4 231
modifications
(Page créée avec « =AES NI= * Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni * vérifier le support : <code>/usr/bin/openssl engine -t -c</code> * o... ») |
Aucun résumé des modifications |
||
(12 versions intermédiaires par le même utilisateur non affichées) | |||
Ligne 1 : | Ligne 1 : | ||
[[Category:serveur]] | |||
[[Category:pfsense]] | |||
[[Category:networking]] | |||
=KVM= | |||
==Reduce idle CPU usage in virtualized environment== | |||
(si constaté uniquement) | |||
* kern.hz=100 in <code>/boot/loader.conf.local</code> | |||
==virtio== | |||
* System > Advanced > Networking : cocher la case "Disable hardware checksum offload" puis rebooter. | |||
https://docs.netgate.com/pfsense/en/latest/recipes/virtualize-proxmox-ve.html | |||
=Firewall et VPN IPSec= | |||
Si vous créez un VPN IPSec, des règles sont automatiquement ajoutés dans le firewall pour permettre au lien VPN de s'établir. Vous pouvez observer ces règles dans <code>/tmp/rules.debug</code> sous la section <code>VPN Rules</code>.<br> | |||
Vous pouvez également empêcher la création de ces règles automatiques dans System -> Advanced -> Firewall & NAT -> Disable Auto-added VPN rules | |||
=AES NI= | =AES NI= | ||
* Baremetal : le cpu doit le supporter | |||
* VM : le cpu de l'hôte doit le supporter, et l'activer sur la vm : [[Proxmox cpu performance]] | |||
* Vérifier le support des instructions aes : <code>dmesg | grep Features</code> | |||
* Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni | * Dans System > Advanced > Miscellaneous tab : Cryptographic Hardware a définir a aes-ni | ||
* vérifier le support : <code>/usr/bin/openssl engine -t -c</code> | * vérifier le support : <code>/usr/bin/openssl engine -t -c</code> | ||
Ligne 6 : | Ligne 27 : | ||
* ipsec : utiliser AES-GCM | * ipsec : utiliser AES-GCM | ||
Performance sans | Performance sans aesni avec IPsec (AES-128-GCM / sha256 / dh4096) : | ||
<pre> | <pre> | ||
[ 5] 0.00-10.06 sec 256 MBytes 213 Mbits/sec 341 sender | [ 5] 0.00-10.06 sec 256 MBytes 213 Mbits/sec 341 sender | ||
[ 5] 0.00-10.06 sec 253 MBytes 211 Mbits/sec receiver | [ 5] 0.00-10.06 sec 253 MBytes 211 Mbits/sec receiver | ||
</pre> | </pre> | ||
Performance avec aesni avec IPsec (AES-128-GCM / sha256 / dh4096) : | |||
<pre> | <pre> | ||
[ 5] 0.00-10.05 sec 631 MBytes 527 Mbits/sec 352 sender | [ 5] 0.00-10.05 sec 631 MBytes 527 Mbits/sec 352 sender | ||
[ 5] 0.00-10.05 sec 629 MBytes 525 Mbits/sec receiver | [ 5] 0.00-10.05 sec 629 MBytes 525 Mbits/sec receiver | ||
</pre> | </pre> | ||
=Activer Trim= | |||
Vérifiez le statut actuel de trim avec la commande suivante : | |||
<pre>tunefs -p /dev/ufsid/572a25794af32f5e</pre> | |||
Recherchez la ligne <code>trim</code>. Si elle indique <code>enabled</code> tout est bon, sinon, continuez à lire. | |||
Redémarrer pfsense en single-user. Vous pouvez le faire soit depuis le bootloader, soit depuis la console à l'interface texte de pfsense en sélectionnant l'option <code>5</code> puis <code>S</code>. | |||
A l'invite demandant de définir le shell, tapez <code>enter</code> puis : | |||
<pre> | |||
tunefs -t enable /dev/ufsid/572a25794af32f5e | |||
reboot | |||
</pre> | |||
=Changer la keymap du clavier= | |||
<pre>/usr/sbin/kbdcontrol -l /usr/share/syscons/keymaps/fr.iso.kbd</pre> |