108012
14.11.2017, aktualisiert am 25.09.2022
8953
7
4
PfSense 2.4.1 Port flapping und Packet loss
Hallo zusammen,
es treten immer mehr und mehr Leute in Erscheinung die melden, dass Ihre Firewall recht oft das LAN oder WAN Interface verlieren und das auch nur nach dem Update oder Upgrade auf die Version 2.4.1. Hier sind ein paar Tuning-Einstellungen um dem verhalten ein Ende zu setzen oder aber auch einfach nur Abhilfe zu schaffen. Die Einstellungen betreffen den igb(4) Treiber und sind bis dato alle zusammen, einzeln oder aber nur wenige dann aber zusammen zielführend um die weiter oben genannten Symptome abzustellen.
Es wird empfohlen diese Veränderungen in eine /boot/loader.conf.local Datei zu schreiben damit sie das nächste Update/Upgrade übersteht und sie nicht einfach wieder verschwinden bzw. überschrieben werden.
Sollte die /boot/loader.conf.local Datei noch nicht vorhanden sein muss sie erstellt werden!
Die Zahlen in den Klammern dahinter sind Werte mit denen es auch gut funktioniert damit man etwas zum variieren hat.
/boot/loader.conf.local (Port flapping & packet loss)
________________________________________________________________________________________________
Des weiteren habe ich hier in der letzten Zeit den ein oder anderen Tipp über pfSense bereit gestellt und sie noch einmal alle schnell zusammen gefasst, dann ist das einfacher mit dem Updaten und korrigieren solcher Sachen da sich von Version zu Version ja auch einmal etwas ändern kann.
BIOS Einstellungen: (Geschwindigkeit optimal ausnutzen)
pfSense Dashboard: (CPU Frequenz & TRIM)
Squid Proxy (Mehr RAM zuweisen)
OpenVPN: (Durchsatz erhöhen)
Gruß
Dobby
es treten immer mehr und mehr Leute in Erscheinung die melden, dass Ihre Firewall recht oft das LAN oder WAN Interface verlieren und das auch nur nach dem Update oder Upgrade auf die Version 2.4.1. Hier sind ein paar Tuning-Einstellungen um dem verhalten ein Ende zu setzen oder aber auch einfach nur Abhilfe zu schaffen. Die Einstellungen betreffen den igb(4) Treiber und sind bis dato alle zusammen, einzeln oder aber nur wenige dann aber zusammen zielführend um die weiter oben genannten Symptome abzustellen.
Es wird empfohlen diese Veränderungen in eine /boot/loader.conf.local Datei zu schreiben damit sie das nächste Update/Upgrade übersteht und sie nicht einfach wieder verschwinden bzw. überschrieben werden.
Sollte die /boot/loader.conf.local Datei noch nicht vorhanden sein muss sie erstellt werden!
Die Zahlen in den Klammern dahinter sind Werte mit denen es auch gut funktioniert damit man etwas zum variieren hat.
/boot/loader.conf.local (Port flapping & packet loss)
kern.cam.boot_delay=10000 (kann auch höher oder niedriger sein)
kern.ipc.nmbclusters=1000000 (125000, 250000, 500000, 750000 oder 1000000)
hw.igb.num_queues=1 (1, 2 oder 4)
legal.intel_ipw.license_ack=1
legal.intel_iwi.license_ack=1
hw.pci.enable_msix=0 (oder 1)
hw.igb.enable_msix=0 (oder 1)________________________________________________________________________________________________
Des weiteren habe ich hier in der letzten Zeit den ein oder anderen Tipp über pfSense bereit gestellt und sie noch einmal alle schnell zusammen gefasst, dann ist das einfacher mit dem Updaten und korrigieren solcher Sachen da sich von Version zu Version ja auch einmal etwas ändern kann.
BIOS Einstellungen: (Geschwindigkeit optimal ausnutzen)
Intel HT einschalten
Intel Speed Step anschalten
Intel TurboBoost 1/2.0 einschaltenpfSense Dashboard: (CPU Frequenz & TRIM)
PowerD (high Adaptive)
ZFS filesystem verwenden (TRIM wird damit automatisch aktiviert)Squid Proxy (Mehr RAM zuweisen)
cache_mem 2500 MB (weist Squid eine RAM Größe von 2,5 GB zu)
cache_swap 6000 MB (weist Squid eine Cache Größe auf der HDD/SSD von 6 GB zu)OpenVPN: (Durchsatz erhöhen)
- sndbuf 393216;
- rcvbuf 393216;
- push "sndbuf 393216"
- push "rcvbuf 393216" - Änder von buffer auf 2 MB
- LZO Kompression aktivieren
- Intel RAND aktivieren)- Deaktivieren von "hardware checksums" in network adapters (advanced -> networking)
- Aktivieren von 'fragment 0' in der "advanced configuration"
- Aktivieren von 'mssfix 0' in der "advanced configuration"
- Man kann auch noch mittels 'tun-mtu' versuchen etwas heraus zu holen, aber nur wenn man Einstellungen an beiden Enden des VPNs vornehmen kann UDP Fast I/O -> Aktiviert
Send/Receive Buffer auf 2.00 MiB niedriger oder höherGruß
Dobby
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 354821
Url: https://administrator.de/contentid/354821
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo Dobby,
die /boot/loader.conf.local Einstellungen sind unabhängig von der Hardware? Ich habe eine Alix Board APU1D4 und APU1C4, die haben ja einen AMD Prozessor? Oder ist damit der Intel Netzwerk Chip gemeint?
Danke! der Horst
Bei mir verliert nur der Windows Server seit Tagen die Netzwerkverbindung. Zum Glück kenne ich jetzt den Grund.
Die Ubuntu Kiste hingegen macht keine Probleme.
die /boot/loader.conf.local Einstellungen sind unabhängig von der Hardware? Ich habe eine Alix Board APU1D4 und APU1C4, die haben ja einen AMD Prozessor? Oder ist damit der Intel Netzwerk Chip gemeint?
Danke! der Horst
Bei mir verliert nur der Windows Server seit Tagen die Netzwerkverbindung. Zum Glück kenne ich jetzt den Grund.
Die Ubuntu Kiste hingegen macht keine Probleme.
Hallo,
das passieren soll und diese Datei und alle ihre Einträge werden bei einem Update und/oder Upgrade nicht überschrieben!
Ansonsten wenn man das alles in die /boot/loader.conf Datei einträgt wird alles überschrieben was man dort hinterlegt
wen es einmal zu einem Update oder einem Upgrade kommt.
Ist Hardware unabhängig.
Kann auch 150000, 250000, 500000, 750000 oder 1000000 groß sein
Ist auch unabhängig von der Hardware denn jeder LAN Port hat eine "mbuf size"
nur bei Dir ist es eben so dass nur 2 GB oder 4 GB RAM verbaut sind, und dann ist
es leider nciht möglich diesen Wert zu ändern weil man dann Gefahr läuft zu schnell
in einer endlosen Bootschleife zu landen.
Kann auch 2 oder 4 bzw. mehr betragen
Das kann auch wieder bei jeder Hardware eingetragen werden, man kann 1, 2 oder 4 bzw. mehr
Warteschlangen konfigurieren. Kommt also immer darauf an wie die einzelne Hardware reagiert
oder aber über welchen Treiber sie angworden ist.
Ist ausschließlich für Intel Karten gedacht!
Kann bei allen Netzwerkkarten benutzt werden.
sind sicherlich nciht alle Sachen gleich gut für Deine Hardware geeignet!
die auf den Netzwerkanschlüssen verbaut worden sind. Einige Punkte sind eher allgemeiner Natur und können
von allen Anwendern benutzt werden, einige Punkte richten sich an die vorhandene Hardware, aber eher allgemein
wie zum Beispiel wie groß ist der RAM also der Arbeiotsspeicher, mehr als man hat kann man auch mocht benutzen
und dann wiederum gibt es Punkte die ganz genau auf die Hardware abzielen oder aber auf die Treiber die zu eben
dieser speziellen Hardware gehören. Als Beispiel kann man hier den igb(4) Treiber und den bmc(?) Treiber anführen.
Der igb Treiber ist für Intel basierende Karten und der bmc Treiber für Broadcom basierende Netzwerkkarten und zum
einen beziehen sich solche Änderungen oder Tuningtipps auf die Einstellmöglichkeiten der Treiber und zum anderen auf
die verbauten Netzwerkkarten die dazugehören.
Nich jeder Treiber bietet die gleichen Einstellmöglichkeiten wie die anderen, aber einige Gemeinsamkeiten sind eben
doch vorhanden wie zum Beispiel die Warteschlangen (num.queues) Anazahl oder die Größe der Puffer (mbuf.size).
Die sind eben beide bei jeder Netzwerkkarte vorhanden nur braucht man bei der einen von Broadcom zum Beispiel nur
eine mbuf-size von 65000 und bei der Intel basierenden Netzwerkkarten sollten irgend etwas zwischen 125000 und
1000000 eingrtragen werden. Je nach dem wie viele Warteschlangen (num.queues) man deffiniert hat das richtet
sich nach dem Arbeitsspeicher also dessen größe, den man dazu benutzen kann.
Ich hoffe es war nicht zu umständlich und technisch und hilft Dir etwas weiter.
Gruß
Dobby
die /boot/loader.conf.local
Diese Datei erstellt man wenn sie noch nicht vorhanden ist in pfSense und die Striche geben das Verzeichnis an wodas passieren soll und diese Datei und alle ihre Einträge werden bei einem Update und/oder Upgrade nicht überschrieben!
Ansonsten wenn man das alles in die /boot/loader.conf Datei einträgt wird alles überschrieben was man dort hinterlegt
wen es einmal zu einem Update oder einem Upgrade kommt.
Einstellungen sind unabhängig von der Hardware?
Nein nicht alle, oder anders herum nur einige sind Hardware unabhängig.kern.cam.boot_delay=10000 (kann auch höher oder niedriger sein)kern.ipc.nmbclusters=1000000Ist auch unabhängig von der Hardware denn jeder LAN Port hat eine "mbuf size"
nur bei Dir ist es eben so dass nur 2 GB oder 4 GB RAM verbaut sind, und dann ist
es leider nciht möglich diesen Wert zu ändern weil man dann Gefahr läuft zu schnell
in einer endlosen Bootschleife zu landen.
hw.igb.num_queues=1Das kann auch wieder bei jeder Hardware eingetragen werden, man kann 1, 2 oder 4 bzw. mehr
Warteschlangen konfigurieren. Kommt also immer darauf an wie die einzelne Hardware reagiert
oder aber über welchen Treiber sie angworden ist.
legal.intel_ipw.license_ack=1 legal.intel_iwi.license_ack=1 hw.pci.enable_msix=0hw.igb.enable_msix=0 Ich habe eine Alix Board APU1D4 und APU1C4, die haben ja einen AMD Prozessor?
Ja die haben einen AM Prozessor und auch Realtek basierende LAN Ports und nur 2 Gb oder 4 GB RAM alsosind sicherlich nciht alle Sachen gleich gut für Deine Hardware geeignet!
Oder ist damit der Intel Netzwerk Chip gemeint?
Nein nur die NICs also die LAN Ports bzw. wenn man es denn so ausdrücken möchte auch die Netzwerkschipsdie auf den Netzwerkanschlüssen verbaut worden sind. Einige Punkte sind eher allgemeiner Natur und können
von allen Anwendern benutzt werden, einige Punkte richten sich an die vorhandene Hardware, aber eher allgemein
wie zum Beispiel wie groß ist der RAM also der Arbeiotsspeicher, mehr als man hat kann man auch mocht benutzen
und dann wiederum gibt es Punkte die ganz genau auf die Hardware abzielen oder aber auf die Treiber die zu eben
dieser speziellen Hardware gehören. Als Beispiel kann man hier den igb(4) Treiber und den bmc(?) Treiber anführen.
Der igb Treiber ist für Intel basierende Karten und der bmc Treiber für Broadcom basierende Netzwerkkarten und zum
einen beziehen sich solche Änderungen oder Tuningtipps auf die Einstellmöglichkeiten der Treiber und zum anderen auf
die verbauten Netzwerkkarten die dazugehören.
Nich jeder Treiber bietet die gleichen Einstellmöglichkeiten wie die anderen, aber einige Gemeinsamkeiten sind eben
doch vorhanden wie zum Beispiel die Warteschlangen (num.queues) Anazahl oder die Größe der Puffer (mbuf.size).
Die sind eben beide bei jeder Netzwerkkarte vorhanden nur braucht man bei der einen von Broadcom zum Beispiel nur
eine mbuf-size von 65000 und bei der Intel basierenden Netzwerkkarten sollten irgend etwas zwischen 125000 und
1000000 eingrtragen werden. Je nach dem wie viele Warteschlangen (num.queues) man deffiniert hat das richtet
sich nach dem Arbeitsspeicher also dessen größe, den man dazu benutzen kann.
Ich hoffe es war nicht zu umständlich und technisch und hilft Dir etwas weiter.
Gruß
Dobby
2.4.2 ist online. Das Problem ist aber nicht beschrieben??
https://doc.pfsense.org/index.php/2.4.2_New_Features_and_Changes
https://doc.pfsense.org/index.php/2.4.2_New_Features_and_Changes
2.4.2 ist online. Das Problem ist aber nicht beschrieben??
Und das ist auch gut so, denn mit dieser Version sollte das Problem ja auch eigentlich behoben sein!Also wäre es eher schlecht wenn es dort jetzt noch beschrieben stehen würde.
Gruß
Dobby
Die LAG und VLAN Probleme sind auf jeden Fall behoben worden;
Fixed PPP interfaces with a VLAN parent when using the new VLAN names #7981
Fixed issues with QinQ interfaces failing to show as active #7942
Fixed a panic/crash when disabling a LAGG interface #7940
Fixed issues with LAGG interfaces losing their MAC address #7928
Trimmed more characters off the interface description to avoid console menu output line wrapping on a VGA console
Fixed PPP link parameter field display when a VLAN parent interface was selected #8098
Fixed issues with IPsec status display/output, including multiple entries (one disconnected, one connected) #8003
Fixed display of multiple connected mobile IPsec clients #7856
Fixed display of child SA entries #7856
Das von mir hier beschriebene Problem mit dem Port Flapping ist nichts normales, oder gar ein festes Problem,
nur wer es eben bei sich festgestellt hat der kann so wie ich das weiter oben beschrieben habe schnell lösen.
Denn alle zwei bis drei Tage die Firewall rebooten ist ja auch kein Zustand.
Gruß
Dobby
Fixed PPP interfaces with a VLAN parent when using the new VLAN names #7981
Fixed issues with QinQ interfaces failing to show as active #7942
Fixed a panic/crash when disabling a LAGG interface #7940
Fixed issues with LAGG interfaces losing their MAC address #7928
Trimmed more characters off the interface description to avoid console menu output line wrapping on a VGA console
Fixed PPP link parameter field display when a VLAN parent interface was selected #8098
Fixed issues with IPsec status display/output, including multiple entries (one disconnected, one connected) #8003
Fixed display of multiple connected mobile IPsec clients #7856
Fixed display of child SA entries #7856
Das von mir hier beschriebene Problem mit dem Port Flapping ist nichts normales, oder gar ein festes Problem,
nur wer es eben bei sich festgestellt hat der kann so wie ich das weiter oben beschrieben habe schnell lösen.
Denn alle zwei bis drei Tage die Firewall rebooten ist ja auch kein Zustand.
Gruß
Dobby
Hallo,
mein Problem sind jetzt durch das Update verschwunden. Der Rechner verliert nicht mehr die Verbindung zum Netzwerk.
Schade das Dobby sich abgemeldet hat.
der Horst
mein Problem sind jetzt durch das Update verschwunden. Der Rechner verliert nicht mehr die Verbindung zum Netzwerk.
Schade das Dobby sich abgemeldet hat.
der Horst
Hallo,
Kann sein, dass das Problem mit dem Dezember Update 2.4.2-RELEASE-p1 zurück ist? Mein Windows PC macht wieder alle... Tage zicken
Danke
der Horst
Kann sein, dass das Problem mit dem Dezember Update 2.4.2-RELEASE-p1 zurück ist? Mein Windows PC macht wieder alle... Tage zicken
Danke
der Horst
Serie: pfSense firewall
PfSense Packages update scriptePfSense Links5PfSense 2.7.0 Roadmap9Realtek Treiber 1.97.00 für pfSense 2.60 CE und 22.01 oder 22.05 PlusWireGuard VPN and Intel QATPfSense Infos6PfSense 2.4.1 Port flapping und Packet loss7PfSense Repository für Version 2.3.x9PC Engines APU1, APU2 und APU3 - pfSense 2.4.0 - LED Update (apuled.ko)5PfSense Monitoring mit ELK (ElasticSearch, Logstash, Kibana)3PfSense OpenVPN beschleunigenPfSense 2.4.0 und Telekom EntertainTV 2.0 funktionieren5PfSense rückt immer näher an die Version 2.4.0 heranÄnderungen und Bekanntmachungen zu den pfSense Versionnen 2.4 und 2.512Blocklisten für pfSense mit pfBlockerNG plus DNSBL und PI-HolePfSense does not support i386 or NanoBSD since version 2.4!3PfSense Temperatursensor für das APU2C4 BoardPfSense Training - Voleatech1
