Pfsense производительность



  • Народ, кто как тюнингует производительность пфсенса? проблема следующая: стоит 1.2.2 версия, на ней - около 150 ipsec клиентов, в каждой подсети - 2-3 пк,  в офисе - десятка два серверов, в том числе и система мониторинга whatsup, в ней - около 230 обектов мониторинга, которые за пфсенсом, так вот когда он проходит проверку на доступность обектов (пингует) - создается впечатление что пинги теряются, при этом с паралельной машинки -все пингуется, icmp limit  увеличил с 500 до 2000 - немного помогло, когда поменяли на циску (правда слабую) - еще больше помогло, но циску не можем ставить по некоторым причинам, винду пробовал "тюнинговать",  и то и то стоит на виртуалках (и разные сервера и один пробовал), ресурсов хватает… загрузка не более 30-60(в пике) %,
    жду советов :)



  • что в это время показывает top?
    и подробно железо все



  • какие именно надо данные от top?
    железо - виртуалка, двухпроцессорный оптерон, 16 гб памяти, скази рейд, под пфсенс выделено четверть процессорного времени, оперы -2гб



  • @alexandrnew:

    какие именно надо данные от top?
    железо - виртуалка, двухпроцессорный оптерон, 16 гб памяти, скази рейд, под пфсенс выделено четверть процессорного времени, оперы -2гб

    все, это большой секрет?

    Просвятите, что значит четверть процессорного времени?



  • @zar0ku1:

    Просвятите, что значит четверть процессорного времени?

    Вы с vmware работали?  суммарная частота, двух двухядерных оптеронов - 4х2592Ghz,   на пфсенс выделено 2592Ghz, т.е. одно полное ядро. я считаю этого более чем достаточно для него. так как загрузка в пике не превышала 1000Ghz

    ап Добавил два скрина, на них видны настройки и загрузки, в т.ч. по количеству пакетов проходящих через пфсенс, думаю затык там….






  • @alexandrnew:

    Вы с vmware работали?  суммарная частота, двух двухядерных оптеронов - 4х2592Ghz,   на пфсенс выделено 2592Ghz, т.е. одно полное ядро. я считаю этого более чем достаточно для него. так как загрузка в пике не превышала 1000Ghz

    и не только, но такой термин услышал в первые
    я просил что за железо на пфсенс, ждал ответа типа: 1х2600Mhz (чисто по секрету 4х2592Ghz - таких процессоров пока нет =) ну и 2Gb памяти
    потом что за сетевые карты, раз дело идет про сеть, не правда ли?

    и очень жду вывод top в момент нагрузки, чтобы понять, что именно у вас проседает и что именно ее так грузит, спасибо



  • @zar0ku1:

    и не только, но такой термин услышал в первые

    обяснил своими словами

    @zar0ku1:

    (чисто по секрету 4х2592Ghz - таких процессоров пока нет =)

    2,592 запятые не поставил :)  нервы…
    память - оперативки... не кэш :)

    сетевушки в аттаче...
    топ - тоже... загрузки как таковой нет, так как момент пика очень кратковременный, выследить тяжело...






  • нагрузка процессора никакая, память и кеш пустые, следовательно обрабатывается все pfsense'ом на ура
    может сетевые не поспевают? может что-то еще такое жутко сетевое висит в виртуалке?



  • в том то и дело - что тушил все остальное - не помогает :(



  • @alexandrnew:

    в том то и дело - что тушил все остальное - не помогает :(

    меня два нижних сетевых адаптера смущают, пробовал использовать только два верхних?



  • чем они могут смущать? если общей загрузкой - то на них только пфсенс и висит, это для инета, причем один из них интел - вмварь к адаптерам переборчива….



  • не советник я в вмваре, но всё-таки топ лучше запускать с ключом -S
    Что показывают РРД графики pfSense для трафика и пакетов в секунду?



  • скрины, top -S




  • wan1 - основной инет канал
    wan2 - вторичный инет канал




  • lan 1 -основная локалка
    lan 2 -локалка ко второму офису




  • Это не нагрузка, это так - посмеяться, дело в чем-то другом ИМХО



  • @zar0ku1:

    Это не нагрузка, это так - посмеяться, дело в чем-то другом ИМХО

    Я понимаю что для него это не нагрузка…
    Меня интерисует - нет ли ограничения\ затыка в количестве пакетов, так как ICMP лимита в 500 - было мало, возможно что то еще подобное ограничивается...



  • @alexandrnew:

    когда он проходит проверку на доступность обектов (пингует) - создается впечатление что пинги теряются

    Можно по-подробнее - откуда такое странное впечатление? может показалось?

    @alexandrnew:

    icmp limit  увеличил с 500 до 200 - немного помогло

    что это за лимит?



  • Впечатление - правой кнопкой на софтинке -пинг - не идет, с соседнего пк - проблем нет

    /etc/sysctl.conf

    Set a reasonable ICMPLimit def 500

    net.inet.icmp.icmplim=2000



  • @alexandrnew:

    Впечатление - правой кнопкой на софтинке -пинг - не идет, с соседнего пк - проблем нет

    /etc/sysctl.conf

    Set a reasonable ICMPLimit def 500

    net.inet.icmp.icmplim=2000

    tcpdump на pfSense и правой кнопкой на софтинке - сразу будет видно, что и куда не идёт.



  • пробовал, на интерфейс пофсенса пакеты попадают….



  • @alexandrnew:

    пробовал, на интерфейс пофсенса пакеты попадают….

    Уходит в IPSec tunnel и приходит назад?



  • во! вот тут и загвоздка - как узнать какой именно тунель, если интерфейсов тунельных я не вижу (или не нашел как посмотреть, но помоему - один общий), а тунелей около 150…



  • И что все тоннели имеют одинаковые Remote Peer's IPs? т.е. все 150 между двумя сайтами?



  • нет.
    через вебморду я вижу тонели отдельно.

    ifconfig - следующая картина:

    em0:
    em1: 
    em2:
    em3:       
    plip0: flags=108810 <pointopoint,simplex,multicast,needsgiant>metric 0 mtu 1500
    pflog0: flags=100 <promisc>metric 0 mtu 33204
    lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
            inet 127.0.0.1 netmask 0xff000000
            inet6 ::1 prefixlen 128
            inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
    enc0: flags=41 <up,running>metric 0 mtu 1536
    pfsync0: flags=141 <up,running,promisc>metric 0 mtu 1460
            pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
    ng0: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
    ng1: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
            inet6 fe80::250:56ff:fe91:250e%ng1 prefixlen 64 scopeid 0xb
            inet 172.23.255.1 –> 172.23.255.200 netmask 0xffffffff
    ng2: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
            inet6 fe80::250:56ff:fe91:250e%ng2 prefixlen 64 scopeid 0xc
    ng3: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
            inet6 fe80::250:56ff:fe91:250e%ng3 prefixlen 64 scopeid 0xd
    ng4: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
            inet6 fe80::250:56ff:fe91:250e%ng4 prefixlen 64 scopeid 0xe
    ng5: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
    ng6: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
    ng7: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
    .......
    ng80: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500

    как увидеть где какой тунельный интерфейс, если это  IPsec Mobile clients</pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,running,promisc></up,running></up,loopback,running,multicast></promisc></pointopoint,simplex,multicast,needsgiant>



  • Стоп. Какая связь между IPSec и ngХ интерфейсами?
    IPSec tunnel не имеет отдельного интерфейса. А определять какому тоннелю относятся ESP-пакеты на WAN можно только зная удалённый PublicIP.



  • @Eugene:

    IPSec tunnel не имеет отдельного интерфейса. А определять какому тоннелю относятся ESP-пакеты на WAN можно только зная удалённый PublicIP.

    и я об чем….
    как тогда увидеть трафик внутри нужного  тонеля?



  • Я смею предположить, что тоннели натянуты от одной коробки (концентратора) к разным удалённым офисам, т.е. мы должны видеть разные IP-адреса для разных удалённых офисов. Т.о. можно трассировать только ESP трафик между этой центральной коробкой (пфСэнс) и одним удалённым офисом.



  • так и есть - пфсенс один, клиентов более 150…



  • Отлично. Один клиент - один IP.


Log in to reply