« Pfsense » : différence entre les versions

De Linux Server Wiki
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
 
(10 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
=virtio=
[[Category:serveur]]
[[Category:pfsense]]
[[Category:networking]]
 
=KVM=
 
==Reduce idle CPU usage in virtualized environment==
(si constaté uniquement)
* kern.hz=100 in <code>/boot/loader.conf.local</code>
 
==virtio==
* System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.
* System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html
=Firewall et VPN IPSec=
Si vous créez un VPN IPSec, des règles sont automatiquement ajoutés dans le firewall pour permettre au lien VPN de s'établir. Vous pouvez observer ces règles dans <code>/tmp/rules.debug</code> sous la section <code>VPN Rules</code>.<br>
Vous pouvez également empêcher la création de ces règles automatiques dans System -> Advanced -> Firewall & NAT -> Disable Auto-added VPN rules


=AES NI=
=AES NI=
Ligne 11 : Ligne 27 :
* ipsec : utiliser AES-GCM
* ipsec : utiliser AES-GCM


Performance sans aes :
Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :
<pre>
<pre>
[  5]  0.00-10.06  sec  256 MBytes  213 Mbits/sec  341            sender
[  5]  0.00-10.06  sec  256 MBytes  213 Mbits/sec  341            sender
[  5]  0.00-10.06  sec  253 MBytes  211 Mbits/sec                  receiver
[  5]  0.00-10.06  sec  253 MBytes  211 Mbits/sec                  receiver
</pre>
</pre>
performance avec aes :
 
Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :
<pre>
<pre>
[  5]  0.00-10.05  sec  631 MBytes  527 Mbits/sec  352            sender
[  5]  0.00-10.05  sec  631 MBytes  527 Mbits/sec  352            sender
[  5]  0.00-10.05  sec  629 MBytes  525 Mbits/sec                  receiver
[  5]  0.00-10.05  sec  629 MBytes  525 Mbits/sec                  receiver
</pre>
</pre>
=Activer Trim=
Vérifiez le statut actuel de trim avec la commande suivante :
<pre>tunefs -p /dev/ufsid/572a25794af32f5e</pre>
Recherchez la ligne <code>trim</code>. Si elle indique <code>enabled</code> tout est bon, sinon, continuez à lire.
Redémarrer pfsense en single-user. Vous pouvez le faire soit depuis le bootloader, soit depuis la console à l'interface texte de pfsense en sélectionnant l'option <code>5</code> puis <code>S</code>.
A l'invite demandant de définir le shell, tapez <code>enter</code> puis :
<pre>
tunefs -t enable /dev/ufsid/572a25794af32f5e
reboot
</pre>
=Changer la keymap du clavier=
<pre>/usr/sbin/kbdcontrol -l /usr/share/syscons/keymaps/fr.iso.kbd</pre>

Dernière version du 6 mars 2022 à 16:21


KVM

Reduce idle CPU usage in virtualized environment

(si constaté uniquement)

  • kern.hz=100 in /boot/loader.conf.local

virtio

  • System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.

https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html

Firewall et VPN IPSec

Si vous créez un VPN IPSec, des règles sont automatiquement ajoutés dans le firewall pour permettre au lien VPN de s'établir. Vous pouvez observer ces règles dans /tmp/rules.debug sous la section VPN Rules.
Vous pouvez également empêcher la création de ces règles automatiques dans System -> Advanced -> Firewall & NAT -> Disable Auto-added VPN rules

AES NI

  • Baremetal : le cpu doit le supporter
  • VM : le cpu de l'hôte doit le supporter, et l'activer sur la vm : Proxmox cpu performance
  • Vérifier le support des instructions aes : dmesg | grep Features
  • Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni
  • vérifier le support : /usr/bin/openssl engine -t -c
  • openvpn : utiliser aes-128-cbc, pas besoin de selectionner de "Hardware Crypto" (passe par openssl)
  • ipsec : utiliser AES-GCM

Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) : 

[  5]   0.00-10.06  sec   256 MBytes   213 Mbits/sec  341             sender
[  5]   0.00-10.06  sec   253 MBytes   211 Mbits/sec                  receiver

Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) : 

[  5]   0.00-10.05  sec   631 MBytes   527 Mbits/sec  352             sender
[  5]   0.00-10.05  sec   629 MBytes   525 Mbits/sec                  receiver

Activer Trim

Vérifiez le statut actuel de trim avec la commande suivante : 

tunefs -p /dev/ufsid/572a25794af32f5e

Recherchez la ligne trim. Si elle indique enabled tout est bon, sinon, continuez à lire.

Redémarrer pfsense en single-user. Vous pouvez le faire soit depuis le bootloader, soit depuis la console à l'interface texte de pfsense en sélectionnant l'option 5 puis S.

A l'invite demandant de définir le shell, tapez enter puis : 

tunefs -t enable /dev/ufsid/572a25794af32f5e
reboot

Changer la keymap du clavier

/usr/sbin/kbdcontrol -l /usr/share/syscons/keymaps/fr.iso.kbd
Récupérée de « https://wiki.unscdf.org/index.php?title=Pfsense&oldid=3979 »