[Sammelthread] pfSense & OPNsense (Firewall- und Routing-Appliance)

*Inhalt gelöscht*

 

[Knogle]

Hat das gut geklappt, bzw. war es performanter als die SW Bridge vom Hypervisor? Ich bin halt am überlegen wie das technisch funktioniert bzw. wie ich das an die VM weitergebe. Habe immer LACP mit je 2 Links zum Proxmox zum Einsatz, wie das dann in der VM funktioniert mit SR-IOV.

 

[BobbyD]

Konnte letztens eine Präsentation zum zukünftige netbird PlugIn für die OPNsense sehen und das sah sehr vielversprechend aus. Wer Overlay-Networks nutzen mag, der scheint mir mit netbird.io richtig gut bedient zu sein: Alles grafisch und selbst auf der OPNsense lässt sich (der lokale Anteil) wie gewohnt kleinteilig regeln.

Außerdem eine Warnung an pfSense-User, die pfBlocker zusammen mit dem Python-Mode in Unbound nutzen und auf ZFS setzen. Dabei wurden wohl durchschnittliche Schreiblasten von 30 Gigabyte pro Tag beobachtet! Abhilfe soll das Einrichten der RAM Disk unter System/Advanced/Miscellaneous schaffen. Ich zumindest hab durch die RAM-Disk bis jetzt keine Nachteile ausmachen können.

 

[janos66]

wie das dann in der VM funktioniert mit SR-IOV.

genau wie nativ, weil du mit SR-IOV auch nichts anderes hast

 

[java4ever]

Ich bin halt am überlegen wie das technisch funktioniert bzw. wie ich das an die VM weitergebe. Habe immer LACP mit je 2 Links zum Proxmox zum Einsatz, wie das dann in der VM funktioniert mit SR-IOV.

Gar nicht. Außer du hast Mellanox ConnectX-5, ConnectX-6 oder ConnectX-7. Dann möchtest du dir das Thema "SR-IOV VF LAG" anschauen (https://docs.nvidia.com/doca/sdk/ov...SKernelHardwareAccelerationv2.8.0-SR-IOVVFLAG)

TL;DR Du konfigurierst über OVS (OpenVSwitch) die Bridge und das LAG / LACP wird auf die NIC offloaded, bzw der embedded switch in der NIC wird so programmiert, dass alle SR-IOV VFs (die normalerweise jeweils auf einen physischen Port gebunden sind) stattdessen an das LAG gebunden sind und beide Ports ansprechen.

 

[Knogle]

Gar nicht. Außer du hast Mellanox ConnectX-5, ConnectX-6 oder ConnectX-7. Dann möchtest du dir das Thema "SR-IOV VF LAG" anschauen (https://docs.nvidia.com/doca/sdk/ov...SKernelHardwareAccelerationv2.8.0-SR-IOVVFLAG)

TL;DR Du konfigurierst über OVS (OpenVSwitch) die Bridge und das LAG / LACP wird auf die NIC offloaded, bzw der embedded switch in der NIC wird so programmiert, dass alle SR-IOV VFs (die normalerweise jeweils auf einen physischen Port gebunden sind) stattdessen an das LAG gebunden sind und beide Ports ansprechen.

Schön wieder von dir zu hören, du hattest ja dieses riesige Mellanox Monster Setup.

Das klingt echt interessant, weißt du obs dazu auch eventuell treffende Guides gibt?
Du hast Recht, mein aktueller Ansatz klappt nicht, der zerschießt mir den Bond komplett.

2024 Sep 22 22:49:51 sin01-core-crsw01 %ETHPORT-5-IF_RX_FLOW_CONTROL: Interface port-channel4, operational Receive Flow Control state changed to off
2024 Sep 22 22:49:51 sin01-core-crsw01 %ETHPORT-5-IF_TX_FLOW_CONTROL: Interface port-channel4, operational Transmit Flow Control state changed to off
2024 Sep 22 22:50:01 sin01-core-crsw01 %ETH_PORT_CHANNEL-4-PORT_INDIVIDUAL: port Ethernet1/41 is operationally individual
2024 Sep 22 22:50:01 sin01-core-crsw01 %ETH_PORT_CHANNEL-4-PORT_INDIVIDUAL: port Ethernet1/42 is operationally individual

 

[java4ever]

Das klingt echt interessant, weißt du obs dazu auch eventuell treffende Guides gibt?

Den habe ich extra verlinkt

 

[Knogle]

Wie ich sehe ist das aber nicht so erschwinglich, dann muss ich wohl im Homelab auf na Linux Bridge bleiben.

 

[java4ever]

Wie ich sehe ist das aber nicht so erschwinglich, dann muss ich wohl im Homelab auf na Linux Bridge bleiben.

CX556A aus USA ab US $189.00 (natürlich + Versandkosten, Einfuhrumsatzsteuer, usw).

Wer SR-IOV LAG haben will, muss halt zahlen