Lentidão no Pfsense 2.3.2



  • Prezados, estou enfrentando problemas no Pfsense 2.3.2.
    A navegação está extremamente lenta. Temos cerca de 100 hosts conectados. Vejo que tem hardware sobrando, pois o host tem 8gb de Ram e 8 núcleos de processador. Possui 3 interface wan (3 adsl), placa realtek.
    Em alguns momentos, até a conexão  via terminal fica impossível de trabalhar.
    Andei lendo que é possivel aumentar a performance da rede, alterando algumas configurações do kernel e das NIC's.
    Alguem poderia me dar dicas de como proceder ?



  • @ricardodru:

    Prezados, estou enfrentando problemas no Pfsense 2.3.2.
    A navegação está extremamente lenta. Temos cerca de 100 hosts conectados. Vejo que tem hardware sobrando, pois o host tem 8gb de Ram e 8 núcleos de processador. Possui 3 interface wan (3 adsl), placa realtek.
    Em alguns momentos, até a conexão  via terminal fica impossível de trabalhar.
    Andei lendo que é possivel aumentar a performance da rede, alterando algumas configurações do kernel e das NIC's.
    Alguem poderia me dar dicas de como proceder ?

    Boa noite,
    Ricardo

    As vezes é bom  começarmos pelo básico, veja se a placa de rede que está sendo usada como LAN está com algum defeito, tenta troca-la com uma que está sendo usada pela WAN e veja se a lentidão continua.



  • Olá Igor,
    A questão dos NIC's eu ja descartei, pois testamos outras placas e tambem fizemos a inversão de WAN para LAN.
    Estive pesquisando o assunto, acredito que seja algo relacionado a este assunto:

    https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards

    Tambem neste post:
    https://forum.pfsense.org/index.php?topic=59663.0
    https://forum.pfsense.org/index.php?topic=48559.0

    Gostaria de saber se alguem ja alterou as configurações de memória do Kernel no PF 2.3.2.



  • cara, isso começou de repente?
    você tem proxy ou alguma config especial no pfsense?
    usa vlan?

    não acredito ser problema de performance não, pelo q você postou da configuração da maquina…

    para você ter uma comparação, aqui eu rodo o pfsense com 1 CORE apenas, virtualizado em hyper-v, com 512 MEGAS de RAM, 3 interfaces de rede física (2 WAN), 12 VLAN, 3 VPN com filiais e cerca de 200-300 dispositivos de rede

    roda perfeito sem gargalo nenhum.... consumo de CPU sempre em torno de 10-15% e memória 50% em média



  • As vezes o problema nem está na máquina, pode ser cabeamento estruturado também. Pelo o que eu estou vendo o problema na comunicação.



  • Prezado chipbr,
    No inicio tínhamos apenas uns 25 hosts. Até então o problema não acontecia.
    Depois de uma mudança de escritório, a quantidade de hosts foi para 100. Dai os problemas começaram a surgir.
    Trocamos o switch, patch cord, trocamos as placas PCI e mesmo assim não rolou.
    O que me assustou foi que em diversos momentos que os usuários reclamaram de lentidão, eu tentei acessar via ssh, mas não consegui. Quando eu conseguia, a conexão ficava caindo.
    Temos um proxy mas ele roda em outra maquina. Tambem realizamos testes isolando o proxy, onde as maquinas passaram somente pelo firewall.
    Aqui utilizamos loadbalance + failover. Ontem eu apliquei QOS através do wizard, mas tive que desfazer, porque a navegação ficou muito mais lenta ainda.

    O problema se agrava quando um dos links ADSL fica offline.
    Este problema eu tentei tratar neste post:
    https://forum.pfsense.org/index.php?topic=117872.msg652837#msg652837

    A tabela de estado está em 1% de uso.
    CPU 20%, RAM 10%, SWAP 0%,
    Até pensei que poderia ser questão do mbuf do kernel.

    Antes de iniciar o expediente, eu vejo este estado:

    netstat -m

    Thu Nov 10 08:24:38 BRST 2016
    1346/2704/4050 mbufs in use (current/cache/total)
    1185/1351/2536/2048000 mbuf clusters in use (current/cache/total/max)
    1185/1345 mbuf+clusters out of packet secondary zone in use (current/cache)
    0/6/6/1024000 4k (page size) jumbo clusters in use (current/cache/total/max)
    0/0/0/72646 9k jumbo clusters in use (current/cache/total/max)
    0/0/0/40863 16k jumbo clusters in use (current/cache/total/max)
    2706K/3402K/6108K bytes allocated to network (current/cache/total)
    0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
    0/0/0 requests for mbufs delayed (mbufs/clusters/mbuf+clusters)
    0/0/0 requests for jumbo clusters delayed (4k/9k/16k)
    0/0/0 requests for jumbo clusters denied (4k/9k/16k)
    0 requests for sfbufs denied
    0 requests for sfbufs delayed
    0 requests for I/O initiated by sendfile

    Depois que iniciou o expediente, eu vejo este:

    Thu Nov 10 09:19:20 BRST 2016
    3487/3608/7095 mbufs in use (current/cache/total)
    2256/2054/4310/2048000 mbuf clusters in use (current/cache/total/max)
    2256/2045 mbuf+clusters out of packet secondary zone in use (current/cache)
    0/19/19/1024000 4k (page size) jumbo clusters in use (current/cache/total/max)
    0/0/0/72646 9k jumbo clusters in use (current/cache/total/max)
    0/0/0/40863 16k jumbo clusters in use (current/cache/total/max)
    5383K/5086K/10469K bytes allocated to network (current/cache/total)
    0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
    0/0/0 requests for mbufs delayed (mbufs/clusters/mbuf+clusters)
    0/0/0 requests for jumbo clusters delayed (4k/9k/16k)
    0/0/0 requests for jumbo clusters denied (4k/9k/16k)
    0 requests for sfbufs denied
    0 requests for sfbufs delayed
    0 requests for I/O initiated by sendfile

    Preciso de ajuda para resolver este problema.



  • Qual versão meu amigo está utilizando?



  • Danilo,
    O PF está na versão 2.3.2-RELEASE (adm64).
    O cabeamento eu também descartei, pois troquei todos os patch cord e o switch também.
    O problema surge quando aumenta a carga de conexão simultânea.
    Acabei de verificar o consumo dos links. O consumo está baixo, mas a lentidão é bem notável.



  • Vamos fazer o seguinte, acredito que isso seja algum fragmento de configuração que você deixou passar despercebido. Deixa apenas um dos seus links ativo, caso a conexão fique normal durante o dia o problema ta nas configurações da comunicação entre os dois links.



  • Danilo,
    Aqui temos 3 Links ADSL (150, 50 e 15 mbps).
    Você diz retirar o cabo dos 2 links mais baixo e deixar apenas o maior ?



  • não é retirar o cabo, não necessariamente, apenas desativa a placa de rede ou desativa sua configurações de loadbalance/failover.



  • Danilo,
    Consegui fazer os testes. testei removendo o cabo, coloquei as interface em down e por ultimo testei alterando a regra que joga o trafego para o LB.
    Quando todas as requisições saem por apenas um link, a conexão tambem fica bem lenta.



  • Com certeza é alguma configuração do seu fire. Tem como tu tirar print das tuas configurações?



  • Danilo,
    Agradeço o emprenho no help-me.
    Anexo, segue duas imagens contendo as regras de firewall.
    A segunda e terceira regra (portas 80 e 443), criei a poucos minutos, afim de realizar um teste, separando as conexões.
    Sabe me dizer se tem algo a fazer/configurar, afim de aumentar a performance das interfaces de rede?
    O Pfsense mostra em algum lugar, o desempenho destas placas?






  • @ricardodru:

    Danilo,
    Agradeço o emprenho no help-me.
    Anexo, segue duas imagens contendo as regras de firewall.
    A segunda e terceira regra (portas 80 e 443), criei a poucos minutos, afim de realizar um teste, separando as conexões.
    Sabe me dizer se tem algo a fazer/configurar, afim de aumentar a performance das interfaces de rede?
    O Pfsense mostra em algum lugar, o desempenho destas placas?

    Faça desta maneira suas regras. Libera a regra de DNS. Tu tem Squid instalado?

    ![Sem título.jpg](/public/imported_attachments/1/Sem título.jpg)
    ![Sem título.jpg_thumb](/public/imported_attachments/1/Sem título.jpg_thumb)



  • Duvidas:
    As regras de Load Balance e Failover, devem estar em qual posição ? (inicio ou fim)
    O meu DNS é interno (Bind em um Samba4).
    Organizei as regras.
    O meu Squid roda em outra maquina. Eu forço os hosts a pegar o proxy através de GPO.








  • O PfSense ler as regras de cima pra baixo. Recomendo usar elas como as primeiras.



  • Tem mais alguma sugestão para me auxiliar ?



  • Muita das suas regras está trabalhando em TCP/UPD, e vi muitas delas ai são apenas regras de portas, começa a enxugar tuas configurações. Uma curiosidade quem ta conectado na tua onboard no teu pfsense?



  • A interface onboard está sendo usada pela LAN.
    Eu ja pensei em fazer um teste, trocar a WAN de 15 mb pela onboard.
    Para realizar esta troca, eu faço isso pelo console ? Assign Interfaces?



  • @ricardodru:

    A interface onboard está sendo usada pela LAN.
    Eu ja pensei em fazer um teste, trocar a WAN de 15 mb pela onboard.
    Para realizar esta troca, eu faço isso pelo console ? Assign Interfaces?

    Exatamente. Se tu fizer isso de qualquer forma vai continuar lenta, talvez tu apenas der velocidade pra uma e der lentidão para outra.



  • o link de 15mb é quase inutil. Acredito que não ira interferir.
    Vou tentar fazer isso amanha cedo.



  • Já tentou criar coragem de refazer as configurações do zero?



  • Vou tentar trocar as interfaces.
    Caso não tenha resultado, vou instalar do zero. E tambem tem um update que ainda não apliquei.



  • Começa pela as facilidades. Mude a interface, depois der um update. Caso ambas não melhorem teu cenário, começa as configurações do Zero. Nos mande ai as configurações da WAN e seu DNS.



  • isso é uma maquina fisica ou virtual?
    qual a velocidade das interfaces? e do switch?
    cada link está usando um cabo de rede ou várias interfaces estão na mesma placa física de rede? (esta pergunta é no caso de ser uma máquina virtual)

    você pode conferir estas informações em STATUS -> INTERFACES , ou de maneira simplificada na primeira página que abre do pfsense (o dashboard)

    também verifique e tente alterar as configurações da interface de AUTO-NEGOTIATE (a velocidade) para manual (coloca de acordo com a velocidade real da placa… 10/100 ou gigabit)... ja tive problemas a uns 5 anos atrás (ou mais até, não lembro heeheh) onde tinha um problema parecido com o seu e era porque ficava frequentemente chaveando a velocidade do link (mas o problema real no meu caso era um switch fuleiro que o cliente tinha e não queria trocar....)



  • É uma maquina física. todas as interfaces são 10/100/1000. O Switch é apenas 10/100. Ja realizei a troca do switch.
    Cada interface utiliza cabo individual.
    No status das interfaces, em todas as interfaces os valores de In/out errors e Collisions é 0.
    A Lan eu defini como 100baseTX full-duplex,flowcontrol.
    Hoje de manha eu realizei uma modificação conforme indicado pelo Danilo. A interface LAN estava na placa onboard . Inverti, colocando a LAN em uma placa offboard.
    Tambem apliquei o ultimo update do Pfsense.
    Estou fazendo os testes, aguardando o feedback dos usuários.



  • @ricardodru:

    É uma maquina física. todas as interfaces são 10/100/1000. O Switch é apenas 10/100. Ja realizei a troca do switch.
    Cada interface utiliza cabo individual.
    No status das interfaces, em todas as interfaces os valores de In/out errors e Collisions é 0.
    A Lan eu defini como 100baseTX full-duplex,flowcontrol.
    Hoje de manha eu realizei uma modificação conforme indicado pelo Danilo. A interface LAN estava na placa onboard . Inverti, colocando a LAN em uma placa offboard.
    Tambem apliquei o ultimo update do Pfsense.
    Estou fazendo os testes, aguardando o feedback dos usuários.

    Não espere pelo o usuário, usuário é acomodado. Faça o teste em uma máquina qualquer ai e veja como está sua conexão, ou então você "derruba" um dos link e veja se o outro sobe e analise o comportamento da  velocidade da conexão.



  • Eu tambem estou acompanhando o desempenho das conexões.
    O seu comentário me fez lembrar de fazer um teste, no qual me deixa intrigado.
    Desconectamos o cabo da interface wan3 (ppoe) 15mb. O resultado foi o mesmo. O PF para de responder, a conexão ssh é interrompida, a gui web fica extramente lenta ou para de responder.
    Ou seja, o PF para de responder quando uma das interfaces wan vai a down. Certamente haverá perda de pacotes.

    Nas configurações das Wan's (em System/Routing/Gateways), eu coloquei os valores de "Weight":
    WAN 150mb = 5
    WAN2 50mb = 3
    WAN3 15mb = 1

    Em System/Routing/Gateway Groups, tanto para loadbalance e failover, as prioridades foram definidas assim:
    WAN 150mb = Tier 1
    WAN2 50mb = Tier 2
    WAN3 15mb = Tier 3

    Para o LB, em Trigger Level eu coloquei "Packet Loss or High Latency".
    Para o Failover, em Trigger Level eu coloquei "Member Down".

    Para testar, em system/Advanced/Networking, eu desmarquei estas 2 opções:

    Hardware TCP Segmentation Offloading
    Hardware Large Receive Offloading

    Estas configurações estão corretas?



  • se cada link é um TIER diferente, não está fazendo load balance e sim failover apenas



  • @chipbr:

    se cada link é um TIER diferente, não está fazendo load balance e sim failover apenas

    Exato! Eu iria falar a mesma coisa.



  • Boa dica Chipbr.

    Deixei desta forma:

    WAN 150mb = Tier 1
    WAN2 50mb = Tier 1
    WAN3 15mb = Tier 2

    A intenção é que o link mais baixo só seja utilizado quando os links 1 e 2 estejam esgotados.



  • @ricardodru:

    Boa dica Chipbr.

    Deixei desta forma:

    WAN 150mb = Tier 1
    WAN2 50mb = Tier 1
    WAN3 15mb = Tier 2

    A intenção é que o link mais baixo só seja utilizado quando os links 1 e 2 estejam esgotados.

    Vamos ver como ela se comporta. Agora a lentidão ela é na LAN ou WAN (quando o usuário usa a internet?)



  • A lentidão é na navegação de internet.
    O que me preocupa é o fato do PF parar de responder quando uma Wan fica down.



  • @ricardodru:

    A lentidão é na navegação de internet.
    O que me preocupa é o fato do PF parar de responder quando uma Wan fica down.

    Tu tens no caso dois problemas.
    Eu já tive essa lentidão na internet também, só que foi quando eu ativei o clav no squid. Qual é tua configuração de Proxy?



  • Tu tens no caso dois problemas.
    Eu já tive essa lentidão na internet também, só que foi quando eu ativei o clav no squid. Qual é tua configuração de Proxy?

    Boa parte dos hosts passam pelo proxy, algumas maquinas passam direto pelo firewall.
    No proxy, eu deixo desativado a verificação de spyware e malware.
    Quando percebemos a lentidão, todos são prejudicados (tanto quem passa pelo proxy, quanto quem não passa).



  • tenho quase certeza que isso ai é só questão de configurações da tua WAN.



  • @ricardodru:

    algumas maquinas passam direto pelo firewall.

    Cara, tambem estava com esse problema e era uma regra Outbound que estava liberando as saidas.

    Aqui no meu caso, aparece a mensagem que está aguardando o tunel de proxy mas demora uns segundos para carregar.



  • ricardodru,

    bom dia! Utilizo sua mesma versao do PFSense e estou com o mesmo problema de lentidao, mas so ocorre quando configuro alguma maquina para usar o proxy.

    Pego uma maquina da rede sem o proxy configurado e tento navegar… navegacao ok. Mas, quando configuro para usar o proxy... Lentidao. Por isso, ainda estou sem fazer uso do proxy na minha rede.

    Tenta pegar uma maquina sem proxy configurado e navegar... Pode ser o mesmo problema que tenho. Sucesso e me fala se tiver exito!!! Valeu!!!



  • @Cavalcante:

    ricardodru,

    bom dia! Utilizo sua mesma versao do PFSense e estou com o mesmo problema de lentidao, mas so ocorre quando configuro alguma maquina para usar o proxy.

    Pego uma maquina da rede sem o proxy configurado e tento navegar… navegacao ok. Mas, quando configuro para usar o proxy... Lentidao. Por isso, ainda estou sem fazer uso do proxy na minha rede.

    Tenta pegar uma maquina sem proxy configurado e navegar... Pode ser o mesmo problema que tenho. Sucesso e me fala se tiver exito!!! Valeu!!!

    No seu caso, você poderia usar a interceptação via SSL com proxy ativo, onde as máquinas iriam pegar o certificado via AD.