PFSense auf SSD oder USB-Speicher-Stick?
PFSense auf SSD oder USB-Speicher-Stick?
Guten Abend!
Habe auf einem dedizierten Mini-PC mit einem glücklicherweise sehr ausführlichem UEFI-AMI-BIOS PFSense 2.3.2 (FreeBSD 10.3) auf 60 GB SSD installiert. Laueft prima - aber 2 Luxusprobleme:
1. Das derzeitige PFSense lässt sich nur im UEFI-Legacy/CSM-Modus mit MBR installieren. Der Installer schreibt als Erstes die Partitionstabelle neu, Vorpartitionierung geht also nicht. Gut, auf SSD-4k-Alignment kann ich verzichten, ist die SSD eben etwas langsamer, Haltbarkeit wohl nicht betroffen?
2. TRIM lässt sich aktuell nur fuer die root-Partition (UFS-Format) einstellen (tunefs -t enable /dev/ufsid/<ID_root>). Der Installer legt automatisch eine Swap-Partition mit 2 x RAM (2 x 4 GB) an. Ein Trick wäre nun, die Swap Partition zu löschen und ein Swap-File zu nutzen: https://www.freebsd.org/doc/de_DE.ISO88 ... space.html
Wird fuer FreeBSD auf SSD empfohlen: http://www.wonkity.com/~wblock/docs/html/ssd.html
Die ehem. Swap-Partition würde dann eben nicht zugewiesener Speicher oder ich versuche mich mal an Resizing.
Aufgrund der 2 Problemchen überlege ich nun, entweder PFSense auf SSD mit Swap-File und 8 GB nicht zugewiesenem Speicher bei 60 GB SSD oder nur auf einem USB-Speicher-Stick (dafür gibt es spezielle PFSense-ISO) zu installieren. SSD wuerde ich per BIOS abschalten oder abklemmen. Zumindest zeitweise, weil die nächste Version UEFI/GPT tun soll. TRIM für Swap? K. A. Würde allerdings gern mal noch squid und snort probieren, obwohl ich es für privat sicher nicht brauche, hätte also Zeit bis zur nächsten Version. Wie beurteilt ihr die angedachten Massnahmen?
LG Jana
Habe auf einem dedizierten Mini-PC mit einem glücklicherweise sehr ausführlichem UEFI-AMI-BIOS PFSense 2.3.2 (FreeBSD 10.3) auf 60 GB SSD installiert. Laueft prima - aber 2 Luxusprobleme:
1. Das derzeitige PFSense lässt sich nur im UEFI-Legacy/CSM-Modus mit MBR installieren. Der Installer schreibt als Erstes die Partitionstabelle neu, Vorpartitionierung geht also nicht. Gut, auf SSD-4k-Alignment kann ich verzichten, ist die SSD eben etwas langsamer, Haltbarkeit wohl nicht betroffen?
2. TRIM lässt sich aktuell nur fuer die root-Partition (UFS-Format) einstellen (tunefs -t enable /dev/ufsid/<ID_root>). Der Installer legt automatisch eine Swap-Partition mit 2 x RAM (2 x 4 GB) an. Ein Trick wäre nun, die Swap Partition zu löschen und ein Swap-File zu nutzen: https://www.freebsd.org/doc/de_DE.ISO88 ... space.html
Wird fuer FreeBSD auf SSD empfohlen: http://www.wonkity.com/~wblock/docs/html/ssd.html
Die ehem. Swap-Partition würde dann eben nicht zugewiesener Speicher oder ich versuche mich mal an Resizing.
Aufgrund der 2 Problemchen überlege ich nun, entweder PFSense auf SSD mit Swap-File und 8 GB nicht zugewiesenem Speicher bei 60 GB SSD oder nur auf einem USB-Speicher-Stick (dafür gibt es spezielle PFSense-ISO) zu installieren. SSD wuerde ich per BIOS abschalten oder abklemmen. Zumindest zeitweise, weil die nächste Version UEFI/GPT tun soll. TRIM für Swap? K. A. Würde allerdings gern mal noch squid und snort probieren, obwohl ich es für privat sicher nicht brauche, hätte also Zeit bis zur nächsten Version. Wie beurteilt ihr die angedachten Massnahmen?
LG Jana
Re: PFSense auf SSD oder USB-Speicher-Stick?
Falls die Haltbarkeit bedenken auslöst: Ich habe bei PFSense mit genügend Arbeitsspeicher alles ins RAM verfrachtet. Das war ursprünglich für Installationen auf CF-Cards gedacht, gilt aber auch für SSD.
Unter System, Advanced, Misc. gibt es weiter unten den Punkt "RAM Disk Settings (Reboot to Apply Changes)".
Häkchen setzen, Größen vorgeben und noch Intervalle für RRD-Backup (und DHCP). Schon wird kaum noch geschrieben, so dass fehlendes TRIM nicht mehr so ins Gewicht fällt. Nur bei plötzlichen Stromausfall fehlen eventuell die letzten Einträge bei RRD.
Swap wurde noch auf keiner PFSense von mir wirklich verwendet, aber ich verwende auch kaum Zusatzpakete wie einen Proxy, die dann RAM-hungrig werden können und auch sonst fleissig auf die Platte schreiben.
mludwig
Unter System, Advanced, Misc. gibt es weiter unten den Punkt "RAM Disk Settings (Reboot to Apply Changes)".
Häkchen setzen, Größen vorgeben und noch Intervalle für RRD-Backup (und DHCP). Schon wird kaum noch geschrieben, so dass fehlendes TRIM nicht mehr so ins Gewicht fällt. Nur bei plötzlichen Stromausfall fehlen eventuell die letzten Einträge bei RRD.
Swap wurde noch auf keiner PFSense von mir wirklich verwendet, aber ich verwende auch kaum Zusatzpakete wie einen Proxy, die dann RAM-hungrig werden können und auch sonst fleissig auf die Platte schreiben.
mludwig
Re: PFSense auf SSD oder USB-Speicher-Stick?
Danke für die Antwort. Wenn ich die Verzeichnisse /tmp und /var in RAM-Disks verfrachte, ist die Swap-Wahrscheinlichkeit wegen entsprechend verringertem Arbeitsspeicher für andere Zwecke doch groesser?! Und auf /root kann ich problemlos Trim einschalten, auf Swap-Partition nicht. Sehe ich bis jetzt nicht als gute Idee ...
Zuletzt geändert von BenutzerGa4gooPh am 26.11.2016 21:36:51, insgesamt 1-mal geändert.
Re: PFSense auf SSD oder USB-Speicher-Stick?
Die Idee ist eher so: in /tmp und /var liegen die Dinge, die besonders häufig neu geschrieben werden. Mit der Option als Ram-Disk werden die Verzeichnisse nur noch in von dir festgelegten Intervallen geschrieben. Bei 4 GB RAM wird eine PFSense kaum swappen, es sei denn man hat besonders RAM-intensive Plugins aktiviert. Auch wenn man je 200 MB für /var und /tmp nimmt, ändert das daran meiner Erfahrung nach nichts. Somit wird insgesamt die Festplatte / SSD kaum noch genutzt und sollte ewig halten.
mludwig
mludwig
Re: PFSense auf SSD oder USB-Speicher-Stick?
Ah kapiert, kleine RAM-Disks, so wird fast gar nicht mehr auf SSD geschrieben und wenn, dann nur Swap. Und Letzteres ist viel, viel unwahrscheinlicher als das normale Logging. Jedenfalls ohne Proxy. Danke!
Zuletzt geändert von BenutzerGa4gooPh am 26.11.2016 21:42:34, insgesamt 1-mal geändert.
Re: PFSense auf SSD oder USB-Speicher-Stick?
Bei mir läuft auf meinem Router ein Debian auf einer 10 Jahre alten 8GB CF-Karte, die mit einem IDE-Adapter am IDE-Anschluß des Mainboards hängt. Da laufen squid, Firewall mit intensivem Logging, exim und weitere mehr oder weniger schreibintensive Dienste drüber, allerdings habe ich kein Swap eingerichtet. Bezüglich der Haltbarkeit von Flashspeichern würde ich also Entwarnung geben.mludwig hat geschrieben:Falls die Haltbarkeit bedenken auslöst:
Re: PFSense auf SSD oder USB-Speicher-Stick?
Na ja, mir ging es um SSD-Haltbarkeit ohne TRIM und Alignment oder Speicherstick.
(Jedenfalls auf extra Swap-Partition geht Trim nicht, auf Swap-File schon.)
Interessant ist, dass PFSense eigene Büchsen mit Flash (und SSD) anbietet, also keine Probleme mit SSD-Alignment und fehlendem Trim: https://pfsense.org/products/ So kam ich ins Grübeln, ob ich nicht alle Probleme mit USB-Memstick umgehe. Komplett-Backup wäre wohl auch mehr als easy.
Mit mludwigs Idee und deiner Entwarnung habe ich jetzt noch eine dritte Möglichkeit. Werde wohl morgen würfeln.
(Jedenfalls auf extra Swap-Partition geht Trim nicht, auf Swap-File schon.)
Interessant ist, dass PFSense eigene Büchsen mit Flash (und SSD) anbietet, also keine Probleme mit SSD-Alignment und fehlendem Trim: https://pfsense.org/products/ So kam ich ins Grübeln, ob ich nicht alle Probleme mit USB-Memstick umgehe. Komplett-Backup wäre wohl auch mehr als easy.
Mit mludwigs Idee und deiner Entwarnung habe ich jetzt noch eine dritte Möglichkeit. Werde wohl morgen würfeln.
Zuletzt geändert von BenutzerGa4gooPh am 26.11.2016 21:56:54, insgesamt 1-mal geändert.
Re: PFSense auf SSD oder USB-Speicher-Stick?
Trim gibt es bei der CF-Karte gar nicht. CF-Karten sind technisch gesehen IDE-Festplatten mit Flashspeicher statt rotierenden Scheiben. Daher kann man sie ja auch recht einfach an einem IDE-Anschluß betrieben.Jana66 hat geschrieben:Na ja, mir ging es um SSD-Haltbarkeit ohne TRIM.
Trim kam erst mit SATA-Platten bzw. SATA-SSDs.
Meine CF-Karte ist also seit 8 Jahren ohne Trim in Betrieb, bisher ohne Ausfallerscheinungen.
Re: PFSense auf SSD oder USB-Speicher-Stick?
Ich hatte schon eine PFSense, die auf einer SD-Card installiert war und bei der diese Karte nach 1.5 Jahren defekt war. Anekdoten sind keine Statistik ...
Re: PFSense auf SSD oder USB-Speicher-Stick?
Ich weiss, deshalb hatte ich Installation auf USB-Memstick als "Wuergdrumrum" für Trim und SSD-4k-Alignment in Erwägung gezogen.MSfree hat geschrieben:Trim gibt es bei der CF-Karte gar nicht. CF-Karten sind technisch gesehen IDE-Festplatten mit Flashspeicher statt rotierenden Scheiben.
@mludwig:
Hattest du damit irgendwelche funktionellen Besonderheiten/Nachteile gegenüber SSD-Installation?Ich hatte schon eine PFSense, die auf einer SD-Card installiert war ...
Gibt ja spezielles, voreingestelltes PFSense-Image dafür. (Und nein, ich bin nicht zu faul zum selber Probieren, ist aber unser Internet-Gateway, gibt Mecker, wenn der zu oft ausfällt.)
Danke Euch und einen schönen Advent allen Schreibern und allen Lesern!
Re: PFSense auf SSD oder USB-Speicher-Stick?
Eine SD-Card ist vermutlich eher langsamer und anfälliger als eine SSD, die meist etwas größer ist und daher ihre Schreibzugriffe per Wear-Leveling gleichmäßiger verteilen kann. Aber die SD-Card ist einfach in der Handhabung: beim erstellen gleichmal ein Image oder noch besser auf eine 2. Karte geklont, und bei Defekt wechselt man einfach die SD-Card aus. Geht mit einer SSD im Prinzip auch, aber davon habe ich üblicherweise nichts rumliegen. SD-Cards liegen immer (wie USB-Sticks auch) im Schreibtisch rum ...
Re: PFSense auf SSD oder USB-Speicher-Stick?
Den Aufwand würde ich mir komplett sparen. PfSense ist bis auf wenige Daten vollständig 'immutable' - da ändert sich praktisch nix, ausser bei updates. Kleine SSDs und USB-Sticks bekommt man dreckbillig hinterhergeworfen, schnell muss das für PfSense nicht sein - das System startet einmal und läuft dann i.d.r. wochenlang durch.
Wichtiger ist IMHO die schnelle Reproduzierbarkeit bei einem defekt - also ohne viel manuelles rumgefrickel nach defaultvorgaben auf die SSD(s) oder USB-Stick installieren und die config regelmäßig sichern.
Mein PfSense lief von 2 SSDs - weil die dreckbillig irgendwann mal mitbestellt wurden und seitdem unbenutzt rumlagen... Ansonsten hätte ich wohl einfach nen USB-Stick verwendet.
Zum thema SD-Karten: das ist praktisch der selbe flashspeicher wie z.b. in USB-Sticks. Problem sind nur die grottigen reader die in den meisten Fertig-PCs stecken die den anschein erwecken dass SD langsamer wäre. Viele appliances oder z.B. auch VMware vsphere wird i.d.r. von SD-Karten gebootet. Viele Server haben hierfür auch extra einen internen SD-Slot, meistens gepaart mit dem internen USB/-DOM-Port. Es gibt spezielle industrial-grade SD-Karten, aber für PfSense speziell im lastarmen Heimgebrauch tuts jede halbwegs brauchbare consumerkarte...
Wichtiger ist IMHO die schnelle Reproduzierbarkeit bei einem defekt - also ohne viel manuelles rumgefrickel nach defaultvorgaben auf die SSD(s) oder USB-Stick installieren und die config regelmäßig sichern.
Mein PfSense lief von 2 SSDs - weil die dreckbillig irgendwann mal mitbestellt wurden und seitdem unbenutzt rumlagen... Ansonsten hätte ich wohl einfach nen USB-Stick verwendet.
Zum thema SD-Karten: das ist praktisch der selbe flashspeicher wie z.b. in USB-Sticks. Problem sind nur die grottigen reader die in den meisten Fertig-PCs stecken die den anschein erwecken dass SD langsamer wäre. Viele appliances oder z.B. auch VMware vsphere wird i.d.r. von SD-Karten gebootet. Viele Server haben hierfür auch extra einen internen SD-Slot, meistens gepaart mit dem internen USB/-DOM-Port. Es gibt spezielle industrial-grade SD-Karten, aber für PfSense speziell im lastarmen Heimgebrauch tuts jede halbwegs brauchbare consumerkarte...
Re: PFSense auf SSD oder USB-Speicher-Stick?
Hi r4pt0r!
Aber nur, wenn man die Logs entsprechend einstellt (mludwigs AW) oder das spezielle Nano-Image für SD-Karten installiert. Das sollte entsprechend voreingestellt sein.r4pt0r hat geschrieben:PfSense ist bis auf wenige Daten vollständig 'immutable' - da ändert sich praktisch nix, ausser bei updates.
Ich kann doch auch eine 1:1-Imagekopie des USB-Bootmediums machen - da brauche ich die Konfig nicht extra sichern? Kann aber nicht schaden, beides zu haben.r4pt0r hat geschrieben:Wichtiger ist IMHO die schnelle Reproduzierbarkeit bei einem defekt - also ohne viel manuelles rumgefrickel nach defaultvorgaben auf die SSD(s) oder USB-Stick installieren und die config regelmäßig sichern.
Re: PFSense auf SSD oder USB-Speicher-Stick?
Wenn du lieber ein xGB-großes backup rumliegen hast, das nach dem recovery ggf erst noch updates braucht anstatt nur die paar kb configs (oder paar MB mit logs)... Und Backups auf USB-Sticks sind sowieso wertlos - wenns benötigt wird ist der Stick entweder verloren oder defekt.Jana66 hat geschrieben:Ich kann doch auch eine 1:1-Imagekopie des USB-Bootmediums machen - da brauche ich die Konfig nicht extra sichern? Kann aber nicht schaden, beides zu haben.r4pt0r hat geschrieben:Wichtiger ist IMHO die schnelle Reproduzierbarkeit bei einem defekt - also ohne viel manuelles rumgefrickel nach defaultvorgaben auf die SSD(s) oder USB-Stick installieren und die config regelmäßig sichern.
PfSense bietet extra die backupmöglichkeit an, um das bissel userdaten zu sichern, die das system "einzigartig" machen - damit lassen sich dann auch größere updates oder hardwarewechsel problemlos mit nem frischen image erledigen anstatt lange zu versuchen ne alte "installation" wiederzubeleben.
Re: PFSense auf SSD oder USB-Speicher-Stick?
Eingesehen.
Aber das halte ich für ein Gerücht:
Aber das halte ich für ein Gerücht:
Man hat sowieso mind 2 Backup-Generationen auf verschiedener HW (Sticks).Und Backups auf USB-Sticks sind sowieso wertlos - wenns benötigt wird ist der Stick entweder verloren oder defekt.
Re: PFSense auf SSD oder USB-Speicher-Stick?
Also ich weiß ja nicht was Du auf deiner Firewall machen möchtest , aber mein TIP: nimm die embedded Variante NANO BSD, in den Einstellungen /tmp und /var ins Ram auslagern(Hacken setzen), dann finden praktisch 0 Schreibzugriffe auf die SSD statt, Änderungen an Dateien bzw. geschrieben wird meist nur bei Updates/Ugrades oder Du installierst noch irgendwelche Pakete nach. oder bei einem Neustart wenn die Logs(rrd. usw..) gespeichert werden unter /cf/conf.
Und nie vergessen, es ist eine Firewall, kein Datei Server, weniger ist mehr !
https://www.freebsd.org/doc/de_DE.ISO88 ... ticle.html
Und nie vergessen, es ist eine Firewall, kein Datei Server, weniger ist mehr !
https://www.freebsd.org/doc/de_DE.ISO88 ... ticle.html
Re: PFSense auf SSD oder USB-Speicher-Stick?
Hi, hi, derzeit arbeite ich testweise nur nur mit USB und nano-Image. SSD per BIOS deaktiv. Ohne Einschränkungen bei meiner Konfiguration. (PFBlockerNG funktioniert so auch, weiss aber nicht, ob ich das Paket lasse. Testphase.) Jedenfalls alles im RAM (4 GB), Logs sind weg, wenn ich reboote oder Stecker ziehe. Mann/Frau weiss nie, was kommt, aber zumindest Frau weiß, was zu tun.
Auf der SSD kann auch eine andere Firewall-Distribution sein, wahlweise per BIOS bootbar. Finde ich für Tests sehr bequem.
Dateiserver auf Router/FW fällt unter die Rubrik "beidseitige Kriegsverbrechen".
PFSense und OPNSense sind genial! OPNSense "beobachte" ich derzeit in einer VM.
Danke dir, ren22. Den speziellen FreeBSD-Flashmemory-Link kannte ich nicht, werde das Dokument sorgsam studieren. Danke!
(Ich will PFSense oder OPNSense ausschließlich als FW/Router nutzen, in 2017 zusätzlich mal squid und snort probieren, so Proxy hinter NAT überhaupt sinnvoll ist. Das ist mir noch nicht richtig klar, ich denke erst mal an Verhinderung von Browser-Fingerprints. Muss mich erst so nach und nach einlesen.)
Auf der SSD kann auch eine andere Firewall-Distribution sein, wahlweise per BIOS bootbar. Finde ich für Tests sehr bequem.
Dateiserver auf Router/FW fällt unter die Rubrik "beidseitige Kriegsverbrechen".
PFSense und OPNSense sind genial! OPNSense "beobachte" ich derzeit in einer VM.
Danke dir, ren22. Den speziellen FreeBSD-Flashmemory-Link kannte ich nicht, werde das Dokument sorgsam studieren. Danke!
(Ich will PFSense oder OPNSense ausschließlich als FW/Router nutzen, in 2017 zusätzlich mal squid und snort probieren, so Proxy hinter NAT überhaupt sinnvoll ist. Das ist mir noch nicht richtig klar, ich denke erst mal an Verhinderung von Browser-Fingerprints. Muss mich erst so nach und nach einlesen.)