ESXi Management über PfSense (IPsec Tunnel) führt zu Massen an TCP Retransmissions
Moin zusammen,
hier ein kurzer Beitrag zu einem Problem sobald man die Management Seite eines ESXs über einen IPsec Tunnel erreichen möchte.
Bei mir trat dieses Phänomen mit einer PfSense Konstellation auf beiden Seiten der VPN Strecke auf.
Konstellation:
Dargestellt hat es sich wie folgt:
Eine Analyse mit Wireshark führte schnell zu dem Problem. Die Lösung ist jedoch nicht ganz trivial.
Lösung:
Auf dem ESX muss für die physischen Adapter, sowie VSwitche "TCP Segmentation Offload" deaktiviert werden.
Link zum VMware Artikel: https://kb.vmware.com/s/article/2055140
Die einfachste Variante ist an der Stelle wie folgt: "In the vSphere Web Client, on the Manage tab for the host, click Advanced System Settings and set Net.TcpipDefLROEnabled to 0"
Auf der Firewall VM muss zusätzlich "hardware large receive offload" deaktiviert werden.
Edit1:
Deaktivieren von "LRO" auf dem ESX ist anscheint nicht erforderlich. Die Anpassung der Firewall-VM jedoch schon. Das kann weiterhin zu Performance Problemen führen.
Gruß
Spirit
hier ein kurzer Beitrag zu einem Problem sobald man die Management Seite eines ESXs über einen IPsec Tunnel erreichen möchte.
Bei mir trat dieses Phänomen mit einer PfSense Konstellation auf beiden Seiten der VPN Strecke auf.
Konstellation:
- Sense1 - local
- Sense2 - VM auf einem ESX
- Sense1 und Sense2 sind per IPsec Tunnel miteinander verbunden. Routing ist definiert.
- Auf dem ESX wurde ein VMKernel Adapter erstellt und ebenfalls an die Firewall-VM gehängt. Über dieses Netz findet der Zugriff statt. Die Routen für entfernte Netze wurde auf dem ESX angelegt.
Dargestellt hat es sich wie folgt:
- Aufruf der Webseite des ESX (aus dem localen Netz) führt dazu, das die Seite nicht lädt.
- Auf der Firewall-VM, welche auf der ESX selbst läuft, wird das zusätzliche Interface mit TCP Retransmissions bombadiert und nutzt die vollständig zur Verfüg stehende Bandbreite.
- Auf der localen Firewall kommt hingegen nichts an.
Eine Analyse mit Wireshark führte schnell zu dem Problem. Die Lösung ist jedoch nicht ganz trivial.
Lösung:
Link zum VMware Artikel: https://kb.vmware.com/s/article/2055140
Auf der Firewall VM muss zusätzlich "hardware large receive offload" deaktiviert werden.
Edit1:
Deaktivieren von "LRO" auf dem ESX ist anscheint nicht erforderlich. Die Anpassung der Firewall-VM jedoch schon. Das kann weiterhin zu Performance Problemen führen.
Gruß
Spirit
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 534726
Url: https://administrator.de/knowledge/esxi-management-ueber-pfsense-ipsec-tunnel-fuehrt-zu-massen-an-tcp-retransmissions-534726.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
7 Kommentare
Neuester Kommentar