PB de performances



  • Bonjour à tous !

    Je fais appel aux experts avant d'engager des frais sur deux serveurs PFSENSE.

    Ces frais s'opèrent dans le cadre d'une montée en débit des réseaux locaux gérés par ces deux serveurs. (changement des switches, passage au gbe, wifi n, ac)..

    Permettez moi de vous schematiser brièvement le coeur de réseau local  (pré-internet et pré-réseaux locaux)

    CPEs opérateur<<< –-------------- FAILOVER SUR 6 ACCES  ---------->>  SERVEUR PF 1  <---SW1 --->  SERVEUR PF2 
                                                                                                                                                      |                                      |  -----> RESEAUX TAGéS ->
                                                                                                                                                      |                                         
                                                                                                                                                      |
                                                                                                                                                      autres
                                                                                                                                                      serveurs locaux

    Contexte :  Logement Associatif
    Besoin :    Un avis vis a vis du Troughoutput constaté /  recherche de point de ralentissement

    Question / Recherches  /  Logs et tests :

    On a décidé ya plus de 5 ans lors de la mise en service, d'éclater le travail sur ces deux, en faisant le choix de deux moyens, plutot qu'un monstre.
    bref, bien ou mal, c'est ainsi, aussi, si certains trouvent que 1 gros valent mieux que 2 moyens, je suis preneur de tout conseil pour les futures rénovations ;)

    Par ailleurs, ca avait été fait pour séparer un peu les fonctions, par nature je n'aime pas les systèmes qui embarquent toutes les fonctions en même temps
    et plus le temps passe, plus je libere ces pfsense de certaines taches, => comme par exemple virer squid de PF2, et cela même si il offre actuellement des performances suffisantes et honorables sur PF2.

    donc PF1 effectue:

    • Le balancing sur 4 accès THD
    • Le failover sur 2 accès SDSL en cas de coupure

    services actifs sur PF1:

    dhcp server => pour PF2
    DNS

    Les 6 ports eth de PF1 se décomposent (on est sur du matos qui a de l'age, donc on est sur du PCIX, le port pciE n'est pas exploité)
    donc se décomposent: d'une carte de 4 ports 10/100 et de deux cartes solo 10/100

    (c'est a ce niveau que je prévoie des travaux, (prévision de mettre une intel 1000 sur le pcie, et des intel sur le pci.)

    le 7e port 10/100/1000 va vers PF2 et est le port embarqué par la carte mere  (la aussi, ca fait partie de la modernisation prévue)

    sur PF2, on a la passerelle coté réseaux, avec dhcp, distribution des vlan, portails captifs, renvoi dns vers pf1, et proxy web (encore, mais plus pour lgtemps)

    voila le problème:

    on dispose de 4 accès, quand je branche 4 pc (en même temps) au cul des cpe opérateurs, tout est normal niveau débits.

    quand je fais des tests de, Internet vers PF1, ou PF2,  ou entre PF1 et PF2 (en local) (cordon 1000 de 50cm)
    j'ai des valeurs qui m'enmerdent.

    Déja, je suis obligé de lancer plusieurs tests parallèles pour pousser les cartes. (alors que en direct au CPE opérateurs, un thread suffira par ligne pour la remplir)

    Ensuite, je sais, ya des cartes réseaux qui sont pourries, mais bon je comprends pas comment une carte 100 sur un bus pci ne pourrait permettre que 35-45 M

    (alors qu'avec 4 PC connectés directement sans PF, on monte a plus de 400)

    donc ma question aux experts ;)

    outre le fait que les 4 ports sont limités a 100 vu qu'ils sont a changer, et que le débit du bus pci, ne pose pas de pb,  (normalement..  4x100, je devrais pouvoir donc "normalement" tirer - au moins en local - 350 sur ce bus pci  (c'est la que je voudrais votre avis, vis a vis de vos experiences)

    et qu on est sur un dualcore a 4G de ram,  comment ca se fait que je n'arrive pas même en poussant tout avec des links des fetch et des wget concurrent

    comment ca se fait que je n'arrive pas :

    • a faire dépasser la quad nic de plus de 230 Mbps  (Quad nic de marque dlink)  (ouais..)

    • a faire dépasser sur le cordon de 50cm entre PF1 et PF2 en local, plus de 290Mbps...  (entre deux ports realtek a 1000)  (ouais, re-ouais).. ;)

    donc, oui, je suppose, on a des cartes de merdes,
    j'aurais juste aimé, avec votre aide, pouvoir verifier que tout ca ne serait pas lié a un mauvais reglage des PFSENSE.

    on prévoit donc comme vous l'aurez compris, de changer tous les ports de pf1 et pf2, pour des cartes gigabit intel.  (MT, PT GT)

    donc encore je vous remercie par avance, pour des petits coups de mains, et autres dernieres checklistes pour m'assurer qu'on a bien atteint la limite de ces puces réseau, et qu'il n'y aaurait pas un reglage a la con que je n'aurai pas vu, ...  même si je vais changer les cartes.

    j'ai fait des tests ce soir entre PF1 et PF2 et entre internet et PF1

    entre PF1 et PF2
    je monte a 280-300, proc a 51%  interruptions a 22%

    entre Internet et PF1
    je monte a 180-190  proc à 0  (oui je comprends pas pourquoi ca affaichait ca dans la commande top)  et interruptions à 17%

    d'ailleurs autre sujet, on a un des PF qui depuis la derniere mise a jour, nous casse les pieds lors des logins au gui
    c est tres aléatoire, obligé de le redemarrer pour rentrer dedans sinon:

    CSRF check failed. Either your session has expired, this page has been inactive too long, or you need to enable cookies.
    Debug: sid:62116f105db75fffdb41d1f755b51aac8c75ea65,1416961695;ip:f47460f4b47d76228f1bb7ae011edcbbf254dcfb,1416961695

    je tiens également a préciser que PF1 et 2, sont des serveurs issus de mise à jour successives  (au fil des mises a jourà, donc ils ne viennent pas de 1.2, mais oui
    ils faut noter qu'ils ont tout de même 3 ou 4 mises à jour dans les fesses

    j ai lu sur le forum que parfois, il valait mieux au bout de plusieurs update, tout dégager, et reinstaller et remettre la config a la main sans restauration.
    c'est vrai?

    merci bcp



  • Salut,

    Pour le problème des logins:

    CSRF check failed. Either your session has expired, this page has been inactive too long, or you need to enable cookies.
    Debug: sid:62116f105db75fffdb41d1f755b51aac8c75ea65,1416961695;ip:f47460f4b47d76228f1bb7ae011edcbbf254dcfb,1416961695

    Il s'agit de la protection Cross Site Request Forgery (désactivable dans le menu Advanced). Cela évite que vous naviguiez sur un site de méchants pirates qui contiendrait des liens a direction de votre pfsense (ils se disent que 80% des gens ont le routeur avec l'IP 192.168.1.1) avec des actions malveillantes, exécutés grace à du javascript. En ayant enregistré votre cookie d'auth, votre navigateur irait tranquillement charger la page et réaliser les actions malveillantes sur votre pfsense, à votre insu bien entendu.

    Pour le débit, avec du Dlink et du Realtek…bon courage les drivers sont pourris de chez pourris ! Mauvaise utilisation de la mémoire, souvent une seule queue etc.
    Essayez de passer en polling plutôt qu'en interruption (menu Advanced) voir si cela change quelque chose.

    Testez en activant/désactivant les options de déchargement (TSO etc.), y compris par sysctl meme si c'est ccoché dans l'interface (ici: https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards)

    Vérifiez aussi que tout soit bien connecté et synchronisé en full duplex.



  • Bonsoir Juve, et merci pour vos conseils détaillés et clairs.

    concernant le CSRF
    j'avais déja coché (pour désactiver)
    la fonction suivante

    Browser HTTP_REFERER enforcement Disable HTTP_REFERER enforcement check
    When this is unchecked, access to the webConfigurator is protected against HTTP_REFERER redirection attempts. Check this box to disable this protection if you find that it interferes with webConfigurator access in certain corner cases such as using external scripts to interact with this system. More information on HTTP_REFERER is available from Wikipedia.

    Et seul un des deux PF fait cela, le PF le plus proche du net (le 1)
    (pur hasard a mon avis)

    je me demande si toutes ces mises à jour successives, sous formes de couches et surcouches, n'a pas finit par alterer un peu son gui.

    Pour le Polling, je m'étais en effet documenté mais n'avais finalement pas essayé, ayant peur de planter toutes ces cartes et de devoir restaurer.

    Qu'en pensez-vous? est ce possible d'activer cette fonction sans risques ?
    je suis pret à la tenter, je présume qu'un reboot complet est nécéssaire

    concernant les autres options, pareil, je vais donc tenter, et vais recommencer mes tests croisés (locaux/exterieurs)

    me conseillez vous d'activer ces fonctions ensemble ou de les tester dans un ordre précis? ou par groupe précis?

    Pour les cartes, oui en effet, mes lectures m'ont bien fait soupconer qu'on a avant tout un pb de cartes réseaux dans ces configs

    concernant le FD, je vous confirme bien que les cartes quad + solo sont bien en 100 base TX FD
    et que celle qui va au PF2, est bien en 1000 FD

    Encore merci par avance pour votre expertise
    Cdlt



  • Faites une sauvegarde de la conf puis tester chaque modification unitairement avec un reboot a chaque fois.
    Vous ne devriez jamais perdre la main sur la machine avec ces modif.

    Bon courage



  • Entendu

    je vais donc activer ces options une par une, entrecoupées par reboot et tests.

    je reviens vers vous demain soir ou apres demain soir avec les resultats.

    Device polling Enable device polling
    Device polling is a technique that lets the system periodically poll network devices for new data instead of relying on interrupts. This prevents your webConfigurator, SSH, etc. from being inaccessible due to interrupt floods when under extreme load. Generally this is not recommended. Not all NICs support polling; see the pfSense homepage for a list of supported cards.

    Hardware Checksum Offloading Disable hardware checksum offload
    Checking this option will disable hardware checksum offloading. Checksum offloading is broken in some hardware, particularly some Realtek cards. Rarely, drivers may have problems with checksum offloading and some specific NICs.

    Hardware TCP Segmentation Offloading Disable hardware TCP segmentation offload
    Checking this option will disable hardware TCP segmentation offloading (TSO, TSO4, TSO6). This offloading is broken in some hardware drivers, and may impact performance with some specific NICs.

    Hardware Large Receive Offloading Disable hardware large receive offload
    Checking this option will disable hardware large receive offloading (LRO). This offloading is broken in some hardware drivers, and may impact performance with some specific NICs.

    je ferai également ces tests sur PF2 pour les tests entre PF1 et PF2 en local sur le cordon de realtek a realtek

    merci encore
    et bonne soirée



  • Bonsoir Juve,

    bon j'ai fait des tests.

    PF1:

    Le polling a permis de gagner une 30e de megas  (sur la carte quad)
    mais il est également entré en conflit avec les deux cartes solo (sdsl de secours)

    elles ne fonctionnaient plus

    les autres fonctions n'ont pas permis de noter du changement

    (280-300 Megs    CPU 55%  interruptions :  0.8%)
    auparavant:
    (250-280 Megs  CPU  16% interruptions: 35%)

    sur PF2:

    Seul le polling a été essayé
    j'en ai noté une instabilité de sa carte réseau WAN  (connectée a PF1)

    avec une réponse aléatoire au PING

    les tests n ont pas été poursuivis sur PF2 et le polling desactivé.

    Je pense que nous pouvons dire que j'ai atteint la limite des cartes bas de gamme,

    je prévoie de remplacer la tplink quad actuellement en pci, vers une intel pci e  sur le port x16 du serveur

    d'abandonner et desactiver dans le bios le port embarqué par la cm, et de mettre une intel pci e  sur le port x1 du serveur

    n'ayant plus de ports pci e, je compte mettre 2 cartes intel  pci classiques, pour les deux malheureuses lignes sdsl de secours a faible débit.

    et finalement d'activer toutes les fonctions (post precedent)

    qu'en pensez vous? cela vous parait il une bonne manoeuvre sur un dual core x64 avec 4G de ram ?

    bien cordialement
    et merci d'avance



  • Oui, le changement de carte reseau fera du bien.

    Intel ou broadcom.

    Tenez nous au courant.



  • oui bien sur, je vous tiens au courant.

    je galere pour trouver des cartes PCI 33mhz intel/broadcom pour mes deux malheureses SDSL

    sinon oui, pour la quad, ya deja des bonnes pistes chez les brokers sur ebay

    a ce propos vous avez eu un retour d'experience? on peut faire confiance a ce type de matos?

    bien cordialement