Speedlimit nach HA Aktivierung

sunics

Hallo zusammen,

ich habe testweise ein HA aktiv. Funktioniert soweit wunderbar.
Mir ist allerdings aufgefallen, sobald ich bei der Outbount Rule für ein Netzwerk die VIP für das WAN als Translation Address einstelle, ist der Downloadspeed auf 100 Mbit/s begrenzt.

Es sind keine Limiter aktiv.

Hatte jemand schon so nen fall oder ein ähnliches Verhalten?

nodau

Hi,

wenn du 2 Gateways hast, kann ich es verstehen. Bei einem nicht. Habe hier fast volle 500 mbit Download im HA mit 2 Gateways, wobei das schnellere von beiden, das Default Gateway ist.

sunics

Hallo,

danke für Deine Antwort und Deinen Input!
Gateway ist auf jeder Firewall jeweils nur einer eingerichtet.

Oder liegt da das problem?

nodau

Habe jetzt mal das 2. Gateway deaktiviert. Download Speed bleibt unverändert bei ca 500 mbits. Wie ist der HA Modus konfiguriert? Eigenes Interface oder läuft es über das LAN oder WAN Interface?

sunics

Eigenes Interface

nodau

Poste mal deine Interface, HA und Carp Config.

sunics

pfSense Master
WAN: xxx.xxx.xxx.61 / 26
LAN1: 10.254.0.2 / 16
LAN2: 192.168.1.2 / 24
LAN3: 192.168.0.2 / 24
Public: 172.22.0.2 / 16
SYNC: 1.1.1.1 / 24

pfSense Backup
WAN: xxx.xxx.xxx.62 / 26
LAN1: 10.254.0.3 / 16
LAN2: 192.168.1.3 / 24
LAN3: 192.168.0.3 / 24
Public: 172.22.0.3 / 16
SYNC: 1.1.1.2 / 24

Virtuelle IPs
WAN: xxx.xxx.xxx.2 / 26
LAN1: 10.254.0.1 / 16
LAN2: 192.168.1.1 / 24
LAN3: 192.168.0.1 / 24
Public: 172.22.0.1 / 16

Die VIP (Fixe-IPs) referenzieren auf das CARP Interface WAN.
Der Gateway ist automatisch in pfSense angelegt worden. Hatte bis vorhin einen manuellen Gateway mit den selben einstellungen dort aktiv.

Auf der backup firewall sind vom Routing die selben settings.

0_1529931154666_Screen Shot 2018-06-25 at 14.48.23.png

0_1529931171796_Screen Shot 2018-06-25 at 14.23.12.png

0_1529931180795_Screen Shot 2018-06-25 at 14.23.03.png
0_1529931189775_Screen Shot 2018-06-25 at 14.21.49.png 0_1529931205752_Screen Shot 2018-06-25 at 14.22.46.png 0_1529931258572_Screen Shot 2018-06-25 at 14.22.25.png 0_1529931290810_Screen Shot 2018-06-25 at 14.22.18.png

nodau

Also,

nimm mal als SYNC Subnetz ein reines privates Subnetz und kein öffentliches. Habe bei mir zum Beispiel ein 30er Subnet für das Sync Interface, da man ja nur 2 IPs benötigt. Da es ja ohne HA funktioniert, muss es ja an den Interface Einstellungen liegen. Und das einzige, was mir aufgefallen ist, ist die 1.1.1.1. Und das ist der cloudfare DNS. Die pfSense wird beim Ping auf die 1.1.1.1 sicherlich die Backup Sense erreichen. Die Clients im LAN, kommen aber bestimmt bei der öffentlichen IP an.

sunics

Hab das mal umgestellt, bringt zwar keine Besserung, aber eine Fehlerquelle weniger :)
An den Interface Einstellungen seh ich jetz nichts, was das verursachen könnte. oder überseh ich was ?

nodau

Du könntest nochmal einen Speedtest direkt auf der pfSense ausführen. Gibt ein kleines Kommandozeilentool was man bequem als single package installieren kann.

sunics

Hello,

das habe ich schon, ich habe auf beiden firewalls die volle bandbreite.
Das liegt nur an der Umstellung auf das CARP interface.
Sobald das aktiv ist, habe ich nur noch 100 MBit.