И сумрачный китайский гений....

Лет уже эдак пять (а может и десять, я попытался вспомнить и не смог) в домашнем сетевом хозяйстве я сочетал сторадж (как минимум, бэкапный), прочие сетевые функции (роутинг, NAT, DNS, почта, итп) и всякую юниксовую разработку (ну, к примеру, скрипты на PHP поотлаживать) в одном ящике.

Если честно - то неудобно. В том же сторадже иногда хочется поменять диск, это минимум на полчаса - и все эти полчаса домашние ходят вокруг кругами и громко молчат, ибо жить без интернету уже не приучены.

Захотелось мне вынести базовые функции (роутинг, NAT, DNS, почта), а заодно и все мое мелкое веб-программирование в отдельный маленький ящик. Только в этом маленьком ящике мне нужно было минимум 4 гигабитных ethernet (два аплинка, два сегмента домашней сети), а это, как мне казалось, подразумевает все-таки mini-ITX:

  • либо 4 ethernet на материнской плате (такие бывают, хоть и недешевые UPD: и 6x:LAN бывает, китайцы могут все)
  • либо один слот PCIe - и 4-портовую ethernet-карту туда сунуть (она у меня даже и есть).

Однако поиски маленького  mini-ITX-корпуса как-то меня опечалили. Не такие они и маленькие, ну где-то ~28x28x8 сантиметров самое мелкое что бывает (upd: 20x20x6 самое мелкое, но плату расширения уже никак) и то, это будет с внешним и довольно большим блоком питания.

Но тут в фейсбуке подсказали - оказывается китайцы лепят mini-PC в том числе и:

  • 4 ethernet + WiFi
  • И даже 6 ethernet
  • И даже с сравнительно новыми процессорами (просто mini-PC есть уже и с core 8-го поколения).

Возрадовавшись - купил. Ехало больше двух недель, но в среду доехало, а вчера было уже в бою.

Выглядит оно так:

Внутри же - все прекрасно:

Два слота под SODIMM, два слота M.2 (под сторадж и под Wifi), разъем SATA (короткие проводочки - в комплекте), 6xEthernet (em0: Intel(R) PRO/1000 Network Connection)  4xUSB3 и даже последовательный порт есть (и я бы его использовал как консоль, если бы в доме был бы еще один такой). Вот чего нет - так это дисплейпорта, но в роутере он вроде и не нужен, а в мини-PC с одним ethenet - у китайцев есть варианты на все вкусы.

Кроме того, в поставке VESA-bracket, который удобно привинтился к полке снизу - и теперь эта штука висит (см. первую фоточку), причем висит с правильным зазором, как раз пролазят провода. Синей изолентой туда же примотан внешний блок питания, вместе с блоком общие размеры 18x12x6 сантиметров (без блока и без ножек подвески - 15x12x5)

Вентиляторов там нет, охлаждение обеспечивается корпусом-радиатором и охлаждение я, естественно, тестировал. Результаты такие:

  • Prime95 прогревает процессор градусов до 70-72.
  • make -j8 buildworld - тоже до 70-72
  • make -j2 buildworld - до 56-65 "в норме" и иногда пики до 70.

Когда у процессора 70 градусов - корпус, естественно, не холодный, я бы сказал (на ощупь, конечно ж) что градусов 55-60. Диск (расположенный с другой стороны корпуса) при этом нагревается до 52. После снятия нагрузки температура процессора быстро падает до 55, а потом уменьшается очень медленно, доли градуса в минуту, вероятно по той причине, что теплоемкость корпуса-радиатора достаточно велика.

В idle-режиме процессор жрет два ватта (и температура его 42C), меньше добиться не удалось. При роутинге ~200Mbit на вход в дом (полная загрузка торрентами) - 4-4.5 ватта и 44-45 градусов (загрузка CPU зависит, понятно, от количества правил в ipfw: если там 200 правил, то вот как написано, а если ~6000 правил - то 15 ватт и перегрев).

Пока я сильно доволен результатом (в частности, можно storage-ящик гасить на ночь, не отключая при этом весь интернет).

Понятно, что некоторую часть функциональности мог бы выполнить и какой-то микротик (за заметно меньшие деньги), но

  1. Что-то я не уверен, что микротики умеют NAT-ить IPv6
  2. Ну и совершенно точно, иметь там веб-девелопмент, гитовские репозитории и т.п. - не получилось бы.

Бюджет проекта получился ~$450 ($339 за платформу, 8GB памяти, 240Gb SSD), платформу я покупал конкретно вот эту, но вообще их там (ровно таких же и похожих) - навалом.

 

Comments

Хахахах. Синхрон.

Я купил себе На J3160 и 4xI210 только что. Дешевле гораздо, и мои потребности решает. Купил именно потому что MiniITX огорчил выбором (у меня до этого был Intel D2500CC но его стало не хватать). Один минус — дали только один слот памяти. Но коробка меньше твоей, да.

Кстати, у тебя сетёвки древнее ;-) И ядра 2. Я выбирал между 2 ядра и больше мегагерц и 4 ядра и меньше мегагерц. Выбрал ядра.

Именно у неё были глюки с турборежимом (и остаются).

Кстати, у моей коробки есть редирект BIOS'а в Serial console, что при отсутствии VGA, решает (делать у коробки 4xLAN 2xHDMI очень странное решение).

У моей тоже вроде бы есть, но включить serial мне (кажется) некуда.

Ну, я купил RJ45-Serial-to-USB и положил воткнутым. Если что непонятно подхожу с ноутбуком к полке и смотрю чо там. При моей любви жить на cutting edge а не на stable иногда надо. BIOS, понятно, не так неужен, после того как с настрйоками разобрался, но приятно что можно если придётся.

Интересная мысль: потому что если вдруг можно выключить в этом ящике USB вовсе, оставить только Serial, то глядишь 1 ватт в потреблении поэкономлю. Это ~4 рубля в месяц!

Так, объясни, со стороны ноутбука что у тебя за софт?

PuTTY просто. Это же COM2USB, виден как COM в системе.

А(н/г)алогично, PuTTY. Правда, у меня еще стоит и MOXA terminal server, потому как последовательных портов в стойке и вокруг дофига. Если на 1-2 порта, то есть WIZ125SR, WIZ110SR http://www.saelig.com/product/BRD019.htm и http://www.saelig.com/product/ETH026.htm и аналогичные.

Я прямо вот шнур RS323/RJ45 -> USB вчерась купил за 4 фунта, приедет - посмотрим каков этот сухов.

А это не просто переходник пассивный?

Ну как сделать пассивный переходник из RS232 в USB? Там в USB-вилке типично FT232R или ещё что-нибудь подобное.
У меня вот FT232R, но я видел и на других, CP2102 и ещё что-то.

Пассивный делают в DB9.

Да, конечно, очитка вышла. По инерции прочел RS232 в RJ45

Ой, визнет ещё жив. У меня был WIZ110SR 11 лет назад. Где-то может даже валяется :-)

Дык ардуинщики вторую жизнь в него вдохнули.

Казалось бы, нафига, у приличных микроконтроллеров Ethernet и так есть. А, да, у этих странных людей там же 8-битный контроллер после 2015 года, конечно.

6000 правил в ipfw — это ты силён! :-)
У меня, я считал, очень развесистый файрволл — так 100 штук.

Даже 200 правил как-то много, у меня 5 сетей с разными наборами разрешений плюс DMZ — вот, меньше сотни (а каждый пакет проходит не более 5). Ты знаешь, что правила нынче можно писать гораздо более затейливые, чем старые из трёх частей proto from to? И таблицы можно делать затейливые. Очень сильно помогает оптимизировать файрволл.

Всякие странные скрипты генерировали из всяких странных мест всякие странные правила.
Порезал маленько

Я считал порты, загибал пальцы. Мне бы 4-х портов (плюс имеющийся свитч на 8) хватило бы вот ровно впритык, поэтому я решил, что 6 портов мне надо "на вырост".

После чего выбора сетевых карт и не осталось, 6xLAN, если новый процессор (поколения Skylake+) - на али есть две одинаковых платформы разных вендоров. Отличия - в форме корпуса.

VLAN'ы же. Или у тебя свитч неуправляемый? Мне бы, в общем, хватило одного порта, но с одним и двумя портами и Intel а не Realtek я не нашёл.

Я даже все 4 использовать не стал — у меня 1 порт — моя внутренняя сеть, а второй — wlantrusted + wlanguest + unifi (менеджмент Wlan'а, да, у меня UniFi AP AC теперь вместо карты прямо в рутере, увы, но WiFi так работает лучше, как бы мне не было обидно за FreeBSD) + провайдер входит :-)

Хотя если портов в свиче всего 8, то да...

Свитч неуправляемый - и его ровно хватает чтобы раздать на дом все. Поскольку он работает, я не вижу смысла его менять.

Т.е. если бы были бы свитчи вида 4-6 портов 10G медных (не SFP) + 8-10 портов гигабита, я бы даже и поменял бы. Но пока такой не нашел.

16+4 не катит? У наших новосибирцев (опять забыл как зовут) есть, стоит что-то около 14-15 тысяч рублей.

Хотя медные ли там порты или SFP+… Хм, не помню. Кажется, есть оба варианта, но могу ошибаться.

Если новосибирцы - это элтех, то я вижу у них 24+4 за 38, а 16+4 что-то не вижу.

MES3308F ? но это не тебе, конешно, это маломагистральник, у тебя это будет смотреться ну оооочень странно

100 штук однако

Проще ~16-портовый 10G/RJ45 купить, примерно те же деньги должны бы быть.

Есть HP: 48 портов 1G, 4 десятки. 67 тысяч.

Но мне столько, как ты понимаешь, не очень надо :)

Угу, но пока еще 850 баксов даже в штатах, а на маркете - нету.

И эта штука поэкономит мне два гигабитных порта (сторадж-боксы будут иметь не 1+10 выходы, а просто 10), за штуку как-то дороговато.

За 300 баксов - купил бы, да. И 8x1 + 4x10 купил бы тоже.

ну, да, всё так, это мы, полтора процента маргиналов-перфекционистов (привет, Арканоид!). мониторь/пинай Шеньжень ;-P

MES2324B — но, да, он не медный, он SFP'шный, как раз для меня, если бы не проблемы прокладки кабелей (мне не просунуть оптику от десктопа до места под свитч, увы).

Но вообще 10G в квартире пока смотрится странно.

Хотя вот топовые карты на 390'ом чипсете будут уже все с 10G, на каком-то новом чипе Aquantia AQC107 (Кстати, FreeBSD, кажется, эту фирму вообще не поддерживает).

10G дома конечно странно, однако вот равчики с SonyA7r-III нежатые у меня показываются что-то на 20 что ли FPS. Или 30, забыл уже. Это, соответственно, ~160/240 мегабайт в секунду.
На 8-ядерном горшке будет раза в два побольше.

2.5G, если NAS способен столько отдать, точно актуально.

Кстати вот интересно — приняли же промежуточные стандарты, на 2.5 и 5 для дома и старой проводки как раз. Где они?

И самое сложное — найти с Intel'овскими сетёвками, китайцы часто не пишут что стоит, а если пишут, то в тексте объявления что там Realtek :-)

И у тебя бесплатная доставка, зависть, я $38 за доставку платил. Правда и коробка моя $150 стоит. Большая разница за процессор, при том что 4 моих сетёвки стоят примерно как 6 твоих как раз, если ценам в даташитах верить.

Да, за процессор большая разница. Причем, i5-7200U, который по интеловским спекам стоит столько же, добавляет еще сотку.

Можно было взять с целероном, было бы дешевле, но я люблю всякий AVX2 погонять.

Я решил, что на раутере с пассивным охлаждением мне ничего кроме AES-NI не надо! Я на нём даже его же систему не собираю — NanoBSD :-)

А вот AES-NI работает отлично.

Я там маленечко девелоплю.

А, ну тогда да. Это я в виртуалке на десктопе делаю, и на сервере :-)

В виртуалке я тоже девелоплю, но если нужно три байта поправить - то на уже запущенной машине быстрее.

> NAT-ить IPv6

какую-то ты ересь пишешь, прости меня ;)

Ересь, да, но другого решения не нашел. МГТС дает мне /64 и раздать его дальше по дому штатными средствами IPv6 я не нашел как.
https://blog.lexa.ru/tags/ipv6

he.net ?

Зачем мне туннель?

Ну то есть вот сейчас у меня пинг до ipv6.google.com - 18ms, а будет 250 где-то?

97 у меня, и это Лондон, Франкфурт был бы быстрее.

18 в любом случае быстрее :)

если на то пошло, то есть российский брокер https://tb.ip4market.ru/ и пинг будет почти таким же, можно попинговать их 193.0.203.203
только не ясно, зачем вместе нативного ipv6 использоваться туннель.

затем, шо из МГТС больше /64 не добыть никакими ужымками и прыжками

Мне, в принципе, хватает.

То есть никто так и не объяснил мне, отчего нельзя NAT-ить. "не положено" и все там. Но все работает же.

похожее описывается в разных фантастических произведениях, когда за века знания утрачиваются, но какие-то железяки продолжают работать. и люди руководствуются заветами предков :-)

Прошу прощения что лезу со свиным рылом, но объясните для чего может не хватать префикса /64 ? Вы там чем вообще заним аетесь?

Его не хватает для раздачи дальше штатными средствами (автоконфигурации) IPv6

Опаньки. А мы своим пациентам тоже по /64 раздаем. Не знал, что кому то надо больше. Спасибо.

Не, ну /64 - это ровно на один сабнет (collision domain). А ежели у кого их больше? У меня вот их четыре, v6 нужен на двух.

Был бы нужен на одном - я бы что-нибудь куда-нибудь пробриджевал бы.

Есть же официальные IETF'ные рекомендации рекомендации — оконченчным клиентам /48, в крайнем случае /56.
/64 — одна подсесть, у роутера 2 интерфейса как минимум, т.е. уже надо две (наружу и внутрь), а если ещё WiFi, а если гостевой? Уже 4.

Зашёл на указанную страницу. Увидел там поле «телефон» в форме регистрации. Закрыл таб.

ну, тоже выход. а так - поле телефон там не проверяется, можно указать любой номер.

Хм. Перенумероваться что ли. Интересно, что у них с РКН. Потому что у меня это основное применение IPv6.

У РКН в списках вроде нету IPv6-адресов?

То есть с Native v6, без туннеля - у мну все что мне надо - работает (телега в первую очередь)

Намедни РКН прислало бумагу - говорит, скоро начнут поганить и ipv6
Велят готовиться. ((

я пока не сталкивался, т.е. через вышеуказанный туннель у меня тоже работает всё, что мне надо, включая телеграм. (правда исключая гугл по ipv6), но пишут, что РКН в конце лета собирался заняться и ipv6. и указывалась дата 1 октября
https://roskomsvoboda.org/41214/

Ходят слухи, что магистрали мегафона от этого может разорвать, они и с v4 справлялись не особо...

Клевещут. Все прекрасно блокируется.

И продолжат справляться не особо.
Я из-за глюков DNS'а Мегафона таки сделал себе свой VPN. Не из-за РКН, те домены, на которые я напарываюсь как на нересолвящиеся с мобильника, не в реестре.

Уж не думаете ли вы, что Мегафон реализует РКН блокировки, отравляя DNS ?

У меня нет мнения. Я просто наблюдаю факты. Может они просто криворукие пидарасы, это так же вероятно, как реализация именных запретов РКН через DNS.

Ну вот я перелез телефонным интернетом на мегафон (иркутский!) - работает как из пушки.

Не то, чтобы я много им пользовался, но вот чтобы что-то не резолвилось - не вспомню.

У меня не ресолвится, из последнего, https://www.filfre.net/. Хоть убей. А это блог который я читаю каждый день в транспорте.

Что-то ещё было с месяц назад.

Так-то я клиент мегафона с 1999 что ли года, в Питере всё равно лучше нет.

У меня говорит 'err_connection_timed_out', то есть это резолвится, но отфильтровано? Это через мегафон.

Через МТС мобильный и МГТС оптический - все работает.

Мне говорит в DNS_PROBE_FINISHED_NXDOMAIN
На работе и дома с разными проводными провайдерами проблем нет.

а в Европе как это реализовано? там ipv6 фильтруют?

А там есть глобальные списки фильтрации? Где почитать?

Интереснее как это устроено в Китае — это да.

ну вот, например
https://wiki.openrightsgroup.org/wiki/BT_Group#Network_filtering

пример Китая интересен только в теоретическом плане, насколько я могу судить - там есть политическая воля и ресурсы, чтобы реализовать централизованную государственную систему фильтрации, у нас же спихнули всё на провайдеров и за их счёт. Поэтому нам ближе примеры европейских стран, мне кажется.

починили на том туннеле гугл и из Ярославля у меня вот так пинг выглядит.
ipv6.google.com
PING ipv6.google.com (2a00:1450:4011:80c::1000): 56 data bytes
64 bytes from 2a00:1450:4011:80c::1000: seq=0 ttl=57 time=14.547 ms
64 bytes from 2a00:1450:4011:80c::1000: seq=1 ttl=57 time=14.909 ms
64 bytes from 2a00:1450:4011:80c::1000: seq=2 ttl=57 time=14.743 ms
64 bytes from 2a00:1450:4011:80c::1000: seq=3 ttl=57 time=14.827 ms

А фейсбук?

 ping -6 -c 3 facebook.com
PING facebook.com (2a03:2880:f10a:83:face:b00c:0:25de): 56 data bytes
64 bytes from 2a03:2880:f10a:83:face:b00c:0:25de: seq=0 ttl=57 time=36.237 ms
64 bytes from 2a03:2880:f10a:83:face:b00c:0:25de: seq=1 ttl=57 time=35.650 ms
64 bytes from 2a03:2880:f10a:83:face:b00c:0:25de: seq=2 ttl=57 time=36.223 ms

--- facebook.com ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 35.650/36.036/36.237 ms

напрямую так же.

хотел еще сказать о важности импортозамещения и приложить пинг до вконтакте, но ВНЕЗАПНО выяснилось, что ВК не поддерживает ipv6. от удивления даже погуглил, получается, что они в прошлом году отключили поддержку ipv6 из-за спамеров. неожиданная инновация!

У яндекса, смешно, тоже v6 адреса нет. У мейлру - есть.

почему у яндекса нет?
ya.ru [2a02:6b8::2:242]
yandex.ru [2a02:6b8:a::a]

он меня даже опознал по ip, говорит - Регион: Люберцы :-)

Точно, проглядел я, слишком сократился адрес и не видно, если по диагонали смотреть.

А его и не надо NATить, его надо роутить, ну и про firewall не забыть. У самого уже с год работает микротик и IPv6 /56 от моего провайдера. А так ваши хотелки вполне уложились бы в обычный микрот и intel nuс.

Еще раз: МГТС раздает /64, а не /56, что делать дальше штатными средствами?

NUC+микротик - дороже и делают в сумме тоже, и зачем? Кроме того, нагруженный NUC шумит (у меня их в доме три и я знаю)

Нет разницы, какого размера подсеть даёт МГТС, 64 это просто стандарт, 56 соответственно на много порядков больше. Штатными средствами чего? В микроте из выданного провайдером диапазона формируется пул, дальше уже всем компьютерам в сети (и роутеру тоже) из этого пула выделяется адрес по DHCP. Собственно всё, IPv6 работает, осталось только закрыть все порты снаружи (кроме ICMP).

По поводу NUC - ваше дело, просто ИМХО каждая железка должна заниматься своими задачами, если сетью, то это роутер с аппаратным шифрованием и пр. плюшками, если веб/разработкой, то более гибкий (но практически всё выполняющий на программном, а не аппаратном уровне) компьютер.

Разница есть, поскольку штатные средства v6 предполагают, что провайдер дает /56 (или больше) и это дальше расходится по сети штатными же средствами анонсов.

Для /64 штатные средства не работают, а NAT - работает, хоть и не штатный.

AES-NI я считаю достаточно аппаратным шифрованием, во всяком случае ~400Mb/sec оно может (на i3-6300T правда, на 7100U не пробовал бенчмаркать), а аплинк у меня 22Mb/sec

IPsec aes-256-gcm в режиме tunnel с Celeron J3160 на Xeon E3-1220v3:

Celeron → Xeon 536.50Mbit/s
Xeon → Celeron 609.66Mbit/s

Ну у мну поверх ssh/aes ходит zfs send/recv, 400 мегабайт/сек ходит, а больше мне и не надо, больше принимающая сторона не может. Там еще есть запас, хотя и небольшой.

Ух ты, весьма недурно, тогда ваше решение пожалуй даже поинтереснее будет моей связки. Остаётся только надеяться, что МГТС таки начнёт когда нибудь выдавать /56. Я бы вам посоветовал Ростелеком с его /56, но он тоже не в каждом районе Москвы работает, и даже не каждый день.. Было даже дело, что IPv4 полёг, поэтому у меня работали только некоторые крупные сайты вроде гугла/яндекса и то благодаря стороннему DNS IPv6 сервису.

Ну у меня все работает и с /64

Другой вопрос, что на FreeBSD-роутере работает, а на микротиках - сомневаюсь я.

Ростелеком еще за пределами Москвы бы начал выдавать ipv6. А то какой-нибудь call-center они могут сделать единый для кучи регионов, а колбаса(зачеркнуто) ipv6 все равно только для москвичей.

Вот проделал, не поленился:

# dd if=/dev/zero bs=1G count=10 | mbuffer -s 64k -m 64m | ssh -c aes128-cbc box2 mbuffer -q -o /dev/null -s 64k -m 64m
in @ 442 MiB/s, out @ 442 MiB/s, 9.9 GiB total, buffer 100% full
10+0 records in 10+0 records out 10737418240 bytes transferred in 23.986540 secs (447643486 bytes/sec)

Хотелось бы больше, конечно

А теперь сравни с передачей через nc (лучше бы ssh -c none, но это патчить надо) Что бы понять, что тут шифрование а что ебанина с пайпами и чтением из /dev/zero.
Да и ssh вообще так себе протокол для bulk-передачи.

Я не удивлюсь, если не в шифровании дело.

Ну вот зануда, а. Все нормально без шифрования:

# dd if=/dev/zero bs=1G count=10 |&nbsp; nc box2 9999<br>
        10+0 records in<br>
        10+0 records out<br>
        10737418240 bytes transferred in 9.911186 secs (1083363621 bytes/sec)

 

С mbuffer еще чуть быстрее:

# dd if=/dev/zero bs=1G count=10 |  mbuffer  -s 64k -m 64m -4 -O box2:9999
in @ 1180 MiB/s, out @ 1180 MiB/s, 9579 MiB total, buffer 100% full10+0 records in
10+0 records out
10737418240 bytes transferred in 9.524766 secs (1127315718 bytes/sec)
in @ 1170 MiB/s, out @ 1180 MiB/s,  9.9 GiB total, buffer  92% full

 

ssh -c none было бы интереснее, его часто обвиняют в маленьких окнах и тормозах на быстрых сетях из-за этого. Кстати, попробовать ssh с ChaCha20-Poly1305, он должен быть быстрее AES даже с AES-NI.

Но всё это имеет несколько теоретическое значение и уже выглядит как бенчмаркинг ради бенчмаркинга. да.

Я уже два раза выключал-выключал ящик приемный, в третий раз не буду (это теплый бэкап, он 98% времени off).
Завтра, если вспомню, попробую чачу
В любом случае, пока в этом ящике 5 старых дисков - шифрование не ограничивает. Будет больше/быстрее - ну буду думать, хотя опять же, ну вот средний объем ежедневного копирования туда - ну пусть 200 гигабайт (скорее даже меньше). Ну вот 500 секунд. Если будет 200 секунд - я разницы не замечу.

Чачу я уже попробовал, лажа. AES-NI решает.

И всё это очень странно:

# dd if=/dev/zero bs=128k count=65536 | ssh -c aes128-cbc blob dd of=/dev/zero
65536+0 records in
65536+0 records out
8589934592 bytes transferred in 101.567899 secs (84573322 bytes/sec)
16777216+0 records in
16777216+0 records out
8589934592 bytes transferred in 101.197121 secs (84883192 bytes/sec)

Но с чачей я промахнулся таки
# dd if=/dev/zero bs=128k count=65536 | ssh -c chacha20-poly1305@openssh.com blob dd of=/dev/zero
agent key RSA SHA256:CqZatTzFs7w2KvB7cDkR56MboRD4lWTofRj4oN+fiWs returned incorrect signature type
65536+0 records in
65536+0 records out
8589934592 bytes transferred in 212.370184 secs (40447931 bytes/sec)
16777216+0 records in
16777216+0 records out
8589934592 bytes transferred in 212.007001 secs (40517221 bytes/sec)

Это с J3160 на Xeon E3, причём пол-процессора J3160 занято рутингом торрентов, если верить top -SH. mbufer у меня не стоит.

(для меня тег code не сработал)

Это только по блату

Кстати, откажись от CBC, GCM быстрее заметно, вот полный гигабит

# dd if=/dev/zero bs=129k count=65535 | ssh -c aes128-gcm@openssh.com blob dd of=/dev/null
65535+0 records in
65535+0 records out
8656911360 bytes transferred in 86.119209 secs (100522421 bytes/sec)
16908030+0 records in
16908030+0 records out
8656911360 bytes transferred in 85.750571 secs (100954563 bytes/sec)

Unknown cipher type 'aes128-gcm'

aes128-gcm@openssh.com

ssh -Q cipher

Офигенно, спасибо:

# dd if=/dev/zero bs=1G count=10 | mbuffer -s 64k -m 64m | ssh -c aes128-gcm@openssh.com box2 mbuffer -q -o /dev/null -s 64k -m 64m<br>
        in @ 1034 MiB/s, out @ 1034 MiB/s,; 9.8 GiB total, buffer 100% full
       10+0 records in 10+0 records out 10737418240 bytes transferred in 11.444735 secs (938197213 bytes/sec)

 

Зашибись! :-)

Но ssh просто сильно удобнее для "оркестрации", а с учетом того, что zfs recv все едино сильно больше 400Mb/sec на приемнике не может принять, ну хер с ним с ваттами на шифрование.

А если поставить MTU 8192 (я-то тестировал поверх 9000) то вообще сказка

Celeron → Xeon 968.33
Xeon → Celeron 969.00

Т.е. если связь прямо отличная, то становится выгодно фрагментировать пакеты :-)

Штатными средствами в IPv6 является раздача префикса /64 на домен коллизий через rtadv, с автоконфигурацией остальных битов.
Всё остальное — уже не штатные средства.

> Когда у процессора 70 градусов - корпус, естественно, не холодный, я бы сказал (на ощупь, конечно ж) что градусов 55-60. Диск (расположенный с другой стороны корпуса) при этом нагревается до 52

Какая гадость эта ваша заливная рыба...

Можно присобачить USB-вентилятор снаружи, чтобы дул на корпус. Но теряется идея.

Ну да, ну да. Пусть лучше винт от перегреву проработает год вместо пяти, и гавкнется внезапно, в самый неподходящий момент. К SSD это, кстати, тоже относится.
А еще внешний БП - небось, типа ноутбучного, в наглухо заклеенном пластиковом корпусе без вентиляции?
В общем, купите огнетушитель и поставьте рядом...

А в чём проблема? Нормальные рабочие температуры.

Ага. Особенно 52 градуса на диске.

Это SSD. До 70 нормально и гарантийно работает любой кремний. На самом деле и до 90.

Ну вот я на десктопе поставил копироваться с одного M.2 на другой - оба быстро доросли до 60C. Throttling там градусов с 80 начинается, IMHO.
В 2.5" SSD - те же самые микросхемы.

Т.е. я не вижу тут проблемы "с диском".

Питальник - 60вт, потребляется в пике ну 20-30, поэтому он заметно холоднее.

найти NVMe холоднее это еще поискать, греются они от души.

Ковыряю такую же коробочку (только с i5 7200U): https://dmesgd.nycbug.org/index.cgi?do=view&id=4589

Одна проблема - в посылке не было и не могу пока найти в сети "гнездо", где жили бы обновления BIOS и описание материнки, а то на ней такие интересные разъемчики есть USB-подобные, а что оно на самом деле такое, непонятно... Где-то видел в блоге про обновление его BIOS (не могу найти прямо сейчас), а откуда дровишки?

Я не обновлял BIOS и не помню чтобы об этом кто-то тут писал.

BIOS обновлялся у супермикры, вот возможно с этим прямым углом путаница

Скорее всего. Печаль.

Приветствую.

Тянет-тянет мой некротик домашний сменить на что-то посовременнее, ибо что-то он гигабит не вытягивает на аплоад, и файфай несколько староват. Я писал тут в каментах про попытку построить роутер на делл оптиплекс и две 4-ёх портовых карты. Плохо оказалось. Шумно, и не на всяком железе так вот запросто. Отсель вопрос.

а) Завелось?
б) Пфсенс или голая фри?
в) А что с вайфай?
г) Что собстно за железка?

Спасибо.

Завелось без проблем, голая фри. Вифи нету, но есть M.2 разъем под нее (но в этом месте та проблема, что M.2 WiFi и FreeBSD - ну надо читать/искать что поддерживается).

Ссылка на конкретно то что я купил вот (она же есть и в последней строчке постинга): https://ru.aliexpress.com/item/Eglobal-6-Intel-Lans-Fanless-X86-Mini-PC-...

Но вообще у китайцев мульены таких.

В наших деревнях выглядит так:
mini pc c Али, без ссд, без мозгов: https://ru.aliexpress.com/item/Qotom-Core-i3-i5-i7-4-Gigabit-Ethernet-NI... Q375G4 5550U -- с доставкой 305 CHF, и это сверху ещё мозги, хард, ссд, вайфай.

Какой "родной" pfsense, всё готово сразу: https://www.reichelt.com/ch/de/open-source-router-turris-omnia-2-gb-wlan... 313

Куды податься?

Я на этой коробочке сегодня, к примеру, Libraw собирал-тестировал и тп.
А на "роутере" - обычно такие штуки не проходят.

Т.е. я хотел именно полноценный PC

у моей коробки есть перенаправление BIOS в последовательной консоли, которая, в отсутствие VGA, решает

Не поленился найти этот пост.

Моя коробка сгнила совсем. Я заменил термпорокладку на крутую АрктикАйс (термопаста, похоже, оттуда вытекает), но всё равно самопроизвольные выключения. Если в этот момент мониторить температуру — то никаких аномалий, ну процессор (dev.cpu.0.themperature) 49-50 градусов.

С нагрузкой это очевидно связано (включил торренты - повисли через 5 минут), но регулярно виснет и без нагрузки. При этом НЕ ОСТЫВАЕТ, выключившись. Т.е. лампочки не горят, а он тёплый. Надо вынимать провод питания и ждать. А, и теряет настройки BIOS'а что приводит к конфликту serial console.

Эх. Я в печали. Из фирменного подобного есть супермикра (с двумя сетевыми SYS-E50-9AP, но есть вариант и с 5), но стоит космос и нигде нет в продаже. Что делать — не знаю.

Тот, что купил ты, до сих пор стоит удивительно дорого, особенно учитывая сетевые чипы 10-ти летней давности (везде уже ставят I210/I211, которые гораздо лучше, холоднее сами по себе, и умеют распределять нагрузку по ядрам).

Может и дорого, но пока - работает. Получается года полтора уже.

Обидно конечно будет узнать, что у них время жизни год-два.

Ну вот у тебя корпус по теплоотдаче как у меня, а процессор вдвое горячее. И, заметим, у тебя на полной мощности перегрев, а у меня в начале жизни не было, выдерживал (хотя на моём атоме powermon не работает, но когда idle 0% и процессор 100% в C1 на повышенной частоте я думаю это полная мощность).

Может у меня вообще конденсатор какой высох, а тебе более живучий попался… Или расположен на плате удачнее и не так его жарит…

Он может и горячее, но вот сейчас - 3 ватта по powermon и это типичная его загрузка (200 мбит торрентов едет, но после перевода ipfw на tables - это не нагрузка).
Бывает больше, когда я на этом ящике LibRaw собираю, но как понимаешь - очень краткосрочно.

Я вполне целеноправленно хотел i3-7xxxx, по причине очень хорошего управления питанием (что я узнал по MS Surface со скайлейком).

У i3-5xxxU хуже? Стоит именно на i3-7xxxU прогнуться (доплатить)? Я с 7100U нашёл вот такое (и с I210!): https://aliexpress.ru/item/4000618628187.html
$240 без памяти (там DDR3L, не DDR4, такая у меня есть). Но смущает, что ничего не сказано про Serial console.
А есть ещё вот такое с 5010U, и дешевле на $50, и Serial console упомянтуа: https://aliexpress.ru/item/4000269756696.html

У меня 6-портовая модель EGlobal M6-7200U с i5 7200U на борту, всё хорошо с управлением частотой:

dev.cpu.0.cx_method: C1/mwait/hwc C2/mwait/hwc C3/mwait/hwc
dev.cpu.0.cx_usage_counters: 4659239 28393638 1013551
dev.cpu.0.cx_usage: 13.67% 83.34% 2.97% last 778us
dev.cpu.0.cx_lowest: C3
dev.cpu.0.cx_supported: C1/1/1 C2/2/151 C3/3/1034
dev.cpu.0.freq_levels: 2601/15000 2600/14236 2500/13487 2400/12752 2200/11467 2000/10234 1900/9566 1700/8271 1500/7163 1400/6561 1200/5522 1100/4957 800/3461 700/2945 600/2559 400/1586
dev.cpu.0.freq: 400
dev.cpu.0.temperature: 41,0C
dev.cpu.0.coretemp.throttle_log: 0
dev.cpu.0.coretemp.tjmax: 100,0C
dev.cpu.0.coretemp.resolution: 1
dev.cpu.0.coretemp.delta: 59

Ну формально всё хорошо с управлением частотой и на моём N3160, который не Core вообще:

dev.cpu.0.cx_method: C1/mwait/hwc C2/mwait/hwc C3/mwait/hwc
dev.cpu.0.cx_usage_counters: 5776 24771 33989
dev.cpu.0.cx_usage: 8.95% 38.38% 52.66% last 1951us
dev.cpu.0.cx_lowest: C3
dev.cpu.0.cx_supported: C1/1/1 C2/2/500 C3/3/1000
dev.cpu.0.freq_levels: 1601/2000 1600/2000 1520/1900 1440/1800 1360/1700 1280/1600 1200/1500 1120/1400 1040/1300 960/1200 880/1100 800/1000 720/900 640/800 560/700 480/600 420/525 360/450 300/375 240/300 180/225 120/150 60/75
dev.cpu.0.freq: 180
dev.cpu.0.temperature: 39.0C
dev.cpu.0.coretemp.throttle_log: 0
dev.cpu.0.coretemp.tjmax: 90.0C
dev.cpu.0.coretemp.resolution: 1
dev.cpu.0.coretemp.delta: 50
dev.cpu.0.%parent: acpi0
dev.cpu.0.%pnpinfo: _HID=none _UID=0
dev.cpu.0.%location: handle=\_PR_.CPU0
dev.cpu.0.%driver: cpu
dev.cpu.0.%desc: ACPI CPU

У него ещё и имя есть, смешно! Но что-то он на $100 дороже чем то, что я нашёл на том же проце, но в другом корпусе и с I210. Но с DDR3 а не DDR4. Такие вот расклады.

Но вообще EGlobal жлобы. Или Realtek или десятилетний Intel 82583V у которого одна (!) очередь.
I210/211? Не, не слышал. Что на дорогих железках, что на дешёвых. Если 2 порта — Realtek, если 6 — 82583V.

Скажу тебе так: на самбу на этой железке у мну льется на wirespeed (120Mb/sec). По 6 интерфейсам разом не пробовал, а вот по одному - ну одна очередь и что?

Я не уверен что у меня Eglobal (не буду сейчас разбираться), но оно какое-то именованое, да.

Ты сам пишешь, что у тебя em — так что почти наверняка оно. И выглядит 1:1 и параметры и цена совпадают.

Про одну очередь: в том-то и проблема (моя) с торрентами и предыдущей железкой была, что торренты упирались в одно ядро (потому что очередь одна, pps высокий, именно pps а не bandwidth) и всё, приехали. Когда это размазывается по 4 ядрам — в 4 раза легче, натурально (у N3160 4 честных ядра без SMT, в отличие у i3/i5/i7 ноутбучных старых, где ядра 2 и кое-где есть SMT).

А пробовал net.isr.dispatch=deferred совместно с net.isr.maxthreads=net.isr.numthreads=4 ?

Теоретически тогда обработчик прерывания от сетевой только кладёт принятый пакет в очередь NETISR и идёт выбирать следующий пакет, а из очереди выбирают другие ядерные треды, работающие на других ядрах. Практически из-за лишней очереди от этого могут увеличиться задержки обработки пакетов и скушать часть скорости TCP, так что надо тестировать на конкретном железе. И ещё все гигабитные сетевые Intel умеют группировку прерываний и этим надо пользоваться:

dev.em.0.rx_int_delay=180
dev.em.0.tx_int_delay=180
dev.em.0.rx_abs_int_delay=3900
dev.em.0.tx_abs_int_delay=3900

dev.em.0.rx_int_delay=200
dev.em.0.tx_int_delay=200
dev.em.0.rx_abs_int_delay=4000
dev.em.0.tx_abs_int_delay=4000
dev.em.0.rx_processing_limit=-1

Такое хитровыделанное выставление значений дважды нужно было раньше из-за того, что /etc/rc.d/sysctl иногда не прописывал значения в ядро (экономил вызовы, гад), а без этого нет перепрограммирования чипов. Может, нынче починили, не перепроверял.

И пробовал и не пробовал.
На старой железке (где были em) оно неособо помогало потому что там вообще процессор был очень дохлый и как ни крути столько не мог.
На новой железке (которая вот начала помирать) I210 и это не надо.
Железки с мощным процом и em у меня просто нет :-)

Про модерацию прерываний знаю, да. Хотя что-то там с iflib'ом вместе переписывали.

А iperf по TCP, да, показывает wirespeed без какой-либо заметной нагрузки на процессор.

Да, skylake (и новее) в смысле экономии питания - куда лучше Kabylake (и 5xxx тоже, забыл как правильно зовут).

Это помимо SpeedShift, который отдельно хорош.

Serial console на твоей ссылке нарисована. Даже две и третья на материнке

Ты не путай serial port и serial console. Под serial console я понимаю способность BIOS себя туда отрисовать и дать собой порулить там, а не на VGA-экране с USB-клавиатурой.

Serial ports там дофига, факт. Есть ли нужный модуль в BIOS (UEFI) — вопрос открытый.

А ещё я хочу посмотреть твой файрволл! Потому что мой на таблицах жрёт процессор как ни в себя на торрентах.
Или это nat, там пойди разбери, всё в одном потоке (ну да, dtrace может показать, но мне сейчас дышать на него страшно).

Да там и нет особо ничего. три группы pipe (и там дальше pipe config bw), чтобы один детский торрент не положил бы весь наш wifi, на ipfw, плюс nat на ipnat.

Именно файрволла как защиты от непойми чего - и нету, поскольку я считаю что два NAT для этого вполне достаточно.

dummynet тоже дюже дорогой
А вот ipnat надо попробовать отдельный. Я часто слышал, что он быстрее чем ipfw nat.

так. надо ОПЯТЬ Олега запинать на публикацыю.

Мы с довольно дешёвой железки снимаем половину wirespeed ix с участием ната. да, это _ещё один ядерный модуль_ ;-P

В смысле, вы полностью написали свой NAT и не делитесь?!

там смешная история, о нескольких сторонах

(long long ago in a *our* galaxy)

- мы пытались в ipnat, и был он плох, и падал
- и был pf, который об ту сторону был одноядерен, и Глебиус пока ещё его не переёб
- и был ipfw, который был всем хорош, и даже уже с таблицами, и даже уже с tableagr(), но

и был сумрачный Олег, который в какой-то момент сказал "да ну его нах!", будем ебять по-нашему (извенити [tm])

в результате, у нас на настоящиё момент есть консолидированный ядрёный модуль с:
- NAT
- bandwidth limiter (не честный CAR, но близко к тому)
- раз уж есть state table, то netflow v5 (+nat transition on premise) exporter
- (вымарано) с последнего ещё и TLS analyzer

только Олега поди раскачай это выложить.

но я попробую, в очередной раз

ОБЕЩАЮ БЕНЧМАРКИ И БАГРЕПОРТЫ!

Это в ринетике?

Вот блин вспоминая одну недавнюю историю - не надо ли публикацию согласовать с новым собственником (и, да, конечно надо было со старым и раньше)

"Лиса, Лиса!" (c) Жыхарка

(занудно) всё до 17 декабря 2019 -- скорее всего, только с персоналиями

дальше мутнее, но и то надо копать

("я не зануда, и вот почему")

Дата продажи - да, но не возникло ли у ринетика права собственности на этот код (как может подумать новый собственник лет через 10). Если возникла, то ринет купили вместе с кодом.

кейс Игоря мы помним, разумеется, и держим в голове.

"маловероятно" [tm] ;-)

Конечно маловероятно. Но. Больше бумаги - чище задница.

Можно наверное от старого начальства задним числом получить бумагу, что ринет не претендует.

ну, и, пытаться совать в дерево *четвёртый* нат как-то туповательно, плюс оно несовместимо с двенашкой и дальше

(а, да, ещё у нас есть semi-static ARP, который нельзя перезаписать но который протухает, который тоже ни с чем несовместим)

Упс, несовместимо с двенашкой — это я рано пообещал багрепорты и бенчмарки.

oleg@

пинай ;)

(я поддержку обеспечу, ежличо ;-P)

Нынче пошла мода ядерные модули совать в порты. Еслифчо, я могу прокоммитить порт.

Насчет управления питанием могу поделиться тюнингом, так как некоторые дефолты в ACPI BIOS там вообще не прописаны и passive cooling без тюнинга не работает. Всё в /etc/sysctl.conf:

hw.acpi.thermal.user_override=1
hw.acpi.thermal.tz0._PSV=75C
hw.acpi.thermal.tz0._CRT=100C
hw.acpi.thermal.tz0._TC1=1
hw.acpi.thermal.tz0._TC2=1
hw.acpi.thermal.tz0._TSP=10
hw.acpi.thermal.tz0.passive_cooling=1

hw.acpi.cpu.cx_lowest=C3
dev.cpu.0.cx_lowest=C3
dev.cpu.1.cx_lowest=C3

kern.timecounter.hardware=HPET
#EOF

В /boot/loader.conf:

coretemp_load="YES"
hw.memtest.test=0
hw.pci.do_power_nodriver=1

В /etc/rc.conf:

powerd_enable="YES"
powerd_flags="-a hiadaptive -n hiadaptive"

Всё почти так и было, кроме hw.acpi.thermal.tz0._PSV=75C (стояло 85) и hw.acpi.thermal.tz0._TSP=10 (стояло 50)
А что эти TC1/TC2/TSP значат?

powerd я запускаю, конечно.

TC1/TC2/TSP это некие коэффициенты для passive cooling, они тоже берутся из ACPI и без положительных значенией фрёвый passive cooling отказывается включаться (sanity checks), значения выставил относительно от балды и просто протестировал, что они ничего не ломают и при этом passive cooling запускается. За деталями надо лезть в спецификации ACPI и/или в сорцы, я их благополучно забыл уже.

Просто я подумал, TC1/TC2 не параметры ли буста это, которые сейчас так активно обсуждают на всяких анадтечах.
В общем, у меня нижний порог температуры стоял даже консервативнее, TSP в 50 а не в 10, а остальное так же. Видимо не совсем мусорный BIOS.

А полтора года он у меня и отработал, получается, что мы очень одновременно купили.

Ну я пока даже вот до термопрокладок не добрался, и так все в порядке.

dev.cpu.0.temperature: 44,0C

Ну у меня сейчас вообще 38.0, но может выключиться в любую минуту. В этом и проблема. Если бы я видел перед выключением 89 — я бы знал что делать. А так — совершенно не ясно.

Т.е. замена термопрокладки была жестом отчаянья — ну а что я могу ещё сделать, кроме как поменять термоинтерфейс?

У меня нет доказательств, что это с температурой связано. Выше 55 я не видел ни разу вообще.

Так может проблема софтовая и оно не отключается, а виснет?

Ну я же вижу, что лампочка питания не горит и после такого ему надо постоять с выдернутым физически питанием 3-4 минуты что бы включиться снова.

Скорее какой-то DC-DC на плате помирает.

Нагуглил вот случайно FAQ и там есть похожий девятый вопрос: https://eglobal.en.alibaba.com/product/62090450413-803964356/M6_7200U_mi...

«The PC should update BIOS. Please contact our Pre-sales to get the update BIOS software and how to do» — гыгыгы. Я, конечно, попробую написать продавцу, aliexpress всё помнит, но как-то надежды мало!

Батарейка там ещё и припаяна, зараза. Хорошо на провод, а не на плату.

Потеря настроек BIOS как-бы намекает на проблемы с батарейкой CMOS, стоит попробовать заменить, цена вопроса не высока.

Я встречал, что при дохлой батарейке начинает неправильно вести себя аппаратный таймер (правда, на гораздо более древнем железе), мало ли что в этом детище сумрачного китайского сборщика от этого барахлит и вызывает срабатывание какой-нибудь защиты.

Менял, по вольтметру всё отлично, при загрузке всё равно Bad Battery и не сохраняет настройки. А вот время и дату — сохраняет!

Женя. это мы стобой (ну, на самом деле, примерно все участники этого треда) старпёры и помним времена, когда не было ионисторов и NVRAM был дорог очень

;-P

Ну да, я помладше буду, но не на столько, что бы не помнить :) Менял я батарейку, вместе с тероминтерфейсом (ну, стекло протирал и по колёсам стучал), свежая стоит.

Лёва, я ни секунды не сомневаюсь.

Just Bad Luck then, похоже

Угу…
Попробую, натурально, продавцу написать. Может ответит что :-)

Насколько я ошибаюсь, производитель даёт три года гарантии на железку.

Ну, у меня другая железка и (формально) другой производитель, они просто все очень похожи.
Но я напишу обязательно

Ещё интересный Datapoint: Если выключить железку, когда она работает (хотя бы и выдернув питание, а не по shutdown -p) то настройки BIOS'а не теряются. Хотя я вот так выключил вечером и она простояла выключенной до утра, часов 10, без питания. Ничего не потеряла!

А тогда такой вопрос: UPS, заземление?

UPS да (простенький, но работает) заземление — нет, потому что это городская квартира, а питание подаётся на железку в виде 12 вольт от "Ноутбучного" БП (ну, этот БП шёл в комплекте). Сам БП воткнут в UPS тремя проводами, UPS в розетку — тремя, но я понятия не имею, на сколько «честная» земля в квартире.

для ответа на этот вопрос нужен какой-нибудь side channel, а его, сколь я понимаю, нету

Ну, есть вся диагностика в ядре и serial console. По крайней мере это не паники. Но, повторю, так как чаще всего просто оно оказывается выключенным (4 раза из 5), то я не верю в софт.

А можно тебя попросить на этой железке запустить вот такое и показать результат?

openssl speed aes-256-cbc
openssl speed -evp aes-256-cbc
openssl speed -evp aes-256-gcm

Спасибо.

# openssl speed aes-256-cbc
Doing aes-256 cbc for 3s on 16 size blocks: 11460771 aes-256 cbc's in 3.00s
Doing aes-256 cbc for 3s on 64 size blocks: 3520206 aes-256 cbc's in 3.01s
Doing aes-256 cbc for 3s on 256 size blocks: 908189 aes-256 cbc's in 3.00s
Doing aes-256 cbc for 3s on 1024 size blocks: 229228 aes-256 cbc's in 3.01s
Doing aes-256 cbc for 3s on 8192 size blocks: 28536 aes-256 cbc's in 3.02s
OpenSSL 1.0.2p-freebsd 14 Aug 2018
built on: date not available
options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256 cbc 61124.11k 74902.67k 77498.79k 78039.93k 77518.56k

# openssl speed -evp aes-256-cbc
Doing aes-256-cbc for 3s on 16 size blocks: 102193657 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 64 size blocks: 30199891 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 256 size blocks: 7653168 aes-256-cbc's in 3.01s
Doing aes-256-cbc for 3s on 1024 size blocks: 1913002 aes-256-cbc's in 3.00s
Doing aes-256-cbc for 3s on 8192 size blocks: 242397 aes-256-cbc's in 3.01s
OpenSSL 1.0.2p-freebsd 14 Aug 2018
built on: date not available
options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256-cbc 545032.84k 642590.93k 651374.05k 652971.35k 660186.17k

CPU: Intel(R) Core(TM) i3-7100U CPU @ 2.40GHz (2400.09-MHz K8-class CPU)
Origin="GenuineIntel" Id=0x806e9 Family=0x6 Model=0x8e Stepping=9
Features=0xbfebfbff
Features2=0x7ffafbbf
AMD Features=0x2c100800
AMD Features2=0x121
Structured Extended Features=0x29c67af
Structured Extended Features3=0xc000000
XSAVE Features=0xf
VT-x: PAT,HLT,MTF,PAUSE,EPT,UG,VPID
TSC: P-state invariant, performance statistics

Вот 3й

# openssl speed -evp aes-256-gcm
Doing aes-256-gcm for 3s on 16 size blocks: 64686478 aes-256-gcm's in 3.00s
Doing aes-256-gcm for 3s on 64 size blocks: 41788324 aes-256-gcm's in 2.99s
Doing aes-256-gcm for 3s on 256 size blocks: 18321996 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 1024 size blocks: 6672638 aes-256-gcm's in 3.01s
Doing aes-256-gcm for 3s on 8192 size blocks: 969102 aes-256-gcm's in 3.02s
OpenSSL 1.0.2p-freebsd 14 Aug 2018
built on: date not available
options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx)
compiler: clang
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256-gcm 344994.55k 893811.88k 1559416.01k 2271677.94k 2632583.16k

Спасибо. Интересно, что чисто в софтовом виде (без -evp) он медленней чем мой J3160, а вот с AES-NI (-evp - версии) быстрее в ~3 раза на cbc и в ~10 раз на gcm!

Я ожидал бы что разница будет одинаковая примерно везде!

В софтовом случае надо поди сравнивать точно те же версии и так же собранные?
У меня системная openssl от 11.2-STABLE FreeBSD 11.2-STABLE #5 r339419:

При этом, в make.conf нет ничего про CPU/оптимизации, а это может быть и важно.

Ну, в make.conf/src.conf у меня тоже ничего про CPU/оптимизации, но версия поновее, 1.1.1, потому что это 13-ая (старая, больше года ей, так что можно считать что примерно 12-ая). Но у тебя частота больше (2.4 против 1.6 у меня)...

Турба то 2.24 у тебя.

У атомов нет турбы (оно как-то иначе называется и иначе работает), и я так и не понял, включается оно или нет. turbostat показывает странное.

https://ark.intel.com/content/www/ru/ru/ark/products/91533/intel-celeron...

Базовая тактовая частота процессора 1,60 GHz
максимальная частота ядра 2.24 GHz

Да, я это читал, конечно, но результаты у меня странные. Turbo = off в BIOS чуть-чуть быстрее чем Turbo = on, на температуру не влияет, виснет/выключается одинаково.

А в dev.cpu.0.freq - что?

1601 под нагрузкой, т.е., видимо, его атомная турба.

Вот вывод turbostat под нагрузкой на все 4 ядра (мультитредный openssl На 5 секунд), Turbo = off в BIOS

Package Core CPU Avg_MHz Busy% Bzy_MHz TSC_MHz IRQ SMI CPU%c1 CPU%c3 CPU%c6 CoreTmp
- - - 2240 100.00 3733 1600 716 0 0.00 0.00 0.00 54
0 0 0 2240 100.00 3733 1600 298 0 0.00 0.00 0.00 51
0 1 1 2240 100.00 3733 1600 244 0 0.00 0.00 0.00 49
1 0 2 2240 100.00 3733 1600 109 0 0.00 0.00 0.00 50
1 1 3 2240 100.00 3733 1600 65 0 0.00 0.00 0.00 54

И чему верить!?

Я просто пытаюсь как-то осознать, будет ли у меня так же нагружен i3-7100U как сейчас нагружен (на самом деле нет, не нагружен, потому что тогда он всё так же виснет) J3160. Или core настолько эффективней Atom, что ему будет легче...
При том, что основная нагрузка вовсе не VPN с AES'ом, так что этот тест — ну, такое себе.

Ну у меня из атомов только серверный (C3758). Ну и тамошние 8 ядер примерно такие же, как 2 ядра у i3-6xxx (на задаче make -j.. buildworld) при близких частотах.

Я что-то такое мерял и публиковал, сейчас не буду повторять