Verbindungen über neuer pfsense langsam



  • Hi,
    Neujahr ist ja meine PFsense kaputt gegangen.
    Ich habe auf basis eines normalen PC wieder eine pfsense aufgebaut. Die selben Regeln in der FW sind drin. (waren nicht so viele)
    Ein kleines Schaubild soll kurz das Netz demonstrieren:

    ServerA------------------------------neue-pfsense----------------------------Internet----------------pfsense-----------------------------ServerB
    openvpn nachServerB ------- VPN-Ports offen -----------------------------------------VPN-Ports-offen --------------------- openvpn

    Openvpn ist auf den Servern selber installiert. Pfsense macht nur die Ports auf.
    Was mir nun aufgefallen ist, ist ein simpler ssh Verbindungsaufbau von ServerA nach B dauert ca20 Sek. Vorher ging das sofort. Es hat sich sonst nichts verändert, mit Ausnahme der neuen PFsense.
    Hier ist auch sonst nichts weiter aktiviert, was den Traffic irgendwie verlangsamen könnte.
    Habt ihr eine Idee, woran das liegen könnte?


  • Rebel Alliance Moderator

    @simpsonetti said in Verbindungen über neuer pfsense langsam:

    Was mir nun aufgefallen ist, ist ein simpler ssh Verbindungsaufbau von ServerA nach B dauert ca20 Sek. Vorher ging das sofort. Es hat sich sonst nichts verändert, mit Ausnahme der neuen PFsense.

    Wenn das dein Problem ist, ist die Überschrift irreführend. Denn dann sind die Verbindungen selbst nicht langsam - es sei denn du sagst du bekommst jetzt statt 100Mbps nur noch 50 rüber? - sondern der Verbindungsaufbau. Auch bei SSH kann das was ganz anderes sein. Ich würde jetzt mal per Bauchgefühl eher auf DNS tippen. Das kommt mit einigen Sekunden Delay nämlich sehr gut hin, dass bei

    user@host:~/ ssh <serverB>
    

    dann nämlich erstmal ein DNS Abruf für ServerB abläuft.
    Zusätzlich(!) macht auch Server B selbst einen DNS Aufruf, der will nämlich wissen, wer zum Geier da was von ihm will, also - wenn du von Server A kommst - fragt der erstmal ab, wer die IP x.y.z.a ist.

    Wenn ihm das niemand sagen kann, dann dauert das entsprechend lange, bis er endlich "OK" sagt.

    Wenn das also "nur" bei SSH auftaucht, hau mal bei beiden Seiten in der /etc/sshd_config den Eintrag

    UseDNS no
    

    mit rein und/oder trage jeweils die anderen Seite in der lokalen /etc/hosts mit ein, damit die DNS Auflösung fix abläuft. Es kann ja sein, dass die neue Sense für den Server A den DNS gemacht hat und jetzt irgendwie ein Eintrag fehlt oder DNS/DHCP noch nicht wieder richtig sauber miteinander verknüpft sind oder du Host/Domain Overrides drin hattest die jetzt fehlen.

    Grüße



  • Hi, ja im nachhinein stimmt das, etwas komisch formuliert.
    Ich habe es aber mal so gemacht wie du beschrieben hast und habe direkt die IP genommen, aber das hat auch nichts gebracht.
    Der Verbindungsaufbau ist immer noch sehr langsam. 26 Sekunden dauerte der Aufbau. Und wie gesagt, an der eigentlichen Konfiguration hat sich nichts verändert, mit Ausnahme der einen PFsense.
    Mir fällt da in der PFsense aber auch nichts auf, was ich aktivieren oder deaktivieren könnte.


  • Rebel Alliance Moderator

    @simpsonetti said in Verbindungen über neuer pfsense langsam:

    Ich habe es aber mal so gemacht wie du beschrieben hast und habe direkt die IP genommen, aber das hat auch nichts gebracht.

    Hast du auch testweise auf der anderen Seite mal das recursive DNS Verhalten abgeschaltet?



  • Ich wollte mal ein Feedback geben:
    bzgl DNS habe ich noch einige Optionen geprüft. Es hat nichts an dem Verbindungsaufbau geändert.
    Nun haben wir hier eine Fortigate für diesen Standort bekommen. Da ist auch nichts großartiges eingetragen bzgl DNS und der Aufbau ist so wie er zu erwarten ist; sofort.
    Evtl lag es an dem PC-PFsense-System....