Pfsense
Reduce idle CPU usage in virtualized environment
- kern.hz=100 in
/boot/loader.conf.local
virtio
- System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter.
Firewall et règles VPN
Si vous créez un VPN IPSec, des règles sont automatiquement ajoutés dans le firewall pour permettre au lien VPN de s'établir. Vous pouvez observe ces règles dans /tmp/rules.debug
sous la section VPN Rules
.
Vous pouvez également empêcher la création de ces règles automatiques dans System -> Advanced -> Firewall & NAT -> Disable Auto-added VPN rules
AES NI
- Baremetal : le cpu doit le supporter
- VM : le cpu de l'hôte doit le supporter, et l'activer sur la vm : Proxmox cpu performance
- Vérifier le support des instructions aes :
dmesg | grep Features
- Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni
- vérifier le support :
/usr/bin/openssl engine -t -c
- openvpn : utiliser aes-128-cbc, pas besoin de selectionner de "Hardware Crypto" (passe par openssl)
- ipsec : utiliser AES-GCM
Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :
[ 5] 0.00-10.06 sec 256 MBytes 213 Mbits/sec 341 sender [ 5] 0.00-10.06 sec 253 MBytes 211 Mbits/sec receiver
Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) :
[ 5] 0.00-10.05 sec 631 MBytes 527 Mbits/sec 352 sender [ 5] 0.00-10.05 sec 629 MBytes 525 Mbits/sec receiver
Activer Trim
Vérifiez le statut actuel de trim avec la commande suivante :
tunefs -p /dev/ufsid/572a25794af32f5e
Recherchez la ligne trim
. Si elle indique enabled
tout est bon, sinon, continuez à lire.
Redémarrer pfsense en single-user. Vous pouvez le faire soit depuis le bootloader, soit depuis la console à l'interface texte de pfsense en sélectionnant l'option 5
puis S
.
A l'invite demandant de définir le shell, tapez enter
puis :
tunefs -t enable /dev/ufsid/572a25794af32f5e reboot
Changer la keymap du clavier
/usr/sbin/kbdcontrol -l /usr/share/syscons/keymaps/fr.iso.kbd