funroli
Goto Top

Verständnisfrage Netzwerktraffic WAN-Speed

Hallo Leute,

Ich habe da betreffend meinem Gateway mit neuster PFsense 2.4.4-RELEASE-p3 (amd64) eine Frage betreffend WAN Traffic (DNS) resp. Speed. Via PPPoe habe ich eine Anbindung von
1000.36 Mbps Downstream und
105.50 Mbps Upstream.

Soweit funktioniert das via Modem auch wunderbar. Sobald ich aber das
Modem Bridge und über die Pfsense fahre bekomme ich Himmel-traurige Speed
werte von gerade mal 282.36 Mbps Downstream und 73.16 Mbps upstream.

Wie kann das sein? Resp. Wo liegt hier der Fehler?
Ist die Hardware eventuell zu schwach? Wie kann, es sein das ein UPC Billigschrot Modem mit solchem Speed
ohne Probleme klarkommt und ein Gateway mit Firewall nicht (außer unter hoher Kostenfolge) ?

Meine Hardware ist folgende:
Supermicro 5015A-EHF-D525: Dual-Core Atom
Intel(R) Atom(TM) CPU D525 @ 1.80GHz
2 x Kingston SO-DDR3 2GB, PC2-10666, CL9 x8-bit
SSD Kingston Now V300 60GB, 2.5", MLC
Supermicro AOC-SG-i4: 4Port 1Gbps ServerNIC
Supermicro CSE-RR1U-E8: Riser Card, PCIex8
Switch CISCO SG350-28P

Eventuell überlege ich mir ein Systemwechsel Hardwareseitig auf ein Supermicro 5019D-FN8TP.
Wie viel Memory und Welche CPU wären sinnvoll um den Speed zu bewältigen?

Könnte das Abhilfe Schaffen?

Danke für Eure hinweise resp. Erklärung.

Content-Key: 530564

Url: https://administrator.de/contentid/530564

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: radiogugu
radiogugu 02.01.2020 um 08:30:09 Uhr
Goto Top
Hallo und ein frohes neues Jahr.

Also die neue Hardware scheint mir etwas Overkill für den Zweck zu sein. Welche Massen an Geräten befinden sich denn hinter der PFSense?
Ist das ein Heim- oder Firmennetzwerk mit verteilten Standorten und mehreren IPSec Tunneln?

Ansonsten müsste Deine aktuelle Maschine gut mit dem Traffic klarkommen.

Gibt es denn Konfigurationen, die Du schon vorgenommen hast oder ist einfach nur das Gateway eingerichtet und alles auf Standard belassen worden?

Gruß
Radiogugu
Mitglied: Visucius
Visucius 02.01.2020 aktualisiert um 08:42:54 Uhr
Goto Top
Ich kann inhaltlich nichts beitragen - aber vielleicht sollte man das vorher noch abklären:

"Hast Du die PF-Sense-HW testweise mal mit deaktivierter Firewall gefahren?! Nur um zu sehen, welche Last Deine Firewall-Konfiguration erzeugt?"
Mitglied: funroli
funroli 02.01.2020 um 10:52:05 Uhr
Goto Top
Grüss Dich radioguru

Danke Dir, Ich wünsche Dir auch ein Gutes neues Jahr face-smile

Bezüglich des Gateways.
Ist ein kleines Firmennetzwerk mit 3 Subnets.
Und 30 Clients. Mehrere Ubiquti APs

Ich habe um das ganze irgendwie replizieren zu können. Mal neu aufgesetzt ohne Conig änderung.
Und stelle leider das gleiche Verhalten fest.

Nun habe ich aber in den Manpages zu Sense gelesen
das für diesen Traffic die HW Anforderungen wie
folgt seien:

Durchsatzrate CPU Taktfrequenz
10-20 Mbps mind. 500 MHz
21-100 Mbps 1 GHz
101-500 Mbps 2 GHz
501+ Mbps >2 GHz, mehrere CPU-Cores

Hierzu habe ich noch ein Artikel gefunden:
https://blog.dogan.ch/2016/08/30/die-perfekte-pfsense-firewall-router-fu ...

Was bringt Dich zur Annahme das es ohne Probleme
Funktionieren sollte mit bestehender HW?
Ich Frage deshalb weil ich Eigendlich auch der Meinung bin da wenn ein billig Modem das stemmt, das meine HW Firewall erst recht stemmen können sollte.

Nun frage ich mich welche Neue HW sinnvoll wäre?
Neuere PfSense und Opnsense brauchen ja auch CPU mut AES-NI
Mitglied: Spirit-of-Eli
Spirit-of-Eli 02.01.2020 um 11:36:21 Uhr
Goto Top
Moin,

kann es sein das du HW-offloading deaktiviert hast?
Zumindest von einem APU2C4 habe ich gelesen das Gigabit ohne IDS funktionieren soll. Da ist ein Dualcore mit HT am Werk.

Gruß
Spirit
Mitglied: radiogugu
radiogugu 02.01.2020 um 12:01:02 Uhr
Goto Top
Hallo.

Aktuell habe ich ein APU2D4 Board zuhause (4x 1,0 GHz und 4 GB RAM) mit einer 200 / 100 Glasfaser Leitung. Diese läuft ohne IDS, mit PFBlockerNG und mehreren VLANs unter 10 % der CPU.

Hatte hier leider nur eine Mutmaßung angestellt. Ich schloss hier von meinem und einem System bei einem Bekannten, welcher eine Kabel D Leitung 400 / 40 mit PFSense hat, dessen CPU kaum die 15 % Auslastung überschreitet auf Deine Rahmenbedingungen.

Da war ich offensichtlich nicht auf dem Datenstand der Dinge.

Es tut mir leid, wenn hier Verwirrung entstanden sein sollte.

Gruß
Radiogugu
Mitglied: aqui
aqui 02.01.2020 um 12:11:29 Uhr
Goto Top
Soweit funktioniert das via Modem auch wunderbar
Nur zur Klarstellung nachgefragt:
Meinst du hier ein klasssiches reines NUR Modem wie im hisigen Tutorial beschrieben. Sprich PPPoE ist direkt auf der Firewall terminiert ! Oder....
Meinst du mit dem "Modem" einen davor kaskadierten Router, also eine klassische Router_Kaskade ?
Leider wird das immer und immer wieder hier im Forum durch die falsche Verwendung des Begriffs "Modem" verwechselt ist aber in Design Analysen zwingend wichtig zu wissen !
Da du es nichtmal geschafft hast a.) die Infrastruktur deiner Anbindung und b.) dein Modem zu benennen kann man nur die Kristallkugel bemühen. face-sad
UPC Billigschrot Modem
Das klingt eher nach einem billigen Schrott Router und NICHT nach einem nur Modem. Dann nutzt du also vermutlich eine Router Kaskade mit doppeltem NAT und allen Nachteilen. (geraten...)
Ein sinnvoller Speedtest mit der pfSense geht so:
https://www.andysblog.de/pfsense-wan-geschwindigkeit-direkt-am-router-me ...
Mitglied: Spirit-of-Eli
Spirit-of-Eli 02.01.2020 um 12:12:07 Uhr
Goto Top
Ja genau. Ohne IDS habe ich auch so gut wie keine Auslastung auf dem Brett.
Deaktiviert man allerdings HW-ofgloading auf den Interfaces bricht die Performance gerne stark ein. Habe ich allerdings noch nicht ohne IDS getestet. Kann sein das man es dann nicht merkt.
Mitglied: funroli
funroli 03.01.2020 aktualisiert um 02:03:18 Uhr
Goto Top
Danke aqui für Deine Hinweise:

Das Modem ist ein Kabel (DOCSIS) Modem des Types ARRIS TG3492LG-LC und nennt sich Giga Connect Box von UPC.
Die Messung wurde am Modem als Router konfiguriert mit einem Lenovo T430 als Client getätigt.

Danach wurde das Modem in den Bridge Mode versetzt und mit dem Gateway PFsense Kaskadiert, und die Messung nochmals ausgeführt.
Und nein ein Doppeltes NAT darf im Bridge Mode nicht vorhanden sein.
Den Speedtest wie von Dir vorgeschlagen werde ich mal beherzigen.

Welches Speichermedium würdest Du für eine PfSense nehmen (SSD, M2, Stick) und wie Gross?

Nachtrag:

So hier ist das Messergebnis der PFsense selbst;
* Welcome to pfSense 2.4.4-RELEASE-p3 (amd64) on gateway *
[2.4.4-RELEASE][admin@localhost]/root: speedtest-cli

Retrieving speedtest.net configuration...
Testing from UPC (xx.xxx.xxx.xxx)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Wingo (Zurich) [17.39 km]: 30.542 ms
Testing download speed................................................................................
Download: 325.87 Mbit/s
Testing upload speed................................................................................................
Upload: 97.02 Mbit/s