter correctement

j'ai fait déjà pas mal de tests de tweaks et d'opti avec les wki / liens / topics
changer la méthode d'attribution des irq / changer les tunables sysctl pour laisser un peu de marge à la carte / changer l'offload / mtu et cie

Avatar de l’utilisateur
poulpito
Messages : 11302
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos WIN

Message par poulpito » mer. 23 oct. 2019 13:32

la je test untangle un firewall payant (50€/ans je crois la licence homepro) basé sur debian
la en direct avec la carte sur le baremetal j'ai 6.20 Gbits/sec (je peux pas dire vu que le serveur de test est publique ... suffit qu'un connard comme moi le charge ^^ et le test veut rien dire m'enfin au moins c'est plus que pfsense/opnsense)

sinon j'ai fouiné dmesg et j'ai compris pourquoi mon deuxième port est pas visible sur la 520-da2
[ 2.801476] ixgbe 0000:03:00.1: failed to load because an unsupported SFP+ or QSFP module type was detected.
[ 2.801478] ixgbe 0000:03:00.1: Reload the driver after installing a supported module.

elle aime pas mon gbic 10GbaseT ubiquity :o :o :o :lol: bon y'a rien de branché dessus, c'était juste poussé en vrac comme ça :D
histoire de

Avatar de l’utilisateur
poulpito
Messages : 11302
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos WIN, untangle WIN

Message par poulpito » mer. 23 oct. 2019 16:57

Test fait avec untangle baremetal avec la X520-DA2 en direct
6.20 Gbits/sec

Test fait avec untangle virtualisé avec la X520-DA2 en passthrough
6.76 Gbits/sec

Test depuis une VM windows sur un vswitch partagé avec le LAN d'untangle
5.6 Gbits/sec

Test depuis une VM linux debian sur un vswitch partagé avec le LAN d'untangle + sur un VLAN déclaré dans le groupe de port vmware
5.6 Gbits/sec


DONC l'overhead vmware avec le passthrough c'est une légende urbaine xD nan en vrai y'a un peu on fait un bond de 1Gbits sauf que comme le test est public je sais pas si je peux me fier aux résultats le principal c'est de voir 5G+ constant ^^
ah et untangle est gratuit avec les modules de base, c'est les plugins qui sont payants genre DPI portail captif report intrusion
m'enfin ca permet au moins de tester le bordel y'a le nat / firewall / dhcp :o le principal

Avatar de l’utilisateur
poulpito
Messages : 11302
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos WIN

Message par poulpito » mar. 10 déc. 2019 16:53

Pour info je commence à passer en prod Untangle en VM vmware ^^ avec un seul client je dépasse rarement les 4gbits mais avec 2 actifs derrière ca dépasse largement les 6gbits donc c'est tout bon :)

Côté conf :
X520-DA2 en passthrough c'est le WAN sur untangle
et le LAN j'ai un vmxnet qui sert un vswitch ou j'ai mes VM + sur le même vswitch une sortie réseau 10G ethernet vers le switch du reste de l'infra

j'ai gardé la freebox en router (untangle en tant que DMZ) déjà parce que le mode bridge merde de temps en temps mais surtout ce qui me permet d'avoir juste à démarrer une autre machine untangle en baremetal (ok elle sera qu'en 1G) mais avec VRRP ce sera full transparent et la conf répliquée entre les deux routeurs
faut encore que je bosse sur cette partie mais je suis content d'avoir ces soucis de perf derrière moi ... en attendant d'investir dans un vrai edgerouter infinity un jour prochain

Avatar de l’utilisateur
poulpito
Messages : 11302
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos OK, untangle WIN

Message par poulpito » dim. 15 déc. 2019 07:21

\o untangle en prod complet
tout mon cœur est en 10G derrière la freeboite et toutes mes vm/domotique/etc etc redispatch sur les vlan qui vont bien
:D (me reste qq trucs à fignoler) ca envoi pas mal untangle et les cpu foutent rien, pas d'irq à la con ou autre merde du genre

Image

Me reste l'ipv6 à remettre ... pas encore penché dessus sur untangle :sarcastic:

Avatar de l’utilisateur
poulpito
Messages : 11302
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos OK, untangle WIN

Message par poulpito » lun. 16 déc. 2019 12:02

deuxième effet de bord que j'avais pas estimé
sur un ping google classique aucun effet notable
sur Apex (le jeu) j'ai observé une baisse de ping de 4-5ms la ou j'avais 19ms vers l’Angleterre constant, j'ai 15 maintenant pareil en permanent

j'arrive pas à piger d’où ça vient (l'erl3 était pas raz la gueule) mais pourquoi pas :D

Avatar de l’utilisateur
augur1
Messages : 10687
Inscription : ven. 12 janv. 2018 17:44
Localisation : où tout est neuf et tout est sauvage
Contact :

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos OK, untangle WIN

Message par augur1 » lun. 16 déc. 2019 12:10

Dns / backboneet donc route ou nego bande passante différente.. ?!

Avatar de l’utilisateur
Zedoune
Messages : 14588
Inscription : ven. 12 janv. 2018 17:44

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos OK, untangle WIN

Message par Zedoune » lun. 16 déc. 2019 12:18

Si t'as de l'IPv6, ptet que ça passe bien avec untangle et pas avant ?

Avatar de l’utilisateur
poulpito
Messages : 11302
Inscription : ven. 12 janv. 2018 17:44
Localisation : Grenoble

Re: Pfsense/OPnsense sur ESX et 10Gbits = KO, vyos OK, untangle WIN

Message par poulpito » lun. 16 déc. 2019 12:20

non ca varierait la c'est rock stable entre hier et auj pareil avant j'avais toujours les mêmes temps

et non l'ipv6 était même pas encore configuré, full ipv4 (les serveurs de jeu apex sont pas ipv6 compliant en plus)
la j'ai reconf l'ipv6 et pas de changement

Répondre