PfSense & OpenVPN speed

Electricshock

@werter:

Доброе

Имеем установленный pfSense 2.2.6 на гипервизоре VMWare ESXi 5.5

Раз пф работает как вирт. маш., то настройки сетевых карт при этом поправили (откл. аппаратную разгрузку tcp) ?
Open Vmtools также установили и сетевые карты у вас virtio ?

пробовал играться с разными значениями буферов и т.д

Покажите, как вы это делали ? На скринах этого нет.

VMWare-tools не установлен на pfSense, попробую установить.
Аппаратная разгрузка по дефолту отключена (см. скрин)
Буферы выставлял согласно этой статье https://habrahabr.ru/post/246953/

pigbrother

Можно установить Open-VM-Tools из стандартного набора пакетов.

Буферы выставлял согласно этой статье https://habrahabr.ru/post/246953

На 2.2.6 тоже экспериментировал с параметрами. Ощутимого результата не получил.

Electricshock

@pigbrother:

Можно установить Open-VM-Tools из стандартного набора пакетов.

Буферы выставлял согласно этой статье https://habrahabr.ru/post/246953

На 2.2.6 тоже экспериментировал с параметрами. Ощутимого результата не получил.

Благодарю, поставил из стандартного набора пакетов этот Open VM Tools package, надо попробовать ребутнуть виртуальную машинку с пф и еще раз проверить быстродействие OpenVPN.

borg

Попробуйте добавить в System/Advanced/System Tunables net.inet.ip.fastforwarding 1

Electricshock

@borg:

Попробуйте добавить в System/Advanced/System Tunables net.inet.ip.fastforwarding 1

Ок, изменил значение с "default" на 1, веду наблюдение.

Electricshock

Никаких изменений, скорость скачки в районе 1-1,2 мегабайта/сек (8-9 мегабит/сек) :(

pigbrother

@Electric^shock:

Никаких изменений, скорость скачки в районе 1-1,2 мегабайта/сек (8-9 мегабит/сек) :(

А какова версия клиента? Если достаточно старая - попробуйте обновить.
Если это Windows - гляньте свойства\состояние TAP-адаптера в состоянии коннекта. Старые версии TAP-адаптера показывали 10Мбит, новые - 100.

Electricshock

@pigbrother:

@Electric^shock:

Никаких изменений, скорость скачки в районе 1-1,2 мегабайта/сек (8-9 мегабит/сек) :(

А какова версия клиента? Если достаточно старая - попробуйте обновить.
Если это Windows - гляньте свойства\состояние TAP-адаптера в состоянии коннекта. Старые версии TAP-адаптера показывали 10Мбит, новые - 100.

Самая новая стоит - 2.4.0, скорость показывает на адаптере - 100 мбит/сек.

pigbrother

Самая новая стоит - 2.4.0, скорость показывает на адаптере - 100 мбит/сек.

Тогда идей больше нет. Просто напомню:
Попробую на днях на TCP "затеститься", может действительно поможет.
Проверяли?
Какая, кстати, загрузка CPU при передаче файла?

на гипервизоре VMWare ESXi 5.5
Принял к сведению, но обновляться пока до 2.3.2 не планирую.

А что мешает быстро поднять на ESXi 2.3.2 и проверить скорость?

Electricshock

@pigbrother:

Самая новая стоит - 2.4.0, скорость показывает на адаптере - 100 мбит/сек.

Тогда идей больше нет. Просто напомню:
Попробую на днях на TCP "затеститься", может действительно поможет.
Проверяли?
Какая, кстати, загрузка CPU при передаче файла?

на гипервизоре VMWare ESXi 5.5
Принял к сведению, но обновляться пока до 2.3.2 не планирую.

А что мешает быстро поднять на ESXi 2.3.2 и проверить скорость?

А может ли такое быть, что виртуальный интерфейс OpenVPN этот в pfSense на 10 мбит/сек включен?
Делаю ifconfig ovpns1 и он вообще почему-то не показывает его скорость (см. скрин)
P.S. попробовал на TCP протеститься с этой же версией (2.2.6) - результат еще хуже (около 750 кбайт/сек), а когда по UDP - то до 1,35 мбайт/сек доходило.
В момент загрузки файла через NetBIOS загрузка CPU на pfSense доходит до 33% даже
Если tcpdump'ом снять лог в момент прокачки файла, то вот лог видим на pfSense:

23:51:45.684037 IP (tos 0x0, ttl 128, id 12340, offset 0, flags [DF], proto TCP (6), length 40)
    10.10.10.27.50750 > Server.stk.loc.microsoft-ds: Flags [.], cksum 0xf195 (correct), seq 61505, ack 26339423, win 7959, length 0
23:51:45.684069 IP (tos 0x0, ttl 63, id 33318, offset 0, flags [DF], proto TCP (6), length 1393)
    Server.stk.loc.microsoft-ds > 10.10.10.27.50750: Flags [.], cksum 0x9ef6 (correct), seq 26447663:26449016, ack 61505, win 1035, length 1353                                    SMB-over-TCP packet:(raw data or continuation?)

23:51:45.684074 IP (tos 0x0, ttl 63, id 33319, offset 0, flags [DF], proto TCP (6), length 1393)
    Server.stk.loc.microsoft-ds > 10.10.10.27.50750: Flags [.], cksum 0x8a6b (correct), seq 26449016:26450369, ack 61505, win 1035, length 1353                                    SMB-over-TCP packet:(raw data or continuation?)

23:51:45.684297 IP (tos 0x0, ttl 63, id 33320, offset 0, flags [DF], proto TCP (6), length 1393)
    Server.stk.loc.microsoft-ds > 10.10.10.27.50750: Flags [.], cksum 0x4ecf (correct), seq 26450369:26451722, ack 61505, win 1035, length 1353                                    SMB-over-TCP packet:(raw data or continuation?)

23:51:45.684302 IP (tos 0x0, ttl 63, id 33321, offset 0, flags [DF], proto TCP (6), length 1393)
    Server.stk.loc.microsoft-ds > 10.10.10.27.50750: Flags [.], cksum 0x4da4 (correct), seq 26451722:26453075, ack 61505, win 1035, length 1353                                    SMB-over-TCP packet:(raw data or continuation?)

23:51:45.684557 IP (tos 0x0, ttl 128, id 12341, offset 0, flags [DF], proto TCP (6), length 40)
    10.10.10.27.50750 > Server.stk.loc.microsoft-ds: Flags [.], cksum 0xe70e (correct), seq 61505, ack 26342129, win 7948, length 0

Вроде как с MTU где-то косяк, на pfSens'e (ovpns1 интерфейсе) стоит 1500

pigbrother

Вроде как с MTU где-то косяк, на pfSens'e (ovpns1 интерфейсе) стоит 1500

mtu - маловероятно

Вот мой вывод ipconfig:
ovpns5: flags=8051 <up,pointopoint,running,multicast>metric 0 mtu 1500
        options=80000 <linkstate>inet6 fe80::21b:21ff:fe80:35b8%ovpns5 prefixlen 64 scopeid 0xc
        inet 10.11.11.1 –> 10.11.11.2 netmask 0xffffff00
        nd6 options=21 <performnud,auto_linklocal>Opened by PID 27269

А может ли такое быть, что виртуальный интерфейс OpenVPN этот в pfSense на 10 мбит/сек включен?
Думаю, что индикация "скорости" подключения TAP - специфика реализации TAP как физического адаптера, специфичная для Windows.</performnud,auto_linklocal></linkstate></up,pointopoint,running,multicast>

PbIXTOP

MTU все же стоит проверить, при этом не забывая что каждая инкапсуляция крадет свои байты.
Причем MTU необходимо начинать проверять с сети соединяющей тунели, а уж потом внутри тунелей.

Electricshock

@PbIXTOP:

MTU все же стоит проверить, при этом не забывая что каждая инкапсуляция крадет свои байты.
Причем MTU необходимо начинать проверять с сети соединяющей тунели, а уж потом внутри тунелей.

Пробовал на домашней машинке прописать MTU вместо 1500 - 1492, так удалось скорость поднять до 2,2 мегабайта/сек, но тем не менее, уведомления в tcpdump'е так и сыплются.

pigbrother

В момент загрузки файла через NetBIOS загрузка CPU на pfSense доходит до 33% даже

Для приведенных вами скоростей цифра довольно высока. Сколько ядер выделено ВМ? Процессор гипервизора?

Electricshock

@pigbrother:

В момент загрузки файла через NetBIOS загрузка CPU на pfSense доходит до 33% даже

Для приведенных вами скоростей цифра довольно высока. Сколько ядер выделено ВМ? Процессор гипервизора?

Одно ядро выделено от процессора Intel Xeon E5-2620 (2,0 GHz)

PbIXTOP

@Electric^shock:

@PbIXTOP:

MTU все же стоит проверить, при этом не забывая что каждая инкапсуляция крадет свои байты.
Причем MTU необходимо начинать проверять с сети соединяющей тунели, а уж потом внутри тунелей.

Пробовал на домашней машинке прописать MTU вместо 1500 - 1492, так удалось скорость поднять до 2,2 мегабайта/сек, но тем не менее, уведомления в tcpdump'е так и сыплются.

Рекомендую не прописывать, а проверять вначале как MTU так и скорость не шифрованного канала.