Estoy algo decepcionado de este producto:
Lo que es el modelo netgate 1100 y el 2100 para una red con firewall, VPN punto a punto y usuarios moviles, sin tema lo manejan bien.
Son equipos compactos, no requieren mucho espacio y son de bajo consumo de energia.
Donde carecen de poder de procesamiento es cuando agregamos paquetes que dependen de memoria y uso intenso de disco duro, me refiero a aplicaciones como Squid, SquidGuard y PfblockerNG, no quiero ni si quiera pensar en snort.
A lo mejor me comentaran, oyes pero tiene que ver mucho la cantidad de listas que le estes entregando con PfBlockerNG a lo mejor te estas quedando sin memoria.
No es mi caso, es algo que cuido mucho siempre, que ese recurso llamado RAM no se agote, usar la memoria SWAP en cualquier sistema es algo que trato de evitar siempre ya que tiene un impacto en los sistemas.
Veamos detalles el modelo 2100 en operacion para que vean que los recursos hay de sobra:
El dashboard nos un resumen de lo que realmente tenemos de memoria disponible, esa es una novela que ya habia hablado en el foro de pfsense, quien no miente es la consolaI(por ello la amo.).
Aun asi si ven, los recursos no estan agotados, MBUF de sobra, algunos se preguntaran, oyes ese MBUF para que nos sirve?
Los MBUF es otro de los recursos que a muchos se les olvida revisar cuando tienen problemas de comunicacion o cuando los servicios criticos como squid por ejemplo empieza a fallar, este es un tema para otro post aqui en el blog, pero es una tabla de valores tan importante como la memoria RAM.
Si observan la figura anterior, realmente me sobra 975M o sea aun tengo RAM para trabajar, el dns esta usando 1068M, ya que PfBlockerNG es lo que nos hace consumir con las listas que le entregamos.
Cada hilo de SquidGuard consume 27M.
Y que servicios tenemos en ejecucion en este sistema?
Squid + SquidGuard en modo transparente, le asigne 1GB de RAM a squid con 2GB para cache, SquidGuard de fabrica esta configurado para 16 hilos o sea peticiones simultaneas, pero viendo como se esta comportando, lo baje a 6 maximo por lo mismo, un cambio ya sea en squid, SG o PfBlockerNG-devel tarda…como no tienen idea.
En la imagen del dashboard pueden ver la cantidad de listas que agregue a PfblockerNG y por ello el tamaño del servicio de 1068M.
Es una red de 3 personas por el momento, 6 dispositivos conectados, nada del otro mundo.
Configuracion? Realmente no hay mucho ajuste que hacer a el sistema, tanto las interfaces como el swith estan a 1GB.
PfBlockerNG depende de listas de urls que ya las pueden observar y les comente las caracteristicas de Squid y SG.
Veamos cuanto tiempo tarda en arrancar el sistema para que vean de que les hablo…
Segun mis resultados…18 minutos… hoy en dia algo asi es caos.
Ese GUI es mentirosin, en la consola con putty tenemos 0% de CPU disponible, que es lo que significa.
Ahora, que va a resentir el usuario durante estos 18 minutos? se va a enojar y nos dira de que nos vamos a morir.
Esto recibira, no podra cargar ninguna pagina por que netgate 2100 aun no termina, si nos vamos a la consola de Windows y tratamos de ejecutar nslookup para saber si al menos resuelve los nombres, obtedremos esto:
Nada mas y nada menos un timeout 0 resolucion de nombres, por lo tanto ningun sistema en la red que dependa del DNS que este caso es PfSense, funcionara.
NOTA: Si actualemente es comun para ustedes ver timeout en sus pruebas con el nslookup, paren todo y busquen solucionar ese problema, algo malo esta sucediendo en su red.
Ahora si aplicamos un cambio en cualquier de ambos servicios como squid o PfBlockerNG, olvidense sera el caos por que tardar similar en aplicarlo, los van a correr de trabajo.
Esto mismo sucedera cuando este ultimo actualiza su lista de URL’s, por ello en mi caso 1 vez a la semana me parece bien, pero cada hora ni loco, hablando en general.
Resumen.
Si van a comprar este modelo y tienen planeado utilizar ya sea Squid+SquidGuard o PfBlockerNG, piensele bien, para VPN’s sin problema, pero lo otro yo la verdad prefiero usar equipos armados con disco duro SSD.
Por que 18 minutos para arrancar es un estres y no se diga cuando hago un simple cambio.
A lo mejor alguien tiene una mejor historia que esta odisea que estoy viviendo con este netgate 2100. Quedo atento a sus comentarios, saludos!!!