Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ESXi Management über PfSense (IPsec Tunnel) führt zu Massen an TCP Retransmissions

Mitglied: Spirit-of-Eli

Spirit-of-Eli (Level 3) - Jetzt verbinden

14.01.2020, aktualisiert 11:35 Uhr, 652 Aufrufe, 7 Kommentare, 1 Danke

Moin zusammen,

hier ein kurzer Beitrag zu einem Problem sobald man die Management Seite eines ESXs über einen IPsec Tunnel erreichen möchte.
Bei mir trat dieses Phänomen mit einer PfSense Konstellation auf beiden Seiten der VPN Strecke auf.

Konstellation:
  • Sense1 - local
  • Sense2 - VM auf einem ESX
  • Sense1 und Sense2 sind per IPsec Tunnel miteinander verbunden. Routing ist definiert.
  • Auf dem ESX wurde ein VMKernel Adapter erstellt und ebenfalls an die Firewall-VM gehängt. Über dieses Netz findet der Zugriff statt. Die Routen für entfernte Netze wurde auf dem ESX angelegt.

Dargestellt hat es sich wie folgt:
  • Aufruf der Webseite des ESX (aus dem localen Netz) führt dazu, das die Seite nicht lädt.
  • Auf der Firewall-VM, welche auf der ESX selbst läuft, wird das zusätzliche Interface mit TCP Retransmissions bombadiert und nutzt die vollständig zur Verfüg stehende Bandbreite.
  • Auf der localen Firewall kommt hingegen nichts an.

Eine Analyse mit Wireshark führte schnell zu dem Problem. Die Lösung ist jedoch nicht ganz trivial.

Lösung:
Auf dem ESX muss für die physischen Adapter, sowie VSwitche "TCP Segmentation Offload" deaktiviert werden.
Link zum VMware Artikel: https://kb.vmware.com/s/article/2055140
Die einfachste Variante ist an der Stelle wie folgt: "In the vSphere Web Client, on the Manage tab for the host, click Advanced System Settings and set Net.TcpipDefLROEnabled to 0"
Auf der Firewall VM muss zusätzlich "hardware large receive offload" deaktiviert werden.

Edit1:
Deaktivieren von "LRO" auf dem ESX ist anscheint nicht erforderlich. Die Anpassung der Firewall-VM jedoch schon. Das kann weiterhin zu Performance Problemen führen.

Gruß
Spirit
Mitglied: SeaStorm
14.01.2020 um 11:15 Uhr
Hmm also offloading auf einem esxi, möglichst mit 10G zu deaktivieren ist auch ein fragwürdiger Bugfix. Je nach Traffic auf der Kiste kann sich das schon auf die CPU auswirken. Siehst du einen unterschied?
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020, aktualisiert um 11:35 Uhr
Ich habe hier gerade keine 10G Karten und auch nicht viel Traffic. Mich hat einfach gewurmt, wieso ich das Management Interface nicht aufrufen kann.
Ich teste derzeit noch aus, ob die Anpassung am ESX in der Form tatsächlich erforderlich ist. Vielleicht reicht es auch aus "LRO" nur auf dem entsprechenden VSwitch für die Verwaltung zu deaktivieren.

Prinzipiell bin bei dir was die Performance an geht. Testen kann ich es hier leider nicht ausgiebig.
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020 um 12:22 Uhr
Ich habe jetzt weiter herum getestet und zu dem die default Konfig einer PfSense überprüft. Dort ist "hardware TCP segmentation offload" sowie "hardware large receive offload" standard mäßig deaktiviert.

Mit der Konfiguration geht zwar die CPU Last stark hoch, aber der Durchsatz ist deutlich besser.
Keine Ahnung wieso ich das mal raus genommen hatte. Auf dem ESX ist dies definitiv nicht nötig!
Bitte warten ..
Mitglied: chgorges
14.01.2020 um 14:25 Uhr
Mach mal einen MTU Ping auf den Management Kernel, ob ggf. deine Tunnel-MTU angepasst werden muss.

Ich habe das Problem hin und wieder bei OpenVPN-Tunneln (wobei es eigentlich kein Problem, sondern nur Einstellungssache ist).
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020 um 14:42 Uhr
Die Pakete wurden zwar fragmentiert, aber selbst mit Anpassung auf 1360 haben ich das Problem sobald "hardware large receive offload" deaktiviert ist.
Bitte warten ..
Mitglied: chgorges
14.01.2020 um 15:00 Uhr
Und bei 1240 oder 1260? Soweit muss ich als runter.
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020, aktualisiert um 15:09 Uhr
Macht keinen unterschied und behebt das Problem nicht. Einzig der ping ohne Last geht um 3ms runter.
Bitte warten ..
Ähnliche Inhalte
CPU, RAM, Mainboards

Mass angefertigte 19" - 1U - Gehäuse - für Alix, APU, PBX oder zusätzliche Netzwerkswitche

Information von 108012CPU, RAM, Mainboards11 Kommentare

Hallo, ich habe zwar sonst immer die Gehäuse von Varia-Store benutzt und die sind auch alle tadellos zu benutzen ...

Router & Routing

Routed IPsec in pfSense 2.4.4

Tipp von C.R.S.Router & Routing1 Kommentar

Sehr schöne Möglichkeit in pfSense, die ich bislang ganz übersehen hatte: Hat das schon jemand im Einsatz, z.B. für ...

Windows Netzwerk

Community Management Packs für SCOM

Erfahrungsbericht von JuanitoWindows Netzwerk

Community Management Packs für SCOM Einleitung SquaredUp ist eine kleine Firma welche sich auf Erweiterungen für SCOM (OpsMgr) spezialisiert ...

Router & Routing

PfSense Routing durch VPN-Tunnel

Tipp von FA-jkaRouter & Routing2 Kommentare

Ich hatte vorhin das Problem, dass eine pfSense keine Route auf einen OpenVPN-Client setzen kann. In der Sense war ...

Neue Wissensbeiträge
Drucker und Scanner

Kyocera PCL Barcode Flash SD v3.0 Firmware Update installieren

Tipp von Mana vor 2 TagenDrucker und Scanner1 Kommentar

Ich hatte eine vorhandene "PCL Barcode Flash SD v3.0 Type D/E", die bisher in einem Kyocera FS-4200DN verbaut war. ...

Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 6 TagenSicherheit3 Kommentare

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 7 TagenInternet6 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Mit "-s 28624 wähle ich ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 8 TagenAdministrator.de Feedback26 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. In Zukunft kommen neue Typen dazu. Hier ein Beispiel ...

Heiß diskutierte Inhalte
Windows Server
Gruppenrichtlinie Basisordner
Frage von opc123Windows Server18 Kommentare

Hallo, es gibt ja die GPO "User Basis Ordner" Ich habe diese auf ein Netzlaufwerk aktiviert. Der Ordner wird ...

LAN, WAN, Wireless
Server LAN nicht möglich, Alternativen?
gelöst Frage von mrlnbllmnnLAN, WAN, Wireless16 Kommentare

Moin, ich stelle demnächst in meinem Keller einen Server auf und möchte diesen natürlich mit meinem Heimnetz verbinden. Ich ...

Netzwerkmanagement
Windows 10 Client Internet sperren für einzelnen User
Frage von holliknolliNetzwerkmanagement13 Kommentare

Hallo liebe alle, stehe vor dem Problem, für einen Domain-User das Internet komplett sperren zu müssen, allerdings lokale LAN-Ressourcen ...

Hyper-V
Deinstallation des Hypervisor unter Windows 10 möglich?
Frage von xhutzelxHyper-V10 Kommentare

Hallo zusammen, nach einer kurzen Recherche habe ich erfahren, dass die Aktivierung von Hyper-V unter Windows 10 (über Programme ...