4
Pfsense - Gateway bei Belastung "Offline"?
Hallo Leute,
muss euch nochmal um Rat bitten.
Hintergrund ist, dass ich seit kurzen das Problem habe, dass wenn ich meine Internetverbindung voll ausreize (1 Steam Download oder 4 Parallele Downloads im Explorer), dass mein Gateway in der Pfsense als offline angezeigt wird.
Leider weiß ich aktuell nicht, ob es sich hierbei wirklich um einen Fehler handelt, oder ob es normal ist.
Anfangs dachte ich, dass es an Suricata bzw. eine zu hohe CPU last die Ursache für den Paketverlusst sind somit habe ich dieses Plugin wieder deinstalliert und mal einen Blick auf die CPU last geworfen.
-> Soweit ich das beurteilen kann ist die CPU Auslastung zwar hoch aber noch "OK"
Anbei die Screenshots, wo ihr meine Fehlerbeschreibung sehen könnt.
Ich mein, dass die die Latenz nach bei einer ausgelasteten Leitung weiter nach oben geht, ist mir einleuchtend, was mich aktuell aber etwas stutzig macht ist, der Paketverlust, welcher ab dem 2. Hop auftritt.
Zu meiner Hardware:
- APU2D4
- Zyxel VMG1312-B30A // Draytek Vigor 130 wurde ebenfalls probiert.
Aktuell überlege ich, ob der Fehler ggf. von extern sein könnte, allerdings sind im Modem weder FEC noch CRC Fehler zu erkennen. (Siehe Screen)
Habt ihr vielleicht einen Tipp für mich ob es sich hierbei um ein normales verhalten handelt, oder ob hier wirklich ein Fehler vorliegen könnte.
Danke schon einmal im Voraus.
muss euch nochmal um Rat bitten.
Hintergrund ist, dass ich seit kurzen das Problem habe, dass wenn ich meine Internetverbindung voll ausreize (1 Steam Download oder 4 Parallele Downloads im Explorer), dass mein Gateway in der Pfsense als offline angezeigt wird.
Leider weiß ich aktuell nicht, ob es sich hierbei wirklich um einen Fehler handelt, oder ob es normal ist.
Anfangs dachte ich, dass es an Suricata bzw. eine zu hohe CPU last die Ursache für den Paketverlusst sind somit habe ich dieses Plugin wieder deinstalliert und mal einen Blick auf die CPU last geworfen.
-> Soweit ich das beurteilen kann ist die CPU Auslastung zwar hoch aber noch "OK"
Anbei die Screenshots, wo ihr meine Fehlerbeschreibung sehen könnt.
Ich mein, dass die die Latenz nach bei einer ausgelasteten Leitung weiter nach oben geht, ist mir einleuchtend, was mich aktuell aber etwas stutzig macht ist, der Paketverlust, welcher ab dem 2. Hop auftritt.
|------------------------------------------------------------------------------------------|
| WinMTR statistics |
| Host - % | Sent | Recv | Best | Avrg | Wrst | Last |
|------------------------------------------------|------|------|------|------|------|------|
| SpPfsense.home.nas - 0 | 672 | 672 | 0 | 5 | 584 | 0 |
| p3e9bf193.dip0.t-ipconnect.de - 9 | 501 | 458 | 7 | 50 | 657 | 65 |
| 217.5.118.18 - 11 | 449 | 401 | 17 | 234 | 4104 | 87 |
| 87.128.238.134 - 9 | 500 | 457 | 13 | 58 | 682 | 76 |
| 216.239.63.199 - 9 | 494 | 450 | 13 | 56 | 654 | 41 |
| 142.250.46.249 - 9 | 505 | 463 | 13 | 56 | 551 | 77 |
| dns.google - 9 | 501 | 458 | 14 | 55 | 610 | 77 |
|________________________________________________|______|______|______|______|______|______|
WinMTR v0.92 GPL V2 by Appnor MSP - Fully Managed Hosting & Cloud ProviderZu meiner Hardware:
- APU2D4
- Zyxel VMG1312-B30A // Draytek Vigor 130 wurde ebenfalls probiert.
Aktuell überlege ich, ob der Fehler ggf. von extern sein könnte, allerdings sind im Modem weder FEC noch CRC Fehler zu erkennen. (Siehe Screen)
Habt ihr vielleicht einen Tipp für mich ob es sich hierbei um ein normales verhalten handelt, oder ob hier wirklich ein Fehler vorliegen könnte.
Danke schon einmal im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 622417
Url: https://administrator.de/contentid/622417
Printed on: April 24, 2024 at 03:04 o'clock
4 Comments
Latest comment
Hallo.
Also ich habe ähnliche Gegebenheiten wie du. APU2D4 Board vor dem ein Glasfaser ONT hängt. Kein weiteres Modem dazwischen, PPPoE macht die PFSense.
Allerdings kann ich aktuell anstellen, was ich will, ich bekomme die CPU nicht über 40 %.
Gleichzeitiger Online Speedtest, Download via OpenVPN und einem Kopiervorgang (5 GB Iso) über IPSec Tunnel.
Es hilft dir natürlich nur bedingt, allerdings wird aus der Lösungsfindung wahrscheinlich eher eine Ratestunde.
Welche Pakete hast du denn installiert? Surricata kann die Ressource natürlich stark beanspruchen, aber da du das deinstalliert hast und die Situation sich nicht wirklich änderte, wird es das wohl nicht gewesen sein.
Bei mir sind es aktuell nur der OpenVPN Client Export, der Zabbix Agent und PFBlockerNG-Devel.
Hast du die Möglichkeit das APU Board wieder in den Werkszustand zu versetzen und deine PFSense neu aufzubauen? Dann wäre zumindest ein Hardware Defekt weitestgehend auszuschließen.
Gruß
Radiogugu
Also ich habe ähnliche Gegebenheiten wie du. APU2D4 Board vor dem ein Glasfaser ONT hängt. Kein weiteres Modem dazwischen, PPPoE macht die PFSense.
Allerdings kann ich aktuell anstellen, was ich will, ich bekomme die CPU nicht über 40 %.
Gleichzeitiger Online Speedtest, Download via OpenVPN und einem Kopiervorgang (5 GB Iso) über IPSec Tunnel.
Es hilft dir natürlich nur bedingt, allerdings wird aus der Lösungsfindung wahrscheinlich eher eine Ratestunde.
Welche Pakete hast du denn installiert? Surricata kann die Ressource natürlich stark beanspruchen, aber da du das deinstalliert hast und die Situation sich nicht wirklich änderte, wird es das wohl nicht gewesen sein.
Bei mir sind es aktuell nur der OpenVPN Client Export, der Zabbix Agent und PFBlockerNG-Devel.
Hast du die Möglichkeit das APU Board wieder in den Werkszustand zu versetzen und deine PFSense neu aufzubauen? Dann wäre zumindest ein Hardware Defekt weitestgehend auszuschließen.
Gruß
Radiogugu
Zitat von @radiogugu:
Es hilft dir natürlich nur bedingt, allerdings wird aus der Lösungsfindung wahrscheinlich eher eine Ratestunde.
Das habe ich mir auch schon gedacht, allerdings wollte ich hier gerne mal auf Erfahrungen von anderen zurückgreifen. Hätte ja auch sein können, dass es sich um einen komplett normales Verhalten handelt.Es hilft dir natürlich nur bedingt, allerdings wird aus der Lösungsfindung wahrscheinlich eher eine Ratestunde.
Welche Pakete hast du denn installiert? Surricata kann die Ressource natürlich stark beanspruchen, aber da du das deinstalliert hast und die Situation sich nicht wirklich änderte, wird es das wohl nicht gewesen sein.
Bei mir sind es aktuell nur der OpenVPN Client Export, der Zabbix Agent und PFBlockerNG-Devel.
Danke für den Hinweis. Hatte hier noch einige nicht benutze Pakete. Diese habe ich jetzt deinstalliert.Bei mir sind es aktuell nur der OpenVPN Client Export, der Zabbix Agent und PFBlockerNG-Devel.
Habe jetzt nur noch mailreport, openvpn-client-export, zabbix-agent5 istalliert.
Dies hat die CPU Last zumindest schon einmal auf ca 30% gesenkt - bei gleichem Test. Nun werden die Gateways zumindest nicht mehr als Offline angezeigt.
Hast du die Möglichkeit das APU Board wieder in den Werkszustand zu versetzen und deine PFSense neu aufzubauen? Dann wäre zumindest ein Hardware Defekt weitestgehend auszuschließen.
Habe hier zwar keine APU mehr liegen jedoch noch einen alternativen "Rechner" diesen könnte ich dafür auch mal Testweise benutzen. Aber was meinst du mit Werkszustand der APU ?Meinst du damit einfach eine frische Installation der Pfsense, oder gibt es noch etwas, was ich noch nicht betrachtet habe?
Danke schon einmal im Voraus.
Zitat von @mario89:
Habe hier zwar keine APU mehr liegen jedoch noch einen alternativen "Rechner" diesen könnte ich dafür auch mal Testweise benutzen. Aber was meinst du mit Werkszustand der APU ?
Habe hier zwar keine APU mehr liegen jedoch noch einen alternativen "Rechner" diesen könnte ich dafür auch mal Testweise benutzen. Aber was meinst du mit Werkszustand der APU ?
Das kann auf jeden Fall nicht schaden, um einen Vergleichswert zu haben.
Meinst du damit einfach eine frische Installation der Pfsense, oder gibt es noch etwas, was ich noch nicht betrachtet habe?
Genau das meinte ich
Sichere dir deine Einstellungen und fange quasi neu an. Die Einstellungen zu importieren würde ich als ersten Testlauf durchführen.
Dann noch einmal von neu aufsetzen und konfigurieren. Dann kannst du ausschließen, dass es an der Konfiguration lag.
Gruß
Radiogugu
Leichter Packetloss bei voll ausgelasteten Leitungen ist vollkommen normal, das gehört zum normalen Nutzungserlebnis auf jeder paketorientierten Verbindung.
Ausschlaggebend ist nicht so unbedingt die Bandbreite sondern die maximale Paketrate die technisch möglich ist. Die orientiert sich am "Inter-Packet gap", also dem technisch notwendigen zeitlichen Abstand zwischen zwei Paketen. Den kann man bei VDSL nicht so gut festgelegen, weil es zu viele Faktoren gibt, die das beeinflussen. Aber aufgrund dieses Inter-Packet-Gap kannst du tatsächlich deine VDSL-Verbindung (über'n Daumen geschätzt) komplett auslasten, obwohl du nur leere Pakete mit maximal 10-20 Mbps Bandbreite überträgst.
Je höher der Inter-Packet-Gap ist, desto anfälliger ist die Verbindung für Packetloss durch Auslastung.
Ebenfalls anfällig für diesen Effekt sind Shared Media-Verbindungen (z.B. LTE, TV-Kabel oder Glasfaser mit GPON, denn hier wird die theoretisch mögliche Paketrate durch die Aufteilung auf mehrere Nutzer künstlich beschränkt).
Normalerweise balanciert sich der Packetloss nach ein paar Sekunden so aus, dass du die Leitung auslastest und dabei so gerade eben keinen Packetloss hast. Fragil wird das dann, wenn zusätzliche, neue Verbindungen hinzukommen (und das kann etwas ganz profanes wie ein normaler Webseitenaufruf oder ein Bild in einem Messenger sein) und du dann kurzzeitig über diese Grenze kommst.
Dann kommen kurzzeitig mehr Daten an, als in deine Leitung passen. Und was nicht passt, wird dann verworfen. Da kann dann auch mal die Ping-Antwort vom Gateway dabei sein.
Habe ich auf meiner Leitung (allerdings mit Vectoring) auch, wenn ich mehrere parallele Downloads starte und gleichzeitig im Internet herumklicke:
Das ist Vectoring mit 250 Mbps. Der Packetloss ist zwar dank kürzerem Inter-Packet-Gap geringer als bei dir, aber er ist weiterhin da.
Und ich kann pfSense oder DPI-Firewalls als Ursache bei mir sicher ausschließen, denn ich habe keine.
Die Auslastung der CPU liegt bei < 1% und lediglich der Interrupt-Load durch die Netzwerkkarten (Intel 82574L) ist bei knapp 10%, aber weit entfernt als Problemursache infrage zu kommen. Und auf dem Modem sind keine CRC-Fehler zu sehen.
Ausschlaggebend ist nicht so unbedingt die Bandbreite sondern die maximale Paketrate die technisch möglich ist. Die orientiert sich am "Inter-Packet gap", also dem technisch notwendigen zeitlichen Abstand zwischen zwei Paketen. Den kann man bei VDSL nicht so gut festgelegen, weil es zu viele Faktoren gibt, die das beeinflussen. Aber aufgrund dieses Inter-Packet-Gap kannst du tatsächlich deine VDSL-Verbindung (über'n Daumen geschätzt) komplett auslasten, obwohl du nur leere Pakete mit maximal 10-20 Mbps Bandbreite überträgst.
Je höher der Inter-Packet-Gap ist, desto anfälliger ist die Verbindung für Packetloss durch Auslastung.
Ebenfalls anfällig für diesen Effekt sind Shared Media-Verbindungen (z.B. LTE, TV-Kabel oder Glasfaser mit GPON, denn hier wird die theoretisch mögliche Paketrate durch die Aufteilung auf mehrere Nutzer künstlich beschränkt).
Normalerweise balanciert sich der Packetloss nach ein paar Sekunden so aus, dass du die Leitung auslastest und dabei so gerade eben keinen Packetloss hast. Fragil wird das dann, wenn zusätzliche, neue Verbindungen hinzukommen (und das kann etwas ganz profanes wie ein normaler Webseitenaufruf oder ein Bild in einem Messenger sein) und du dann kurzzeitig über diese Grenze kommst.
Dann kommen kurzzeitig mehr Daten an, als in deine Leitung passen. Und was nicht passt, wird dann verworfen. Da kann dann auch mal die Ping-Antwort vom Gateway dabei sein.
Habe ich auf meiner Leitung (allerdings mit Vectoring) auch, wenn ich mehrere parallele Downloads starte und gleichzeitig im Internet herumklicke:
HOST: grob-gw Loss% Snt Last Avg Best Wrst StDev
1.|-- 2003:0:8200:4800::1 1.2% 500 7.4 13.3 3.9 110.5 13.8
2.|-- router.nl-ams.k.ripe.net 1.0% 500 9.7 18.5 9.3 167.4 13.7
3.|-- k.root-servers.net 1.6% 500 11.4 19.5 11.3 58.4 11.9Das ist Vectoring mit 250 Mbps. Der Packetloss ist zwar dank kürzerem Inter-Packet-Gap geringer als bei dir, aber er ist weiterhin da.
Und ich kann pfSense oder DPI-Firewalls als Ursache bei mir sicher ausschließen, denn ich habe keine.
Die Auslastung der CPU liegt bei < 1% und lediglich der Interrupt-Load durch die Netzwerkkarten (Intel 82574L) ist bei knapp 10%, aber weit entfernt als Problemursache infrage zu kommen. Und auf dem Modem sind keine CRC-Fehler zu sehen.
