108012
Goto Top

PfSense 2.4.1 Port flapping und Packet loss

Hallo zusammen,

es treten immer mehr und mehr Leute in Erscheinung die melden, dass Ihre Firewall recht oft das LAN oder WAN Interface verlieren und das auch nur nach dem Update oder Upgrade auf die Version 2.4.1. Hier sind ein paar Tuning-Einstellungen um dem verhalten ein Ende zu setzen oder aber auch einfach nur Abhilfe zu schaffen. Die Einstellungen betreffen den igb(4) Treiber und sind bis dato alle zusammen, einzeln oder aber nur wenige dann aber zusammen zielführend um die weiter oben genannten Symptome abzustellen.

Es wird empfohlen diese Veränderungen in eine /boot/loader.conf.local Datei zu schreiben damit sie das nächste Update/Upgrade übersteht und sie nicht einfach wieder verschwinden bzw. überschrieben werden.

Sollte die /boot/loader.conf.local Datei noch nicht vorhanden sein muss sie erstellt werden!
Die Zahlen in den Klammern dahinter sind Werte mit denen es auch gut funktioniert damit man etwas zum variieren hat.

/boot/loader.conf.local (Port flapping & packet loss)
 
kern.cam.boot_delay=10000 (kann auch höher oder niedriger sein)
kern.ipc.nmbclusters=1000000 (125000, 250000, 500000, 750000 oder 1000000)
hw.igb.num_queues=1 (1, 2 oder 4)
legal.intel_ipw.license_ack=1
legal.intel_iwi.license_ack=1
hw.pci.enable_msix=0 (oder 1)
hw.igb.enable_msix=0 (oder 1)

________________________________________________________________________________________________

Des weiteren habe ich hier in der letzten Zeit den ein oder anderen Tipp über pfSense bereit gestellt und sie noch einmal alle schnell zusammen gefasst, dann ist das einfacher mit dem Updaten und korrigieren solcher Sachen da sich von Version zu Version ja auch einmal etwas ändern kann.

BIOS Einstellungen: (Geschwindigkeit optimal ausnutzen)
Intel HT einschalten
Intel Speed Step anschalten
Intel TurboBoost 1/2.0 einschalten

pfSense Dashboard: (CPU Frequenz & TRIM)
PowerD (high Adaptive)
ZFS filesystem verwenden (TRIM wird damit automatisch aktiviert)

Squid Proxy (Mehr RAM zuweisen)
cache_mem 2500 MB (weist Squid eine RAM Größe von 2,5 GB zu)
cache_swap 6000 MB (weist Squid eine Cache Größe auf der HDD/SSD von 6 GB zu)

OpenVPN: (Durchsatz erhöhen)
- sndbuf 393216;
- rcvbuf 393216;
- push "sndbuf 393216"  
- push "rcvbuf 393216"  

- Änder von buffer auf 2 MB
- LZO Kompression aktivieren 
- Intel RAND aktivieren)

- Deaktivieren von "hardware checksums" in network adapters (advanced -> networking)  
- Aktivieren von  'fragment 0' in der "advanced configuration"  
- Aktivieren von 'mssfix 0' in der "advanced configuration"  
- Man kann auch noch mittels 'tun-mtu' versuchen etwas heraus zu holen, aber nur wenn man Einstellungen an beiden Enden des VPNs vornehmen kann  

UDP Fast I/O -> Aktiviert
Send/Receive Buffer auf 2.00 MiB niedriger oder höher

Gruß
Dobby

Content-ID: 354821

Url: https://administrator.de/contentid/354821

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

horstvogel
horstvogel 15.11.2017 aktualisiert um 23:33:36 Uhr
Goto Top
Hallo Dobby,
die /boot/loader.conf.local Einstellungen sind unabhängig von der Hardware? Ich habe eine Alix Board APU1D4 und APU1C4, die haben ja einen AMD Prozessor? Oder ist damit der Intel Netzwerk Chip gemeint?
Danke! der Horst

Bei mir verliert nur der Windows Server seit Tagen die Netzwerkverbindung. Zum Glück kenne ich jetzt den Grund.
Die Ubuntu Kiste hingegen macht keine Probleme.
108012
108012 16.11.2017 um 16:03:42 Uhr
Goto Top
Hallo,

die /boot/loader.conf.local
Diese Datei erstellt man wenn sie noch nicht vorhanden ist in pfSense und die Striche geben das Verzeichnis an wo
das passieren soll und diese Datei und alle ihre Einträge werden bei einem Update und/oder Upgrade nicht überschrieben!

Ansonsten wenn man das alles in die /boot/loader.conf Datei einträgt wird alles überschrieben was man dort hinterlegt
wen es einmal zu einem Update oder einem Upgrade kommt.

Einstellungen sind unabhängig von der Hardware?
Nein nicht alle, oder anders herum nur einige sind Hardware unabhängig.

kern.cam.boot_delay=10000 (kann auch höher oder niedriger sein)
Ist Hardware unabhängig.

kern.ipc.nmbclusters=1000000
Kann auch 150000, 250000, 500000, 750000 oder 1000000 groß sein
Ist auch unabhängig von der Hardware denn jeder LAN Port hat eine "mbuf size"
nur bei Dir ist es eben so dass nur 2 GB oder 4 GB RAM verbaut sind, und dann ist
es leider nciht möglich diesen Wert zu ändern weil man dann Gefahr läuft zu schnell
in einer endlosen Bootschleife zu landen.

hw.igb.num_queues=1
Kann auch 2 oder 4 bzw. mehr betragen
Das kann auch wieder bei jeder Hardware eingetragen werden, man kann 1, 2 oder 4 bzw. mehr
Warteschlangen konfigurieren. Kommt also immer darauf an wie die einzelne Hardware reagiert
oder aber über welchen Treiber sie angworden ist.

legal.intel_ipw.license_ack=1 
legal.intel_iwi.license_ack=1 
Ist ausschließlich für Intel Karten gedacht!

hw.pci.enable_msix=0
hw.igb.enable_msix=0 
Kann bei allen Netzwerkkarten benutzt werden.

Ich habe eine Alix Board APU1D4 und APU1C4, die haben ja einen AMD Prozessor?
Ja die haben einen AM Prozessor und auch Realtek basierende LAN Ports und nur 2 Gb oder 4 GB RAM also
sind sicherlich nciht alle Sachen gleich gut für Deine Hardware geeignet!

Oder ist damit der Intel Netzwerk Chip gemeint?
Nein nur die NICs also die LAN Ports bzw. wenn man es denn so ausdrücken möchte auch die Netzwerkschips
die auf den Netzwerkanschlüssen verbaut worden sind. Einige Punkte sind eher allgemeiner Natur und können
von allen Anwendern benutzt werden, einige Punkte richten sich an die vorhandene Hardware, aber eher allgemein
wie zum Beispiel wie groß ist der RAM also der Arbeiotsspeicher, mehr als man hat kann man auch mocht benutzen
und dann wiederum gibt es Punkte die ganz genau auf die Hardware abzielen oder aber auf die Treiber die zu eben
dieser speziellen Hardware gehören. Als Beispiel kann man hier den igb(4) Treiber und den bmc(?) Treiber anführen.
Der igb Treiber ist für Intel basierende Karten und der bmc Treiber für Broadcom basierende Netzwerkkarten und zum
einen beziehen sich solche Änderungen oder Tuningtipps auf die Einstellmöglichkeiten der Treiber und zum anderen auf
die verbauten Netzwerkkarten die dazugehören.

Nich jeder Treiber bietet die gleichen Einstellmöglichkeiten wie die anderen, aber einige Gemeinsamkeiten sind eben
doch vorhanden wie zum Beispiel die Warteschlangen (num.queues) Anazahl oder die Größe der Puffer (mbuf.size).
Die sind eben beide bei jeder Netzwerkkarte vorhanden nur braucht man bei der einen von Broadcom zum Beispiel nur
eine mbuf-size von 65000 und bei der Intel basierenden Netzwerkkarten sollten irgend etwas zwischen 125000 und
1000000 eingrtragen werden. Je nach dem wie viele Warteschlangen (num.queues) man deffiniert hat das richtet
sich nach dem Arbeitsspeicher also dessen größe, den man dazu benutzen kann.

Ich hoffe es war nicht zu umständlich und technisch und hilft Dir etwas weiter.

Gruß
Dobby
horstvogel
horstvogel 21.11.2017 um 20:40:25 Uhr
Goto Top
2.4.2 ist online. Das Problem ist aber nicht beschrieben??

https://doc.pfsense.org/index.php/2.4.2_New_Features_and_Changes
108012
108012 21.11.2017 um 20:52:04 Uhr
Goto Top
2.4.2 ist online. Das Problem ist aber nicht beschrieben??
Und das ist auch gut so, denn mit dieser Version sollte das Problem ja auch eigentlich behoben sein!
Also wäre es eher schlecht wenn es dort jetzt noch beschrieben stehen würde.

Gruß
Dobby
108012
108012 21.11.2017 um 20:57:50 Uhr
Goto Top
Die LAG und VLAN Probleme sind auf jeden Fall behoben worden;

Fixed PPP interfaces with a VLAN parent when using the new VLAN names #7981
Fixed issues with QinQ interfaces failing to show as active #7942
Fixed a panic/crash when disabling a LAGG interface #7940
Fixed issues with LAGG interfaces losing their MAC address #7928
Trimmed more characters off the interface description to avoid console menu output line wrapping on a VGA console
Fixed PPP link parameter field display when a VLAN parent interface was selected #8098
Fixed issues with IPsec status display/output, including multiple entries (one disconnected, one connected) #8003
Fixed display of multiple connected mobile IPsec clients #7856
Fixed display of child SA entries #7856

Das von mir hier beschriebene Problem mit dem Port Flapping ist nichts normales, oder gar ein festes Problem,
nur wer es eben bei sich festgestellt hat der kann so wie ich das weiter oben beschrieben habe schnell lösen.
Denn alle zwei bis drei Tage die Firewall rebooten ist ja auch kein Zustand.

Gruß
Dobby
horstvogel
horstvogel 26.11.2017 um 09:49:00 Uhr
Goto Top
Hallo,
mein Problem sind jetzt durch das Update verschwunden. Der Rechner verliert nicht mehr die Verbindung zum Netzwerk.
Schade das Dobby sich abgemeldet hat.
der Horst
horstvogel
horstvogel 16.01.2018 aktualisiert um 20:39:40 Uhr
Goto Top
Hallo,
Kann sein, dass das Problem mit dem Dezember Update 2.4.2-RELEASE-p1 zurück ist? Mein Windows PC macht wieder alle... Tage zicken
Danke
der Horst