Nur ein Bruchteil der Internet- Bandbreite hinter OPNsense

[mar_becker]

Hallo liebe Forum- Mitglieder,

ich bin neu in diesem Forum und daher möchte erst alle begrüßen.

Ich habe vor kurzem die amd64- Version OPNsense 17.7.5 installiert und leider erreiche hinter der FW nicht die Internet- Performance, wie vor der FW. Ich habe eine 400 Mbit- Leitung im Download via Kabel. Um das Problem einzugrenzen habe ich verschiedene Messungen an verschiedenen Ports durchgeführt.
Meine Messung mit Speedtest ergab am Router des ISP ca. 350 Mbit im Download.
Die Messung am internen LAN der OPNsense ergab nur (!) ca. 12 Mbit.

Mein Setup sieht folgendermaßen aus:
Hardware:
- ASRock- Mainboard J3455B mit eingebautem Celeron Quad-Core bis 2,3 Ghz
- 8 GB RAM
- Dual- Port GB NIC (Intel)
- 120 GB SSD

Folgende Dienste laufen auf der OPNsense:
- HTTP- Sqiud (Transparent)
- Clamav
- OpenDNS
- ICAP
- Snort (IPS/IDS)
- Open-VPN (nach Deaktivierung auch keine Besserung)

Ich denke, dass ich von der HW her ausreichend bestückt bin. Die CPU und RAM sind nur zu einem Bruchteil ausgelastet und da ist noch eine Menge Luft nach oben.
Ich habe mit Einbußen gerechet, aber das sie so groß sind, ist für mich nicht akzeptabel.

Gibt es in OPNsense eine versteckte Bremse, die es noch zu lösen gilt? Ich hatte so etwas schon einmal bei einer Sonicwall.

Für eure Lösungsvorschläge danke ich euch schon einmal im Voraus.

Beste Grüße

Mario

[fabian]

- HTTP- Sqiud (Transparent)
...
- ICAP

Das könnte die Verbindung ausbremsen, wenn große Dateien heruntergeladen werden (müssen zuerst geprüft werden)

- Snort (IPS/IDS)

Das bezweifle ich mal, dass du das verwendest, da OPNsense Suricata verwendet. Die kann bei Treiberproblemen ordentlich ausbremsen. Durch das fehlende Offloading kann zusätzlich Leistung verloren gehen.

Ich habe mit Einbußen gerechet, aber das sie so groß sind, ist für mich nicht akzeptabel.

Das ist verständlich.

Gibt es in OPNsense eine versteckte Bremse, die es noch zu lösen gilt? Ich hatte so etwas schon einmal bei einer Sonicwall.

Probier mal die einzelnen Komponenten zu deaktivieren um dann rauszufinden, an welcher es liegt (also erst IPS, dann Proxy)
Wenn beides nichts bringt, checke mal die Verbindungsgeschwindigkeiten, die ifconfig anzeigt.

[theq86]

Der Web-Proxy hat auch eine Einstellung die Bandbreite einschränken zu können. Sollte aber standardmäßig ausgeschaltet sein.

Ansonsten hast du vielleicht ein falsch konfiguriertes Traffic Shaping?

[mar_becker]

Danke erst einmal für die Tipps.

Der Web-Proxy hat auch eine Einstellung die Bandbreite einschränken zu können. Sollte aber standardmäßig ausgeschaltet sein.

Ansonsten hast du vielleicht ein falsch konfiguriertes Traffic Shaping?

Nein, ich habe keine Beschränkung aktiviert und das Traffic-Shaping ist von mir gar nicht angefasst worden.

Aber ich habe schon etwas herausgefunden:
Man sollte das Power D mit den Energiespar- Einstellungen nicht aktivieren. Ich habe noch einmal eine Grundinstallation ohne zusätzliche Dienste gemacht und dies herausgefunden. Dabei habe ich eine Messung vor und nach der Deaktivierung gemacht. Ich bin aktuell bei 320 Mbit und werde nach jeder weiteren Einstellung oder Aktivierung eines Dienstes den Vergleich machen, um das Problem einzukreisen.
Sollte jemand noch weitere Tuningmassnahmen kennen, bin ich für jeden Tipp dankbar.
Ich halte mal den Thread hier offen und werde über die weiteren Schritte informieren.