Die freie Firewall-Lösung OPNsense kann auf vielen unterschiedlichen Geräten und Servern eingesetzt werden. Um die passende Hardware für Ihren Einsatzzweck zu finden, werden die Systeme umfassenden Leistungstests unterzogen. Dieser Artikel zeigt tabellarisch diese Ergebnisse der bereits getesteten Thomas-Krenn Rack-Server. Die Tabelle wird laufend um weitere Systeme erweitert, wenn diese getestet wurden. Eine Übersicht über Leistungsdaten zu Thomas-Krenn Low Energy Server (LES) Geräten und weiteren lüfterlosen Geräten finden Sie ebenso im Thomas-Krenn-Wiki.
| Wichtiger Hinweis: Diese Tests wurden unter Laborbedingungen durchgeführt, Realwerte in Produktivumgebungen können abweichen. Die getesteten Modelle können mittlerweile schon von neuen Versionen abgelöst worden sein. Die aktuelle Hardware-Auswahl finden Sie im Onlineshop von Thomas-Krenn. |
Die folgende Tabelle zeigt die bisher verfügbaren Ergebnisse:
| Server | RI1102A-F (Version 2.0, Supermicro A2SDi-4C-HLN4F mit Intel Atom C3558)
(Anmerkung: Tests mit OPNsense 23.1.1_2-amd64, 25 Gbit/s Broadcom P225P Zusatzkarte) |
RI1102D-F (Version 1, Intel Xeon D-1518)
(Anmerkung: Tests mit OPNsense 22.7.9_3, 25 Gbit/s Broadcom P225P Zusatzkarte) |
RI1102-SMXDFH (Version 1, Intel Xeon-D D-1718T)
(Anmerkung: Tests mit OPNsense 25.1.6_4-amd64) |
Advantech FWA-3034 (Intel Core i5-13500TE)
(Anmerkung: Tests mit OPNsense 25.7.2-amd64 und NMC 4x 25GbE SFP28 Intel E810-CAM1 (NMC-2503)) |
RI1101-SMXEFH (Version 1, Intel Xeon E-2334)
(Anmerkung: Tests mit OPNsense OPNsense 25.1.9_2-amd64) |
Advantech FWA-5072-00A1R
(Anmerkung: Test mit OPNsense 25.7. 6, Setup mit zwei FWA-5072 und zwei FWA-5072 als iperf Clients, 100G NICs per Intel E810-CAM2 (NMC-6003L) Module) | |||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Hardware Ausstattung im Test | RAM | 16 GB | RAM | 16 GB | RAM | 32 GB | RAM | 16 GB | RAM | 16 GB | RAM | 64 GB | |||||||||||||
| Einstellung
(genaue Testeinstellungen weiter unten aufgelistet) |
Performance | Last (CPU Time in %) | Performance | Last (CPU Time in %) | Performance | Last (CPU Time in %) | Performance | Last (CPU Time in %) | Performance | Last (CPU Time in %) | Performance | Last (CPU Time in %) | |||||||||||||
| Upload | Download | Upload | Download | Upload | Download | Upload | Download | Upload | Download | Upload | Download | Upload | Download | Upload | Download | Upload | Download | Upload | Download | Upload | Download | Upload | Download | ||
| Routing |
|
9,33 Gbit/s | 9,46 Gbit/s | 51 | 66 | 11,7 Gbit/s | 12 Gbit/s | 39,5 | 45,4 | 13,7 Gbit/s | 14,1 Gbit/s | 14 | 14 | 21,6 Gbit/s | 23,5 Gbit/s | 31,5 | 32 | 23,2 Gbit/s | 23,5 Gbit/s | 24 | 23,5 | 70 Gbit/s | 71 Gbit/s | 12,7 | 12,8 |
| (Anmerkung: 25 Gbit/s Broadcom P225p ausgelastet) | |||||||||||||||||||||||||
| Firewall |
|
7,11 Gbit/s | 6,31 Gbit/s | 83 | 66 | 5,9 Gbit/s | 6,2 Gbit/s | 50 | 50 | 7,5 Gbit/s | 8,2 Gbit/s | 15 | 14,8 | 16,4 Gbit/s | 17,4 Gbit/s | 41 | 39 | 23,4 Gbit/s | 23,5 Gbit/s | 29,3 | 32 | 50.7 Gbit/s | 44,6 Gbit/s | 14,1 | 11,1 |
| (Anmerkung: Messwerte schwankten deutlich, Last auf der Firewall ebenso) | (Anmerkung: 25 Gbit/s Broadcom P225p ausgelastet, Last auf der Firewall etwas höher als bei Routing) | ||||||||||||||||||||||||
| Firewall und IDS |
|
6,51 Gbit/s | 6,02 Gbit/s | 92 | 89 | 5,2 Gbit/s | 4,7 Gbit/s | 68 | 61 | 6,2 Gbit/s | 6,7 Gbit/s | 20 | 21 | 8,1 Gbit/s | 8,1 Gbit/s | 41 | 44 | 17,2 Gbit/s | 20,8 Gbit/s | 44,6 | 51,7 | 16,9 Gbit/s | 16,4 Gbit/s | 19,1 | 18,2 |
| (Anmerkung: Ergebnisse eher zweifelhaft, denn sie schwankten stark, zwischen 3,2 und 8 Gbit/s. Ebenso schwankte dadurch die Last auf der Firewall von knapp 60% bis 100%) | (Anmerkung: IDS erhöht die Last auf der Firewall deutlich, aber der Durchsatz bleibt sehr hoch) | (Anmerkung: IDS Durchsatz eher schwach im Vergleich zum Xeon-E System, aber deutlich geringere Last) | |||||||||||||||||||||||
| Firewall und IPS |
|
918 Mbit/s | 631 Mbit/s | 52 | 40 | 5,4 Gbit/s | 3,2 Gbit/s | 65 | 41 | 5,7 Gbit/s | 3,8 Gbit/s | 26 | 16 | 14,4 Gbit/s | 10,6 Gbit/s | 66 | 45 | 5,6 Gbit/s | 4,7 Gbit/s | 23 | 18,5 | - | - | - | - |
| (Anmerkung: Tests mit 1 Gbit/s onboard NIC durchgeführt) | (Anmerkung: IPS Modus schneller als IDS, aber auch eine deutlich erhöhte Last) | (Anmerkung: Im IPS Modus sinkt die Durchsatzrate deutlich im Vergleich zu IDS, Last auf der Firewall aber moderat) | (Anmerkung: Suricata hat sich im IPS Modus sofort beendet, keine Messungen möglich) | ||||||||||||||||||||||
| Firewall und Zenarmor |
|
33,6 Mbit/s | 1,76 Gbit/s | 12 | 44 | 11 Mbit/s | 1,2 Gbit/s | 6 | 27 | 4,3 Gbit/s | 7,6 Gbit/s | 15 | 24,5 | 2,7 Gbit/s | 3,7 Gbit/s | 6 | 15 | 4,95 Gbit/s | 6,5 Gbit/s | 16 | 25 | 4,3 Gbit/s | 5,5 Gbit/s | 3 | 4 |
| (Anmerkung: Sehr schwache Leistung im Upload, Einstellungen: MongoDB Datenbank, Routed Mode mit emulated netmap) | (Anmerkung: Sehr schwache Leistung im Upload, Einstellungen: MongoDB Datenbank, Routed Mode mit emulated netmap) | (Anmerkung: Lokale MongoDB Datenbank, Routed Mode with native netmap driver, Default policy auf Moderate Control eingestellt) | (Anmerkung: Lokale Elasticsearch 8 Datenbank, Routed mode with native netmap driver (Intel NICs), default policy auf Moderate Control eingestellt, Leistung niedrig, aber auch wenig Last) | (Anmerkung: Lokale Elasticsearch 8 Datenbank, Routed mode with emulated netmap driver, default policy auf Moderate Control eingestellt, Leistung und Last vergleichbar zu IPS Modus) | (Anmerkung: Lokale Elasticsearch 8 Datenbank, Routed mode with native netmap driver (Intel NICs), default policy auf Moderate Control eingestellt, Leistung gut, Last sehr gering) | ||||||||||||||||||||
| OpenVPN Tunnel |
|
268 Mbit/s | 271 Mbit/s | 31 | 34 | 372 Mbit/s | 373 Mbit/s | 17 | 16 | 1,2 Gbit/s | 1,2 Gbit/s | 15,3 | 13,6 | 375 Mbit/s | 488 Mbit/s | 16 | 7 | 1,5 Gbit/s | 1,3 Gbit/s | 13,7 | 13,5 | 1 Gbit/s | 1,1 Gbit/s | 2 | 2 |
| (Anmerkung: Leistung niedriger als bei Xeon-E System, Last am System aber verschwindend gering) | |||||||||||||||||||||||||
| IPsec VPN Tunnel |
|
1,23 Gbit/s | 1,13 Gbit/s | 61 | 51 | 1,6 Gbit/s | 814 Mbit/s | 42 | 23 | 1,3 Gbit/s | 1,6 Gbit/s | 14 | 19 | 2 Gbit/s | 947 Mbit/s | 16 | 7 | 2,2 Gbit/s | 2,6 Gbit/s | 16,4 | 19,7 | 533 Mbit/s | 587 Mbit/s | 1 | 1 |
| (Anmerkung: IPsec Tunnel sehr schwache Leistung, Last verschwindend gering) | |||||||||||||||||||||||||
| WireGuard VPN Tunnel |
|
- | - | 749 Mbit/s | 816 Mbit/s | 43 | 44 | 3,8 Gbit/s | 3,4 Gbit/s | 65,9 | 56,7 | 1,8 Gbit/s | 2,3 Gbit/s | 33 | 30 | 3,9 Gbit/s | 3,4 Gbit/s | 42,6 | 38,1 | 4,5 Gbit/s | 4,5 Gbit/s | 10 | 9 | ||
| (Anmerkung: Tests nicht möglich, Tunnel konnte durch Softwareprobleme nicht stabil aufgebaut werden) | (Anmerkung: Sehr überraschend sehr starkes Ergebnis, Last auf der Firewall sehr hoch) | (Anmerkung: Sehr starke Leistung, WireGuard profitiert von Multithreading, Last auf der Firewall hoch, aber im Vergleich zum Xeon-D 1718T deutlich geringer bei ähnlicher Leistung) | (Anmerkung: Sehr starke Leistung und zugleich niedrige Last im Vergleich zu Xeon-E System) | ||||||||||||||||||||||
Die nachfolgende Tabelle zeigt die weiteren Komponenten der Firewall Tests, die zu testende Firewall ist immer als Firewall Site 2 gekennzeichnet. Um die maximale Leistung testen zu können, wurde als performante Gegenstelle (Firewall Site 1) ein Server basierend auf einem Supermicro H12SSL-NT Mainboard ausgewählt:
| Einsatzzweck | Hardware | BIOS Informationen | Software |
|---|---|---|---|
| Firewall Site 1 |
|
|
|
| Firewall Site 2 |
|
||
| Clients bis 2023 | |||
| Client Site 1 |
|
|
|
| Client Site 2 |
|
| |
| Clients seit 2024 (Es wurden zwei neue identische und wesentlich performantere Last-Clients beschafft) | |||
| Client Site 1 und 2 |
|
|
|
Die nachfolgende Tabelle zeigt die weiteren Komponenten der Firewall Tests, die zu testende Firewall ist immer als Firewall Site 2 gekennzeichnet. Um die maximale Leistung testen zu können, wurde als performante Gegenstelle (Firewall Site 1) ein Server basierend auf einem Supermicro H12SSL-NT Mainboard ausgewählt:
| Einsatzzweck | Hardware | BIOS Informationen | Software |
|---|---|---|---|
| Firewall Site 1 |
|
|
|
| Firewall Site 2 |
|
||
| Clients bis 2023 | |||
| Client Site 1 |
|
|
|
| Client Site 2 |
|
| |
| Clients seit 2024 (Es wurden zwei neue identische und wesentlich performantere Last-Clients beschafft) | |||
| Client Site 1 und 2 |
|
|
|
Die Performancetests wurden mit iperf durchgeführt.
wiki
iperf -p 5000 -f m -siperf -p 5000 -f m -c <IP-de-Servers> -t 180 -P 10Upload-Test
Um einen Upload-Test zu simulieren wurde am Client Site 2 iperf im Clientmodus gestartert, am Client Site 1 wurde iperf mit dem Parameter -s im Servermodus gestartet.
Download-Test
Für einen Download-Test wurden die Richtungen umgedreht, Client Site 1 wurde per Parameter -c als Client gestartet und Client Site 2 mit -s im Servermodus.
Testdurchläufe
Generell sind die Werte in den Tabellen als Mittelwerte von bis zu 10 Durchläufen anzusehen. Bei manchen Tests (wenn die Netzwerkbuchse ausgelastet war) sind die Ergebnisse nicht in mehreren Durchläufen generiert worden, da die Ergebnisse immer identisch waren.
Die folgenden Einstellungen wurden an den OPNsense Firewalls vorgenommen. Grundsätzlich wurden keine speziellen Optimierungsschritte durchgeführt, OPNsense wurde mit den Standardeinstellungen eingesetzt. Da auch die Einstellungen bei den einzelnen VPN-Technologien anspruchsvoll sind kann man die Messwerte durchaus als absolutes Minimum ansehen.
 |
Autor: Thomas Niedermeier Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates.
|
