Pfsense und wrap
-
Du vergisst, daß Du für die Software nichts bezahlst und daß die Software "erst" Version 1.0 ist und daß Du Dein System überlastest. Das Hauptproblem ist in FreeBSD 6, welches Userland Prozessen keine Rechenzeit mehr zur Verfügung stellt, wenn der der Kernel zu 100% belastet wird, daran können wir leider nichts ändern, ausser evtl. den Watchdog abzuschaffen.
Ich glaube auch, daß Du bisher recht guten Support bekommen hast, den Du vmtl. bei einem kommerziellen Produkt nie so flott bekommen hättest. Abgesehen davon hast du geschrieben, daß bei Deinem alten kommerziellen Router ein Exploittest den immer abgeschossen hat. Ich bin sicher der Routerhersteller hat sofort reagiert und Du hast dort sofort eine Mail hingeschickt und das Problem ist schon längst behoben?
Ich finde den Ton, den Du hier anschlägst etwas fehl am Platz. >:(
-
und btw die jeweilige Schreibweise lautet:
-
m0n0wall
-
watchdog
-
und pfSense
Cheers
Daniel S. Haischt -
-
Sorry hoba, da hast du mich wohl irgendwie falsch verstanden, mit meinem "habe die Nase voll".
Das war kein gemeckere.
Ich bin einfach nur genervt, weil es hier nicht so klappt wie es soll. Von 2,5 GB habe ich mittlerweile 2 downloadet, an die anderen 0,5 komm ich nicht mehr ran, weil der Server entweder überlastet ist oder der upload gekanzelt wurde.
Hätte vorhin alles fehlerfrei geklappt, wäre ich in der zeit als es noch verfügbar war längs fertig geworden.Und deswegen bin ich einfach genervt. Sorry nochmal, wenn du das auf dich, bzw. pfsense bezogen hast.
Zum Netgear Router.
Der ging nach einem halben Jahr zurück, weil das nicht der einzigste Fehler war, der war voll bugy.
Der FVS124g ein Business Gerät ???
Das fing schon an, das er keine MTU von 1492 konnte, nur 1452 und hörte damit auf, dass er bei Port Triggering anstelle den Port auf Open zu setzen ihn auf Stealth setzte und noch viele andere Fehler.
Angeboten wurde er damals mit max. 30 Mbit auf der WAN Seite (habe ich noch schwarz auf weiß) und irgendwann bekam man wohl mit, das er das nicht schafft und korrigierte es auf der Website einfach nach unten auf 12,5 Mbit.
DAs war für mich der Auslöser, dass ich sagte jetzt ist schluß, ich will meine Kohle wiederhaben.
Von den vielen Fehlern wurden einige nach zig e-mails von mir und logs, die ich mit WildPackets EtherPeek NX erstellt hatte, beseitigt, unter anderm die MTU Sache. Dafür hat man aber wieder andere eingebaut.
Vor allen kam man mit den verrücktesten Argumenten, mein Provider unterstütze keine 1492, als ich das entkräftete kam man mir mit solchen Unsinn wie "Dieser Router hat eine bessere Firewall als andere und könne darum nur 1452 MTU" und all solch einen Unsinn.
Tja und irgendwann hatte man es dann doch korrigiert, so das eben doch 1492 MTU ging und ich und meine logs somit recht hatten.
Aber das nur am Rande -
@hoba
Du wolltes mir doch was zukommen lassen um den Watchdog zu deaktivieren. Noch nicht fertig?
Da ich momntan monowall nutze ist mir aufgefallen, dass mein wrap bei voller DSl Last, also 16 Mbit, nur auf eine CPU Last von 30-40% kommt.
Warum kommt pfsense da nun auf 100%?
Das wird auch der Grund sein, weswegen ich mit monowall diese Probleme nicht habe und es allgemein im Webmenü wesentlich flinker ist.
Liegt das alles an FreeBSD 6?Ansich würde ich ungern auf pfsense verzichten, weil es mir aus verschiedenen Gründen besser gefällt.
-
Gestern war Thanksgiving Day in Amerika, weswegen die ganzen Entwickler mit familiären Feiern beschäftigt waren, also war der Dev-Channel leer. Bzgl der Performance ist es wirklich so, daß FreeBSD 4.x (m0n0) auf kleinen langsameren System wesentlich schneller ist als FreeBSD 6.x oder auch 5.x. m0n0 wird das "Problem" aber auch mit der nächsten Version kriegen. Manuel Kasper arbeitet an einer m0n0 basierend auf FreeBSD 6. Noch dazu kommen ganz andere Firewallfilter und Trafficshaper zum Einsatz und die zusätzlichen Features fordern eben auch noch ein wenig mehr Leistung. pfSense ist hauptsächlich für "ausgewachsene" Systeme gedacht. Die Nutzung auf einem Wrap ist eher ein "Nebenprodukt". Ich gehe aber davon aus, daß sich Soekris und PC Engines früher oder später auch um schnellere Hardware kümmern müssen. Wirelesskarten werden immer schneller, Internetbandbreiten auch, miniPCI wird früher oder später wohl auch verdrängt werden…
Ich weiß, daß das keine Lösung für Dein momentanes Problem ist. :-\
Wenn ich was wegen dem Watchdog weiß gebe ich Dir bescheid.
-
Ich komm jetzt nicht auf den Namen, weil ich pfsense momentan ja nicht nutze, aber wie wäre es damit, wenn man aus der embedded Version diese grafische Paketanalyse entfernt. Ich könnte mir vorstellen, das das so einiges an Ressourcen einspart.
Oder wenn man es zumindest so macht, das man alles deaktivieren kann. Das Thema hatten wir ja schonmal hier.Ich mein das ist zwar ein nettes Feature, aber sein wir mal ehrlich, eigentlich nur eine Spielerei und wenn diese auf Kosten der Performance geht, dann sollte man doch lieber drauf verzichten.
Ich kann mich z.B. noch erinnern, dass wenn bei meinem alten Netgear FR114p (nicht der oben erwänte der zurück ging) im log Menü alle log Optionen ausgewählt wurden, dass er dann sehr störanfällig war, weil die vielen logs ihn sicherlich an seine Grenzen brachten.
Das war nicht nur meine Theorie, sondern das empfahl auch Netgear auf seinen Supportseiten. -
Wir sind noch dran an der Thematik. Nur mal als Update zwischendruch.
-
Wir sind noch dran an der Thematik. Nur mal als Update zwischendruch.
Alles klar, kein Problem
-
Übrigens, der Performancebuster scheint PF zu sein. Mit deaktiviertem PF kriege ich über 70 mbit/s Durchsatz auf meinem WRAP :o
Weitere Untersuchungen folgen… -
Äh, PF???
Hilf mir mal auf die Sprünge. -
Der Firewallfilter "pf", den pfSense benutzt. m0n0 nutzt ipfilter an dieser Stelle und dadurch scheint der Performanceunterschied zustandezukommen.
-
Ich habe gestern m0n0 1.3b1 gegen pfSense gebencht und interessanterweise sind beide Distributionen gleich auf (nur marginale Abweichungen, die sich bei jedem Testlauf ergeben), was den Durchsatz angeht, trotz daß komplett andere Filter eingesetzt werden und auch unter der Haube einiges anders ist. Das läßt fast nur den Schluß zu, daß es nicht am Filter sondern an freebsd 6 selbst liegt.
Mit dem letzten Snapshot und aktiviertem Polling unter Verwendung der wiki-Tuningsettings ( http://wiki.pfsense.com/wikka.php?wakka=Tuning ) hatte ich auch das Userland freeze Problem nicht mehr.
…nur mal so als Update zwischendurch.
-
hallo,
monowall setzt aber jetzt auch auf freebsd 6 und mit ihm bekomme ich nach wie vor keine 100% CPU last, sondern nur ~40%.
Ich habe pfsense eben nochmal getestet, die wiki Einstellungen voll übernommen und polling aktiviert.
Das einzigste was dabei raus gekommen ist, ist dass mit aktiven polling ich nun durch die wiki Optimierung wieder einen vollen Speed von 16 Mbit habe, allerdings auch wieder eine CPU Last von 100%.
Bei polling ohne wiki war die CDU Last soweit ich mich erinnere bei 50-60% aber nur noch ein Speed von 10-11 Mbit drin.
Bei der 100% CPU last, kann ja selbst putty und SSH–>top nichts mehr auslesen, weil pfsense so ausgelastet ist, dass sie nichts mehr sendet.
Ob es nun noch dazu kommt das pfsense noch rebootet, weiß ich nicht und werde ich auch nicht weiter testen, weil die 100% CPU Last alleine, für mich schon nicht akzeptabel sind, dass kann nicht gut sein, ich möchte nicht wissen, wie groß die Paketverluste bei 100% CPU sind, womit auch der etwas geringer Speed der pfsense zu erklären wäre, nämlich ~15,3 Mbit gegenüber ~16,7 bei monowall.Zum Snapshot. Wo soll das liegen? Das wird es wohl nicht sein
http://www.pfsense.com/~sullrich/1.0.1-SNAPSHOT-12-22-2006/Das wird wohl die HDD Version sein, denn flashe ich mit physdiskwrite das fullupdate, ist meine CF danach nicht bootfähig, meldet mir wrap.
Nehme ich pfSense.img.gz wird es unter Firmware update im Webmenü nicht genommen und benenne es um in embedded.img.gz wird es genommen, aber es gibt eine Warnmeldung, dass crc nicht passt und ob ich wirklich will.
Ich sage ja pfsense sagt "ok ich spiele das jetzt ein und muss neu booten."
Die sense bootet und nach dem reboot ist nach wie vor die Version
1.0.1
built on Sun Oct 29 01:45:08 UTC 2006vorhanden.
Weiter oben hast du geschrieben, dass bei deaktivierter Firewall die CPU last nicht so hoch sein soll.
Wo lässt die sich zu Testzwecken deaktivieren?
Unter advanced-->Disable Firewall habe ich deaktiviert und da ging dann gar nichts mehr.
Ich konnte zwar einwählen aber das Inet war nicht erreichbar.Edit:
ich stelle gerade fest, dass mit der Wiki Optimierung die CPU ständig auf 100% hängt, auch wenn nichts gesaugt wird.