ipFire/opensense Skalierung

Lebowski · 5. September 2020 um 06:55

Hallo,

Für wie viel Benutzer ist eigentlich die virtualisierte Firewall von lm ausgelegt. Oder reicht es, einfach cpu/kerne und Arbeitsspeicher bei Bedarf zu erhöhen?
Gibt es eine „Formel“ zur Berechnung, wie viel Traffic/Nutzer/VPN-Tunnel möglich sind.

Benutzt jemand statt der virtualisierten FW eine fertige Lösung wie z. B. die von scope7?

Vielen Dank,

Michael · 5. September 2020 um 07:55

Hallo. Wir sind zurück von einer virtualisierten FW auf eine bare metal Installation gegangen. Man muss da ein paar Dinge gegeneinander abwägen, wie zB das schlechtere Backup der kompletten Maschine. Aber die FW läuft immerhin weiter und ist per VPN/Wireguard erreichbar, wenn der Server steht… Trotzdem ist die FW natürlich auf diesem Weg ein Single Point of Failure, was natürlich immer irgendwie schlecht ist.
Die scope7 hatte ich zunächst auch im Visier, aber dann haben wir erstmal einen Rechner verwendet, der im Prinzip das gleiche Innenleben besitzt und jetzt seit Monaten völlig klaglos seinen Dienst tut.
Bei der CPU musst du darauf achten, dass die AES-NI kann…
In Sachen Skalierung wäre ich an den Antworten zu deinen Fragen aber auch sehr interessiert.
Wireguard kann ich jedenfalls im Vergleich zu OpenVPN nochmal empfehlen… das ist wesentlich schneller und läuft auf der OPNSense sehr gut…
hth
Michael

Ergänzung:

baumhof · 5. September 2020 um 09:50

Hallo,

Für wie viel Benutzer ist eigentlich die virtualisierte Firewall von lm
ausgelegt. Oder reicht es, einfach cpu/kerne und Arbeitsspeicher bei
Bedarf zu erhöhen?

meine OPNsense läuft seit einem Jahr für 1600 Benutzer und ca. 280 Rechner.
WLAN wird durch Kollegen viel genutzt: in der Coronazeit waren auch die
Oberstufen der beiden Schulen für das WLAN Freigeschaltet.
Engpässe gab es nicht.
openVPN wird bei uns nicht verwendet.

Die OPNsense läuft auf dem gleichen Host wie alle anderen virtuellen
Maschinen auch (Server, nextcloud, moodle, unifi) Damals liefen auch
noch zwei alte Server mit (lmn6 und IPFire).

Resourcen waren zugeteilt:
6GB RAM
4 CPU Kerne

Gibt es eine „Formel“ zur Berechnung, wie viel Traffic/Nutzer/VPN-Tunnel
möglich sind.

kenne ich nicht, bezweifle aber auch, dass das so Aussagekräftig sein wird.
Wahrscheinlich gibt es solche Formeln von Firmen die Hardwareappliances
verkaufen. Da sieht die Formel dann in etwa so aus:
bis 5 Nutzer → virtualisiert
ab 5 Nutzern → Hardwareappliance

LG

Holger

Michael · 5. September 2020 um 15:52

Übrigens: wer auf Nummer sicher gehen will:

https://www.thomas-krenn.com/de/wiki/OPNsense_HA_Cluster_einrichten

Lebowski · 6. September 2020 um 13:50

Danke für die Antworten. Das Cluster hört sich sehr interessant an.