Guida per pfSense CE e OPNsense, ma anche valida per ipFire.

Leggi anche pfSense CE vs OPNsense: comparazione tecnica

Indice dei contenuti

  1. Premesa
  2. Throughput richiesto
    2.1 Tipo di CPU
    2.2 pfSense fino a 2.4.X: requisiti minimi
    2.3 pfSense CE 2.5.X: requisiti minimi
    2.4 Dimensionare un firewall basato sul Throughput
    2.5 Dimensionare un firewall basato sul Throughput versione cluster
  3. Pacchetti aggiuntivi
    3.1 VPN
    3.2 SquidGuard
    3.3 pfBlockerNg
    3.4 Captive Portal
    3.5 Grandi tabelle di Stato
    3.6 Packages
    3.7 Versione di pfSense/OPNsense
  4. Chipset delle schede di rete
  5. Rumorosità degli apparati
  6. Funzione RAID
  7. Quando usare un cluster
  8. Dimensionamento istantaneo
  9. Analisi performance apparati
    9.1 NO VPN
    9.2 Open VPN
    9.3 IPSec

1. Premessa

Per dimensionare un firewall hardware basato su pfSense CE / OPNsense dalla 2.4.X / 18.X in poi è necessario tenere presente 3 fattori principali:

  • Throughput richiesto
  • Pacchetti aggiuntivi
  • Numero e tipologia di NIC 

Questi 3 fattori influenzano principalmente su RAM, CPU, Memoria di massa e ovviamente quantità di NIC. Nella parte sottostante metteremo a disposizione la nostra esperienza nel dimensionamento dell’hardware.

Da tenere presente anche che pfSense dalla versione 2.4 NON SUPPORTA più i sistemi su CF (in particolare non supporta più le immagini i386), cosa che OPNsense continua a fare.

2. Throughput richiesto

Per definizione si intende per throughput di un canale di comunicazione la sua capacità di trasmissione effettivamente utilizzata. Il throughput non è da confondersi con la capacità del link.

Sia la capacità che il throughput si esprimono in bit/s, ma mentre la prima esprime la frequenza trasmissiva massima alla quale i dati possono viaggiare, il throughput è un indice dell’effettivo utilizzo della capacità del link.

Il throughput è la quantità di dati trasmessi in una unità di tempo e dipende esclusivamente da quanta informazione è immessa sul canale della trasmissione.

Prima di fare delle considerazioni sul troughput occorre considerare il fatto che sia pfSense che OPNsense possono operare sia come firewall che come router oppure entrambi. Sarà necessario quindi considerare per la scelta dell’apparato, il throughput complessivo del sistema che vogliamo realizzare.

Per esempio, se dobbiamo realizzare un firewall, possiamo considerare come throughput la somma dei throughput delle WAN. Se dobbiamo invece realizzare un Router che unisce tra loro delle reti dobbiamo sommare il throughput di tutte le interfacce, sia WAN che LAN.

2.1 Tipo di CPU

È importante determinare il throughput di una rete prima dell’installazione di un firewall/router pfSense/OPNsense in quanto esso determina il tipo di CPU da utilizzare ed in certi casi il tipo di NIC. Se sono richiesti meno di 10 Mbps allora è possibile utilizzare i requisiti minimi hardware.

Per throughput superiori consigliamo caldamente di seguire il dimensionamento suggerito dalla tabella che segue, basata su test effettivamente eseguiti sul campo. La tabella qui sotto è pensata per evitare di raggiungere il massimo livello di carico dell’hardware, così da non incorrere in problemi.

Se per esempio devo realizzare un Router o un Firewall con delle porte a 10 Gbit, non potrò utilizzare una CPU meno potente di uno XEON Quad Core. Infatti, quando le NIC raggiungono i 10 Gbit di traffico i Core dell’appliance vanno al 100% e la macchina va in crisi.

Per questi usi si consigliano:

Occorre tenere presente che il team di sviluppo di pfSense, ha annunciato che dalla versione 2.5 NON SARA’ PIU’ POSSIBILE installare e tantomeno aggiornare le versioni di pfSense su hardware sprovvisto di  CPU dotate di istruzioni AES-IN.

La ragione (sempre dichiarata da pfSense) è che per supportare l’aumento dei carichi della CPU derivanti dalla crittografia si è reso necessario l’uso del set di istruzioni AES-NI che vengono utilizzate per ottimizzare gli algoritmi di crittografia e decrittografia su determinati processori Intel e AMD.

La cosa non riguarda invece gli sviluppatori di OPNsense che dichiarano che l’esecuzione delle istruzioni AES-IN può essere fatta sia via hardware (con CPU aventi istruzioni AES-IN) che via software, come per altro avviene sulle versioni attuali di entrambe le distribuzioni senza particolari problemi.

2.2 pfSense fino a 2.4.X: requisiti minimi

CPU Non meno di 1GHz
RAM 1 GB
Installazione su Hard Disk 16 GB
Embedded CF non più supportato

2.3 pfSense CE 2.5.X: requisiti minimi

CPU Non meno di 1 GHz, CPU dotata di AES-IN
RAM 1 GB
 Installazione su Hard Disk 16 GB
Column 1 Value 4 CF non più supportata

2.4 Dimensionare un firewall basato sul Throughput

Throughput Hardware consigliati Prodotto consigliato Rumorosità
1-20 Mbps Non meno di 1000 MHz CPU Single Core Firewall Entry Level 2 NIC APU2 2GB RAM Nulla
10-100 Mbps Non meno di 2.4 GHz CPU Quad Core Compact Small UTM 3
Appliance Small UTM 3
Nulla
50-650 Mbps Non meno di 2.4 GHz CPU Octa Core Appliance A1 Server Aluminum
Firewall Appliance Power UTM Aluminum
Quasi nulla (*)
450 – 1000 Mbps Non meno di 3,5 GHz Quad Core Firewall Appliance Power UTM Aluminum
Appliance A1 Server Aluminum
Media (*)
Fino a 10 Gbps Non meno di 3,5 GHz Xeon Quad/Octa Core Appliance A2 Server Aluminum
Appliance A3 Server Aluminum
Media (*)

2.5 Dimensionare un firewall basato sul Throughput verione cluster

Throughput:
Mbps
Requisiti hardware consigliati Prodotto consigliato Rumorosità
1-20 Mbps Non meno di 1000 MHz CPU Single Core Nano Cluster APU2E 2GB Nulla
10-100 Mbps Non meno di 2.4 GHz CPU Quad Core Compact Small UTM 3
Appliance Small UTM 3
Nulla
50-650 Mbps Non meno di 2.4 GHz CPU Octa Core Power Cluster Bassa (*)
450 – 1000 Mbps Non meno di 3,5 GHz Quad/Octa Core A2-Server Cluster
A3-Server Cluster
Media (*)
Fino a 10 Gbps Non meno di 3,5 GHz Xeon Quad/Octa Core A2-Server Cluster
A3-Server Cluster
Media (*)

(*) I modelli Power Cluster e APUTM con CPU Intel I7 presentano un livello di rumorosità Medio solo se sottoposti a forti e continuativi carichi di lavoro.

3. Pacchetti aggiuntivi

Molte features di pfSense/OPNsense influenzano notevolmente il dimensionamento dell’hardware.

3.1 VPN

l’utilizzo pesante del servizio VPN fa crescere molto i requisiti della CPU. La cifratura e decifratura dei pacchetti accresce il carico sulla CPU. Il numero di connessioni è un fattore meno preoccupante del throughput.

  • CPU di 266 MHz supporta circa 4 Mbps di traffico IPsec
  • CPU di 500 MHz supporta circa 10-15 Mbps di traffico IPsec
  • CPU I7 o I3 di nuova generazione supportano quasi fino a 200 Mbps di traffico IPsec
  • CPU XEON di nuova generazione per carichi superiori a 400 Mbps

3.2 SquidGuard

Controllo del traffico in uscita mediante proxy: entrambi i pacchetti utilizzano molto sia la CPU che le scritture su disco.

È pertanto fortemente sconsigliato l’utilizzo con la fascia Entry level:

Per questo tipo di lavoro è fortemente consigliato l’utilizzo di:

Tuttavia è altresì possibile l’utilizzo ottimizzato con il solo pacchetto squid sulla fascia e Firewall Entry Level 2 NIC APU2 2GB RAM a patto che si utilizzi la scrittura sul supporto disco con parsimonia ed in ogni caso a forte discapito delle prestazioni.

3.3 pfBlockerNg

pfBlockerNG è un pacchetto per pfSense che permette di estendere le funzionalità del firewall oltre il tradizionale firewall L2 / L3 / L4.

pfBlockerNG permette di configurare il firewall per consentire/negare traffico basandosi su elementi come la geo localizzazione di un indirizzo IP, il nome di dominio (per esempio per bloccare Facebook e simili) o le valutazioni di Alexa di determinati siti web.

Questo pacchetto richiede un aumento di CPU e RAM dal 15% al 25%. Per approfondire il funzionamento di questo pacchetto, potete consultare la guida che abbiamo realizzato e pubblicato nella nostra area guide.

3.4 Captive Portal

Ambienti con centinaia di connessioni richiedono molta CPU. Con riferimento alla tabella del throughput sarà necessario aumentare gli utenti di un 15-20% per ottenere la piattaforma raccomandata.

3.5 Grandi tabelle di Stato

Ogni voce della tabella di stato richiede 1 KB. La tabella di stato, quando è piena ha 10.000 voci, quindi circa 10 MB di RAM. Per tabelle di stato più grandi, con centinaia di migliaia di connessioni sarà necessario dimensionare adeguatamente la RAM.

3.6 Packages

Molti pacchetti aumentano significativamente la quantità di RAM utilizzata. Per esempio snort e ntop non dovrebbero essere installati su piattaforme hardware con meno di 512 MB di ram ed almeno 32 GB di disco.

3.7 Versione di pfSense/OPNsense

È da sottolineare la differenza tra i due tipi di installazioni che è possibile effettuare con pfSense/OPNsense sui diversi dispositivi.

Ricordiamo che per quanto riguarda pfSense, l’ultima versione installabile su CF (cioè la versione embedded) è la 2.3.5, mentre per OPNsense non è prevista la cessazione del supporto.

  • La soluzione Embedded (firewall Entry Level) NON permette la scrittura dei file di log sulla memoria (C.F. o DOM) ed in ogni caso è fortemente sconsigliato farlo. Su questa versione non è possibile installare alcuni dei pacchetti aggiuntivi di pfSense/OPNsense.
  • La soluzione che si installa su hard disk (normalmente sulle soluzioni Appliance UTM o superiori) ha la possibilità di salvare i log al suo interno. Su questa versione è possibile installare tutti i pacchetti aggiuntivi forniti per pfSense/OPNsense.
  • Ricordiamo che pfSense 2.5.X sarà installabile solo su hardware avente CPU con il supporto AES-IN

4. Chipset delle schede di rete

La scelta di una scheda di rete è fondamentale per chi sta progettando un sistema per medie/grandi dimensioni.
Come potete notare dalle descrizioni dei prodotti, specifichiamo sempre molto bene se gli apparati integrano al proprio interno dei chipset Intel oppure Realtek.

Da circa metà 2016 in avanti praticamente tutti i nostri devices sono dotati di chipset Intel. Il chipset Realtek è meno performante del chipset Intel ed è adatto principalmente per carichi di lavoro meno intensi.

Tuttavia, per un’azienda che non richiede throughput elevati (come l’85% delle aziende Italiane) rimane sempre la scelta ideale.

Il chipset Intel invece offre maggiori performances in caso di traffico intenso: offre infatti parecchie features avanzate come la gestione delle code e dalla versione di pfSense 2.2 in poi anche un supporto migliorato al multi-core. Questo si traduce in un throughput più elevato e minore carico sulle CPU.

Per essere precisi, il pieno supporto al multicore è stato introdotto su FreeBSD, cioè dal S.O. padre di pfSense e OPNsense, quindi lo stesso discorso fatto per pfSense vale e varrà in futuro anche per OPNsense.

Se state ancora utilizzando pfSense 2.1.x, a questo proposito abbiamo pubblicato un approfondimento sull’ottimizzazione delle NIC Intel attraverso il tuning del driver e delle impostazioni. Specifichiamo comunque che fino ad oggi le nostre appliances non hanno bisogno di tale ottimizzazione. Noi la inseriamo comunque per completezza.

Sulle attuali versioni di pfSense/OPNsense non sembra essere necessario apportare modifiche.

Se il tuo appliance ha problemi di performances derivanti dalle NIC consulta la guida pfSense: problemi di throughput e troubleshooting per la diagnosi del problema.

5.  Rumorosità degli apparati

Per fornire il prodotto adeguato è necessario pensare a dove verrà collocato il firewall.

Se l’apparato verrà collocato nelle vicinanze di persone che lavorano, sarà necessario scegliere una macchina con un basso livello di rumore o sarà necessario l’acquisto di apposito kit silent!

Ultimamente, per effetto della nuova tecnologia a 25 nanometri di Intel, le potenze assorbite si sono ridotte moltissimo e di conseguenza anche il calore dissipato è diminuito.

Dal punto di vista progettuale, abbiamo preferito mantenere nei modelli di fascia alta (tipicamente impiegati in datacenter o CED) la ventola. Questo perché, qualora la board o la CPU rilevassero alte temperature, l’ausilio della ventola riporterebbe in pochi secondi la temperatura a livelli accettabili.

Di seguito è riportata una tabella nella quale vengono forniti dati indicativi sulla rumorosità degli apparati:

Apparato Livello di rumore
Firewall Entry Level 3 NIC APU2 based 4GB RAM
Compact Small UTM 3
Appliance Small UTM 3
Nano Cluster APU2E 2GBAppliance Small UTM 2A2SUTM
Small Cluster
Livello 0 (completamente fan less)
Appliance A1 Server Aluminum Livello 1 (rumore quasi impercettibile)
Appliance A2 Server Aluminum
Appliance A3 Server Aluminum
Power Cluster
Firewall Appliance Power UTM Aluminum
Livello 4 (rumore udibile da 4 / 5 metri)

Note sul rumore:
un dispositivo che dissipa bene il calore, sicuramente durerà più a lungo e sarà più stabile e affidabile!
Ecco perché i nostri dispositivi di fascia alta sono progettati in modo tale che il flusso d’aria “investa” i componenti interni raffreddandoli.

6. Funzione RAID

Una delle funzioni maggiormente apprezzate da pfSense/OPNsense in termini di affidabilità hardware è la funzionalità Raid direttamente implementata dal sistema operativo FreeBSD.

Questa funzione garantisce un livello di affidabilità superiore dell’applicane in quanto in caso di rottura di un disco l’applicazione continuerà a funzionare come se nulla fosse.

Questa funzione è supportata da:

Per chi volesse approfondire l’argomento, abbiamo pubblicato una guida che spiega come funziona e come intervenire sugli apparati in caso di guasto. La trovate sotto il menù guide.

7. Quando usare un cluster

Un sistema Cluster è una soluzione composta da un sistema avente due apparati hardware completamente indipendenti. Esistono 3 versioni di soluzioni Cluster, una per piccoli uffici e l’altra per traffico intenso e/o per strutture medio/grandi.

Nano Cluster APU2E 2GB: soluzione 1U compatta, studiata per piccoli uffici

Small Cluster: soluzione 2U per le PMI e/o piccoli Datacenter che non vogliono rinunciare all’alta affidabilità

Power Cluster: soluzione 2U per aziende e organizzazioni che necessitano dell’alta affidabilità

A2-Server Cluster e A3-Server Cluster: soluzione 2U di livello Datacenter che fornisce l’alta affidabilità

Lo Small Cluster e il Power Cluster sono dispositivi 2U, composti da 2 cassetti indipendenti, mentre il NanoCluster è composto da due apparati Entry Level.
Mediante pfSense oppure OPNsense si può ottenere un vero e proprio Cluster attivo passivo configurato per ottenere l’alta affidabilità tra i 2 apparati che diventano a tutti gli effetti dei nodi del cluster.

Gli altri S.O. non hanno (speriamo solo per ora) una funzione come il CARP di pfSense/OPNsense ma possono essere comunque configurati in modo tale che l’utente possa spegnere manualmente uno dei due sistemi ed accendere l’altro. Possiamo dire quindi che si tratta di un sistema Cluster che nel caso di pfSense e OPNsense è automatico ed in caso di altri S.O. è manuale. Tale sistema dovrebbe essere utilizzato in ambienti dove l’alta affidabilità è obbligatoria.

8. Dimensionamento istantaneo

In base alle nostre esperienze abbiamo stilato una classificazione delle installazioni che abbiamo seguito negli anni. Tale classificazione non è solo frutto dell’esperienza fatta durante l’installazione del firewall, ma anche dell’evoluzione tecnologica che l’utilizzatore richiede al dispositivo durante gli anni di utilizzo.

I risultati sono legati per esempio all’evoluzione tecnologica che ogni azienda/ente subisce o richiede negli anni per esigenze diverse. Per esempio le piccole aziende richiedono inizialmente l’installazione di un semplice firewall.

Normalmente non passa molto tempo dalla presentazione di richieste come la VPN, filtraggio dei contenuti o regole di navigazione.

Per questo in base al numero di “dispositivi attivi” (cioè di dispositivi connessi ad internet) abbiamo elaborato la seguente tabella che tiene anche conto dei concetti sopra riportati:

Modello 
Dispositivi attivi
Entry Level o Nano Cluster APU2E 2GB da 1 a 5 utenti
Firewall Entry Level 2 NIC APU2 2GB RAM
o Nano Cluster APU2E 2GB
da 1 a 10 utenti
Compact Small UTM 3
o Appliance Small UTM 3
o Appliance Small UTM 2A2SUTM
o Small Cluster
da 8 a 35 utenti
Compact Small UTM 3
o Appliance Small UTM 3
o Appliance A1 Server Aluminum
o Small Cluster
da 20 a 60 utenti
 Appliance A1 Server Aluminum
o Power Cluster
da 50 a 350 utenti
Appliance A2 Server Aluminum

o Firewall Appliance Power UTM Aluminum
o Power Cluster

da 100 a 2000 utenti
Appliance A3 Server Aluminum

o Firewall Appliance Power UTM Aluminum
o Power Cluster

da 100 a 3500/5000 utenti
Appliance A3 Server Aluminum da 500 a 10.000 utenti

9. Analisi performance apparati

9.1 NoVPN

NO VPN
BRIDGE NAT
TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter
ALIX 86,60 Mbps 87,10 Mbps 0,123 ms 86,57 Mbps 88,40 Mbps 0,122 ms
APU 474,00 Mbps 735,00 Mbps 0,028 ms 474,00 Mbps 535,00 Mbps 0,037 ms
CASUTM 595,00 Mbps 653,00 Mbps 0,033 ms 595,00 Mbps 535,00 Mbps 0,037 ms
AUTM5 754,50 Mbps 735,00 Mbps 0,024 ms 551,20 Mbps 560,00 Mbps 0,035 ms
Power Microcluster 939,00 Mbps 784,00 Mbps 0,029 ms 942,00 Mbps 784,00 Mbps 0,025 ms
APUTM 939,00 Mbps 784,00 Mbps 0,029 ms 942,00 Mbps 784,00 Mbps 0,025 ms

9.2 OpenVPN

OPENVPN
AES128 AES256 Blowfish
TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 13,43 Mbps 18,00 Mbps 0,052 ms 12,30 Mbps 16,00 Mbps 0,048 ms 14,67 Mbps 20,00 Mbps 0,095 ms
APU 68,20 Mbps 60,00 Mbps 0,055 ms 58,63 Mbps 55,00 Mbps 0,073 ms 79,33 Mbps 68,40 Mbps 0,057 ms
CASUTM 62,77 Mbps 75,50 Mbps 0,038 ms 56,10 Mbps 65,30 Mbps 0,064 ms 71,93 Mbps 87,10 Mbps 0,040 ms
AUTM5 80,20 Mbps 94,10 Mbps 0,026 ms 69,40 Mbps 80,25 Mbps 0,042 ms 97,10 Mbps 114,80 Mbps 0,040 ms
Power
Microcluster
135,24 Mbps 121,74 Mbps 0,024 ms 116,16 Mbps 106,88 Mbps 0,031 ms 153,79 Mbps 138,41 Mbps 0,029 ms
APUTM 135,24 Mbps 121,74 Mbps 0,024 ms 116,16 Mbps 106,88 Mbps 0,031 ms 153,79 Mbps 138,41 Mbps 0,029 ms

9.3  IPsec

IPSec
AES128 AES256 Blowfish128 3DES
TCP UDP TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 15,27 Mbps 16,00 Mbps 0,105 ms 13,73 Mbps 14,00 Mbps 0,116 ms 14,10 Mbps 15,00 Mbps 0,106 ms 8,62 Mbps 9,00 Mbps 0,089 ms
APU 49,00 Mbps 70,00 Mbps 0,061 Mbps 45,60 Mbps 54,20 Mbps 0,028 ms 44,60 Mbps 58,20 Mbps 0,083 ms 26,53 Mbps 32,00 Mbps 0,051 ms
CASUTM 60,13 Mbps 67,20 Mbps 0,042 ms 56,03 Mbps 63,20 Mbps 0,049 ms 56,87 Mbps 66,10 Mbps 0,057 ms 34,43 Mbps 37,10 Mbps 0,042 ms
AUTM5 74,22 Mbps 80,40 Mbps 0,079 ms 68,60 Mbps 73,50 Mbps 0,064 ms 69,70 Mbps 71,30 Mbps 0,074 ms 37,80 Mbps 40,00 Mbps 0,023 ms
Power
Microcluster
109,54 Mbps 106,77 Mbps 0,039 ms 103,72 Mbps 96,06 Mbps 0,035 ms 105,99 Mbps 95,01 Mbps 0,039 ms 62,82 Mbps 54,86 Mbps 0,024 ms
APUTM 109,54 Mbps 106,77 Mbps 0,039 ms 103,72 Mbps 96,06 Mbps 0,035 ms 105,99 Mbps 95,01 Mbps 0,039 ms 62,82 Mbps 54,86 Mbps 0,024 ms
IPSec
AES128 AES256 3DES
TCP UDP TCP UDP TCP UDP
Banda Banda Jitter Banda Banda Jitter Banda Banda Jitter
ALIX 15,27 Mbps 16,00 Mbps 0,105 ms 13,73 Mbps 14,00 Mbps 0,116 ms 8,62 Mbps 9,00 Mbps 0,089 ms
ALIX + Card (*)
48,33 Mbps 39,10 Mbps 0,061 ms 48,07 Mbps 39,10 Mbps 0,078 ms 48,57 Mbps 39,10 Mbps 0,049 ms
Gain [%] 216,50% 144,38% 41,90% 250,11% 179,29% 32,76% 463,46% 334,44% 44,94%