Снова FTP (в сто раз медленее чем без pfSense)



  • В WAN есть FTP сервер.
    Коннектимся к нему из LAN - передаем или скачиваем файл - скорость 100-120 КB/s
    Правила FW для LAN:

    TCP * * 127.0.0.1 * *   FTP PROXY HELPER

    • LAN net * * * *   Default LAN -> any

    Правила FW для WAN (понимаю, что это необязательно, но на всякий случай):

    • AAA.BBB.CCC.DDD * * * *   FTP -> any

    где AAA.BBB.CCC.DDD - статический адрес FTР сервера.

    По советам форума также выполнил следующее
    В конфигурациях LAN: FTP Helper - разрешен
    В конфигурации системы: FTP RFC 959 data port violation workaround - активирован

    Теперь делаем следующий шаг:

    Идем в System/Advanced/Disable FireWall
    Активируем Disable all packet filtering. (Note: This converts pfSense into a routing only platform! Note: This will turn off NAT!)
    Коннектимся к FTP из LAN - передаем или скачиваем файл - скорость 10-12 МB/s

    Увилечение скорости в 100 раз. Как такое решается ?????



  • А какой конфиг у машины роутера? А то может она просто не тянет NAT для 100Мбит?



  • Это плата ALIX 2C1, 433 MHz. 128 MB RAM, 3 LAN, 1 miniPCI, 1 Serial
    Подробнее CPU: 433 MHz AMD Geode LX CPU cache = 64KB instruction + 64KB data + 128KB    -L2 integrated crypto accelerator

    Если понаблюдаем за System Information, то CPU Usage: < 10%, Memory Usage: < 60%  ???

    Вчера попробовал подключиться к другой машине, которая находится в WAN (также 100Мб/с) по UltraVNC и сделать "трансфер файл" - те же тормоза - максимум 100 Кб/с



  • а что говорит iperf?



  • из LAN в WAN:
    –----------------------------------------------------------
    Client connecting to 192.168.0.3, TCP port 5001
    TCP window size: 8.00 KByte (default)

    [1912] local 192.168.175.4 port 1267 connected with 192.168.0.3 port 5001
    [ ID] Interval      Transfer    Bandwidth
    [1912]  0.0-10.1 sec  1.09 MBytes  908 Kbits/sec

    из WAN в LAN:
    –----------------------------------------------------------
    Client connecting to 192.168.175.4, TCP port 5001
    TCP window size: 8.00 KByte (default)

    [1912] local 192.168.0.3 port 1048 connected with 192.168.175.4 port 5001
    [ ID] Interval      Transfer    Bandwidth
    [1912]  0.0-10.1 sec  1.11 MBytes  918 Kbits/sec



  • Тогда что вы хотите от фтп с такими показателями?! =)



  • В этом-то и фишка - сейчас идем в pfSense и выключаем PacketFiltering (Disable Firewall Disable all packet filtering). Делаем тот же замер и получаем совсем другие результаты.

    из LAN в WAN:
    –----------------------------------------------------------
    Client connecting to 192.168.0.3, TCP port 5001
    TCP window size: 8.00 KByte (default)

    [1912] local 192.168.175.4 port 1063 connected with 192.168.0.3 port 5001
    [ ID] Interval      Transfer    Bandwidth
    [1912]  0.0-10.0 sec  101 MBytes  85.0 Mbits/sec

    из WAN в LAN:
    –----------------------------------------------------------
    Client connecting to 192.168.175.4, TCP port 5001
    TCP window size: 8.00 KByte (default)

    [1912] local 192.168.0.3 port 1040 connected with 192.168.175.4 port 5001
    [ ID] Interval      Transfer    Bandwidth
    [1912]  0.0-10.0 sec  103 MBytes  86.3 Mbits/sec

    Т.е. вопрос становится ребром - где проблема - железо (менял полностью, на идентичное), настройки (никаких дополнительных пакетов, все по умолчанию, в FireWall Rules открыто все порты/протоколы из LAN в WAN и наоборот ) или сам принцип (т.е. pfSense  или конкретно версия 1.2.3-RC1-embedded неуместно использовать в сетях 100Mb/s)?

    У кого-то работает нормально в подобной ситуации ? Какое железо ? Какая версия ? Какие дополнительные замеры можно провести для идентификации проблемы ?
    У меня просто спортивный интерес понять "почему"  :-\

    Заранее спасибо.



  • у меня 1.2.2, стоит профтпд, просто разрешен в фаерволе, все работает отлично =)
    вероятно проблема именно в 1.2.3 версии, попробуйте



  • А top что показывает с включенным pf и нет?



  • С включеным pf и выключеным - результаты top практически одинаковые. В течении этой недели попробую версию 1.2.2 - обязательно сообщу о результатах. Спасибо всем откликнувшимся.

    Включеный pf и передача файлов по ФТП (макс.скорость 100 кб/с)

    last pid: 57553;  load averages:  0.15,  0.08,  0.06    up 0+08:51:21  21:16:22
    30 processes:  1 running, 29 sleeping
    CPU:  0.4% user,  0.8% nice,  1.6% system,  4.3% interrupt, 93.0% idle
    Mem: 12M Active, 8428K Inact, 28M Wired, 36K Cache, 21M Buf, 65M Free

    Выключеный pf и передача файлов по ФТП (макс.скорость 12 Мб/с)

    last pid: 58434;  load averages:  0.43,  0.30,  0.16    up 0+08:56:06  21:21:07
    30 processes:  1 running, 29 sleeping
    CPU:  0.0% user,  0.8% nice,  3.9% system, 62.0% interrupt, 33.3% idle
    Mem: 21M Active, 12M Inact, 29M Wired, 124K Cache, 21M Buf, 51M Free
    Swap:



  • @zar0ku1:

    у меня 1.2.2, стоит профтпд, просто разрешен в фаерволе, все работает отлично =)
    вероятно проблема именно в 1.2.3 версии, попробуйте

    Поставил версию 1.2.2 - та же история :(
    У Вас профтпд где стоит, в WAN подсети ?

    Вопрос остается открытым: между двумя сетями WAN (ethernet 100Mb/s) и LAN (ethernet 100Mb/s) с включеным FireWall-ом можно добиться скорости передачи данных (по какому-нибудь протоколу) больше чем 1Mb/s ????

    Сделаные мною замеры с помощью iperf показывают - включеный PF - скорость 900kb/s; при тех же условиях, но выключенный PF - скорость 85Mb/s. Скорость передачи даных замерялась между двумя хостами - один в LAN другой в WAN. Шлюзами по умолчанию у обоих стоят соответсвующие адреса (LAN WAN) на pfSense.



  • Я бы не сказал, что результаты одинаковые.
    @alphil:

    С включеным pf и выключеным - результаты top практически одинаковые. В течении этой недели попробую версию 1.2.2 - обязательно сообщу о результатах. Спасибо всем откликнувшимся.

    Включеный pf и передача файлов по ФТП (макс.скорость 100 кб/с)

    last pid: 57553;  load averages:  0.15,  0.08,  0.06    up 0+08:51:21  21:16:22
    30 processes:  1 running, 29 sleeping
    CPU:  0.4% user,  0.8% nice,  1.6% system,  4.3% interrupt, 93.0% idle
    Mem: 12M Active, 8428K Inact, 28M Wired, 36K Cache, 21M Buf, 65M Free

    Выключеный pf и передача файлов по ФТП (макс.скорость 12 Мб/с)

    last pid: 58434;  load averages:  0.43,  0.30,  0.16    up 0+08:56:06  21:21:07
    30 processes:  1 running, 29 sleeping
    CPU:  0.0% user,  0.8% nice,  3.9% system, 62.0% interrupt, 33.3% idle
    Mem: 21M Active, 12M Inact, 29M Wired, 124K Cache, 21M Buf, 51M Free
    Swap:

    Такое ощущение, что клиент не хочет работать быстрее (не pfSense). Попробуем стрельнуть в воздух: на скорость передачи по TCP очень сильно влияет TCP Window size. Понимаю, что глупо предполагать, что это наш случай, но всё таки - сделайте tcpdump для pf включен и выключен, буквально секунд пять. Что-нибудь интересное видим?
    И ещё - попробуйте iperf'ом UDP прогнать, такие же результаты?


Locked