Ehrmann's Tech Blog

Test der OPNsense DEC2752 Appliance

OPNsense Logo

Nachdem ich mich nun länger mit keinem neuen Beitrag mehr gemeldet habe, da ich die letzten Monate sehr eingespannt war, nutze ich die Feiertage für einen kurzen Testbericht zur OPNsense DEC2752.

Es handelt sich dabei um eine 19″-Rack-Firewall mit vorinstalliertem OPNsense, 2 Stück 10Gb-SFP+-Ports sowie 3 Stück 2.5Gb RJ45-Ports.

Diese ersetzt meine bisher – ebenfalls in Betrieb befindliche PCengines APU4, welche leistungsmässig leider immer mehr am Limit lief – was infolge des etwas in die Jahre gekommenen Prozessors und der bekannten CPU-Last bei PPPoE-Internetzugängen auch nicht verwunderlich ist.

Da bei mir in Kürze eine Erschliessung mit Glasfaser – und somit auch mit einem 10Gbit-Internetzugang ansteht, war für mich klar, dass der Ersatz meiner APU4 auf jeden Fall 10Gb-fähig sein muss, um hier möglichst zukunftssicher zu sein.

Weitere Auswahlkriterien waren für mich:

  1. Lautstärke: Die Appliance wird in meinem Arbeitszimmer im 19″-Rack betrieben – das Betriebsgeräusch soll daher möglichst gering sein
  2. Energieverbrauch: Der Energieverbrauch soll möglichst gering ausfallen
  3. 19″-Einbau: Erwünscht aber nicht zwingend notwendig
  4. Arbeitsspeicher: Genügend RAM für die Verwendung von Plugins in OPNsense
  5. CPU-Takt: Ein möglichst hoher CPU-Takt, da PPPoE unter BSD nur auf einem CPU-Kern läuft – die APU war hier mit max. 1.4GHz einfach der limitierende Faktor

Ursprünglich hatte ich das Modell DEC2750 ausgesucht, kurz vor dem Kauf wurde diese jedoch abgelöst und mit einem neuen Design, neuer Luftführung & Kühlung, Netzteil und einem neuen Mainboard neu aufgelegt. Ebenso werden die RJ45-Ports nun mit 2.5GbE-Ports anstatt bisher 1GbE ausgestattet. Der Preis ist hier mit knapp unter 1’000€ zwischen der DEC2750 sowie der DEC2752 identisch geblieben.

Die Lautstärke wurde in diversen Berichten des Vorgängermodells als angenehm und leise beschrieben, die Angabe des Herstellers, dass Luftströmung und Kühlung nochmals optimiert wurden, liess positives erwarten. Gemäss Datenblatt des Herstellers (Link) wird die Leistungsaufnahme mit typischen 15W angegeben – durchaus wenig für ein Gerät mit 2 x 10Gb SFP+-Ports. Der Wunsch für den 19″-Einbau wurde damit ebenfalls erfüllt, 8GB DDR4-Ram scheinen ebenfalls gut dimensioniert. Der CPU-Takt mit 2.2GHz sowie 4 Kernen und 8 Threads bei aktiviertem SMT passen für mich ebenso.

Somit war die Entscheidung eindeutig, hier direkt das Nachfolgemodell zu ordern.

Die Bestellung habe ich direkt bei Deciso im Webshop platziert, der Versand ist umgehend nach Zahlungseingang erfolgt. Nach 3 Tagen war das Gerät bereits aus den Niederlanden per FedEx bei mir in der Schweiz.

Die Verpackung war äusserst Kompakt, ziemlich genau auf die Firewall zugeschnitten – davon können sich diverse andere Versender sicherlich eine Scheibe abschneiden.

Im Lieferumfang enthalten ist:

  • Die Firewall selbst
  • Ein Netzkabel (mit Schukostecker – war aber zu erwarten – zum austauschen hatte ich zum Glück noch eigene)
  • Eine Schnellstartanleitung
  • ein Kabel USB-Seriell für den Konsolenzugriff

Den Lizenzcode für das 1-jährige inkludierte OPNsense Business Abo sowie die Download-Links für zusätzliche Software, Tutorials und Handbücher hatte ich vorab bereits per E-Mail erhalten.

Der Umzug von der alten APU zur DEC ging mittels des Konfigurationsexports und -imports äusserst einfach. Ich habe hierzu einfach die alte Konfiguration exportiert, die Interfaces entsprechend umbenannt – also den LAN-Port von igb0 nach ax0 sowie den WAN-Port von igb1 nach ax1. Ebenso meine Management-Ports von igb2 / igb3 nach igc0 und igc1. Dies lässt sich bequem mittels Suchen & Ersetzen im Editor eurer Wahl – z.B. Notepad++ erledigen.

Danach konnte ich die Zuweisung der Interfaces bestätigen, die OPNsense neustarten – nach etwa 2 Minuten war diese dann mit der migrierten Konfiguration bereits wieder Online. Dann kam allerdings die Überraschung – die LAN-Verbindung sowie das Routing funktionierten auf Anhieb problemlos.

Die erste Überraschung

Lediglich die Internetverbindung kam partout nicht zustande bzw. wurde den Logfiles nach jeweils nach 1-2 Sekunden wieder verworfen. Nach einigem Suchen hin und her sowie einem Telefonat mit meinem Internetprovider hat dann eine einfache Neueingabe des PPPoE-Kennworts und erneutes Abspeichern die Verbindung auf Anhieb zum laufen gebracht.

Danach liessen sich anstehende Updates, die Installation aller noch fehlenden Plugins sowie die Aktivierung der OPNsense-Business-Lizenz problemlos durchführen.

Ein paar erste Speedtests sowie Zugriff auf Websites über den Reverse-Proxy haben direkt gezeigt, dass hier nun alles wesentlich flüssiger und vor allem mit wesentlich weniger CPU-Last läuft. Am Limit ist hier erstmal noch nichts – der spannende Test kommt natürlich erst, wenn auch das Internet mit 10Gbit im Frühjahr 2024 bereitsteht.

Die 2. Überraschung

Nach ein paar Stunden habe ich mich dann nochmals in Ruhe auf der Weboberfläche umgesehen und festgestellt, dass die CPU zwar mit 4 Kernen – allerdings auch nur mit 4 Threads angezeigt wird:

Eine kurze Recherche im Forum von OPNsense im folgenden Beitrag: Link haben dann schnell gezeigt, dass ich nicht der erste bin, welchem dies aufgefallen ist. Die Lösung dazu ist ebenfalls direkt im Beitrag vermerkt, da der Beitragsersteller hier bereits Kontakt mit Deciso zu diesem Verhalten hatte.

Die Lösung lautet hierbei, dass SMT / Hyperthreading aufgrund leicht negativer Effekte werkseitig ausgeschaltet sei. Aktiviert werden kann dies, indem eine Verbindung mittels dem Seriellen-USB-Adapter zur Console der Firewall hergestellt wird und hier mittels Tastendruck auf „Escape“ während dem Bootvorgang ins Bios gewechselt und SMT dort aktiviert wird. Die Anleitung von Deciso lautet hier im Original:

We disable hyperthreading by default these days as in practice for networking it often has a (slight) negative effect on performance.
If you do want to enable HT, just go to the bios with the mini-usb cable supplied.
In order to reach the bios, you need serial console connectivity (https://docs.opnsense.org/hardware/serial_connectivity.html) and may press <ESC> during boot to go into the bios part.
 Inside the setup utility, go to AMD CBS -> Zen Common Options  -> Core/Thread Enablement  -> SMTEN  -> Auto

https://forum.opnsense.org/index.php?topic=37699.msg184982#msg184982

Ansonsten kann ich bisher nur feststellen, dass wirklich alles sehr rund und stabil läuft. Die Lautstärke ist für mich wirklich quasi unhörbar (mein NAS und mein PC im selben Raum sind im Betrieb definitiv lauter). Die CPU-Last bewegt sich an meinem jetzigen g.fast-DSL-Anschluss mit 400/100 Mbit/s auch während voller auslastung bei rund 12-15%, von dem her lässt dies positives vermuten – die APU war hier nahe 100% Auslastung.

Wie die Firewall sich an 10Gbit/s-Internet schlägt, werde ich noch nachreichen, wenn es soweit ist.

Nach nun rund 2 Wochen im Betrieb muss ich sagen, dass diese Appliance auf jeden Fall ein Kauftipp zu sein scheint aufgrund Preis-/Leistung, Energieeffizienz und Performance.

7 Antworten zu „Test der OPNsense DEC2752 Appliance“

  1. Avatar von Franko
    Franko

    Hallo Markus

    Danke für die ausführlich Beschreibung 🙂

    Hat sich die Aktivierung von Hyperthreading bei dir negativ ausgewirkt?

    Gruß aus DE/ Zessen

    Antworten
    1. Avatar von Markus Ehrmann
      Markus Ehrmann

      Guten Abend Franko

      Vielen Dank.

      Ich muss ehrlich sagen, ob mit oder ohne HT – da merke ich bei mir eigentlich keinerlei Unterschied. Weder im positiven noch im negativen Sinn. Ich hatte zu Beginn etwa 2 Wochen HT aktiv, seitdem habe ich es zum Vergleich wieder deaktiviert.

      Liegt vermutlich aber auch daran, dass ich ausser Routing & Firewalling, VPN sowie Reverse-Proxy auf der OPNsense im Moment kaum etwas laufen habe. Die Appliance ist damit also vermutlich schlicht nicht ausgelastet.

      Gruss Markus

      Antworten
  2. Avatar von Bernhard
    Bernhard

    Hast du den Stromverbrauch auch gemessen?
    Ich bin mir auch am Überlegen die zu besorgen. Ich habe 10 gbit Glasfaser und aktuell einen Topton 2.5 gbit Mini PC. Der kann zwar locker die 2.5 gbit mit einem Celeron und mehr bräuchte ich auch nicht.
    Wenn die aber mit Typischen 15W tatsächlich 10 Gbit können sollte, dann würde ich evtl. schwach werden. Ich habe aber keine lust eine 30W Firewall zu besorgen, wenn ich mir schon kaum die 10 Gbit rechtfertigen kann….

    Antworten
    1. Avatar von Markus Ehrmann
      Markus Ehrmann

      Guten Abend Bernhard

      Nein, gemessen habe ich die Firewall bisher noch nicht in Bezug auf den Stromverbrauch. Das kann ich aber gerne in den kommenden Tagen mal machen. Melde mich dann – dann wissen wir beide mehr und Du kannst es überlegen, ob ein Kauf lohnt.

      Gruss Markus

      Antworten
  3. Avatar von Skyeci
    Skyeci

    How much of the 8gb ram is in use please?

    Antworten
    1. Avatar von Bernhard
      Bernhard

      I think not so much. In my case, were i let a tor relay run with about 160 mbit in and out at the same time and maybe 10k table entries just for the relay, plus a lot of firewall rules and unbound with cache and filter lists, i am just using about 900 mb of also 8 gb and no zfs. i do not have atm the dec2752 just a small china pc.

      Antworten
    2. Avatar von Markus Ehrmann
      Markus Ehrmann

      Hi!

      Most of the time about 2GB RAM is in use.

      Regards
      Markus

      Antworten

Schreibe einen Kommentar zu Markus Ehrmann Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner