Perte de Débit très important en download



  • Bonjour à tous,

    Je ne suis pas souvent ici mais là je me pose une question importante.
    En effet, je suis passé à la fibre Red by SFR avec la fibre à 1Gb (c'est cool sur la papier mais dans le fait c'est un peu plus embêtant).
    Si je connecte mon PC directement sur la box j'ai bien les débit annoncés à savoir environ 1Gb en download et proche de 400Mb en upload.
    Le soucis est que si j'utilise le boitier pfsense, le débit chute énormément, je passe de 1Go à 300Mb en download alors que le débit montant reste pour ainsi le même à savoir entre 350 et 400Mb.
    Qu'est-ce qui peut provoquer cette très forte perte de débit selon vous ?
    Le serveur pfSense utilise 2 interface (1 WAN + 1 LAN, juste pour n'avoir que les fonctions de base dans un 1er temps car je pensais que la multiplications des plugin pouvait réduire les performance mais ce n'est pas le cas.
    Voici la configuration de mon pfSense si ça peut vous aider à me venir en aide et ainsi retrouver un débit de 1Go en download.

    On ne peut pas dire qu'il bosse énormément, il est au ralenti.
    Je suis donc perdu alors si vous avez des informations pour m'aider...

    pfsense.JPG
    pfSense2.JPG
    pfSense3.JPG

    Tests effectués pour se rendre compte de la différence entre utilisation avec ou sans pfsense :
    pfSense4.JPG
    SFR Test Direct sur box.JPG

    On voit clairement que pfsense bride le débit de download mais je ne sais pas pourquoi.
    Avez-vous des idées SVP ? Je me prends la tête depuis plusieurs jour afin de résoudre ce pb mais en vain.
    Merci beaucoup pour votre aide.



  • Peu d'information sur le matériel et sa configuration (configuration virtuelle ou physique ?). Avec un Celeron je ne suis pas très surpris que vous plafonniez aux environs de 300 Mb.
    De plus vous interprétez curieusement les résultats du test SFR. Vous avez 672 Mb/s en moyenne en connexion directe, soit 2/3 de la bande passante nominale, ce qui est tout à fait normal.



  • Pardon Ccnet, je pense que tu es passé à côté : ce firewall est virtualisé sous Xen Server comme indiqué au niveau du BIOS (de la VM).

    La comparaison entre une machine physique (mon PC) et une machine virtuelle me parait peu scientifique.

    Avec un Celeron J1900, sans virtualisation, on doit accepter un débit de 1G sans trop de problème.

    Encore une fois, manque de description initiale : qu'est ce que ça coute d'écrire quelques lignes sur le matériel en jeu, la virtualisation choisie, son niveau d'expertise ...

    PS : qui peut me dire à quoi sert un débit d'1G descendant pour un particulier (à part pirater vite) ?



  • @jdh said in Perte de Débit très important en download:

    Pardon Ccnet, je pense que tu es passé à côté : ce firewall est virtualisé sous Xen

    Effectivement je n'étais pas certain.

    PS : qui peut me dire à quoi sert un débit d'1G descendant pour un particulier (à part pirater vite) ?

    C'est comme pour les voitures: je préfère la rouge parce qu'elle va jusqu'à 250km/h ...

    D'autant qu'un autre paramètre pèse sur les performances subjectivement perçu, le temps de latence.
    Dans la navigation courante entre 300 Mb/s et 600Mb/s je ne suis pas certain que l'on perçoive une différence.



  • Oui la latence bien sûr, mais il ne faut pas oublier aussi qu'un grand débit descendant nécessite un certain trafic montant ! Tout les 1500 octets descendants, un paquet montant d'ACK est envoyé soit autour d'une quinzaine d'octets mini ! 1G descendant exige a minima 10M montant !



  • Bonjour,

    Tout d'abord merci pour vos diverses réponses mais le débat n'est pas sur le pourquoi avoir 1Go en débit descendant.
    La question se porte sur le fait que sans pfsense le débit derrière la box est aux alentours de 1Gb (comme sur le contrat) et proche de 400Mb en montant (tout comme indiqué sur le contrat)
    Alors que si je mets pfsense virtualisé ou non, ce n'est pas ça qui change le pb puisque les ressources sont largement sous exploitées que ce soit au niveau du CPU, de la RAM ou des écritures sur le SSD., le débit descendant est fortement diminué.
    La matériel utilisé est justement un serveur qui sert de pfsense et ou autre logiciels du genre.
    La virtualisation, a été choisie juste pour faire tourner une autre VM qui ne prend que très très peu de ressource.
    Le serveur a 4 interfaces réseaux 1Gb, 1 processeur Celeron J1900 intégrant 4 Coeurs, et aussi 8 Go de RAM ainsi qu'un SSD de 1To
    PfSense est une VM avec 4 Go de RAM, 100Go de disque ainsi que 4 VCPU, je désactive tous les plugins pour n'avoir que le strict minimum. Je ne rencontrais AUCUN pb lorsque la connexion internet était en ADSL 20Mo avec plusieurs plugin actifs.
    l'autre VM est un serveur DNS de filtrage DNS (pihole) avec 1Go de RAM et 2 vCPU,
    Ces 2 VM ne prennent à aucun moment toutes les ressources disponibles.
    J'ai juste vu plusieurs forum qui traitent de ce pb de bande passante restreintes quand les gens sont passées à la fibre 1 Go mais je n'ai jamais vu de réponse sur ce pb.
    Si les CPU et RAM étaient à pleine charge ça pourrait se comprendre qu'il y ait ce fort ralentissement mais ce n'est jamais le cas.
    Ce qui reste incompréhensible aussi c'est pourquoi le débit descendant est semble-t-il restreint pour une raison inconnue alors que le débit montant reste le même (avec ou sans pfsense)



  • @Korben-Dallas said in Perte de Débit très important en download:

    Je ne rencontrais AUCUN pb lorsque la connexion internet était en ADSL 20Mo avec plusieurs plugin actifs.

    Les ressources nécessaires pour assurer un débit de 20 Mb/s et 1 Gb/s ne sont pas tout à fait les mêmes, indépendamment de ce que vous raconte les compteurs. Heureusement que vous n'aviez pas de pb avec 20Mb/s de bande passante maxi. En dehors des possibilités du processeur, les performances des cartes sont décisives. Pour Pfsense le disque SSD ne sert à rien.

    Avec un DL360 G4 bi pro et des cartes Intel Pro 1000, je tenais 600 Mb/s au moins,avec des disques très moyens. Avec le processeur d'un Watchguard x1000e je ne dépasse pas 300Mb/s.

    Sur un TippingPoint (qui est un IPS) avec processeurs FPGA nous avons jusqu'à 40Gb/s de bande passante en fond de panier.

    Si vous regardez les produits, chez les éditeurs constructeurs, qui existent en physique et en VM et que vous discutez avec les supports techniques, aucun ne vous orientera vers les vm dès lors que vous avez besoin d'un débit un peu important. Bien moins qu'un giga. Par exemple Kemp vous déconseillera ses load balancer en vm au delà de 200 ou 300 Mb/s.

    Vous en déduirez ce que vous pouvez.



  • Vous voulez des explications ? Adoptez une attitude scientifique !

    Le b-a-ba du scientifique est de noter la situation de l'expérimentation, en particulier les caractéristiques précises du matériel, et de ne pas rejeter la moindre hypothèse !
    Vous n'indiquez rien et pensez que la virtualisation n'a aucun rôle : erreur méthodologique !

    Pour le matériel, un ssd est parfaitement inutile pour un firewall. Et en production, on ne virtualise pas un firewall, en particulier il est très déconseillé de virtualiser sur le même hôte des VM de zones différentes !

    Pour la virtualisation, il est évident que la performance ne peut être maximale sauf maitrise du sujet ... Par exemple, le type des interfaces réseaux physiques et celles vues par pfSense est certainement différente, donc Xen réalise une 'conversion' qui va brider la performance ! Merci d'indiquer tout cela.

    Les informations utiles manquent ... vous semblez confondre une mesure de perf avec la liste des caractéristiques, or la 2ième est nettement plus utile ...



  • Voici en gros à quoi ressemble le serveur sur lequel est installé pfsense

    [Home Router Mini pc with 4 RJ45] (https://www.amazon.fr/dp/B01LEU9TT2/ref=cm_sw_r_cp_apa_i_WritDbZVEBEFT)

    au delà des caractéristiques, pourquoi y-a-t-il une telle différence entre les débits ?

    débit descendant :

    • 1 Gb derrière la box et maximum 350Mb derrière pfsense, ceci est vu sur plusieurs forum.

    Débit montant :

    • 400 Mb derrière la box et environ 350 à 380 Mb derrière pfsense.

    Si effectivement les caractéristiques que vous indiquez sont bloquantes, on devrait donc avoir pour ainsi dire le même rapport entre les débits descendant et montant donc si on a 1/3 du débit maximal de la ligne en descendant derrière pfSense alors on devrait logiquement avoir aussi 1/3 du débit montant maximal de la ligne derrière pfsense.
    Ce qui donnerait donc :

    • Débit descendant derrière pfSense arrondi à 350Mb
    • Débit montant derrière pfSense arrondi à 150Mb

    Or, le débit montant est, lui, bien au maximum de la ligne soit environ 400Mb, ce qui n'est pas le cas du débit descendant qui semble être bridé à 1/3 du débit de la ligne.

    Pour ce qui concerne qu'il manque des infos utiles, je vous donne au fur et à mesure (lorsque vous les demandez) ces caractéristiques (à condition de les connaitre moi-même).

    Sinon pour information complémentaire, pfsense n'est pas en direct sur internet donc le firewall n'est pas vraiment utilisé, il est derrière la box qui bloque, les flux venant d'internet (à minima).
    Pfsense n'est là que pour être tranquille et ne pas avoir à toujours refaire toutes les modifications sur les box qd je change de FAI (je ne change pas souvent mais ça arrive), et ceci permet aussi d'isoler le réseau interne de la box, les FAI n'ont pas besoin de connaitre tout ce qu'on a sur notre réseau.



  • @Korben-Dallas said in Perte de Débit très important en download:

    Si effectivement les caractéristiques que vous indiquez sont bloquantes, on devrait donc avoir pour ainsi dire le même rapport entre les débits descendant et montant donc si on a 1/3 du débit maximal de la ligne en descendant derrière pfSense alors on devrait logiquement avoir aussi 1/3 du débit montant maximal de la ligne derrière pfsense.
    Ce qui donnerait donc :

    • Débit descendant derrière pfSense arrondi à 350Mb
    • Débit montant derrière pfSense arrondi à 150Mb

    Non. Mauvaise compréhension de la situation.
    Si un équipement passe 400Mb/s, il les passe quelque soit le sens.
    Et ne passe pas plus. Donc vous avez vos 400 Mbit/s en upload et autant dans l’autre sens. Globalement tout est normal.
    Un équipement est limité en bande passante dans l’absolu et pas en pourcentage du flux qui se présente. Dans votre cas la limite du hardware est aux environs de 400mbits/sec.



  • OK Je comprends mieux globalement mais je ne comprends pas pourquoi les interfaces réseaux fonctionnent bien en Gigabits dans ce cas. Il n'y a qu'avec pfsense que je rencontre ce problème de bridage. Et d'après plusieurs forum que j'ai pu voir, de nombreuses personnes se retrouvent "bridés" à 300Mb en download sans avoir de pb en upload, et ceci quelque soit le matériel utilisé.
    Quand je dis bridage c'est juste pour exprimer le pb, ce n'est pas une affirmation.



  • Je ne suis pas sûr du mot 'compréhension' ... (j'ai vu votre post avant que vous le complétiez avec une référence Amazon).

    Typiquement, dans l'environnement VMware que je connais bien (et mieux que Xen), une VM neuve sera créé avec une carte réseau E1000 (ou E1000e) et des disques LSI Logic. VMware préconise un gain significatif avec les cartes réseaux VmxNet3 et les disques en VMware Paravirtual. Le gain est autant en performance qu'en utilisation processeur !

    Cf pour le réseau, http://rickardnobel.se/vmxnet3-vs-e1000e-and-e1000-part-1/ et la part-2 qui donne des mesures de performance

    Il n'est pas surprenant que le débit d'une interface réseau d'une VM plafonne à une portion de la bande passante , et 400 Mb est déjà très correct versus une interface 1G. (Je ne suis pas certain de voir la différence entre 400 Mb et 1Gb sur Internet)

    Il suffit, en ligne de commande sous pfSense, de regarder la différence entre les interfaces réseau (em0, em1, igb0, ..) et la réalité avec lspci ou pciconf (équivante bsd de lspci).

    Sans virtualisation, ce type de matériel est largement capable de fournir du 4 fois 1B ... en mode routeur (d'où son nom !) Et avec un disque de 64 G, parce qu'on ne voit pas ce que va faire pfsense de 1T !


Log in to reply