Bufferbloat Fix mit WAN und VPN-Gateway Group
-
Hi,
ich habe mir nach dieser Anleitung: https://docs.netgate.com/pfsense/en/latest/recipes/codel-limiters.html
Limiters für das Traffic Shaping eingerichtet um Bufferbloat zu vermeiden. Soweit so gut.
Mein Setup ist folgendes:
Ich nutze sowohl für manche Client direkt meinen WAN-Anschluss, für den Rest des Netzwerks nutze ich VPN, hierzu habe ich eine VPN Gateway Group angelegt in der sich zwei VPN-Gateways befinden. Kein Load-Balancing sondern ein VPN-Gateway als Tier1 und der andere als Tier2.WAN und die VPN-Gateway Group habe ich in einer WANGroup - Interface Group zusammengefasst:
Nun komme ich zur Frage, wie konfiguriere ich das nun in den Firewall-Floating-Rules? Das ist was ich eingestellt habe, glaube aber das dies nicht korrekt ist.
Hat jemand eine Idee oder nutzt es vielleicht sogar in einer ähnlichen Konfiguration?
Muss ich hier einfach 3 Floating Rules anlegen, einmal für WAN, OVPN und OVPN2? Ist das wirklich so einfach? Drosselt dann die pfsense automatisch den gesamten Traffic über alle 3 Gateways? Das ist glaub ich zu einfach gedacht?
-
Pro Interface eine Regel, dazu noch eine die ICMP per pass und quick raus haut davor!
Hast du IPv4 und Ipv6, sind das dann 6 Regeln.Die Limiter Floatings bitte als Match und vor allem wichtig ohne quick anlegen.
-
Danke für deine schnelle Reaktion!
Also sollte es dann so aussehen (muss natürlich noch aktiviert werden)?
Das "Quick" hatte ich gewählt, weil es in dem HowTo so gesetzt ist.
Die Interface-Group habe ich nun wieder gelöscht, scheint dann nicht notwendig zu sein.
-
Pro Interface eine Regel, dazu noch eine die ICMP per pass und quick raus
@nocling wenn er das tut und beides Mal die gleichen Queues angibt, dann geht der VPN Traffic zweimal durch den Limiter und die Bandbreite halbiert sich.
-
Also eine eigene Queue für das WAN? Und für die beiden VPNs kann ich die selbe Queue nehmen?
-
Das sollte man in dem Fall dann besser mal testen, ggf. einen zweiten Limiter mit anderen Werten anlegen, also 10MBit für WAN und 1MBit für VPN, dann mal testen.
Er hat es ja auf Interface, Source usw. beschränkt.
Ich habe mir das in der Doku aber auch nicht so genau durch gelesen, wie sich das ganze bei VPN Tunneln verhält, da ich so einen Anwendungsfall nicht habe.
Ich jage hier nur mit 2-3 S2S Tunneln Backups durchs WAN und dann läuft alles über den WAN Limiter, da ich im IPsec Tunnel Modus arbeite.
-
Habe es nun mal so eingestellt... Die Download-Bandbreite wird nicht halbiert und ansonsten sieht alles ok aus?
-
@enJOyIT, nein, gar nicht mit dem WAN Interface arbeiten, sondern alles auf den jeweiligen LAN Interfaces machen. Also:
- LAN - DownQ / UpQ
- VPN1 - DownQ / UpQ
- VPN2 - DownQ / UpQ
-
Sorry, habe meine Beitrag editiert... Hatte noch einen Download laufen, deshalb dachte ich der DL wäre halbiert.
-
Hatte noch einen Download laufen, deshalb dachte ich der DL wäre halbiert.
Obiger waveform.com Test lief durch eines der beiden VPNs?
-
@enjoyit said in Bufferbloat Fix mit WAN und VPN-Gateway Group:
https://docs.netgate.com/pfsense/en/latest/recipes/codel-limiters.html
Also bei mir bringt der Netgate Vorschlag genau gar nichts...
-
@bob-dig dann machst du etwas falsch.
-
Ja, der lief durch einen VPN.
Ich muss das nochmal in Ruhe machen... Jetzt ist mir meine komplette pfsense abgeschmiert, webgui nicht mehr erreichbar etc... In der Console stand dann sowas wie
kernel: [zone pf frag entries] PF frag entries limit reached
Musste die Kiste komplett neustartem, ein Neuladen der Module hat nicht gereicht.
Nicht, dass mir durch die Konfiguration das jetzt regelmäßig passiert?
Sowas hatte ich bis jetzt noch nie und die Kiste läuft schon zwei Jahre hier. -
@thiasaef said in Bufferbloat Fix mit WAN und VPN-Gateway Group:
@bob-dig dann machst du etwas falsch.
Hattest recht, hatte IPv6 nicht bedacht.
Hat zwar meiner Downloadrate nicht gut getan, aber zumindest die Ping bleibt nun insbesondere im Upload stabiler.
-
@enjoyit said in Bufferbloat Fix mit WAN und VPN-Gateway Group:
kernel: [zone pf frag entries] PF frag entries limit reached
MTU / MSS auf den VPN Interfaces falsch eingestellt?
-
Da habe ich bisher nichts eingestellt. Und es lief bisher auch ohne Probleme, bis ich nun am Traffic Shaper rumgespielt habe
Oder kann das damit gar nichts zu tun haben?
-
@bob-dig said in Bufferbloat Fix mit WAN und VPN-Gateway Group:
Hattest recht, hatte IPv6 nicht bedacht.
Wenn man aber für IPv4 und IPv6 jeweils einen eigenen Limiter aufsetzen muss, dann wird das Ganze nicht mehr funktionieren, wenn beide "Protokolle" zur selben Zeit genutzt werden? Gibt wohl auch Nachteile mit DualStack.
-
Hab das jetzt mal ohne Traffic Shaper laufen lassen:
Stellt sich die Frage ob es sich in meinem Fall dennoch lohnt den Shaper zu nutzen? Ich merke in manchen Situationen schon Verzögerung wenn die Leitung ausgelastet ist. Hmm..
-
Hast du die States zwischen den Versuchen gekillt?
Wenn nicht, kannst du nicht sicher sein das alles durch den Limiter oder an ihm vorbei läuft.
Ich habe bei mir statt Tail Drop beides mal Codel gewählt, so kann ich dann auch ECN setzen.
-
Ich probiere es später nochmal und gebe dann nochmal Bescheid.
