PfSense mit FTTH Telekom

Wie meist, zu wenig Informationen.

Liste deine Hardware konkret auf und dann geht es weiter.

Vermutlich wie immer auf Provider fremde Speedtests geklickt die dann durchs ganze Internet müssen wobei der Telekom Techniker wie es sein soll einen lokalen Speed Test verwendet.
Vor allem WOMIT und WIE wird gemessen. Nicht das hier auch wieder, wie leider auch oft üblich, Bit und Byte durcheinander gewürfelt sind.
Ein aktuelles APU2D4 sollte die 1G annähernd in Wirespeed schaffen. Das wäre so die Standard Hardware dafür.

Sorry, aber diese beiden messen totalen Blödsinn. Beispiel: Wir haben einen Magenta 50/10 Anschluß. Die Telekom will mir weis machen, ich hätte einen Upload von über 25MBit.

P.S.: Hast Du die Verkabelung mal gewechselt? Vielleicht ist einfach nur ein Netzwerkkabel defekt.

??? Bahnhof ?? Was soll das heissen ?
Das macht ein Speedport Plasterouter, Switch oder Hub auch.
Hast du das APU entsprechend customized. Hiadaptive aktiviert, Crypto AES NI, lokales FW, Growl, Mailing deaktiviert usw. usw. in den Advanced Settings.
Da hast du Recht ! Das würdest du dann aber auch im Dashboard oder den grafischen Port Statistiken sehen das die FW dann überfordert ist.
Nimm doch spaßeshalber die FW mal und teste sie selber lokal. Ein PC am WAN Port und einen am LAN Port und dann lässt du mal NetIO mit TCP Encapsulation drauf los:
https://web.ars.de/netio/
http://www.nwlab.net/art/netio/netio.html
Da wirst du dann auch selber sehen das sie so gut wie Wirespeed macht !
Was gut möglich sein kann ist das du ein Autonegotiation Problem an den Anschlüssen hast. Sprich also einen Speed und Duplex Negotiation Fehler an den Endgeräten wo WAN Port und LAN Port angeschlossen sind.
Das führt dann zu exzessiven Paket Kollisionen an diesen Ports und an einem lahmen Datenfluss und zwar je lahmer je mehr Daten fliessen.
Das kannst du aber schnell sehen indem du dir die Port Statistiken der beteiligten Geräte ansiehst. Gehen dort, Runt, Error oder Large Counter in die Höhe hast du so einen Fall das dann MDI-X nicht sauber funktioniert.

Wenn es an der pfSense liegen würde, müßte er das doch an den Leistungsdaten erkennen können. Die Hardware müßte dann nämlich schon auf Anschlag laufen.

Ok. Was ist mit dem Netzwerkport? Welche Geschwindigkeit zeigt der an (pfsense / Switch / PC)?

Simpler Test: Rechner an das Glasfasermodem hängen, PPPoE-Verbindung einrichten und dann prüfen, ob es geht.

OK, also dann eine stinknormale Router/Firewall Kaskade mit doppeltem NAT. Das ist aber nicht der Grund des Performance Verlustes.
Dann bleibt eigentlich nur ein ggf. vorhandenes Auto Negotiation Problem an den Anschluss Ports. Das betrifft aber alle Geräte dann in der Kette wo du das prüfen musst !
Um das erstmal nur auf der pfSense zu prüfen musst du natürlich mit dem Test PC dann direkt an den LAN Port der pfSense gehen, logisch.
Dann Schritt für Schritt rückwärts.
Vermutlich...irgendwo ?! Die wichtigsten Grund Konfig Schritte sind:
System --> Advanced Setting:

• FW & NAT: Haken setzen bei "Bypass firewall rules for traffic on the same interface"
• Networking: Wenn du generell kein IPv6 machst: Haken entfernen bei "All IPv6 traffic will be blocked by the firewall unless this box is checked"
• Miscellaneous: Haken setzen bei "Enable PowerD", Alle Schalter auf "Hiadaptive", Crypto HW auf: "AES NI CPU based"
• Notifications: Haken bei: "Disable Growl Notifications" Sofern du keine Email Benachrichtigungen nutzt Haken bei: "Disable SMTP Notifications"
• (Kosmetisch) Status -> System Logs -> Settings: Haken bei "Show log entries in reverse order (newest entries on top)" um die relevanten Messages gleich zuerst zu sehen. Ggf. mal unten "Reset Log Files" klicken und checken ob dort irgendwas Perfromance relevantes unter "System" eingeht.

Ich hab mich beim Lesen des Threads einfach nur immer wieder gefragt, ob du auch einfach mal eine 5GB Datei oder sowas ausm Internet gezogen hast, oder dich die ganze Zeit von nem ollen Speedtest hast verrückt machen lassen.

Hängt aber nicht davon ab ob das viele oder wenige schreiben sondern wie immer von den technischen Fakten !
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Das sollte die Grundlage sein
Das ist ja immer ein zweischneidiges Schwert und sehr wenig aussagekräftig.
WO steht denn der Download Server. Wenn du jetzt dynamisch irgendwo zu einem Server in den USA geroutet wirst, geht der Traffic erstmal durch dein provider Netz, an einen Exchange Point z.B. DE-CIX in Frankfurt, dort zu einem anderen Provider zum CIX in London, dann nach new York usw. zu Ziel. Viele Hops also und du weisst niemals wenn der Traffic deinen Provider verlässt was dieser für Leitungen zu anderen Providern hat, wie belastet oder überbucht die sind usw. usw. Reines Lotteriespiel also....
Sinnvoll wäre es dediziert einen Download oder Speed Server nur rein im Netzwerk deines Providers zu nehmen. Damit minimierst du die Abhängigkeiten von externen Leitungen auf deren Bandbreite und Nutzungsgrad du keinerlei Einflüsse hast !
Viel sinnvoller, dieser Test nutzt immer Testserver in der Nähe und dort bekommst du realistischere Daten.
Woran machst du das fest das das richtig ist...???
Interessant ist das die Upload und Download Werte realtiv gleich sind. Das zeugt dann doch eher von einem Fehler im Customizing der Leitung. Sieht eher so als ob sie dir 100 Mbit statt 1000 Mbit gegeben haben.
Du solltest nochmals um eine genaue Messung bei dir vor Ort mit entsprechendem schriftlichen Messprotokoll bitten. Du weisst ja wie das ist...sie bügeln Kunden immer erst ab da sie ja nie Fehler machen und das nur der Kunde ist. Da musst du den Druck erhöhen.
Du hast ja kein Modem mehr dazwischen, die FW geht ja direkt mit dem Ethernet Port in den FTTH Medienwandler.
Um ggf. Autonegotiation Probleme, sprich also einen Speed und Duplex Mismatch sicher auszuschliessen kannst du ja nochmal einen kleinen Gig Switch zw. FW und FTTH Medienwandler klemmen ob der Speedtest dann andere Werte zeigt.
Nur um ggf. solche Problematiken auch nochmal vorab sicher auszuschliessen.

Ich denke, der TE findet die Wahrheit über seine Leitung nur raus, wenn er den von der Telekom für die Gigabit Leitung freigegebenen Speedport Smart 3 mal dranhängt und dann die Geschwindigkeit prüft.

Kein Wunder, denn das sind fachfremde Call Center. Anhand der gewählten Nummern können die die Telekom Kunden erkennen und antworten dann von einer in Plastik eimngeschweissten Antwortliste in ihrer Schreibtischunterlage.
Der nächste Call ist dann ein Gaskunde der seinen Tarif nicht versteht, dann gehts an die andere Antwortliste.
Das ist auch richtig und vernünftig !
Kann man aber eigentlich nicht wirklich glauben wenn ein APU2 schon zwischen 880 und 900 Mbit mit PPPoE schafft:
http://pcengines.info/forums/?page=post&id=E801CA38-8CD5-4854-95A7- ...
Teste das doch mit iPerf3 mal selber aus...
Kali Linux Live booten. PPPoE Server aktiviern und mal mit IPerf 3 befeuern.

Dann weißt du, die Leitung tut und du musst leider bei der PFSense weitersuchen.

Hast du ne Möglichkeit, die PFSense virtuell aufzusetzen und zu testen?