Downloads langsamer als vor pfsense?



  • Hallo zusammen,

    ich hab mir hier einen kleinen Industrie-PC zur Firewall umfunktioniert mit pfSense.
    Ja ich weiß, dass der bisschen überdimensioniert ist… aber er lag hier so rum ;)
    Nur komischerweise sind manche Downloads, eigentlich fast alles von Übersee viel langsamer als vorher.

    Vorher:
    Kabelmodem --> Apple Airport --> WLAN --> PC ===> Auslastung der Leitung bis ans max möglich.

    Jetzt:
    Kabelmodem --> pfSense --> Switch --> PC
    **************************-------> Apple Airport als Bridge für WLAN

    • Die CPU Last vom IPC liegt bei 1-5% MAXIMAL!
    • Nen Linux Image vom deutschen UNI-Server -> maximale Geschwindigkeit.
    • File aus dem Ami-Raum kommt hier nur nen Bruchteil der Geschwindigkeit an. EDIT: in Zahlen: ~400kb/s
    • Stecke ich um und geh wieder über den Airport direkt -> gleiche Datei mit voller Geschwindigkeit... ~1.7mb/s - ja sorry, hier gibts kein schnelleres Inet  :'(
    • Lade ich aber 3-5 Files gleichzeitig aus dem Ausland -> maximale Geschwindigkeit in Summe ???

    Habe noch nicht viel konfiguriert an der Firewall bisher... also auch kein sniffer oder protokollierer, auch keine abartigen rules, welches vlt was bremmsen.
    DNS: 127.0.0.1, 208.67.222.222, 208.67.220.220, 8.8.8.8, 8.8.4.4

    Testweise bin ich mal vom DNS Resolver auf DNS Forwarder umgestiegen, kein Effekt.

    Gibt's sowas wie ne maximale Anzahl von Verbindungen pro Download?
    Aber wieso läd das Image vom Uni-Server so schnell, mit gleicher Einstellung?
    und nein es ist nicht der Server auf der anderen Seite... hab ja schon umgesteckt und dann mit vollem Speed geladen ???

    Vielen Dank :)

    Newbow




  • Hallo,

    @Newbow:

    Gibt's sowas wie ne maximale Anzahl von Verbindungen pro Download?

    Bestimmt, die Einstellung ist aber "Out of the Box" nicht gesetzt.

    @Newbow:

    Aber wieso läd das Image vom Uni-Server so schnell, mit gleicher Einstellung?

    Unterscheidet sich der "Weg" zum Ziel zwischen pfSense und Airport?
    Siehst du bei einem Traceroute Unterschiede? Mehr Hops? Packetloss?

    So auf die Schnelle kann ich mir keinen Reim drauf machen, warum die pfSense bei bestimmten Destinationen langsamer sein sollte. (außer es wurde explizit eingestellt. Traffic Shaping etc.)



  • Ich hab Zeiten-weise schon ähnliches beobachtet, und konnte mir auch keinen Reim draus machen. Mittlerweile ist bei mir die HW stärker (vorher Z510 Atom) dpinger off, der Localhost (127.0.0.1) als erster DNS-Server deaktiviert, und die iNet Bandbreite vervierfacht. Da fällt das nicht-mehr so ins Gewicht, und ich könnte ehrlich gesagt auch nicht mit Bestimmtheit sagen ob ich noch betroffen bin.

    Scherzhaft: Wer weiß vielleicht liegt's an Treump's Strafzöllen, oder am überlasteten Schnüffelrouter der NSA.  ::) ;D

    Ohne Scherz: Versuch mal mit Localhost (127.0.0.1) DNS-Server deaktivieren, und dich für OpenDNS oder Google entscheiden.  ;)



  • Moin,

    oder einfach quad nine als DNS:  https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alternative-zum-Google-DNS-3890741.html

    Google muss ja nicht Alles mitbekommen  :P

    Kurz 9.9.9.9 (2620:fe::fe) mit Filter gegen Malware und DNS Sec Validation
    9.9.9.10 (2620:fe::10) ohne Filter und Validation

    -teddy



  • Also der DNS wird da wohl am wenigsten mit zu tun haben.

    Wie wäre es mit der MTU, die dein switch vergeigt? Und  "- Lade ich aber 3-5 Files gleichzeitig aus dem Ausland -> maximale Geschwindigkeit in Summe" könnte auch die Window-Size sein, die nicht optimal ermittelt wird. Steck den PC direkt an die sense und schau mal…

    Gruß
    pfadmin



  • Da hab ich nochmal nachgelesen und es könnte daran liegen, dass der apple icmp aus dem wan anscheinend nicht blockt, die pfsense aber sehr wohl wenn du keine Rules eingerichtet hast. Demzufolge klappt so einiges nicht, was ICMP ermöglicht u.a. die richtige MTU zu ermitteln. Vielleicht setzt du mal eine WAN RuleAllow IPv4 ICMP * This Firewall * * none  und```
    Allow IPv6 ICMP * * * * * none

    
    Gerade für IPv6 ist ICMP notwendig, vielleicht gehen deine Verbindungen mit der pfsense mittles IPv6?
    
    Gruß
    pfadmin

  • Moderator

    Google muss ja nicht Alles mitbekommen  :P

    Genau Teddy, aber die Londoner und New Yorker Polizei die maßgeblich Spenden sowie einige andere MultiKons wie IBM und Co :D Öhm… warum war mir da Google nochmal lieber? ;)
    Aber On Topic: Bei mir waren in den Test die Quad Nine Dinger bzw. 9.9.9.10 immer langsamer als der nächste Knoten, der mir bei 8.8.8.8 geantwortet hat, aber das darf jeder selbst wissen :)

    Ansonsten ist das was @pfadmin mit ICMP sagt ein Punkt, genauso wie man ggf. bei einer "langsameren" Verbindung noch über einen Traffic Shaper nachdenken kann/darf, der dann ggf. Antwort Pakete bevorzugt damit sich schnellere Downloads nicht zu stark runterregeln. Da nur Kabelmodem steht und nicht wie eingewählt könnte das priorisieren von ACKs o.ä. durchaus auch was bringen.



  • @JeGr:

    Google muss ja nicht Alles mitbekommen  :P

    Genau Teddy, aber die Londoner und New Yorker Polizei die maßgeblich Spenden sowie einige andere MultiKons wie IBM und Co :D Öhm… warum war mir da Google nochmal lieber? ;)

    Ich bin doch eh verraten und verkauft, Anschluss läuft über Vodafone die sind doch mit dem GCHQ verheiratet  8), Ping zu 8.8.8.8 und 9.9.9.9 bzw. .10 sind hier nahezu gleichauf.
    Aber klar soll jeder selber entscheiden …

    -teddy


  • Moderator

    Ah my bad, ich meinte nicht den Ping, sondern die Response Zeit bei den DNS Fragen. Wenn ich da in der Diagnostic Seite schaue, waren die 9er ziemlich lahm ggü der Antwortzeit von den 8ern oder bspw. OpenDNS. Aber vielleicht war das auch zum Launch nur so. :)