Beiträge von Grenzwert

Ganz selten packt Snort 150MBit/s für kurze Zeit, dann ist die CPU-Belastung des einen Kernes viel höher also sonst.
Snort ist grausam programmiert.

Alternativ ginge auch folgendes:

Kann ich Snort umgehen von einem ganz bestimmten PC (MACAdresse) aus zu einer ganz bestimmten DownloadWebseite? Snort soll aber auch bei diesem PC bei allen anderen Webadressen und Ports etc. funktionieren.

Und läßt sich SNORT für grün deaktivieren ?

Leider bremst SNORT meinen 150Mbit/s Zugang auf ursprünglich 110MBit runter.

Jetzt deaktivierte ich einige Snort-Regeln und der Durchsatz steigt - bin schon bei 135Mbit/s.

Ich möchte nur noch die wichtigsten Regeln aktiviert lassen. Dazu verstehe ich allerdings zu wenig von den Regeln als das ich mit Sicherheit die richtigen deaktiviere.
Ich betreibe keinerlei Webserver.

Welche Regeln kann ich gefahrlos deaktivieren und welche sind ein "must have" ?

Eben, sind ja nur 150MBit/s Internet.

Ist ja schon fast wieder langweilig.

Habe ich dauernd...

Jepp, 2 Zugänge sind hervorragend einzurichten.

Fail over, so das bei Ausfall der Hauptleitung (VDSL) es fast nahtlos mit der Backupleitung (DSL) weitergeht, funktioniert bestens.

Lediglich das Loadbalance geht so einfach nicht. Es gehen aber ähnliche Einstellungen wie z.B. einen bestimmten Zugang (VDSL/DSL) immer auf das selbe Endgerät (IP oder MAC gebunden) leiten.
Oder auch natürlich die Zuordnung nach Diensten, z.B. FTP über DSL und HTTP über VDSL.

Zitat von "ffischer"

ja das ist bekannt, tritt aber nur nach einem Update auf.

Bei mir auch nach Neuinstallation der 2.5.2

2.5.2 Fehler:

- Habe 2 Uploads. In der GUI läßt sich deren Status nicht mehr ändern. Aktiv/Nichtaktiv - Verwaltet. Dadurch kein Wechsel des Uploads mehr möglich. Abhilfe: 2.5.1 installieren.

- Nach Reboot ist das Internet für Clients über den transparenten Proxy weg. Proxy Aus- und Wiedereinschalten behebt das Problem bis zum nächsten Reboot.

- Wenn Snort nach etlichen Stunden oder Tagen ausgeschaltet wird (wegen Downloaderhöhung) stürzt die Endian ab. Kein Internet mehr, kein Zugriff auf die GUI. Abhilfe: reboot. Kommt bei der 2.5.1 zwar auch vor - aber seltener.

- Wenn ich mich richtig erinnere zickte der neue Antivirus bei 2.5.2 mächtig rum. Ich glaube das AV Update klappte nicht.

- Snort benutzt nur einen CPU-Kern - Fehler in Vorversion auch enthalten.

Also die 2.5.2 ist sehr problematisch, da sie voller Bugs steckt.

Und das ist noch nett ausgedrückt. Softwareterrorismus triffts besser. :nerv:
Schade um die vielen verlorenen Stunden die ich nach dem Update (und das bei zwei Produktivversionen!) auf 2.5.2 brauchte um wieder auf 2.5.1 rezuinstallieren.

Die 2.5.1 hat dagegen deutlich weniger Fehler. Wenn, dann würde ich max. bis zu dieser Version upgraden.

Habe mir erst kürzlich recht leistungsfähige Hardware zusammengebastelt.
Wegen dem Umstieg von 100Mbit auf 150MBit Internet.

Aber selbst ein schneller und übertakteter (K-Type) Haswell bringt nicht mehr als 110MBit.
Snort kommt so oder so nicht mit Mehrkernern zurecht.
Vorhergehende Installationen mit den bewährten 775 Sockeln waren für 50MBit allemale gut.
Mein Reserverouter ist nur ein Dualcore 775 2,6GHz@3,1GHz und schafft 75MBit.
Ein gleichgetakteter 4Kerner erhöhte den Durchsatz bei Snort nicht.
Lediglich beim AV im Proxybetrieb sah ich Last auf 4 Kernen verteilt, daher sollte es dort einige Millisekunden bringen.

Die Endian läuft auf Haswell (natürlich ohne mögliche Chipvorteile zu nutzen) und der Leistungsverbrauch ist sogar relativ niedrig.
So niedrig das bereits Standardnetzteile einen miesen Wirkungsgrad bekommen.
Man plane aber gleich PlanB für die Schnittstellen ein.
Es ist fraglich ob die Onboard (bei 1150gern) unterstützt wird. Habe da eine Intel drauf und die Endian übersieht sie behaarlich.
Daher am besten Board mit ausreichend PCI-Slots einplanen um als bekannt funktionierende Lan-Karten stecken zu können. (Intel/Realtek)
Plan C wäre PCIe- bei mir funktioniert damit sowohl eine billige TP-Link als auch eine Intel.

Soll also Strom gespart werden ist ein I3/5 Haswell eine gute Wahl. Z.B. mit 3-3,5Ghz ohne Übertaktung.
Dazu ein Netzteil das seinen 80+ Wirkungsgrad auch noch bei 25Watt einhält.

Je nach Leistungshunger der Festplatte (empfehle leistungsparend eine kleine 2,5`` Läptopplatte ansonsten eine 24/7 Profiplatte) sind im IDLE schon 35Watt machbar.

Den Ivy würde ich nur nehmen wenn ein vergleichbarer Haswell merklich teurer kommt, aber schlecht ist er natürlich keinesfalls.

Ist das die Hardware für die Endian ?

Wieviel Durchsatz ist denn jetzt und mittelfristig zu erwarten ?

Denn für 100MBit/s brauchste mit Snort schon ordentlich Pfeffer auf der Kiste. 150MBit/s gehen überhaupt nicht mehr.

Die 4GB sind OK, 3GB werden aber nur genutzt.

Ansonsten : Möglichst hoher CPU-Takt, Snort benutzt eh nur einen Kern. Lediglich AV und der Proxy nutzen auch 4 Kerne aus.

Daher ist so ein kleiner I3 oder I5 (Haswell) mit 3,3GHz ein guter Einstieg. Damit laufen max. 50-70MBit/s.

Hast du allerdings nur einen Minidurchsatz (Telefonmodem oder sowas) dann reicht auch ein schneller Atom aus. So bis max. 16MBit/s

Die Celerons laß lieber den armen Kindern aus Afrika zum spielen. :mrgreen:

Zitat von "ascer"

Bedauerlicherweise darf der Cache nicht all zu klein sein, da mehrere Zweigstellen Dateien untereinander austauschen die teilweise schon mal über 20 MB groß sein können..
Ich hab dafür 16GB RAM insgesamt vorgesehen (RAM kostet ja eh nicht viel) - reicht das?

Ich meinte auch nicht die Cachegröße. Die kannst du so wie von Sabine vorgeschlagen auf der Platte 5GB groß machen.
Im Arbeitsspeicher halt auf 2GB begrenzen.

Was ich meinte ist die maximale Dateigröße, die noch gecacht wird, zu begrenzen.
Größere Dateien laufen dann einfach ohne Cache Verbrauch durch.
Ich sehe da so um die 100MByte als vernünftige Grenze.

Und viel hilft nicht immer viel.
Sabine sagt es schon, die Endian basiert auf 32Bit Linux.
Damit stellt sich bei 4GB Bestückung je nach Mainboard so zwischen 3,2 und 3,7GB nutzbarers Ram ein.
Das reicht aber auch aus.

Du solltest aber 2 Stück 2GB Module nehmen wegen dem Dualmemoryzugriff des Boards. Kosten wirklich wenig.
Und wegen der CPU zeigte es sich das ein hoher Takt immer den Durchsatz hoch hält.
Ob 2 oder 4, 6 oder 8 Kerne den Durchsatz erhöhen ist ja wohl bei der Endian Glückssache aber gut möglich. Nur nicht immer.

Schließlich hatte ich im selben 775 Mainboard 2 Quadcore CPU`s getestet, der alte (65nm Q6600@3,1GHz 8MByte Cache) war langsamer als ein 2Core und der neuere Type (45nm Q9550 12MByte Cache) war deutlich schneller. Wohlgemerkt, immer mit ähnlich hohen Takt.

Eigentlich müßte dein I5 rennen wie ein Weltmeister. Nur am Takt läßt sich da später kaum was dran drehen, denn Ivy mag nur wenig übertakten wegen dem Wärmewiderstand vom Die zum Metallhead.
Da wäre Sandy reizvoller da ein grundsätzlich höherer Takt der Endian immer entgegenkommt weil sie eher konservativ (altmodisch) ausgelegt ist.
Außerdem kannst du später, wenn ihr mal mehr als 100MBit habt, den Takt des Sandy locker aufdrehen und somit den Durchsatz anpassen.
Die Sandy macht da unaufgeregt bis fast 5GHz mit.
Das wäre dann z.B. Intel Core i7-3820, 4x 3.60GHz mit verlockenden10MByte Cache !. Steckst halt noch die älteste popeligste PCI Grafikkarte aus der Ramschkiste dazu.

Aber wenns unbedingt Ivy sein muß kannst du dir auch mal den Intel Xeon E3-1275V2, 4x 3.50GHz 8MByte Cache ansehen.

Dein Wunschkandidat I5-3570 hat nur 6MByte Cache. Und den kleinen Aufpreis zum schnelleren Prozi haste ja schon an der unnötigen SSD und am Ram eingespart.

Zitat von "ascer"

Ich dachte da an eine Samsung SSD 840 Pro, die müsste dem doch standhalten, oder?

Auch diese hat nur MLC Speicher und bringt nicht die Sicherheit eines jahrelangen stabilen Betriebes.
Schon gar nicht bei der Supermaschine die du planst.

Hier reichen 2 ganz normale Festplatten aus, normal in dem Sinne das es natürlich Serverplatten 24/7 sein sollten. Enterprise.

Ich empfehle dir 2 Festplatten niedriger Drehzahl (Energie/Lebendsauer/Wärme) gleicher Größe aber von verschiedenen Herstellern im Endian Softwareraid zusammenzuschalten.

Sobald du die Software installierst, und vorher schon 2 Platten dran hast, schlägt die Endian automatisch vor einen Raid Verbund anzulegen. Brauchst nur noch ja sagen und den Rest macht die Endian alleine. Das bringt eine große Ausfallsicherheit denn wenn du eine defekte Festplatte abhängst spielt die Endian perfekt von der anderen wie vorher.

Als Platten reichen die kleinsten Kapazitäten locker aus.

Habs dir rausgesucht :
Von WD z.B.: diese hier: WD1003FBYX

und von Seagate ST1000NM0033

Bei 4GB Bestückung:
Das ganze kurzfristige Proxygecache wird im Arbeitsspeicher gehalten. Diesen kannst du auf 2GB Größe einstellen.
Dann stellst du auch die Dateigröße ein ab wann nicht mehr gecacht wird.
Wozu sich den Cache mit großen Brocken zumüllen? Damit Youtube schneller startet?
Somit bleiben der Endian noch ca. 1,5GB für sich was komfortabel ist.

Wegen der SSD ist es grundsätzich zu überlegen davon abzukommen.

Jetzt mal unabhägig davon ob der Trimm Befehl ausgeführt oder nicht.

Die Endian schreibt andauernd irgendetwas auf der Festplatte herrum. Selbst ohne LOGeinstellungen geht andauernd das Laufwerklämpchen an.(Proxycache etc.)
Ich sehe da Langzeitprobleme der normalen günstigen SSD`s mit MLC.

Hatte erst vor kurzen für einen Bekannten eine Endian zusammengefrickelt und zuerst eine neue SSD verwendet.
Aber regelmäßig alle drei Tage stürzte die Endian ab und blieb stehen.
Erst nach dem ich eine (aus akustischen Gründen) 2.5`` Laptopfestplatte einbaute hörten die Abstürze auf.

Klar, bei einer Miniendian ITX in einem lautlosen Board und Gehäuse mit Atom und mSata SSD ist das mit der SSD alternativlos.

Aber du denkst ja an ordentlich Durchsatz (>20MBit/s) mit fettem Prozessor.
Da stört doch das Säuseln einer 2,5Zoll Platte nicht weiter.

Ich hatte einen Intel Dualcore 2,6GHZ mit 2M Byte Cache übrig und tauscht in meinem Reserverouter die bisherige AMD Bremse mit diesem Prozessor aus.
Getaktet auf 3,1GHz ergab sich folgendes :
[Blockierte Grafik: http://home.arcor.de/magsch/dualcore%203ghz1%20fakesnort%20100MBit.jpg]
Tja, sah erst gut aus - 100MBit/s download super - aber zu gut.
Wie man sieht hat die CPU nichts zu tun. Snort zickt wieder rum - zeigt EIN an ist aber AUS.

Als noch mal von Endian EIN auf echtes EIN gewechselt und die Enttäuschung kam auf als SNORT wirklich lief :
[Blockierte Grafik: http://home.arcor.de/magsch/dualcore%203ghz1%20echtessnort%20keine%20100MBit%20mehr.jpg]
Mein Hauptrouter schaffte mit einem Dualcore mit 2,6GHz @ 3,4GHz die 100MBit mit Snort recht gut mit Reserve.
Jetzt mit gleichem Prozessor aber in einem anderen Board mit 3,1GHz schafft er nur noch rund 80MBit.
Krass ist die ständige Unterbeschäftigung der CPU2. Falsche Anzeige oder falsche Ausnutzung der Kerne?
Beides sind üble Fehler.

Dann wertete ich meinen Hauptrouter mit einem Q9550 Quadcore 2,83GHz mit 12MByte Cache auf. Übertakten geht in dem Board damit leider nicht (mehr).
[Blockierte Grafik: http://home.arcor.de/magsch/quadcore%202ghz8%20100Mbit.jpg]
Sieht das nicht lecker aus?
100MBit download mit links, perfekte Verteilung auf alle 4 Kerne.
Da ich mittelfristig an meinem Anschluß mit 150MBit/s rechne wird das ja wohl spielend erreicht werden.
Die langfristigen 400MBit wohl eher nicht, aber das dauert ja noch bis sich die Kabelanbieter das trauen.

Als Erkenntnis sehe ich darin das es reine Glückssache ist ob die Endiansoftware auf der eingesetzten Hardware gut mitspielt oder eben nur bescheiden.
Hier sind Leistungsunterschiede von locker über 50% Realität, trotz gleicher CPU und RAM.
Vermutlich ist auch ein Chipsatz von Intel immer einem von VIA vorzuziehen.

Vielen herzlichen Dank, genau so hat es funktioniert.
Sogar mal auf Anhieb.

Es reichte den betroffenen PC als "Proxyserver umgehen" einzutragen.
Danach leitete ich, genau wie von dir beschrieben, unter "Richtlinenbasiertes Routing" einfach alle Ports auf DSL weiter und Bingo.

So schnell kanns gehen, wenn man weiß wie.

Habe ich rauf und runter probiert, durch die Bank erfolglos.

Vermutlich sind die Systemregeln, die ja automatisch Internet verteilen, zu erst dran.

So nützt es nichts wenn ich zweitrangig eine Zuordnung auf DSL mache wo vorher ja schon die Zuordnung aufs Kabelmodem automatisch erfolgte.

Ich kenne mich damit aber auch nicht aus. Weiß nicht genau welches Menue in der Firewall nun das richtige ist.
Ich weiß nicht mal wie das logisch ablaufen müßte, so in etwa Internet für den SpezialPC sperren um ihn später in der Regel wieder zu erlauben ?

Ausgangslage:
Rot 1 : Kabelmodem 100MBit/s
Rot 2 : DSL-Router 6MBit/s

Standardkonfiguration für alle PC`s und andere: Gesurft wird über Rot 1 und nur bei Ausfall von Rot 1 geht es automatisch auf Rot 2.

Das läuft zuverlässig und richtig gut. Da Rot 1 praktisch nie ausfällt wird also immer übers Kabelmodem gesurft.

Jetzt wünsche ich mir aber bei einem einzigen, ganz bestimmten PC (per IP oder MAC bestimmt) das dieser ausschließlich über Rot 2 surfen darf.
Alle anderen PC`s surfen weiter wie gewohnt über Rot 1 und gleichzeitig surft dieser Spezial PC immer nur über Rot 2.

Das Failover soll weiterhin funktionieren, bei dem SpezialPC`s ist es natürlich wurscht.

Ist diese feste "Rotzuordnung" überhaupt möglich ?
Und wenn ja: wie?

Mit tray and error kam ich nicht zum Erfolg.

Jepp, das funktioniert ganz gut.

Oder du läßt DHCP im Router eingeschaltet und läßt die rote Endian Schnittstelle selber eine IP via DHCP beziehen.

Klappt alles wunderbar. Läuft bei mir auch so. Man kommt zur Konfiguration sogar durch die Endian auf den vorgeschalteten Router drauf...

Dann kann ich nur hoffen das diese aufwendige Prozedure noch ins GUI aufgenommen wird.

Die Endian schreibt unter "Geladene Module" : IPv6

Wozu wird das Modul geladen ?

Mein Anschluß wurde noch nicht auf IPv6 umgestellt. Teredo liefert nur eine Übersetzung von IPv6 auf v4.
Allerdings ist mir schleiherhaft wo Teredo herkommt. Ich vermute die Endian macht da etwas nach Stunden des Betriebes von alleine.

Ich erwarte allerdings eine Umstellung auf v6 im Januar.
Bedeutet das praktisch das dafür die Endian nicht zu gebrauchen ist ?