porfavor
Goto Top

Peformance-Probleme mit OPNsense

Guten Abend,

Ich habe eine VPN Site-to-Site-Verbindung zwischen meinem heimischen Netzwerk und einem gehosteten VLAN (250 Mbit/s). An beiden Enden fungiert jeweils eine OPNsense VM and Endpunkt. Das funktioniert grundsätzlich auch prima. Nur lässt die Geschwindigkeit stark zu wünschen übrig. Wenn ich Dateien kopiere, bekomme ich idR weniger als 3-5 MB/s, also ca. 15-25 Mbit/s, wobei dies stark schwankt und kurzzeitig auch bis ca. 1 MB/s runtergeht. Auch ein Download auf einen Server beim Hoster hinter der OPNsense beim Hoster ist entsprechend langsam. Es scheint also so, dass alles, was über die OPNsense läuft, zu Einbrüchen führt. Innerhalb des VLAN ist die Geschwindigkeit erwartungsgemäß.

Bitte nicht auf den Werten festnageln, letztlich sind Sie auf jeden Fall zu niedrig bei einer Download-Messung (iperf3 -R).

Die gehosteten Server sind grundsätzlich nicht öffentlich erreichbar, alles läuft also - abgesehen vom VLAN - über die OPNsense.

Mit iperf3 wurden diverse Messungen vorgenommen.


Zuhause habe ich 1 Gbit/s DL und 50 Mbit/s UL. Wenn ich nun eine Datei von Netcup nach Hause kopiere, wäre das nach meinem Verständnis ein Download. Die niedrigste Rate wäre dann das VLAN mit 250 Mbit/s. Das kann dann wohl kaum ein gewöhnliches Verhalten sein. In die andere Richtung ist die Geschwindigkeit aber ähnlich. Sie ist insgesamt recht wenig konstant .


Ich habe schon ein paar Dinge ohne Erfolg probiert und möchte eigentlich nicht weiter im Dunkeln herumtappen.


Was ich ausschließen kann, ist jedenfalls die CPU auf beiden Seiten. Die ist maximal bei 25-40 %, eher weniger.


Was ich zumindest versucht habe:


- hw.ibrs_disable under System->Settings-> Optimierungen auf "1"
- Schnittstellen->Einstellungen: CRC, TSO and LRO deaktiviert
- MTU auf 1400 oder 1300 auf Wireguard-Schnittstelle


Ich habe gelesen, dass man das Parent-Interface in der OPNsense aktivieren soll. Was genau das bedeuten soll, ist mir aber nicht klar.

Ich weiß nicht, wo ich ansetzen könnte, und bin daher über jede Hilfe dankbar.

Content-ID: 4618142550

Url: https://administrator.de/contentid/4618142550

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

StefanKittel
StefanKittel 14.11.2022 um 07:03:08 Uhr
Goto Top
Moin,

5 MB/Sek sind ca. 40 MBit/Sek.
Und 40 MBit Upload sind übliche Werte für Upload bei DSL- oder Kabelanschlüsse.

Aber der Server bei Netcup sollte ja eher 100 oder 1000MBit Symetrisch haben.
Möglicherweise gibt es hier einen Limiter von NC?

Wenn Du von einem der Server mit und ohne PFSense mal auf eine er Upload-Test-Seiten gehst.
Was bekommst Du dann für Werte?

Stefan
PeterBC
PeterBC 14.11.2022 um 09:08:46 Uhr
Goto Top
Hallo,

Ist deine OPNsense aktuell?
Hatte mal ähnliche Probleme, ist aber schon länger her. Hatte damals ewig gesucht und keinen Fehler gefunden. Ein paar Wochen später, nach Update auf das aktuellste Release, hat sich das von selbst gelöst. War irgendwas mit den LAN-Treibern.

Viele Grüße
Peter
micneu
micneu 14.11.2022 um 11:37:22 Uhr
Goto Top
@Porfavor, bitte mal genau Hersteller/Model (mit angabe was für eine CPU) des Rechner auf dem die VM läuft.
Kann deine CPU AES-NI in Hardware?
Porfavor
Porfavor 14.11.2022 um 21:11:49 Uhr
Goto Top
Zunächst mal zu den letzten Fragen: Ja, sie ist aktuell..Zur Hardware kann ich nichts sagen, läuft auf einem VPS. Daran sollte es aber eher nicht liegen.
micneu
micneu 14.11.2022 um 21:53:03 Uhr
Goto Top
dann poste doch mal screenshots deiner Konfiguration (vpn)
Porfavor
Porfavor 14.11.2022 um 22:26:53 Uhr
Goto Top
Die Werte hinter der OPNsense auf einer Speedtest-Seite sind erwartungsgemäß (gut). Wenn ich eine Datei herunterlade, komme ich auf ca. 3-4 MB/s, wobei die Geschwindigkeit nach einigen Sekunden abnimmt.

Ohne die OPNsense bekomme ich mehr als 250 MB/s bei einem Download!
Dass ich das nicht erreichen kann bei einem 250 MBit/s VLAN, ist klar, aber bis zu ca. 30 MB/s müssten drin sein.
Porfavor
Porfavor 14.11.2022 um 22:29:06 Uhr
Goto Top
VPN scheint aber doch keine Rolle zu spielen? VPN ist bei der ersten Messung nicht im Spiel.
micneu
micneu 15.11.2022 um 08:30:49 Uhr
Goto Top
ich hatte es so verstanden das eine sense auch zuhause als vm läuft
Porfavor
Porfavor 15.11.2022 um 08:36:30 Uhr
Goto Top
Ja, das ist auch so. Die Probleme tauchen aber auch auf, wenn diese gar nicht im Spiel ist, weil mir die andere Seite angesprochen wird (direkter Download oder Speednessung auf einen Remote-Server).
micneu
micneu 15.11.2022 um 10:39:42 Uhr
Goto Top
Ich verstehe leider nur die häfte:
- ist deine sense die bei dir zuhause ist dein Default Gateway?
- ist das eine der sense mit der du Performance Probleme hast?
- auf was für einer hardware läuft diese sense (vm) (genau Hersteller/Model)
Porfavor
Porfavor 15.11.2022 um 12:32:53 Uhr
Goto Top
Lassen wir Zuhause einmal außen vor. Ich habe mehrere VPS bei einem Hoster. Diese sind mittels VLAN (stellt der Hoster breit) verbunden. Die OPNsense fungiert als Firewall. Bei Internet Traffic geht Datenverkehr über diese. Ich habe Performance Probleme, sobald die OPNSense im Spiel ist. Nutze ich dagegen die andere NIC der VPS direkt für das Internet, habe ich eine super Performance.
Porfavor
Porfavor 15.11.2022 um 12:33:31 Uhr
Goto Top
Zur Hardware kann ich nichts sagen, da ich hierin keinen Einblick habe
Porfavor
Porfavor 18.11.2022 um 00:39:24 Uhr
Goto Top
Hat noch jemand Ideen?
Porfavor
Porfavor 22.11.2022 um 22:47:06 Uhr
Goto Top
Es hat sich herausgestellt, dass ich enorme Paketverluste und Out-of-Order-Packets mit UDP habe. Hat dazu jemand eine Idee?