PC Engines APU2 soon

Nur 60 Megabit über den Tunnel erscheint mir viel zu niedrig. Da muss was verkonfiguriert sein, z.B. AES-NI nicht genutzt. Denn selbst mein altes APU1C4 mit 2 CPU-Kernen weniger, keinem AES-NI und schlechteren Realtek-NICs kommt in den Bereich.
 
Man ist immer geneigt Äpfel mit Birnen zu vergleichen, wenn man die zur Messung verwendeten Einstellungen nicht abgeglichen hat.

Was bringt AES-NI wirklich? Diese Frage ist noch immer offen.
 
Generell verdammt viel. Wie viel genau ist natürlich von CPU-Geschwindigkeit (mehr Takt == mehr AES-Runden) und ein paar weiteren Faktoren abhängig, aber auch die langsamstem AES-NI Implementierungen sind um ein Vielfaches schneller als reine Software-Implementierungen. Die 4 Jaguar-Kerne im APU2 dürften damit locker genug AES-Durchsatz schaffen, um alle 3 Gigabit-NICs sättigen zu können. Bei geringer CPU-Auslastung. Bei FreeBSD findet sich irgendwo in /usr/src/tools ein Benchmark, falls sich jemand mit Hardware berufen fühlt den auszuführen... Speziell bei OpenVPN kommt's halt drauf an, wo der Flaschenhals liegt. AES-NI wird natürlich nur helfen, wenn wirklich die CPU für die Software-Implementierung zu langsam ist. Und leider ist OpenVPN schon die durch Tatsache, dass es im Userland läuft, nicht unbedingt hochperformant, wenn es um rohen Durchsatz geht.
 
Und leider ist OpenVPN schon die durch Tatsache, dass es im Userland läuft, nicht unbedingt hochperformant, wenn es um rohen Durchsatz geht.
Richtig. OpenVPN verwendet meine Meinung nach auch nur einen Single Thread, sprich einen CPU Core. Könnte sich aber geändert haben. Bin da nicht auf dem Laufenden.
 
Spekulationen bzgl. APU2C4 sind nicht hilfreich.

Hilfreich wäre für mich der direkte Vergleich einer APU1 mit einer APU2 z. B. unter pfSense 2.4, OpenVPN 2.4.2, mit gleichen OpenVPN Parametern und der gleichen Testumgebung. Da ich keine APU2 habe, kann ich den Vergleich nicht liefern.

Somit steht ein dickes Fragezeichen im Raum.
 
Zuletzt bearbeitet:
Das Fragezeichen wird auch noch weiter im Raum stehen bleiben...
Die Problematik ergibt sich aus den Spezifikationen die du vorgibst. Ein direkter Vergleich bedarf nämlich, das jemand der alles 3 drei oder sogar 4 hat... also 1x APU1(wobei es da ja auch verschiede gibt gehe aber mal davon aus, das eine APU.1D4 gemeint ist), 1x APU.2C4, min. 1 HIGHEND Endpoint und einen Grund das ganze mit pfSense2.4 sowie OpenVPN 2.4.2 zu testen.
Ich halte es zwar nicht für ausgeschlossen, das du jemanden findest der das ganze macht oder gemacht hat, halte es aber bei dem zu erwartenden Benefit für unwahrscheinlich.
Da bleibt es nur zu "spekulieren". Ich persönlich empfand jetzt die Denk- und Recherche-Ansätze die dir gegeben wurden durchaus als Hilfreich.
Ich halte den Weg den Netgate da mit einem HDMI basierenden Konsolen System gegangen ist eh für etwas gewagt in dem Segment, wie so Alleinstellungsmerkmal auf dem Markt an kommt ist die frage, offensichtlich war das Risiko denen nicht genug wert, das man versucht dieses Issue zu lösen sondern lieber die Vorbestellungen zurück erstattet.
Am besten kommst du wohl weg, vorausgesetzt du stammst aus Deutschland, wenn du dir einfach mal eine APU.2C4 bestellst, sie ein paar Tage testest und ggf. zurückschickst. Sollte es etwas länger als die Fristen im Fernabsatz Paragraph dauern, ist pcengines hardware jetzt nicht unbedingt Hardware die man schlecht für einen angemessenen Preis wieder los bekommt, was ich bei den Einschränkungen bei Netgate pfSense Hardware jetzt nicht behaupten würde.
 
Die Suche nach verwertbaren Aussagen zur APU2C4 bzgl. OpenVPN und AES-NI im Netz im Vergleich zur APU1 brachte keine Ergebnisse. Das ist auch nicht sonderlich verwunderlich. Wer hat schon zwei Kisten rumstehen und nimmt die Mühe auf sich, diese ausgiebig zu vergleichen?

Ein brauchbarer Vergleich könnte für mich insofern nützlich sein, ob der Einsatz einer APU2C4 statt einer APU1, bei mir werkelt eine AP1D, sinnvoll ist oder ich doch zu leistungsstärkerer Hardware greife.

Die kommenden Boards mit den C3000/Denverton könnten mich zum Basteln reizen. Ich werde auch gar nichts übers Knie brechen.
 
Netgate werkelt an einem Gerät auf Basis C3338. Das ist schon mal ein gutes Zeichen. Ein SG3100 (ARM basiert) ist auch eine Überlegung wert.

Nun, es gilt für mich die betagte APU1D abzulösen und nicht vorschnell zur APU2Cx zu greifen.
 
Wie sehe ich bzw. bekomme ich es hin, dass openvpn AES-NI nutzt? Ist jetzt nicht lebensnotwendig, da ich keine riesigen Mengen rüberschiebe, aber wenn man es schon hat....warum nicht auch nutzen?

Das Kernelmodul ist geladen. dmesg-Auszug:

Code:
aesni0: <AES-CBC,AES-XTS,AES-GCM,AES-ICM> on motherboard
GEOM_ELI: Encryption: AES-XTS 256
GEOM_ELI:  Crypto: hardware

Mein openvpn habe ich mit openssl gebaut.

Code:
openssl engine
(dynamic) Dynamic engine loading support

Da müsste normalerweise ja was stehen....

Nothing needs selected for OpenVPN to utilize AES-NI. The OpenSSL engine has its own code for handling AES-NI that works well without using the BSD Cryptodev Engine.
auf https://doc.pfsense.org/index.php/Are_cryptographic_accelerators_supported
 
OpenVPN nutzt AES-NI automatisch falls der Prozessor es unterstützt. Der Kernelmodul ist für IPsec erforderlich oder sehe ich das falsch?
 
Wie sehe ich bzw. bekomme ich es hin, dass openvpn AES-NI nutzt? Ist jetzt nicht lebensnotwendig, da ich keine riesigen Mengen rüberschiebe, aber wenn man es schon hat....warum nicht auch nutzen?

Das Kernelmodul ist geladen. dmesg-Auszug:

Code:
aesni0: <AES-CBC,AES-XTS,AES-GCM,AES-ICM> on motherboard
GEOM_ELI: Encryption: AES-XTS 256
GEOM_ELI:  Crypto: hardware

Mein openvpn habe ich mit openssl gebaut.

Code:
openssl engine
(dynamic) Dynamic engine loading support

Da müsste normalerweise ja was stehen....
...

Ich bin mal ueber einen Blogpost gestolpert der den Zusammenhang von AESNI(4) und AES-NI in openssl ganz gut erklaert hat IMHO

https://crc32c.blogspot.de/2017/05/freebsd-aesni4-and-openssl.html
 
Bei mir sieht die Ausgabe von "openssl engine"

folgend aus: (cryptodev) BSD cryptodev engine
 
Es gibt ein neueres BIOS, ECC funktioniert jetzt.

Ich halte das für eine Ente! Wo genau ist die offizielle Aussage bzgl. ECC-RAM vom PC Engines zu finden?

Code:
coreboot https://github.com/pcengines/coreboot/blob/coreboot-4.0.x/CHANGELOG.md
    reduced log level: display mainboard, DRAM and ECC info only
    improved SD card performance
    forced to use SD in 2.0 mode
    reset J17 GPIO's (NCT5104D) during boot to inputs
    update sortbootorder to v4.0.3 (UART C/D toggling)
    mPCIe1 working with ASM1061 based sata controllers (mPCIe2 still not working)
    fixed RAM size displaying during the boot (for 2GB sku's)

iPXE (no changelog available yet)
    added autoboot command

seabios https://github.com/pcengines/seabios/blob/coreboot-4.0.x/CHANGELOG.md
    allowed for one-time PXE boot with N key
    enable/disable option for USB boot
    enable/disable option for PXE boot

sortbootorder https://github.com/pcengines/sortbootorder/blob/coreboot-4.0.x/CHANGELOG.md
    EHCI0 controller disable/enable option
    UART C and D toggling

memtest86+ https://github.com/pcengines/memtest86plus/blob/coreboot-4.0.x/CHANGELOG.md
    refreshed procedure, so that full screen content is reprinted on refresh
    macro SPD_DISABLED for disabling SPD related functionality
    refresh option label (l) to bottom menu

Das findet man in der Datei "changes.txt" zum aktuellen Bios apu2_v4.0.7
 
Bei mir sieht die Ausgabe von "openssl engine"

folgend aus: (cryptodev) BSD cryptodev engine

Nun bei AES-NI CPUs ist das lt. Blogpost ziemlich sinnfrei… Am besten das cryptodev Kernel Modul nicht (mehr) laden oder aus der eigenen KERNCONF rausschmeißen… Das aesni Kernel Modul darf hingegen gerne weiter geladen bzw. in der KERNCONF gelassen werden, da es Kernelspace Sachen wie GELI, IPSEC, usw. beschleunigt.
 
Es findet sich noch immer keiner, der von den Vorteilen einer APU2C4 gegenüber einer APU1D in Bezug auf die OpenVPN-Performance schwärmt.

Nun, das überrascht mich nicht wirklich.
 
Ich bin nicht auf eine APU2xy als Ersatz für die APU1D festgelegt, zumal hier niemand in der Lage ist die Vorteile einer APU2C4 stichhaltig zu belegen.

Die APU1D wird ersetzt werden. Das ist klar. Das Ersatzgerät wird noch gesucht.

Wer hat Vorschläge diesbezüglich?
 
Dein Anspruch ist nunmal sehr eng eingegrenzt. Es braucht einen, der "Dein" Setup auf einer APU1D und dann auf APU2C4 faehrt. Alles andere scheint Dich ja weniger zu interessieren.
 
Dein Anspruch ist nunmal sehr eng eingegrenzt.


Die Katze (APU2C4) im Sack zu kaufen kommt auf gar keinen Fall in die Tüte. Dazu ist das Teil zu betagt und AES-NI haben auch die vom Prozessortakt schnelleren Alternativen. Ich verzichte auf die Aufzählung dieser Teile. Es gibt inzwischen zu viele und der Atom C3338 wird noch mal eine Schippe drauflegen.:)

Wie gesagt geht es mir um OpenVPN. Da ist eine APU1D an einem VDSL50 Anschluss grenzwertig und an einem VDSL100 Anschluss überfordert.
 
Und warum kaufst du dann nicht einfach stärkere Hardware? Wie du selbst sagst, es gibt genügend Auswahl. Vom Stromverbrauch her dürfte sich das bei entsprechend dimensioniertem Netzteil nicht viel nehmen und so viel teurer ist sie auch nicht.
 
Zurück
Oben