PFSense auf SSD oder USB-Speicher-Stick?

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
BenutzerGa4gooPh

PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 24.11.2016 17:59:56

Guten Abend!
Habe auf einem dedizierten Mini-PC mit einem glücklicherweise sehr ausführlichem UEFI-AMI-BIOS PFSense 2.3.2 (FreeBSD 10.3) auf 60 GB SSD installiert. Laueft prima - aber 2 Luxusprobleme:

1. Das derzeitige PFSense lässt sich nur im UEFI-Legacy/CSM-Modus mit MBR installieren. Der Installer schreibt als Erstes die Partitionstabelle neu, Vorpartitionierung geht also nicht. Gut, auf SSD-4k-Alignment kann ich verzichten, ist die SSD eben etwas langsamer, Haltbarkeit wohl nicht betroffen?

2. TRIM lässt sich aktuell nur fuer die root-Partition (UFS-Format) einstellen (tunefs -t enable /dev/ufsid/<ID_root>). Der Installer legt automatisch eine Swap-Partition mit 2 x RAM (2 x 4 GB) an. Ein Trick wäre nun, die Swap Partition zu löschen und ein Swap-File zu nutzen: https://www.freebsd.org/doc/de_DE.ISO88 ... space.html
Wird fuer FreeBSD auf SSD empfohlen: http://www.wonkity.com/~wblock/docs/html/ssd.html
Die ehem. Swap-Partition würde dann eben nicht zugewiesener Speicher oder ich versuche mich mal an Resizing.

Aufgrund der 2 Problemchen überlege ich nun, entweder PFSense auf SSD mit Swap-File und 8 GB nicht zugewiesenem Speicher bei 60 GB SSD oder nur auf einem USB-Speicher-Stick (dafür gibt es spezielle PFSense-ISO) zu installieren. SSD wuerde ich per BIOS abschalten oder abklemmen. Zumindest zeitweise, weil die nächste Version UEFI/GPT tun soll. TRIM für Swap? K. A. Würde allerdings gern mal noch squid und snort probieren, obwohl ich es für privat sicher nicht brauche, hätte also Zeit bis zur nächsten Version. Wie beurteilt ihr die angedachten Massnahmen?

LG Jana

BenutzerGa4gooPh

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 26.11.2016 20:51:02

Heute Kommentare?

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von mludwig » 26.11.2016 21:18:21

Falls die Haltbarkeit bedenken auslöst: Ich habe bei PFSense mit genügend Arbeitsspeicher alles ins RAM verfrachtet. Das war ursprünglich für Installationen auf CF-Cards gedacht, gilt aber auch für SSD.

Unter System, Advanced, Misc. gibt es weiter unten den Punkt "RAM Disk Settings (Reboot to Apply Changes)".

Häkchen setzen, Größen vorgeben und noch Intervalle für RRD-Backup (und DHCP). Schon wird kaum noch geschrieben, so dass fehlendes TRIM nicht mehr so ins Gewicht fällt. Nur bei plötzlichen Stromausfall fehlen eventuell die letzten Einträge bei RRD.

Swap wurde noch auf keiner PFSense von mir wirklich verwendet, aber ich verwende auch kaum Zusatzpakete wie einen Proxy, die dann RAM-hungrig werden können und auch sonst fleissig auf die Platte schreiben.

mludwig

BenutzerGa4gooPh

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 26.11.2016 21:32:17

Danke für die Antwort. Wenn ich die Verzeichnisse /tmp und /var in RAM-Disks verfrachte, ist die Swap-Wahrscheinlichkeit wegen entsprechend verringertem Arbeitsspeicher für andere Zwecke doch groesser?! Und auf /root kann ich problemlos Trim einschalten, auf Swap-Partition nicht. Sehe ich bis jetzt nicht als gute Idee ...
Zuletzt geändert von BenutzerGa4gooPh am 26.11.2016 21:36:51, insgesamt 1-mal geändert.

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von mludwig » 26.11.2016 21:36:27

Die Idee ist eher so: in /tmp und /var liegen die Dinge, die besonders häufig neu geschrieben werden. Mit der Option als Ram-Disk werden die Verzeichnisse nur noch in von dir festgelegten Intervallen geschrieben. Bei 4 GB RAM wird eine PFSense kaum swappen, es sei denn man hat besonders RAM-intensive Plugins aktiviert. Auch wenn man je 200 MB für /var und /tmp nimmt, ändert das daran meiner Erfahrung nach nichts. Somit wird insgesamt die Festplatte / SSD kaum noch genutzt und sollte ewig halten.

mludwig

BenutzerGa4gooPh

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 26.11.2016 21:41:36

Ah kapiert, kleine RAM-Disks, so wird fast gar nicht mehr auf SSD geschrieben und wenn, dann nur Swap. Und Letzteres ist viel, viel unwahrscheinlicher als das normale Logging. Jedenfalls ohne Proxy. Danke!
Zuletzt geändert von BenutzerGa4gooPh am 26.11.2016 21:42:34, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von MSfree » 26.11.2016 21:42:10

mludwig hat geschrieben:Falls die Haltbarkeit bedenken auslöst:
Bei mir läuft auf meinem Router ein Debian auf einer 10 Jahre alten 8GB CF-Karte, die mit einem IDE-Adapter am IDE-Anschluß des Mainboards hängt. Da laufen squid, Firewall mit intensivem Logging, exim und weitere mehr oder weniger schreibintensive Dienste drüber, allerdings habe ich kein Swap eingerichtet. Bezüglich der Haltbarkeit von Flashspeichern würde ich also Entwarnung geben.

BenutzerGa4gooPh

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 26.11.2016 21:45:35

Na ja, mir ging es um SSD-Haltbarkeit ohne TRIM und Alignment oder Speicherstick. :wink:
(Jedenfalls auf extra Swap-Partition geht Trim nicht, auf Swap-File schon.)
Interessant ist, dass PFSense eigene Büchsen mit Flash (und SSD) anbietet, also keine Probleme mit SSD-Alignment und fehlendem Trim: https://pfsense.org/products/ So kam ich ins Grübeln, ob ich nicht alle Probleme mit USB-Memstick umgehe. Komplett-Backup wäre wohl auch mehr als easy.

Mit mludwigs Idee und deiner Entwarnung habe ich jetzt noch eine dritte Möglichkeit. Werde wohl morgen würfeln. :mrgreen:
Zuletzt geändert von BenutzerGa4gooPh am 26.11.2016 21:56:54, insgesamt 1-mal geändert.

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von MSfree » 26.11.2016 21:54:50

Jana66 hat geschrieben:Na ja, mir ging es um SSD-Haltbarkeit ohne TRIM. :wink:
Trim gibt es bei der CF-Karte gar nicht. CF-Karten sind technisch gesehen IDE-Festplatten mit Flashspeicher statt rotierenden Scheiben. Daher kann man sie ja auch recht einfach an einem IDE-Anschluß betrieben.

Trim kam erst mit SATA-Platten bzw. SATA-SSDs.

Meine CF-Karte ist also seit 8 Jahren ohne Trim in Betrieb, bisher ohne Ausfallerscheinungen.

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von mludwig » 26.11.2016 22:25:49

Ich hatte schon eine PFSense, die auf einer SD-Card installiert war und bei der diese Karte nach 1.5 Jahren defekt war. Anekdoten sind keine Statistik ...

BenutzerGa4gooPh

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 27.11.2016 11:16:32

MSfree hat geschrieben:Trim gibt es bei der CF-Karte gar nicht. CF-Karten sind technisch gesehen IDE-Festplatten mit Flashspeicher statt rotierenden Scheiben.
Ich weiss, deshalb hatte ich Installation auf USB-Memstick als "Wuergdrumrum" für Trim und SSD-4k-Alignment in Erwägung gezogen. :wink:

@mludwig:
Ich hatte schon eine PFSense, die auf einer SD-Card installiert war ...
Hattest du damit irgendwelche funktionellen Besonderheiten/Nachteile gegenüber SSD-Installation?
Gibt ja spezielles, voreingestelltes PFSense-Image dafür. (Und nein, ich bin nicht zu faul zum selber Probieren, ist aber unser Internet-Gateway, gibt Mecker, wenn der zu oft ausfällt.)

Danke Euch und einen schönen Advent allen Schreibern und allen Lesern! :THX:

mludwig
Beiträge: 793
Registriert: 30.01.2005 19:35:04

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von mludwig » 27.11.2016 15:18:35

Eine SD-Card ist vermutlich eher langsamer und anfälliger als eine SSD, die meist etwas größer ist und daher ihre Schreibzugriffe per Wear-Leveling gleichmäßiger verteilen kann. Aber die SD-Card ist einfach in der Handhabung: beim erstellen gleichmal ein Image oder noch besser auf eine 2. Karte geklont, und bei Defekt wechselt man einfach die SD-Card aus. Geht mit einer SSD im Prinzip auch, aber davon habe ich üblicherweise nichts rumliegen. SD-Cards liegen immer (wie USB-Sticks auch) im Schreibtisch rum ...

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von r4pt0r » 28.11.2016 10:25:39

Den Aufwand würde ich mir komplett sparen. PfSense ist bis auf wenige Daten vollständig 'immutable' - da ändert sich praktisch nix, ausser bei updates. Kleine SSDs und USB-Sticks bekommt man dreckbillig hinterhergeworfen, schnell muss das für PfSense nicht sein - das System startet einmal und läuft dann i.d.r. wochenlang durch.
Wichtiger ist IMHO die schnelle Reproduzierbarkeit bei einem defekt - also ohne viel manuelles rumgefrickel nach defaultvorgaben auf die SSD(s) oder USB-Stick installieren und die config regelmäßig sichern.

Mein PfSense lief von 2 SSDs - weil die dreckbillig irgendwann mal mitbestellt wurden und seitdem unbenutzt rumlagen... Ansonsten hätte ich wohl einfach nen USB-Stick verwendet.

Zum thema SD-Karten: das ist praktisch der selbe flashspeicher wie z.b. in USB-Sticks. Problem sind nur die grottigen reader die in den meisten Fertig-PCs stecken die den anschein erwecken dass SD langsamer wäre. Viele appliances oder z.B. auch VMware vsphere wird i.d.r. von SD-Karten gebootet. Viele Server haben hierfür auch extra einen internen SD-Slot, meistens gepaart mit dem internen USB/-DOM-Port. Es gibt spezielle industrial-grade SD-Karten, aber für PfSense speziell im lastarmen Heimgebrauch tuts jede halbwegs brauchbare consumerkarte...

BenutzerGa4gooPh

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 28.11.2016 10:58:11

Hi r4pt0r!
r4pt0r hat geschrieben:PfSense ist bis auf wenige Daten vollständig 'immutable' - da ändert sich praktisch nix, ausser bei updates.
Aber nur, wenn man die Logs entsprechend einstellt (mludwigs AW) oder das spezielle Nano-Image für SD-Karten installiert. Das sollte entsprechend voreingestellt sein.
r4pt0r hat geschrieben:Wichtiger ist IMHO die schnelle Reproduzierbarkeit bei einem defekt - also ohne viel manuelles rumgefrickel nach defaultvorgaben auf die SSD(s) oder USB-Stick installieren und die config regelmäßig sichern.
Ich kann doch auch eine 1:1-Imagekopie des USB-Bootmediums machen - da brauche ich die Konfig nicht extra sichern? Kann aber nicht schaden, beides zu haben. :mrgreen:

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von r4pt0r » 28.11.2016 11:41:39

Jana66 hat geschrieben:
r4pt0r hat geschrieben:Wichtiger ist IMHO die schnelle Reproduzierbarkeit bei einem defekt - also ohne viel manuelles rumgefrickel nach defaultvorgaben auf die SSD(s) oder USB-Stick installieren und die config regelmäßig sichern.
Ich kann doch auch eine 1:1-Imagekopie des USB-Bootmediums machen - da brauche ich die Konfig nicht extra sichern? Kann aber nicht schaden, beides zu haben. :mrgreen:
Wenn du lieber ein xGB-großes backup rumliegen hast, das nach dem recovery ggf erst noch updates braucht anstatt nur die paar kb configs (oder paar MB mit logs)... Und Backups auf USB-Sticks sind sowieso wertlos - wenns benötigt wird ist der Stick entweder verloren oder defekt.
PfSense bietet extra die backupmöglichkeit an, um das bissel userdaten zu sichern, die das system "einzigartig" machen - damit lassen sich dann auch größere updates oder hardwarewechsel problemlos mit nem frischen image erledigen anstatt lange zu versuchen ne alte "installation" wiederzubeleben.

BenutzerGa4gooPh

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 28.11.2016 12:52:00

Eingesehen. :THX:
Aber das halte ich für ein Gerücht:
Und Backups auf USB-Sticks sind sowieso wertlos - wenns benötigt wird ist der Stick entweder verloren oder defekt.
Man hat sowieso mind 2 Backup-Generationen auf verschiedener HW (Sticks). :wink:

ren22

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von ren22 » 20.12.2016 13:40:21

Also ich weiß ja nicht was Du auf deiner Firewall machen möchtest , aber mein TIP: nimm die embedded Variante NANO BSD, in den Einstellungen /tmp und /var ins Ram auslagern(Hacken setzen), dann finden praktisch 0 Schreibzugriffe auf die SSD statt, Änderungen an Dateien bzw. geschrieben wird meist nur bei Updates/Ugrades oder Du installierst noch irgendwelche Pakete nach. oder bei einem Neustart wenn die Logs(rrd. usw..) gespeichert werden unter /cf/conf.

Und nie vergessen, es ist eine Firewall, kein Datei Server, weniger ist mehr !


https://www.freebsd.org/doc/de_DE.ISO88 ... ticle.html

BenutzerGa4gooPh

Re: PFSense auf SSD oder USB-Speicher-Stick?

Beitrag von BenutzerGa4gooPh » 20.12.2016 14:28:19

Hi, hi, derzeit arbeite ich testweise nur nur mit USB und nano-Image. SSD per BIOS deaktiv. Ohne Einschränkungen bei meiner Konfiguration. (PFBlockerNG funktioniert so auch, weiss aber nicht, ob ich das Paket lasse. Testphase.) Jedenfalls alles im RAM (4 GB), Logs sind weg, wenn ich reboote oder Stecker ziehe. Mann/Frau weiss nie, was kommt, aber zumindest Frau weiß, was zu tun. :mrgreen:

Auf der SSD kann auch eine andere Firewall-Distribution sein, wahlweise per BIOS bootbar. Finde ich für Tests sehr bequem.

Dateiserver auf Router/FW fällt unter die Rubrik "beidseitige Kriegsverbrechen". :mrgreen:

PFSense und OPNSense sind genial! OPNSense "beobachte" ich derzeit in einer VM. :THX:

Danke dir, ren22. Den speziellen FreeBSD-Flashmemory-Link kannte ich nicht, werde das Dokument sorgsam studieren. Danke! :THX:
(Ich will PFSense oder OPNSense ausschließlich als FW/Router nutzen, in 2017 zusätzlich mal squid und snort probieren, so Proxy hinter NAT überhaupt sinnvoll ist. Das ist mir noch nicht richtig klar, ich denke erst mal an Verhinderung von Browser-Fingerprints. Muss mich erst so nach und nach einlesen.)

Antworten