Gelöst: Trafficverlust
-
Hallo Forum.
Seit kurzer Zeit haben wir eine 1GB Internetanbindung (Glasfaser) von Colt. Wenn ich mein Notebook an deren Router anschliesse, dann habe ich ca. 980 MBit/s in beide Richtungen. Wenn ich meine PSense Firewall mit dem Colt-Netz verbinde, dann komme ich auf 100-200 MBit/s in beide Richtungen. Ich habe einige recht simple Firewall-Regeln auf dem LAN-Interface (Port 80 und 443 ausgehend erlauben mit dem Gateway des Colt-Interface). Der Rechner selbst ist permanent gelangweilt (i5 mit 8GB RAM und 128GB SSD). Wenn ich z.B. ein großes ISO lade, dann geht die CPU-Last nur auf 7% hoch. Meine alte Watchguard hätte das schon fast umgebracht:-) De gleiche Konstellation hatte ich vorher mit einer VDSL-Leitung der Telekom, da kam ich auf die versprochenen 50MBit/s (na ja, fast, 47-48). Welchen Fehler könnte ich gemacht haben, der mich ca. 80-90% der Bandbreite kostet?
Ich bin für jeden Hinweis dankbar.
Gruß
Carsten -
Ich würde erst einmal schauen, ob es an der Firewall liegt. Dazu auf dem WAN Interface einen entsprechend kräftigen Rechner mit iperf oder Webserver und grosser Datei anklemmen und den Durchsatz mit einem Rechner im LAN testen.
Ansonsten, siehst Du vielleicht RX/TX Errors auf dem Interface oder entsprechenden Switchport? Was für Netzwerkinterfaces benutzt die Firewall im Gegensatz zu dem Rechner, der mit GBit funktioniert? Welche Netzwerkkarte benutzt LAN Interface und LAN Rechner? Sind dort Errors auf den Switchports zu sehen? -
Hallo.
Danke für die Antwort. Meine Vermutung ist, dass die Netzwerkkarten der Flaschenhals sind, ich versuche ja, 1GB auf der einen Karte rein zu bekommen und auf der zweiten Karte wieder raus, dann noch über mehrere Switche. Die Netzwerkkarten sind zwar GB Karten, aber alles nur PCI Karten. Ich habe mir jetzt eine PCIe Dual Karte bestellt, die ich morgen einbauen will (laut Empfehlung sollen > 500GBit/s eh PCIe Karten verbaut werden). Mal schauen, was sich ändert, ich sage Bescheid.
-
So, Netzwerkkarte (Dual) im PCIe (x1) Slot. Vom ersten Port der Karte durch die Firewall zum zweiten Port der Karte: 560 MBit/s (im Down- und Upstream). Nächster Versuch, zweite PCIe Karte in den PCIe x16 Slot, mal sehen, was dann passiert 8)
-
Zweite PCIe Karte in die Firewall und nun geht der Traffic von einer PCIe Karte in die nächste und ich komme auf ca. 870MBit/s, somit ist wohl geklärt, wo das Problem liet. Ich schötze, wenn ich nun noch einen besseren Rechner mit anderen PCIe Slots nehme und bessere Karten kaufe (momentan habe ich 10 Euro Karten verbaut), dann komme ich bestimmt auf über 90%. Ich betrachte mein Problem daher mal als gelöst ;D
-
Wenn du dazu noch Intel NICs hast, kannst du zusätzlich aus der Doku noch die Feineinstellungen für die NIC Typen anwenden sowie generell die mbufs und Co. beobachten und mal nach oben anpassen:
https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards#Intel_igb.284.29_and_em.284.29_Cards
Waren die 870MBit/s gemessen mit aktivem Filter oder nur für nacktes Routing? Wenn der Filter aktiv war, könnten die durchaus hinkommen, da etwas Overhead für NAT/Filtering etc. schon draufgeht. ein pfctl -d auf der Console bspw. schaltet den Filter mal komplett ab (sollte man nur offline zum Testen machen, nicht wenn die Maschine am Internet hängt!) und sollte ggf. nochmal etwas Geschwindigkeit bringen.
-
Wenn du dazu noch Intel NICs hast, kannst du zusätzlich aus der Doku noch die Feineinstellungen für die NIC Typen anwenden sowie generell die mbufs und Co. beobachten und mal nach oben anpassen:
https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards#Intel_igb.284.29_and_em.284.29_Cards
Waren die 870MBit/s gemessen mit aktivem Filter oder nur für nacktes Routing? Wenn der Filter aktiv war, könnten die durchaus hinkommen, da etwas Overhead für NAT/Filtering etc. schon draufgeht. ein pfctl -d auf der Console bspw. schaltet den Filter mal komplett ab (sollte man nur offline zum Testen machen, nicht wenn die Maschine am Internet hängt!) und sollte ggf. nochmal etwas Geschwindigkeit bringen.
Das ging durch den Filter. Allerdings ist das Ruleset recht überschaubar (nicht mal zehn Regeln). Es macht allerdings keinen Unterschied, ob es zwei oder zehn Regeln sind. Mit dem Verlust kann ich aber leben. Die Maschine hängt natürlich am Internet, die GB-Leitung ist ja die Internet-Leitung ;D