DOMANDA Consiglio nuovo software UTM

[peg87]

Allora vai con Paloalto. Soddisferà sicuramente tutte le tue richieste. :-)

Palo alto lo abbiamo in azienda... Purtroppo ho anche una idea dei prezzi :)! Questo inverno penso anche di prendere la loro certificazione! Adesso rimetterò in piedi la mia VM opnsense e lo riprovo in produzione. Vi saprò dire.
Detto questo mi piacerebbe sapere come renderizzare tutte le richieste dns ad un pihole. Mi farebbe piacere se potessi spiegarmelo.

 

[r3dl4nce]

Detto questo mi piacerebbe sapere come renderizzare tutte le richieste dns ad un pihole. Mi farebbe piacere se potessi spiegarmelo.

è un banale NAT, tutte le richieste TCP/UDP che arrivano sulla porta 53 della LAN del firewall, le NATTI sulla 53 dell'IP di pihole/adguard

 

[jeyhw]

Puoi anche bloccare il dispositivi che inviano DoH query

 

[peg87]

Buonasera,
stasera ho avviato la mia VM di opnsense. Avevo già in installato zen armor. Purtroppo i risultati in termini di speed test sono stati gli stessi. Ho provato anche ad aumentare il numero di core ed le differenze sono state minime. Mi viene da pensare che il problema sia altrove, non nel software...

 

[r3dl4nce]

Verifica se la CPU della vm o dell'host va al 100% quando fai speedtest.
Chiaramente usi due porte ethernet, una per connettere il router e una per connettere la LAN, giusto?
Che virtualizzatore usi? Potrebbe essere anche un'impostazione sbagliata sul tipo di driver ethernet, esempio su proxmox devi mettere le ethernet con i driver virtio

 

[peg87]

Come virtualizzatore uso proprio proxmox.
Confermo di aver usato porte diverse per Lan e Wan, entrambe da 2,5Gb. Il chipset delle porte è l'intel i225.
Confermo che sono impostate in virtio.
Lato sophos o opnsense la CPU non supera il 30% e lato host non arriva al 60%. Considerando che la CPU è già oltre al 50 quando non faccio lo speed test. Esiste software di puro routing che possa provare a virtualizzare?

 

[PippoGold]

Esiste software di puro routing che possa provare a virtualizzare?

OpenWRT

 

[r3dl4nce]

Come virtualizzatore uso proprio proxmox.
Confermo di aver usato porte diverse per Lan e Wan, entrambe da 2,5Gb. Il chipset delle porte è l'intel i225.
Confermo che sono impostate in virtio.
Lato sophos o opnsense la CPU non supera il 30% e lato host non arriva al 60%. Considerando che la CPU è già oltre al 50 quando non faccio lo speed test. Esiste software di puro routing che possa provare a virtualizzare?

Opnsense senza regole di firewall fa puro routing.
Secondo me ci sono problemi di risorse, io proverei su una macchina un po' più performente a vedere se il problema si presenta. Stai virtualizzando su una CPU di 10 anni fa... In alternativa prova a installare opnsense direttamente barebone e vedi se fa lo stesso

 

[peg87]

Opnsense senza regole di firewall fa puro routing.
Secondo me ci sono problemi di risorse, io proverei su una macchina un po' più performente a vedere se il problema si presenta. Stai virtualizzando su una CPU di 10 anni fa... In alternativa prova a installare opnsense direttamente barebone e vedi se fa lo stesso

Perché 10 anni fa? Se non sbaglio è una CPU del 2020! And ryzen 5 4650g pro. Ha un tdp di 65w, non è nemmeno da notebook!

Quale sarebbe comunque una CPU adatta per opnsense?

Stasera provo come mi hai suggerito, intanto provo a fare un'altra installazione opnsense su proxmox e non attivo nulla.
Non vorrei che fosse la scheda di rete visto che sicuramente di produzione cinese.

 

[peg87]

Ho prova a fare una semplice installazione come dicevo, è le prestazioni sono le stesse. Stasera provo a fare una installazione diretta sul ferro.

 

[jeyhw]

Ho prova a fare una semplice installazione come dicevo, è le prestazioni sono le stesse. Stasera provo a fare una installazione diretta sul ferro.

Anche io avevo seri problemi di prestazioni quando avevo pfSense virtualizzato su Proxmox. Non ho mai capito quale fosse esattamente il problema, forse i driver. Poi sono passato a OPNsense, ma l'ho installato bare metal su un portatile che mi avanzava. Va benissimo per le mie esigenze, ovviamente poi dipende anche dai plugin installati e dal traffico che deve gestire nei vari scenari.

 

[r3dl4nce]

Perché 10 anni fa? Se non sbaglio è una CPU del 2020! And ryzen 5 4650g pro. Ha un tdp di 65w, non è nemmeno da notebook!

OK, avevo capito male io, avevi scritto solo 4650 e avevo pensato a intel 4650 quindi questo

Intel® Xeon® Processor E5-4650 (20M Cache, 2.70 GHz, 8.00 GT/s Intel® QPI) - Product Specifications | Intel

Intel® Xeon® Processor E5-4650 (20M Cache, 2.70 GHz, 8.00 GT/s Intel® QPI) quick reference with specifications, features, and technologies.

www.intel.com

Un ryzen 4650 allora non dovrebbe avere il minimo problema di prestazioni

La VM impostala così

Io ho messo 6GM RAM e 4 vCPU, adattalo a quanto vuoi dargli te, importante metti come controller virtio scsi single e metti le queue nelle schede di rete uguale al numero di core che assegni alla VM
Attiva anche il QEMU guest agent e installalo dentro OpnSense

Poi da OpnSense verifica queste voci che devono essere così:

SYSTEM - SETTINGS - MISC
i valori del RAM disk per log e tmp sono percentuali della memoria che assegni a Opnsense, così i log rimangono in ram e non generano continue scritture sul disco





E poi da INTERFACES - SETTINGS


Disattiva i vari hardware offload che fanno casino con i driver virtualizzati virtio


Prova con queste impostazioni e vedi come va

 

[peg87]

Purtroppo il mio firewall lato vm è praticamente identica alla tua, ha solo più memoria e core. Ho fatto quella cosa della scrittura sul disco, e la parte delle interfacce era già configurata come mi hai detto. Non ho riscontrato miglioramenti. Anzi oggi in down non raggiungo nemmeno i 300Mb, Non vedo l'ora di essere a casa per metterci mano e fare test suggeritomi, anche solo per capire. Mi hanno anche dato i parametri della linea così posso bypassare il loro modem (solo per ridurre i consumi).

Se dovessi scoprire che il problema è la virtualizzazione mi troverei con una bella gatta da pelare. O cambio virtualizzatore (e non saprei su cosa andare, oppure dovrei tornare ad usare un dispositivo esterno, anche se quelli a basso prezzo con porte 2.5G non penso abbiamo le prestazioni sufficienti.

 

[r3dl4nce]

Io ho vari Opnsense virtualizzati e non ho riscontrato problemi di velocità.
Ma hai verificato se il problema è verso internet e basta
Installa iperf3 su proxmox e su un PC connesso alla LAN e fai un test, su proxmox dai
iperf3 -s

e sul client esegui
iperf3 -c <ip-proxmox>

e vedi che velocità raggiungi

 

[peg87]

Stasera provo, comunque considera che le stesse velocità le raggiungo da un pc connesso in lan e un'altro virtualizzato sullo stesso proxmox. In ogni caso provo stasera quando arrivo a casa.