Messages

Als Queuing Mechanismus FQ_CoDel

Und den stellt man wo ein?

Habe leider wirklich keine Ahnung vom Traffic Shaper :D

Traffic Shaping einrichten, eine Pipe für den Upstream und eine Pipe für den Downstream. Dazu jeweils eine passende Regel:

Schnittstelle "WAN" -> Quelle "any" -> Ziel z.B "192.168.1.0" -> "Download Pipe"

Schnittstelle "WAN" -> Quelle z.B "192.168.1.0" -> Ziel "any" -> "Upload Pipe"

Damit sollte das Problem gelöst sein.

Mit den Regeln habe ich mein Download einen Ping von durchschnittlich 19 ms, und beim Upload durchschnittlich 180 ms.

Ohne den Regeln sind es beim Download durchschnittlich 189 ms und beim Upload durchschnittlich 257 ms.

Damit wäre der Ping Download sehr viel besser, aber beim Upload immer noch viel zu hoch ...

Hallo OPNsense Forum


Ich benutze seit 5 Monaten OPNsense für meinen Router und bin bisher ziemlich zufrieden.

Hauptsächlich benutze ich OPNsense um statische IP Adressen zu vergeben, den Zugriff auf das Internet für bestimmte Geräte zeitgesteuert zu blockieren und um den Netzwerk Traffic zu überwachen.

Mein Problem: Bis jetzt habe ich immer noch Bufferbloat, was vor allem ärgerlich ist wenn man mit seinen Freunden zusammen online Spielt und der Ping in dreistellige Bereiche geht...

Meine jetziges Internet hat bis zu 54 MBit/s im Upload und 2,7 MBit/s im Download, was sehr schnell gesättigt ist wenn entweder jemand auf Steam ein Spiel herunterlädt oder seine Bilder auf Google Drive sichert.

Während dem September wechsle ich aber den ISP, mit dem ich dann bis zu 100 MBit/s Download und 40 MBit/s Upload haben werde, was zwar um einiges schneller ist, nicht den Bufferbloat beseitigt.


Ich habe bereits einige Videos und Threads zu dem Thema angeschaut, laut denen man mit dem in OPNsense integrierten Traffic Shaper und Queues (wie CoDel) seinen Bufferbloat massiv reduzieren kann, aber da ich in diesem Gebiet noch so gut wie keine Ahnung habe, wäre ich für Hilfe sehr dankbar.

Gibt es vielleicht eine Gute Anleitung dazu (Link?) oder könnte mir jemand Schritt für Schritt dabei helfen?

Hoffe mir kann jemand helfen - jedenfalls schon mal danke im Vorraus!  ;D


Ein Paar Infos zu meinem Router:

CPU:  AMD Athlon 5150 4x 1.60GHz
RAM:  2x SK Hynix 1GB DDR3-1066 ECC
MBD:  MSI AM1I
SSD:  Transcend SSD370S 64GB
PSU:  be quiet! Pure Power 9 300W
NIC:  Intel PRO/1000 PT Server 2x RJ-45
OS:     OPNsense 18.7.1_3-amd64

Zeitzonen-Unterschied beachtet?

Wenn die Firewall mit UTC läuft, ist dort jetzt nicht 23:21, sondern 21:21.
Und natürlich auch darauf achten, dass die Reihenfolge der Rules stimmt.

Eine "allow any to any" sollte, falls vorhanden, nach der Scheduler-Rule kommen, sonst wird diese niemals matchen. :)

Die Zeitzone ist Europe/Berlin, und die Regel ist über den "allow any" Regeln.

Das Problem war dass ich als Quelle und Ziel den selben Host angegeben habe, heißt dem Host wird der Zugriff auf die eigene IP geblockt, aber nicht der Zugriff aufs Internet  ;D

Trotzdem danke für die Antwort :)

[Alias]

Hallo

Ich versuche gerade den Internetzugang für mehrere Hosts (in einem Alias zusammengefasst) für bestimmte Tagesteiten (mit einem Zeitplan) durch eine Regel in der Firewall zu blocken, nur klappt das blocken nicht.

Was ich gemacht habe:

• Statische IPs für die Hosts vergeben
• Die Hosts in einem Alias zusammenfassen
• Im Firewall Tab unter Einstellungen einen Zeitplan erstellt
• Eine Regel für LAN erstellt die für den Alias das Internet blockt wenn der Zeitplan zutrifft

Ich habe auch mal meine eigene (statische) IP geblockt, nur habe ich immer noch Internet Zugriff, irgendwas mache ich wohl falsch...

Hat jemand eine Idee woran das liegt oder gibt es dafür eine Anleitung die ich nutzen kann?

Gruß, _Alchemist_

Es geht eher weniger um deine Downstreambandbreite sondern mehr um deinen begrenzten Upstream. Wenn mehrere PCs gleichzeitig TCP Verbindungen offen halten. Und dort viel Traffic fließt, dauert es nicht lange und du bekommst Probleme mit Echtzeitanwendungen wie VOIP.
Die Pakte müssen von dir aus gesehen Priorisiert werden, weil du den begrenzten Upload hast.

Ob sie im Providernetz priorisiert werden oder nicht spielt keine Rolle für dich, weil du den kleinsten Flaschenhals in der Kette hast. Dein Provider wird ohnehin VOIP auf allen seinen Links und Switchen Priorisieren, sonst könnte er nämlich die Dienstgüte und Verfügbarkeit seines Telefondienstes nicht gewährleisten.

Macht Sinn, im Vergleich zu meinem Heimnetzwerk (Gigabit-Ethernet) ist mein Internet nicht mal auf dem Level von Fast-Ethernet, gerade mal 2,5MBit/s Up 54MBit/s Down ... ein richtiger Flaschenhals.

Nur noch eine Frage zur SSD: Ich habe gelesen dass es (zumindest vor 5-6 Jahren bei pfSense) oft das Problem gab, dass durch Firewall Logging, Performance monitoring usw. manche SSDs schon nach einem halben Jahr ausgefallen sind.
Ist das in den Letzten Jahren behoben worden oder sind heutige SSDs einfach nicht mehr so anfällig wie die SSDs damals?

Gruß

Mehr. Threads.  :P
Du betreibst mehr oder weniger einen Server. Kein single-purpose device. Es passieren Dinge im Hintergrund. Und diese Dinge brauchen Zeit von der CPU.
Je mehr Dinge du parallel ausführen kannst, desto geringer die Wahrscheinlichkeit das etwas auf freie CPU-Zeit warten muss.

Dann wird es der Athlon 5150.

Bitflips im RAM passieren. Je länger die Maschine läuft desto Wahrscheinlicher ist es irgendwo im Speicher ein paar "falsche" Bits zu haben. Ohne ECC gibt es wenig Möglichkeiten zu prüfen, ob der ausgelesene Speicherbereich von Bitflips betroffen ist oder nicht.

Die Auswirkungen kommen immer drauf an wo der / die Bit(s) gekippt sind. Von Logikfehlern in Applikationen, Abstürzen (Segfault, "Oops"), Kernelpaniks ("BSOD") über Dateien die korrupt auf den Blockspeicher geschrieben werden ist eigentlich alles drin.

Das ist mit einer der Gründe warum bei Consumer-Hardware so vieles durch einen Neustart gelöst werden kann.

Ich persönlich würd's für daheim drauf ankommen lassen und mehr Speicher statt ECC nehmen. Aber das ist Geschmackssache.

Mit dem ECC-RAM den ich habe würde das wahrscheinlich so oder so keinen Unterschied machen, da er unbuffered ist, heißt Fehler können zwar erkannt, aber nicht behoben werden. Für registered ECC-RAM bräuchte ich wohl ein Supermicro oder ASRock Rack Mainboard, aber die kosten dann wieder mehrere Hundert Euro ...
Ich bleibe dann also bei den "normalen" 4GiB RAM.

Da schließe ich mich fabian an. SD-Karten und Sticks sind nicht für den Einsatzzweck geeignet. Oder zumindest nicht konzipiert.
Außerdem sind USB-Controller nicht für ihre Stabilität bekannt.

Und nimm lieber die 120GB, für 'nen Zehner mehr bekommst du fast das vierfache der Kapazität, wenn die Geizhals-Links stimmen  ;)

Stimmt, denke die dürfe dann auch länger halten, FreeBSD unterstützt ja TRIM (muss man das eigentlich selbst konfigurieren oder lauft das "out-of-the-box"?)

Gruß

Würde dann eine 32GiB SSD schon ausreichen oder wäre eine 120GiB besser?

32 GiB: https://geizhals.de/transcend-ssd370s-32gb-ts32gssd370s-a1257646.html?v=l&hloc=de
120 GiB: https://geizhals.de/kingston-a400-ssd-120gb-sa400s37-120g-a1616801.html?v=l&hloc=de

Gruß :)

@Alphakilo Danke schon mal für die Infos, damit wäre schon mal ein bisschen meines Halbwissens getilgt ;)

Wenn das mit dem Caching wirklich so kompliziert ist, lass ich das lieber, aber das "Share bandwidth evenly" werde ich mir mal genauer ansehen - Hauptsache mein Ping schnalzt nicht jedes mal von 10 auf 250ms wenn jemand ein Spiel herunterläd.

Edit

Wegen dem Prozessor, aus welchem Grund wäre der AMD Quad-Core dem AMD Dual-Core vorzuziehen?
Und braucht man die AES-Ni Erweiterung auch wenn man keine VPNs benutzt? Und wegen dem ECC-RAM, ob der auch auf dem Msi Mainboard läuft müsste ich erst testen, jedenfalls wären das dann nur 2GB statt 4GB.

@fabian So ein PCENGINES Board mag zwar schön und gut sein, aber für sowas habe ich zur Zeit einfach nicht genug Geld, die beiden AMD CPUs + Mainboards aber schon.
Passiv gekühlt ist der Athlon 5150 übrigens sowieso schon --> Arctic Alpine M1 passiv

Wäre es denn trotzdem empfehlenswert eine SSD statt einem USB Stick / einer SD Karte zu verwenden? Geschwindigkeit beim booten ist nicht wirklich ein wichtiger Faktor, aber dafür Stabilität.

Gruß

[eventuell]

Hallo, ich bin noch ein kompletter Noob bin was OPNsense angeht, darum hier ein paar Fragen:

1. Welche Leistung muss der Router haben?

Meine Anforderungen an den Router sind zwar relativ gering, trotzdem möchte ich auf Nummer sicher gehen. Die wären übrigens:

• Genug Leistung für 5-7 Personen / 54/2,5 MBit/s Internet
• Für mehrere MAC-Adressen zeitlich das Internet blockieren (Kinder usw.)
• Port Forwarding für meinem Plex Media Server
• Statische IP Adressen vergeben (für mein Open Media Vault NAS usw.)
• eventuell Caching Proxy (mit einer SSD)
• eventuell Traffic Shaping (Paketpriorisierung?)

Ich habe bereits den Punkt "Hardware sizing & setup" in der OPNsense Dokumentation gelesen, in dem eine 1 GHz Dual-Core CPU + 1 GiB RAM (Reasonable) oder eine 1,5 GHz Multi-Core CPU + 4 GiB RAM (Recommended) mit einem intel NIC empfohlen wird.

Ich habe 2 Plattformen die ich für den Router verwenden könnte, die eine bestände aus einem ASRock E350M1 (Mini-ITX Mainboard mit integrierter AMD E-350 [2x 1,6 GHz] CPU) und 2x 1 GiB DDR3-1066 (unbuffered ECC) RAM, und die andere aus einem MSI AM1I (ebenfalls Mini-ITX), mit dem AMD Athlon 5150 (4x 1,6 GHz) und 1x 4GB (unbuffered) DDR3-1600.

Als NIC würde ich wahrscheinlich eine Intel PRO/1000 PT (dual 1000Base-T) verwenden, da FreeBSD's Treiber mit Realtek NICs scheinbar nicht so gut funktionieren.

Das Netzteil würde dann das be quiet! Pure Power 9 300W (habe ich bereits) verwenden, denke das sollte für einen Router dieser ausmaße locker ausreichen?

2. Systemdatenträger Andorderungen

Als "Install target" wird eine 40 - 120 GiB SSD empfohlen, aber von was ist die benötigte Kapazität abhängig?

Braucht man eine 120GiB SSD nur wenn man Caching Proxy benutzt oder braucht OPNsense den Speicher selber?

Und muss man beim kauf einer SSD irgendetwas beachten (zB. TBW) / gibt es bevorzugte Marken?

3. Caching Proxy & Traffic Shaping

Über diese beiden Dienste habe ich jetzt viel gutes gehört, das mit dem Caching wäre für die 7 Windows Geräte praktisch um Bandbreite zu sparen (Updates), und Traffic Shaping soll (soweit ich das richtig verstanden habe) die Möglichkeit geben, zB. Ping Pakete eines Online Spieles auch bei hoher "Internet Last" ohne Verzögerung (Queue?) zu versenden und zu empfangen. Ich nehme mal an dass beide die CPU ziemlich belasten werden / können? Wäre die von mir vorgeschlagene Hardware dafür ausreichend?


Falls sich jemand die Zeit nehmen kann um mich ein wenig aufzuklären, wäre ich ziemlich dankbar.

Gruß, _Alchemist_ :)