私のAPU2は、Snortを無効にし、他のサービスも停止している状態でも、400Mb/s以上に到達できません。いくつかのアドバイスを試しましたが、何も変わりません。だから、APU2をより強力なハードウェアに変更する時が来たと思います。私の唯一のルールは、ファンレス(または無音)で、大きなサーバーラックではないことです。Protectliは有望に見えますが、VPN + Snortを有効にした場合の動作は確信が持てません。アイデアはありますか?
中国から出る2.5 Gbit NICを搭載したJasper Lakeシリーズの新世代ユニットが登場しています。あなたの要件に合うかもしれません。ちょっと検討してみてはいかがでしょうか?
Servethehomeでは最近このシリーズについての記事がありました。パフォーマンスは優れており、かなり長期間将来も安心です。
ネタバレですが、自分はN6005 CPU搭載のものを購入し、1ヶ月以上問題なく動作しています。振り返ると、N5105を選んだ方が良かったかもしれません。N6005の追加性能は過剰ですし(冗長なデュアル2.5Gbe WANは予定していません)
BIOSのアップデートは試しましたか?私はAPU2でそれ以上の速度を達成しているのを見たことがあります。ほとんどの人はpfSenseで600-700MBpsを報告しています。
Netgateのハードウェアを使わない理由はありますか?価格やサイズのオプションも多いです。
私のProtectli Vaultはi3を搭載しており、Snortとギガビットを問題なく処理します。i5やi7モデルもあります。さらに、今年後半に2.5Gbitのバージョンも出る予定です。
HPはこれらの小型のx86インテルPCミニを製造しています。Netgearのスマート管理スイッチを購入し、「ルータースティック」として運用してください。つまり、ポートをトランクしてpfsenseに接続します。
HP EliteDesk 800 G2 Desktop Mini Business PC、インテルクアッドコアi5-6500T(最大3.1G)、16GB DDR4、240GB SSD、VGA、DP、Win10 Pro 64ビット、多言語対応(英語/スペイン語)(リニューアル)Amazon.com: HP EliteDesk 800 G2 Desktop Mini Business PC, Intel Quad-Core i5-6500T up to 3.1G,16G DDR4,240G SSD,VGA,DP,Win 10 Pro 64 bit-Multi-Language Support English/Spanish (Renewed) : Electronics
VPNはどうですか?それはCPUの使用量にどのように影響しますか?
N6005は2.5Gbe + Suricataに適していると思いますか、それとも5105で十分ですか?まだ2.5Gbeは持っていませんが、将来性を考えています。
はい、すでに試しましたが、速度は変わりませんでした。
何もありません。実際、私はNetgate 4100を真剣に検討しています。私の要件に合う良い選択肢のようです。
2.5Gバージョンを待っていました。最近、PFのケースがクラッシュしたので、長持ちしてくれることを願っています。
私はWireGuardだけを使っていますが、VPNかそうでないかでCPUの使用率に顕著な違いは感じません。
比較のためにopensslのベンチマークをコマンドラインから出すことも可能です。だいたいの参考になるでしょう。
私はまだN6005はオーバースペックだと思います。ただし、Suricataの非常に厄介なルールセットには、そのほどのCPU性能が必要になる場合もあります。
通常の使用、特にSuricataを含む場合は、最低でも500Mbpsを超えるまではCPUが800MHzの最低動作クロックを超えません。
参考までに、私が見た中で最もストレスの多かったテストは、WireGuardのS2Sトンネルを通じて900Mbpsを押し出し、LANインターフェース上のSuricata(アクティブルール数23500)とともに行ったときです。CPU使用率は合計28%でした。
はい、それだけあります。安価なNetgearのプロスafeスイッチをお勧めします。VLANをプログラム可能です。
VLAN 10 - wan
VLAN 11 - lan
1つのポートをルーターへのトランクにし、もう1つのポートをWANに設定し、残りをVLAN 11にして好きな物を接続してください。
便利ですね、情報ありがとうございます。もう一つ質問ですが、そのハードウェアにセキュリティ上の懸念はありますか?
さまざまなハードウェアについての経験がありそうですね。Celeron J3160がギガビットをSuricataやSnortとともに処理できると思いますか?価格や速度のバランスも気になります。
私はこのボックスをバアボーンで購入したので、以前のインストールやその他の心配はありません。
ハードウェア自体についてはあまり気にしていません。そういったプラットフォームにハードウェアレベルの"スパイチップ"が内蔵されていることは考えにくいです。なぜなら、ほとんどの企業や重要なターゲット(例:政府/国家レベル)は中国製のファイアウォールを使用しないからです。
ファームウェアに基づく妥協については、pfSenseの通常のファイアウォールルールセットとともに対処されるべきです。