И сумрачный китайский гений....

Лет уже эдак пять (а может и десять, я попытался вспомнить и не смог) в домашнем сетевом хозяйстве я сочетал сторадж (как минимум, бэкапный), прочие сетевые функции (роутинг, NAT, DNS, почта, итп) и всякую юниксовую разработку (ну, к примеру, скрипты на PHP поотлаживать) в одном ящике.

Если честно - то неудобно. В том же сторадже иногда хочется поменять диск, это минимум на полчаса - и все эти полчаса домашние ходят вокруг кругами и громко молчат, ибо жить без интернету уже не приучены.

Захотелось мне вынести базовые функции (роутинг, NAT, DNS, почта), а заодно и все мое мелкое веб-программирование в отдельный маленький ящик. Только в этом маленьком ящике мне нужно было минимум 4 гигабитных ethernet (два аплинка, два сегмента домашней сети), а это, как мне казалось, подразумевает все-таки mini-ITX:

  • либо 4 ethernet на материнской плате (такие бывают, хоть и недешевые UPD: и 6x:LAN бывает, китайцы могут все)
  • либо один слот PCIe - и 4-портовую ethernet-карту туда сунуть (она у меня даже и есть).

Однако поиски маленького  mini-ITX-корпуса как-то меня опечалили. Не такие они и маленькие, ну где-то ~28x28x8 сантиметров самое мелкое что бывает (upd: 20x20x6 самое мелкое, но плату расширения уже никак) и то, это будет с внешним и довольно большим блоком питания.

Но тут в фейсбуке подсказали - оказывается китайцы лепят mini-PC в том числе и:

  • 4 ethernet + WiFi
  • И даже 6 ethernet
  • И даже с сравнительно новыми процессорами (просто mini-PC есть уже и с core 8-го поколения).

Возрадовавшись - купил. Ехало больше двух недель, но в среду доехало, а вчера было уже в бою.

Выглядит оно так:

Внутри же - все прекрасно:

Два слота под SODIMM, два слота M.2 (под сторадж и под Wifi), разъем SATA (короткие проводочки - в комплекте), 6xEthernet (em0: Intel(R) PRO/1000 Network Connection)  4xUSB3 и даже последовательный порт есть (и я бы его использовал как консоль, если бы в доме был бы еще один такой). Вот чего нет - так это дисплейпорта, но в роутере он вроде и не нужен, а в мини-PC с одним ethenet - у китайцев есть варианты на все вкусы.

Кроме того, в поставке VESA-bracket, который удобно привинтился к полке снизу - и теперь эта штука висит (см. первую фоточку), причем висит с правильным зазором, как раз пролазят провода. Синей изолентой туда же примотан внешний блок питания, вместе с блоком общие размеры 18x12x6 сантиметров (без блока и без ножек подвески - 15x12x5)

Вентиляторов там нет, охлаждение обеспечивается корпусом-радиатором и охлаждение я, естественно, тестировал. Результаты такие:

  • Prime95 прогревает процессор градусов до 70-72.
  • make -j8 buildworld - тоже до 70-72
  • make -j2 buildworld - до 56-65 "в норме" и иногда пики до 70.

Когда у процессора 70 градусов - корпус, естественно, не холодный, я бы сказал (на ощупь, конечно ж) что градусов 55-60. Диск (расположенный с другой стороны корпуса) при этом нагревается до 52. После снятия нагрузки температура процессора быстро падает до 55, а потом уменьшается очень медленно, доли градуса в минуту, вероятно по той причине, что теплоемкость корпуса-радиатора достаточно велика.

В idle-режиме процессор жрет два ватта (и температура его 42C), меньше добиться не удалось. При роутинге ~200Mbit на вход в дом (полная загрузка торрентами) - 4-4.5 ватта и 44-45 градусов (загрузка CPU зависит, понятно, от количества правил в ipfw: если там 200 правил, то вот как написано, а если ~6000 правил - то 15 ватт и перегрев).

Пока я сильно доволен результатом (в частности, можно storage-ящик гасить на ночь, не отключая при этом весь интернет).

Понятно, что некоторую часть функциональности мог бы выполнить и какой-то микротик (за заметно меньшие деньги), но

  1. Что-то я не уверен, что микротики умеют NAT-ить IPv6
  2. Ну и совершенно точно, иметь там веб-девелопмент, гитовские репозитории и т.п. - не получилось бы.

Бюджет проекта получился ~$450 ($339 за платформу, 8GB памяти, 240Gb SSD), платформу я покупал конкретно вот эту, но вообще их там (ровно таких же и похожих) - навалом.

 

Comments

Хахахах. Синхрон.

Я купил себе На J3160 и 4xI210 только что. Дешевле гораздо, и мои потребности решает. Купил именно потому что MiniITX огорчил выбором (у меня до этого был Intel D2500CC но его стало не хватать). Один минус — дали только один слот памяти. Но коробка меньше твоей, да.

Кстати, у тебя сетёвки древнее ;-) И ядра 2. Я выбирал между 2 ядра и больше мегагерц и 4 ядра и меньше мегагерц. Выбрал ядра.

Именно у неё были глюки с турборежимом (и остаются).

Кстати, у моей коробки есть редирект BIOS'а в Serial console, что при отсутствии VGA, решает (делать у коробки 4xLAN 2xHDMI очень странное решение).

У моей тоже вроде бы есть, но включить serial мне (кажется) некуда.

Ну, я купил RJ45-Serial-to-USB и положил воткнутым. Если что непонятно подхожу с ноутбуком к полке и смотрю чо там. При моей любви жить на cutting edge а не на stable иногда надо. BIOS, понятно, не так неужен, после того как с настрйоками разобрался, но приятно что можно если придётся.

Интересная мысль: потому что если вдруг можно выключить в этом ящике USB вовсе, оставить только Serial, то глядишь 1 ватт в потреблении поэкономлю. Это ~4 рубля в месяц!

Так, объясни, со стороны ноутбука что у тебя за софт?

PuTTY просто. Это же COM2USB, виден как COM в системе.

А(н/г)алогично, PuTTY. Правда, у меня еще стоит и MOXA terminal server, потому как последовательных портов в стойке и вокруг дофига. Если на 1-2 порта, то есть WIZ125SR, WIZ110SR http://www.saelig.com/product/BRD019.htm и http://www.saelig.com/product/ETH026.htm и аналогичные.

Я прямо вот шнур RS323/RJ45 -> USB вчерась купил за 4 фунта, приедет - посмотрим каков этот сухов.

А это не просто переходник пассивный?

Ну как сделать пассивный переходник из RS232 в USB? Там в USB-вилке типично FT232R или ещё что-нибудь подобное.
У меня вот FT232R, но я видел и на других, CP2102 и ещё что-то.

Пассивный делают в DB9.

Да, конечно, очитка вышла. По инерции прочел RS232 в RJ45

Ой, визнет ещё жив. У меня был WIZ110SR 11 лет назад. Где-то может даже валяется :-)

Дык ардуинщики вторую жизнь в него вдохнули.

Казалось бы, нафига, у приличных микроконтроллеров Ethernet и так есть. А, да, у этих странных людей там же 8-битный контроллер после 2015 года, конечно.

6000 правил в ipfw — это ты силён! :-)
У меня, я считал, очень развесистый файрволл — так 100 штук.

Даже 200 правил как-то много, у меня 5 сетей с разными наборами разрешений плюс DMZ — вот, меньше сотни (а каждый пакет проходит не более 5). Ты знаешь, что правила нынче можно писать гораздо более затейливые, чем старые из трёх частей proto from to? И таблицы можно делать затейливые. Очень сильно помогает оптимизировать файрволл.

Всякие странные скрипты генерировали из всяких странных мест всякие странные правила.
Порезал маленько

Я считал порты, загибал пальцы. Мне бы 4-х портов (плюс имеющийся свитч на 8) хватило бы вот ровно впритык, поэтому я решил, что 6 портов мне надо "на вырост".

После чего выбора сетевых карт и не осталось, 6xLAN, если новый процессор (поколения Skylake+) - на али есть две одинаковых платформы разных вендоров. Отличия - в форме корпуса.

VLAN'ы же. Или у тебя свитч неуправляемый? Мне бы, в общем, хватило одного порта, но с одним и двумя портами и Intel а не Realtek я не нашёл.

Я даже все 4 использовать не стал — у меня 1 порт — моя внутренняя сеть, а второй — wlantrusted + wlanguest + unifi (менеджмент Wlan'а, да, у меня UniFi AP AC теперь вместо карты прямо в рутере, увы, но WiFi так работает лучше, как бы мне не было обидно за FreeBSD) + провайдер входит :-)

Хотя если портов в свиче всего 8, то да...

Свитч неуправляемый - и его ровно хватает чтобы раздать на дом все. Поскольку он работает, я не вижу смысла его менять.

Т.е. если бы были бы свитчи вида 4-6 портов 10G медных (не SFP) + 8-10 портов гигабита, я бы даже и поменял бы. Но пока такой не нашел.

16+4 не катит? У наших новосибирцев (опять забыл как зовут) есть, стоит что-то около 14-15 тысяч рублей.

Хотя медные ли там порты или SFP+… Хм, не помню. Кажется, есть оба варианта, но могу ошибаться.

Если новосибирцы - это элтех, то я вижу у них 24+4 за 38, а 16+4 что-то не вижу.

MES3308F ? но это не тебе, конешно, это маломагистральник, у тебя это будет смотреться ну оооочень странно

100 штук однако

Проще ~16-портовый 10G/RJ45 купить, примерно те же деньги должны бы быть.

Есть HP: 48 портов 1G, 4 десятки. 67 тысяч.

Но мне столько, как ты понимаешь, не очень надо :)

Угу, но пока еще 850 баксов даже в штатах, а на маркете - нету.

И эта штука поэкономит мне два гигабитных порта (сторадж-боксы будут иметь не 1+10 выходы, а просто 10), за штуку как-то дороговато.

За 300 баксов - купил бы, да. И 8x1 + 4x10 купил бы тоже.

ну, да, всё так, это мы, полтора процента маргиналов-перфекционистов (привет, Арканоид!). мониторь/пинай Шеньжень ;-P

MES2324B — но, да, он не медный, он SFP'шный, как раз для меня, если бы не проблемы прокладки кабелей (мне не просунуть оптику от десктопа до места под свитч, увы).

Но вообще 10G в квартире пока смотрится странно.

Хотя вот топовые карты на 390'ом чипсете будут уже все с 10G, на каком-то новом чипе Aquantia AQC107 (Кстати, FreeBSD, кажется, эту фирму вообще не поддерживает).

10G дома конечно странно, однако вот равчики с SonyA7r-III нежатые у меня показываются что-то на 20 что ли FPS. Или 30, забыл уже. Это, соответственно, ~160/240 мегабайт в секунду.
На 8-ядерном горшке будет раза в два побольше.

2.5G, если NAS способен столько отдать, точно актуально.

Кстати вот интересно — приняли же промежуточные стандарты, на 2.5 и 5 для дома и старой проводки как раз. Где они?

И самое сложное — найти с Intel'овскими сетёвками, китайцы часто не пишут что стоит, а если пишут, то в тексте объявления что там Realtek :-)

И у тебя бесплатная доставка, зависть, я $38 за доставку платил. Правда и коробка моя $150 стоит. Большая разница за процессор, при том что 4 моих сетёвки стоят примерно как 6 твоих как раз, если ценам в даташитах верить.

Да, за процессор большая разница. Причем, i5-7200U, который по интеловским спекам стоит столько же, добавляет еще сотку.

Можно было взять с целероном, было бы дешевле, но я люблю всякий AVX2 погонять.

Я решил, что на раутере с пассивным охлаждением мне ничего кроме AES-NI не надо! Я на нём даже его же систему не собираю — NanoBSD :-)

А вот AES-NI работает отлично.

Я там маленечко девелоплю.

А, ну тогда да. Это я в виртуалке на десктопе делаю, и на сервере :-)

В виртуалке я тоже девелоплю, но если нужно три байта поправить - то на уже запущенной машине быстрее.

> NAT-ить IPv6

какую-то ты ересь пишешь, прости меня ;)

Ересь, да, но другого решения не нашел. МГТС дает мне /64 и раздать его дальше по дому штатными средствами IPv6 я не нашел как.
https://blog.lexa.ru/tags/ipv6

he.net ?

Зачем мне туннель?

Ну то есть вот сейчас у меня пинг до ipv6.google.com - 18ms, а будет 250 где-то?

97 у меня, и это Лондон, Франкфурт был бы быстрее.

18 в любом случае быстрее :)

если на то пошло, то есть российский брокер https://tb.ip4market.ru/ и пинг будет почти таким же, можно попинговать их 193.0.203.203
только не ясно, зачем вместе нативного ipv6 использоваться туннель.

затем, шо из МГТС больше /64 не добыть никакими ужымками и прыжками

Мне, в принципе, хватает.

То есть никто так и не объяснил мне, отчего нельзя NAT-ить. "не положено" и все там. Но все работает же.

похожее описывается в разных фантастических произведениях, когда за века знания утрачиваются, но какие-то железяки продолжают работать. и люди руководствуются заветами предков :-)

Прошу прощения что лезу со свиным рылом, но объясните для чего может не хватать префикса /64 ? Вы там чем вообще заним аетесь?

Его не хватает для раздачи дальше штатными средствами (автоконфигурации) IPv6

Опаньки. А мы своим пациентам тоже по /64 раздаем. Не знал, что кому то надо больше. Спасибо.

Не, ну /64 - это ровно на один сабнет (collision domain). А ежели у кого их больше? У меня вот их четыре, v6 нужен на двух.

Был бы нужен на одном - я бы что-нибудь куда-нибудь пробриджевал бы.

Есть же официальные IETF'ные рекомендации рекомендации — оконченчным клиентам /48, в крайнем случае /56.
/64 — одна подсесть, у роутера 2 интерфейса как минимум, т.е. уже надо две (наружу и внутрь), а если ещё WiFi, а если гостевой? Уже 4.

Зашёл на указанную страницу. Увидел там поле «телефон» в форме регистрации. Закрыл таб.

ну, тоже выход. а так - поле телефон там не проверяется, можно указать любой номер.

Хм. Перенумероваться что ли. Интересно, что у них с РКН. Потому что у меня это основное применение IPv6.

У РКН в списках вроде нету IPv6-адресов?

То есть с Native v6, без туннеля - у мну все что мне надо - работает (телега в первую очередь)

Намедни РКН прислало бумагу - говорит, скоро начнут поганить и ipv6
Велят готовиться. ((

я пока не сталкивался, т.е. через вышеуказанный туннель у меня тоже работает всё, что мне надо, включая телеграм. (правда исключая гугл по ipv6), но пишут, что РКН в конце лета собирался заняться и ipv6. и указывалась дата 1 октября
https://roskomsvoboda.org/41214/

Ходят слухи, что магистрали мегафона от этого может разорвать, они и с v4 справлялись не особо...

Клевещут. Все прекрасно блокируется.

И продолжат справляться не особо.
Я из-за глюков DNS'а Мегафона таки сделал себе свой VPN. Не из-за РКН, те домены, на которые я напарываюсь как на нересолвящиеся с мобильника, не в реестре.

Уж не думаете ли вы, что Мегафон реализует РКН блокировки, отравляя DNS ?

У меня нет мнения. Я просто наблюдаю факты. Может они просто криворукие пидарасы, это так же вероятно, как реализация именных запретов РКН через DNS.

Ну вот я перелез телефонным интернетом на мегафон (иркутский!) - работает как из пушки.

Не то, чтобы я много им пользовался, но вот чтобы что-то не резолвилось - не вспомню.

У меня не ресолвится, из последнего, https://www.filfre.net/. Хоть убей. А это блог который я читаю каждый день в транспорте.

Что-то ещё было с месяц назад.

Так-то я клиент мегафона с 1999 что ли года, в Питере всё равно лучше нет.

У меня говорит 'err_connection_timed_out', то есть это резолвится, но отфильтровано? Это через мегафон.

Через МТС мобильный и МГТС оптический - все работает.

Мне говорит в DNS_PROBE_FINISHED_NXDOMAIN
На работе и дома с разными проводными провайдерами проблем нет.

а в Европе как это реализовано? там ipv6 фильтруют?

А там есть глобальные списки фильтрации? Где почитать?

Интереснее как это устроено в Китае — это да.

ну вот, например
https://wiki.openrightsgroup.org/wiki/BT_Group#Network_filtering

пример Китая интересен только в теоретическом плане, насколько я могу судить - там есть политическая воля и ресурсы, чтобы реализовать централизованную государственную систему фильтрации, у нас же спихнули всё на провайдеров и за их счёт. Поэтому нам ближе примеры европейских стран, мне кажется.

починили на том туннеле гугл и из Ярославля у меня вот так пинг выглядит.
ipv6.google.com
PING ipv6.google.com (2a00:1450:4011:80c::1000): 56 data bytes
64 bytes from 2a00:1450:4011:80c::1000: seq=0 ttl=57 time=14.547 ms
64 bytes from 2a00:1450:4011:80c::1000: seq=1 ttl=57 time=14.909 ms
64 bytes from 2a00:1450:4011:80c::1000: seq=2 ttl=57 time=14.743 ms
64 bytes from 2a00:1450:4011:80c::1000: seq=3 ttl=57 time=14.827 ms

А фейсбук?

 ping -6 -c 3 facebook.com
PING facebook.com (2a03:2880:f10a:83:face:b00c:0:25de): 56 data bytes
64 bytes from 2a03:2880:f10a:83:face:b00c:0:25de: seq=0 ttl=57 time=36.237 ms
64 bytes from 2a03:2880:f10a:83:face:b00c:0:25de: seq=1 ttl=57 time=35.650 ms
64 bytes from 2a03:2880:f10a:83:face:b00c:0:25de: seq=2 ttl=57 time=36.223 ms

--- facebook.com ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max = 35.650/36.036/36.237 ms

напрямую так же.

хотел еще сказать о важности импортозамещения и приложить пинг до вконтакте, но ВНЕЗАПНО выяснилось, что ВК не поддерживает ipv6. от удивления даже погуглил, получается, что они в прошлом году отключили поддержку ipv6 из-за спамеров. неожиданная инновация!

У яндекса, смешно, тоже v6 адреса нет. У мейлру - есть.

почему у яндекса нет?
ya.ru [2a02:6b8::2:242]
yandex.ru [2a02:6b8:a::a]

он меня даже опознал по ip, говорит - Регион: Люберцы :-)

Точно, проглядел я, слишком сократился адрес и не видно, если по диагонали смотреть.

А его и не надо NATить, его надо роутить, ну и про firewall не забыть. У самого уже с год работает микротик и IPv6 /56 от моего провайдера. А так ваши хотелки вполне уложились бы в обычный микрот и intel nuс.

Еще раз: МГТС раздает /64, а не /56, что делать дальше штатными средствами?

NUC+микротик - дороже и делают в сумме тоже, и зачем? Кроме того, нагруженный NUC шумит (у меня их в доме три и я знаю)

Нет разницы, какого размера подсеть даёт МГТС, 64 это просто стандарт, 56 соответственно на много порядков больше. Штатными средствами чего? В микроте из выданного провайдером диапазона формируется пул, дальше уже всем компьютерам в сети (и роутеру тоже) из этого пула выделяется адрес по DHCP. Собственно всё, IPv6 работает, осталось только закрыть все порты снаружи (кроме ICMP).

По поводу NUC - ваше дело, просто ИМХО каждая железка должна заниматься своими задачами, если сетью, то это роутер с аппаратным шифрованием и пр. плюшками, если веб/разработкой, то более гибкий (но практически всё выполняющий на программном, а не аппаратном уровне) компьютер.

Разница есть, поскольку штатные средства v6 предполагают, что провайдер дает /56 (или больше) и это дальше расходится по сети штатными же средствами анонсов.

Для /64 штатные средства не работают, а NAT - работает, хоть и не штатный.

AES-NI я считаю достаточно аппаратным шифрованием, во всяком случае ~400Mb/sec оно может (на i3-6300T правда, на 7100U не пробовал бенчмаркать), а аплинк у меня 22Mb/sec

IPsec aes-256-gcm в режиме tunnel с Celeron J3160 на Xeon E3-1220v3:

Celeron → Xeon 536.50Mbit/s
Xeon → Celeron 609.66Mbit/s

Ну у мну поверх ssh/aes ходит zfs send/recv, 400 мегабайт/сек ходит, а больше мне и не надо, больше принимающая сторона не может. Там еще есть запас, хотя и небольшой.

Ух ты, весьма недурно, тогда ваше решение пожалуй даже поинтереснее будет моей связки. Остаётся только надеяться, что МГТС таки начнёт когда нибудь выдавать /56. Я бы вам посоветовал Ростелеком с его /56, но он тоже не в каждом районе Москвы работает, и даже не каждый день.. Было даже дело, что IPv4 полёг, поэтому у меня работали только некоторые крупные сайты вроде гугла/яндекса и то благодаря стороннему DNS IPv6 сервису.

Ну у меня все работает и с /64

Другой вопрос, что на FreeBSD-роутере работает, а на микротиках - сомневаюсь я.

Ростелеком еще за пределами Москвы бы начал выдавать ipv6. А то какой-нибудь call-center они могут сделать единый для кучи регионов, а колбаса(зачеркнуто) ipv6 все равно только для москвичей.

Вот проделал, не поленился:

# dd if=/dev/zero bs=1G count=10 | mbuffer -s 64k -m 64m | ssh -c aes128-cbc box2 mbuffer -q -o /dev/null -s 64k -m 64m
in @ 442 MiB/s, out @ 442 MiB/s, 9.9 GiB total, buffer 100% full
10+0 records in 10+0 records out 10737418240 bytes transferred in 23.986540 secs (447643486 bytes/sec)

Хотелось бы больше, конечно

А теперь сравни с передачей через nc (лучше бы ssh -c none, но это патчить надо) Что бы понять, что тут шифрование а что ебанина с пайпами и чтением из /dev/zero.
Да и ssh вообще так себе протокол для bulk-передачи.

Я не удивлюсь, если не в шифровании дело.

Ну вот зануда, а. Все нормально без шифрования:

# dd if=/dev/zero bs=1G count=10 |&nbsp; nc box2 9999<br>
        10+0 records in<br>
        10+0 records out<br>
        10737418240 bytes transferred in 9.911186 secs (1083363621 bytes/sec)

 

С mbuffer еще чуть быстрее:

# dd if=/dev/zero bs=1G count=10 |  mbuffer  -s 64k -m 64m -4 -O box2:9999
in @ 1180 MiB/s, out @ 1180 MiB/s, 9579 MiB total, buffer 100% full10+0 records in
10+0 records out
10737418240 bytes transferred in 9.524766 secs (1127315718 bytes/sec)
in @ 1170 MiB/s, out @ 1180 MiB/s,  9.9 GiB total, buffer  92% full

 

ssh -c none было бы интереснее, его часто обвиняют в маленьких окнах и тормозах на быстрых сетях из-за этого. Кстати, попробовать ssh с ChaCha20-Poly1305, он должен быть быстрее AES даже с AES-NI.

Но всё это имеет несколько теоретическое значение и уже выглядит как бенчмаркинг ради бенчмаркинга. да.

Я уже два раза выключал-выключал ящик приемный, в третий раз не буду (это теплый бэкап, он 98% времени off).
Завтра, если вспомню, попробую чачу
В любом случае, пока в этом ящике 5 старых дисков - шифрование не ограничивает. Будет больше/быстрее - ну буду думать, хотя опять же, ну вот средний объем ежедневного копирования туда - ну пусть 200 гигабайт (скорее даже меньше). Ну вот 500 секунд. Если будет 200 секунд - я разницы не замечу.

Чачу я уже попробовал, лажа. AES-NI решает.

И всё это очень странно:

# dd if=/dev/zero bs=128k count=65536 | ssh -c aes128-cbc blob dd of=/dev/zero
65536+0 records in
65536+0 records out
8589934592 bytes transferred in 101.567899 secs (84573322 bytes/sec)
16777216+0 records in
16777216+0 records out
8589934592 bytes transferred in 101.197121 secs (84883192 bytes/sec)

Но с чачей я промахнулся таки
# dd if=/dev/zero bs=128k count=65536 | ssh -c chacha20-poly1305@openssh.com blob dd of=/dev/zero
agent key RSA SHA256:CqZatTzFs7w2KvB7cDkR56MboRD4lWTofRj4oN+fiWs returned incorrect signature type
65536+0 records in
65536+0 records out
8589934592 bytes transferred in 212.370184 secs (40447931 bytes/sec)
16777216+0 records in
16777216+0 records out
8589934592 bytes transferred in 212.007001 secs (40517221 bytes/sec)

Это с J3160 на Xeon E3, причём пол-процессора J3160 занято рутингом торрентов, если верить top -SH. mbufer у меня не стоит.

(для меня тег code не сработал)

Это только по блату

Кстати, откажись от CBC, GCM быстрее заметно, вот полный гигабит

# dd if=/dev/zero bs=129k count=65535 | ssh -c aes128-gcm@openssh.com blob dd of=/dev/null
65535+0 records in
65535+0 records out
8656911360 bytes transferred in 86.119209 secs (100522421 bytes/sec)
16908030+0 records in
16908030+0 records out
8656911360 bytes transferred in 85.750571 secs (100954563 bytes/sec)

Unknown cipher type 'aes128-gcm'

aes128-gcm@openssh.com

ssh -Q cipher

Офигенно, спасибо:

# dd if=/dev/zero bs=1G count=10 | mbuffer -s 64k -m 64m | ssh -c aes128-gcm@openssh.com box2 mbuffer -q -o /dev/null -s 64k -m 64m<br>
        in @ 1034 MiB/s, out @ 1034 MiB/s,; 9.8 GiB total, buffer 100% full
       10+0 records in 10+0 records out 10737418240 bytes transferred in 11.444735 secs (938197213 bytes/sec)

 

Зашибись! :-)

Но ssh просто сильно удобнее для "оркестрации", а с учетом того, что zfs recv все едино сильно больше 400Mb/sec на приемнике не может принять, ну хер с ним с ваттами на шифрование.

А если поставить MTU 8192 (я-то тестировал поверх 9000) то вообще сказка

Celeron → Xeon 968.33
Xeon → Celeron 969.00

Т.е. если связь прямо отличная, то становится выгодно фрагментировать пакеты :-)

Штатными средствами в IPv6 является раздача префикса /64 на домен коллизий через rtadv, с автоконфигурацией остальных битов.
Всё остальное — уже не штатные средства.

> Когда у процессора 70 градусов - корпус, естественно, не холодный, я бы сказал (на ощупь, конечно ж) что градусов 55-60. Диск (расположенный с другой стороны корпуса) при этом нагревается до 52

Какая гадость эта ваша заливная рыба...

Можно присобачить USB-вентилятор снаружи, чтобы дул на корпус. Но теряется идея.

Ну да, ну да. Пусть лучше винт от перегреву проработает год вместо пяти, и гавкнется внезапно, в самый неподходящий момент. К SSD это, кстати, тоже относится.
А еще внешний БП - небось, типа ноутбучного, в наглухо заклеенном пластиковом корпусе без вентиляции?
В общем, купите огнетушитель и поставьте рядом...

А в чём проблема? Нормальные рабочие температуры.

Ага. Особенно 52 градуса на диске.

Это SSD. До 70 нормально и гарантийно работает любой кремний. На самом деле и до 90.

Ну вот я на десктопе поставил копироваться с одного M.2 на другой - оба быстро доросли до 60C. Throttling там градусов с 80 начинается, IMHO.
В 2.5" SSD - те же самые микросхемы.

Т.е. я не вижу тут проблемы "с диском".

Питальник - 60вт, потребляется в пике ну 20-30, поэтому он заметно холоднее.

найти NVMe холоднее это еще поискать, греются они от души.

Add new comment