Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ESXi Management über PfSense (IPsec Tunnel) führt zu Massen an TCP Retransmissions

Mitglied: Spirit-of-Eli

Spirit-of-Eli (Level 3) - Jetzt verbinden

14.01.2020, aktualisiert 11:35 Uhr, 2607 Aufrufe, 7 Kommentare, 1 Danke

Moin zusammen,

hier ein kurzer Beitrag zu einem Problem sobald man die Management Seite eines ESXs über einen IPsec Tunnel erreichen möchte.
Bei mir trat dieses Phänomen mit einer PfSense Konstellation auf beiden Seiten der VPN Strecke auf.

Konstellation:
  • Sense1 - local
  • Sense2 - VM auf einem ESX
  • Sense1 und Sense2 sind per IPsec Tunnel miteinander verbunden. Routing ist definiert.
  • Auf dem ESX wurde ein VMKernel Adapter erstellt und ebenfalls an die Firewall-VM gehängt. Über dieses Netz findet der Zugriff statt. Die Routen für entfernte Netze wurde auf dem ESX angelegt.

Dargestellt hat es sich wie folgt:
  • Aufruf der Webseite des ESX (aus dem localen Netz) führt dazu, das die Seite nicht lädt.
  • Auf der Firewall-VM, welche auf der ESX selbst läuft, wird das zusätzliche Interface mit TCP Retransmissions bombadiert und nutzt die vollständig zur Verfüg stehende Bandbreite.
  • Auf der localen Firewall kommt hingegen nichts an.

Eine Analyse mit Wireshark führte schnell zu dem Problem. Die Lösung ist jedoch nicht ganz trivial.

Lösung:
Auf dem ESX muss für die physischen Adapter, sowie VSwitche "TCP Segmentation Offload" deaktiviert werden.
Link zum VMware Artikel: https://kb.vmware.com/s/article/2055140
Die einfachste Variante ist an der Stelle wie folgt: "In the vSphere Web Client, on the Manage tab for the host, click Advanced System Settings and set Net.TcpipDefLROEnabled to 0"
Auf der Firewall VM muss zusätzlich "hardware large receive offload" deaktiviert werden.

Edit1:
Deaktivieren von "LRO" auf dem ESX ist anscheint nicht erforderlich. Die Anpassung der Firewall-VM jedoch schon. Das kann weiterhin zu Performance Problemen führen.

Gruß
Spirit
Mitglied: SeaStorm
14.01.2020 um 11:15 Uhr
Hmm also offloading auf einem esxi, möglichst mit 10G zu deaktivieren ist auch ein fragwürdiger Bugfix. Je nach Traffic auf der Kiste kann sich das schon auf die CPU auswirken. Siehst du einen unterschied?
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020, aktualisiert um 11:35 Uhr
Ich habe hier gerade keine 10G Karten und auch nicht viel Traffic. Mich hat einfach gewurmt, wieso ich das Management Interface nicht aufrufen kann.
Ich teste derzeit noch aus, ob die Anpassung am ESX in der Form tatsächlich erforderlich ist. Vielleicht reicht es auch aus "LRO" nur auf dem entsprechenden VSwitch für die Verwaltung zu deaktivieren.

Prinzipiell bin bei dir was die Performance an geht. Testen kann ich es hier leider nicht ausgiebig.
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020 um 12:22 Uhr
Ich habe jetzt weiter herum getestet und zu dem die default Konfig einer PfSense überprüft. Dort ist "hardware TCP segmentation offload" sowie "hardware large receive offload" standard mäßig deaktiviert.

Mit der Konfiguration geht zwar die CPU Last stark hoch, aber der Durchsatz ist deutlich besser.
Keine Ahnung wieso ich das mal raus genommen hatte. Auf dem ESX ist dies definitiv nicht nötig!
Bitte warten ..
Mitglied: chgorges
14.01.2020 um 14:25 Uhr
Mach mal einen MTU Ping auf den Management Kernel, ob ggf. deine Tunnel-MTU angepasst werden muss.

Ich habe das Problem hin und wieder bei OpenVPN-Tunneln (wobei es eigentlich kein Problem, sondern nur Einstellungssache ist).
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020 um 14:42 Uhr
Die Pakete wurden zwar fragmentiert, aber selbst mit Anpassung auf 1360 haben ich das Problem sobald "hardware large receive offload" deaktiviert ist.
Bitte warten ..
Mitglied: chgorges
14.01.2020 um 15:00 Uhr
Und bei 1240 oder 1260? Soweit muss ich als runter.
Bitte warten ..
Mitglied: Spirit-of-Eli
14.01.2020, aktualisiert um 15:09 Uhr
Macht keinen unterschied und behebt das Problem nicht. Einzig der ping ohne Last geht um 3ms runter.
Bitte warten ..
Ähnliche Inhalte
CPU, RAM, Mainboards

Mass angefertigte 19" - 1U - Gehäuse - für Alix, APU, PBX oder zusätzliche Netzwerkswitche

Ticker von 108012CPU, RAM, Mainboards11 Kommentare

Hallo, ich habe zwar sonst immer die Gehäuse von Varia-Store benutzt und die sind auch alle tadellos zu benutzen ...

Router & Routing

Routed IPsec in pfSense 2.4.4

Tipp von C.R.S.Router & Routing1 Kommentar

Sehr schöne Möglichkeit in pfSense, die ich bislang ganz übersehen hatte: Hat das schon jemand im Einsatz, z.B. für ...

Windows Netzwerk

Community Management Packs für SCOM

Erfahrungsbericht von JuanitoWindows Netzwerk

Community Management Packs für SCOM Einleitung SquaredUp ist eine kleine Firma welche sich auf Erweiterungen für SCOM (OpsMgr) spezialisiert ...

Router & Routing

Wireguard contra Fritzbox iPSec - Update!

Anleitung von VisuciusRouter & Routing5 Kommentare

UPDATE als 1. Kommentar angefügt Hallo in die Runde, ein Kunde hat heute ein DSL-Upgrade geschaltet bekommen und mich ...

Neue Wissensbeiträge
Administrator.de Feedback
Abgelaufenes SSL Zertifikat
Ticker von Frank vor 1 StundeAdministrator.de Feedback2 Kommentare

Hallo User, eigentlich sollte sich unser Zertifikat, dass heute abgelaufen war, automatisch erneuern. Warum auch immer hat der "certbot" ...

Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 2 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 2 TagenVirtualisierung

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 2 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Heiß diskutierte Inhalte
Sicherheit
Offener Port ohne Dienst IT-Sicherheit
gelöst Frage von decehakanSicherheit8 Kommentare

Hallo Zusammen, für die Zertifisierung von Webapplikation öffne ich in drei Monat Rythmus den Port 443/80 ,dabei läuft die ...

Windows Server
AD Userkennwörter per Mail versenden
Frage von xoxoonexWindows Server8 Kommentare

Guten Tag Admins, ich suche eine Möglichkeit welche anhand einer CSV in welcher die Anmeldedaten + Mail und weitere ...

Netzwerkmanagement
WLAN Drucker überall erreichbar machen + UPgrade auf 10GBASE-T
gelöst Frage von daswinimramNetzwerkmanagement7 Kommentare

Hallo Admins und alle anderen mit Nerven aus Stahl! :) folgende IST Situation : FRAGEN : 1.) -> ich ...

Batch & Shell
bat Datei suchen lassen auf Netzlaufwerk ?
gelöst Frage von CorsabastlerBatch & Shell6 Kommentare

Guten Tag hab mir mit Hilfe von diesem Forum ne .Bat datei erstellt die wie folft aussieht echo off ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN