14
Peformance-Probleme mit OPNsense
Guten Abend,
Ich habe eine VPN Site-to-Site-Verbindung zwischen meinem heimischen Netzwerk und einem gehosteten VLAN (250 Mbit/s). An beiden Enden fungiert jeweils eine OPNsense VM and Endpunkt. Das funktioniert grundsätzlich auch prima. Nur lässt die Geschwindigkeit stark zu wünschen übrig. Wenn ich Dateien kopiere, bekomme ich idR weniger als 3-5 MB/s, also ca. 15-25 Mbit/s, wobei dies stark schwankt und kurzzeitig auch bis ca. 1 MB/s runtergeht. Auch ein Download auf einen Server beim Hoster hinter der OPNsense beim Hoster ist entsprechend langsam. Es scheint also so, dass alles, was über die OPNsense läuft, zu Einbrüchen führt. Innerhalb des VLAN ist die Geschwindigkeit erwartungsgemäß.
Bitte nicht auf den Werten festnageln, letztlich sind Sie auf jeden Fall zu niedrig bei einer Download-Messung (iperf3 -R).
Die gehosteten Server sind grundsätzlich nicht öffentlich erreichbar, alles läuft also - abgesehen vom VLAN - über die OPNsense.
Mit iperf3 wurden diverse Messungen vorgenommen.
Zuhause habe ich 1 Gbit/s DL und 50 Mbit/s UL. Wenn ich nun eine Datei von Netcup nach Hause kopiere, wäre das nach meinem Verständnis ein Download. Die niedrigste Rate wäre dann das VLAN mit 250 Mbit/s. Das kann dann wohl kaum ein gewöhnliches Verhalten sein. In die andere Richtung ist die Geschwindigkeit aber ähnlich. Sie ist insgesamt recht wenig konstant .
Ich habe schon ein paar Dinge ohne Erfolg probiert und möchte eigentlich nicht weiter im Dunkeln herumtappen.
Was ich ausschließen kann, ist jedenfalls die CPU auf beiden Seiten. Die ist maximal bei 25-40 %, eher weniger.
Was ich zumindest versucht habe:
- hw.ibrs_disable under System->Settings-> Optimierungen auf "1"
- Schnittstellen->Einstellungen: CRC, TSO and LRO deaktiviert
- MTU auf 1400 oder 1300 auf Wireguard-Schnittstelle
Ich habe gelesen, dass man das Parent-Interface in der OPNsense aktivieren soll. Was genau das bedeuten soll, ist mir aber nicht klar.
Ich weiß nicht, wo ich ansetzen könnte, und bin daher über jede Hilfe dankbar.
Ich habe eine VPN Site-to-Site-Verbindung zwischen meinem heimischen Netzwerk und einem gehosteten VLAN (250 Mbit/s). An beiden Enden fungiert jeweils eine OPNsense VM and Endpunkt. Das funktioniert grundsätzlich auch prima. Nur lässt die Geschwindigkeit stark zu wünschen übrig. Wenn ich Dateien kopiere, bekomme ich idR weniger als 3-5 MB/s, also ca. 15-25 Mbit/s, wobei dies stark schwankt und kurzzeitig auch bis ca. 1 MB/s runtergeht. Auch ein Download auf einen Server beim Hoster hinter der OPNsense beim Hoster ist entsprechend langsam. Es scheint also so, dass alles, was über die OPNsense läuft, zu Einbrüchen führt. Innerhalb des VLAN ist die Geschwindigkeit erwartungsgemäß.
Bitte nicht auf den Werten festnageln, letztlich sind Sie auf jeden Fall zu niedrig bei einer Download-Messung (iperf3 -R).
Die gehosteten Server sind grundsätzlich nicht öffentlich erreichbar, alles läuft also - abgesehen vom VLAN - über die OPNsense.
Mit iperf3 wurden diverse Messungen vorgenommen.
Zuhause habe ich 1 Gbit/s DL und 50 Mbit/s UL. Wenn ich nun eine Datei von Netcup nach Hause kopiere, wäre das nach meinem Verständnis ein Download. Die niedrigste Rate wäre dann das VLAN mit 250 Mbit/s. Das kann dann wohl kaum ein gewöhnliches Verhalten sein. In die andere Richtung ist die Geschwindigkeit aber ähnlich. Sie ist insgesamt recht wenig konstant .
Ich habe schon ein paar Dinge ohne Erfolg probiert und möchte eigentlich nicht weiter im Dunkeln herumtappen.
Was ich ausschließen kann, ist jedenfalls die CPU auf beiden Seiten. Die ist maximal bei 25-40 %, eher weniger.
Was ich zumindest versucht habe:
- hw.ibrs_disable under System->Settings-> Optimierungen auf "1"
- Schnittstellen->Einstellungen: CRC, TSO and LRO deaktiviert
- MTU auf 1400 oder 1300 auf Wireguard-Schnittstelle
Ich habe gelesen, dass man das Parent-Interface in der OPNsense aktivieren soll. Was genau das bedeuten soll, ist mir aber nicht klar.
Ich weiß nicht, wo ich ansetzen könnte, und bin daher über jede Hilfe dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4618142550
Url: https://administrator.de/contentid/4618142550
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
14 Kommentare
Neuester Kommentar
Moin,
5 MB/Sek sind ca. 40 MBit/Sek.
Und 40 MBit Upload sind übliche Werte für Upload bei DSL- oder Kabelanschlüsse.
Aber der Server bei Netcup sollte ja eher 100 oder 1000MBit Symetrisch haben.
Möglicherweise gibt es hier einen Limiter von NC?
Wenn Du von einem der Server mit und ohne PFSense mal auf eine er Upload-Test-Seiten gehst.
Was bekommst Du dann für Werte?
Stefan
5 MB/Sek sind ca. 40 MBit/Sek.
Und 40 MBit Upload sind übliche Werte für Upload bei DSL- oder Kabelanschlüsse.
Aber der Server bei Netcup sollte ja eher 100 oder 1000MBit Symetrisch haben.
Möglicherweise gibt es hier einen Limiter von NC?
Wenn Du von einem der Server mit und ohne PFSense mal auf eine er Upload-Test-Seiten gehst.
Was bekommst Du dann für Werte?
Stefan
1
Hallo,
Ist deine OPNsense aktuell?
Hatte mal ähnliche Probleme, ist aber schon länger her. Hatte damals ewig gesucht und keinen Fehler gefunden. Ein paar Wochen später, nach Update auf das aktuellste Release, hat sich das von selbst gelöst. War irgendwas mit den LAN-Treibern.
Viele Grüße
Peter
Ist deine OPNsense aktuell?
Hatte mal ähnliche Probleme, ist aber schon länger her. Hatte damals ewig gesucht und keinen Fehler gefunden. Ein paar Wochen später, nach Update auf das aktuellste Release, hat sich das von selbst gelöst. War irgendwas mit den LAN-Treibern.
Viele Grüße
Peter
@Porfavor, bitte mal genau Hersteller/Model (mit angabe was für eine CPU) des Rechner auf dem die VM läuft.
Kann deine CPU AES-NI in Hardware?
Kann deine CPU AES-NI in Hardware?
Zunächst mal zu den letzten Fragen: Ja, sie ist aktuell..Zur Hardware kann ich nichts sagen, läuft auf einem VPS. Daran sollte es aber eher nicht liegen.
dann poste doch mal screenshots deiner Konfiguration (vpn)
Die Werte hinter der OPNsense auf einer Speedtest-Seite sind erwartungsgemäß (gut). Wenn ich eine Datei herunterlade, komme ich auf ca. 3-4 MB/s, wobei die Geschwindigkeit nach einigen Sekunden abnimmt.
Ohne die OPNsense bekomme ich mehr als 250 MB/s bei einem Download!
Dass ich das nicht erreichen kann bei einem 250 MBit/s VLAN, ist klar, aber bis zu ca. 30 MB/s müssten drin sein.
Ohne die OPNsense bekomme ich mehr als 250 MB/s bei einem Download!
Dass ich das nicht erreichen kann bei einem 250 MBit/s VLAN, ist klar, aber bis zu ca. 30 MB/s müssten drin sein.
VPN scheint aber doch keine Rolle zu spielen? VPN ist bei der ersten Messung nicht im Spiel.
ich hatte es so verstanden das eine sense auch zuhause als vm läuft
Ja, das ist auch so. Die Probleme tauchen aber auch auf, wenn diese gar nicht im Spiel ist, weil mir die andere Seite angesprochen wird (direkter Download oder Speednessung auf einen Remote-Server).
Ich verstehe leider nur die häfte:
- ist deine sense die bei dir zuhause ist dein Default Gateway?
- ist das eine der sense mit der du Performance Probleme hast?
- auf was für einer hardware läuft diese sense (vm) (genau Hersteller/Model)
- ist deine sense die bei dir zuhause ist dein Default Gateway?
- ist das eine der sense mit der du Performance Probleme hast?
- auf was für einer hardware läuft diese sense (vm) (genau Hersteller/Model)
Lassen wir Zuhause einmal außen vor. Ich habe mehrere VPS bei einem Hoster. Diese sind mittels VLAN (stellt der Hoster breit) verbunden. Die OPNsense fungiert als Firewall. Bei Internet Traffic geht Datenverkehr über diese. Ich habe Performance Probleme, sobald die OPNSense im Spiel ist. Nutze ich dagegen die andere NIC der VPS direkt für das Internet, habe ich eine super Performance.
Zur Hardware kann ich nichts sagen, da ich hierin keinen Einblick habe
Hat noch jemand Ideen?
Es hat sich herausgestellt, dass ich enorme Paketverluste und Out-of-Order-Packets mit UDP habe. Hat dazu jemand eine Idee?
