« Pfsense » : différence entre les versions

De Linux Server Wiki
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
 
Ligne 3 : Ligne 3 :
[[Category:networking]]
[[Category:networking]]


=Reduce idle CPU usage in virtualized environment=
=KVM=
 
==Reduce idle CPU usage in virtualized environment==
(si constaté uniquement)
* kern.hz=100 in <code>/boot/loader.conf.local</code>
* kern.hz=100 in <code>/boot/loader.conf.local</code>


=virtio=
==virtio==
* System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.
* System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html


=Firewall et VPN IPSec=
=Firewall et VPN IPSec=

Dernière version du 6 mars 2022 à 15:21


KVM

Reduce idle CPU usage in virtualized environment

(si constaté uniquement)

  • kern.hz=100 in /boot/loader.conf.local

virtio

  • System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.

https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html

Firewall et VPN IPSec

Si vous créez un VPN IPSec, des règles sont automatiquement ajoutés dans le firewall pour permettre au lien VPN de s'établir. Vous pouvez observer ces règles dans /tmp/rules.debug sous la section VPN Rules.
Vous pouvez également empêcher la création de ces règles automatiques dans System -> Advanced -> Firewall & NAT -> Disable Auto-added VPN rules

AES NI

  • Baremetal : le cpu doit le supporter
  • VM : le cpu de l'hôte doit le supporter, et l'activer sur la vm : Proxmox cpu performance
  • Vérifier le support des instructions aes : dmesg | grep Features
  • Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni
  • vérifier le support : /usr/bin/openssl engine -t -c
  • openvpn : utiliser aes-128-cbc, pas besoin de selectionner de "Hardware Crypto" (passe par openssl)
  • ipsec : utiliser AES-GCM

Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :

[  5]   0.00-10.06  sec   256 MBytes   213 Mbits/sec  341             sender
[  5]   0.00-10.06  sec   253 MBytes   211 Mbits/sec                  receiver

Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :

[  5]   0.00-10.05  sec   631 MBytes   527 Mbits/sec  352             sender
[  5]   0.00-10.05  sec   629 MBytes   525 Mbits/sec                  receiver

Activer Trim

Vérifiez le statut actuel de trim avec la commande suivante :

tunefs -p /dev/ufsid/572a25794af32f5e

Recherchez la ligne trim. Si elle indique enabled tout est bon, sinon, continuez à lire.

Redémarrer pfsense en single-user. Vous pouvez le faire soit depuis le bootloader, soit depuis la console à l'interface texte de pfsense en sélectionnant l'option 5 puis S.

A l'invite demandant de définir le shell, tapez enter puis :

tunefs -t enable /dev/ufsid/572a25794af32f5e
reboot

Changer la keymap du clavier

/usr/sbin/kbdcontrol -l /usr/share/syscons/keymaps/fr.iso.kbd