« Pfsense » : différence entre les versions
Aucun résumé des modifications |
|||
Ligne 3 : | Ligne 3 : | ||
[[Category:networking]] | [[Category:networking]] | ||
=Reduce idle CPU usage in virtualized environment= | =KVM= | ||
==Reduce idle CPU usage in virtualized environment== | |||
(si constaté uniquement) | |||
* kern.hz=100 in <code>/boot/loader.conf.local</code> | * kern.hz=100 in <code>/boot/loader.conf.local</code> | ||
=virtio= | ==virtio== | ||
* System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter. | * System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter. | ||
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html | |||
=Firewall et VPN IPSec= | =Firewall et VPN IPSec= |
Dernière version du 6 mars 2022 à 15:21
KVM
Reduce idle CPU usage in virtualized environment
(si constaté uniquement)
- kern.hz=100 in
/boot/loader.conf.local
virtio
- System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html
Firewall et VPN IPSec
Si vous créez un VPN IPSec, des règles sont automatiquement ajoutés dans le firewall pour permettre au lien VPN de s'établir. Vous pouvez observer ces règles dans /tmp/rules.debug
sous la section VPN Rules
.
Vous pouvez également empêcher la création de ces règles automatiques dans System -> Advanced -> Firewall & NAT -> Disable Auto-added VPN rules
AES NI
- Baremetal : le cpu doit le supporter
- VM : le cpu de l'hôte doit le supporter, et l'activer sur la vm : Proxmox cpu performance
- Vérifier le support des instructions aes :
dmesg | grep Features
- Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni
- vérifier le support :
/usr/bin/openssl engine -t -c
- openvpn : utiliser aes-128-cbc, pas besoin de selectionner de "Hardware Crypto" (passe par openssl)
- ipsec : utiliser AES-GCM
Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :
[ 5] 0.00-10.06 sec 256 MBytes 213 Mbits/sec 341 sender [ 5] 0.00-10.06 sec 253 MBytes 211 Mbits/sec receiver
Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :
[ 5] 0.00-10.05 sec 631 MBytes 527 Mbits/sec 352 sender [ 5] 0.00-10.05 sec 629 MBytes 525 Mbits/sec receiver
Activer Trim
Vérifiez le statut actuel de trim avec la commande suivante :
tunefs -p /dev/ufsid/572a25794af32f5e
Recherchez la ligne trim
. Si elle indique enabled
tout est bon, sinon, continuez à lire.
Redémarrer pfsense en single-user. Vous pouvez le faire soit depuis le bootloader, soit depuis la console à l'interface texte de pfsense en sélectionnant l'option 5
puis S
.
A l'invite demandant de définir le shell, tapez enter
puis :
tunefs -t enable /dev/ufsid/572a25794af32f5e reboot
Changer la keymap du clavier
/usr/sbin/kbdcontrol -l /usr/share/syscons/keymaps/fr.iso.kbd