Hallo zusammen,
ich habe seit kurzem einen 1Gigabit-Anschluss, bekomme jedoch max. 450 MBit aus der Leitung mit iperf3.
Jetzt bin ich am überlegen ob der N3450 meines Zotac CI327 der Flaschenhals ist, denn iperf lastet bei dieser Geschwindigkeit die CPU aus. Allerdings komme ich auch dann wenn ich es von einer anderen Maschine aus probiere nicht höher, und dann wird die CPU kaum belastet.
OPNSense 20.1, in Proxmox. WAN Adapter physisch (nicht virtualisiert). Traffic shaping und IDS/IPS, proxy, clamav etc. sind deaktiviert, Rttd unter Last selten nie über 20ms. CPU ist als "host" konfiguriert, die Kiste hat 4GB RAM. Auf dem VM Host läuft sonst nix. Hardware offloading etc sind deaktiviert.
Würde mich über eure Erfahrungen freuen.
Meiner Meinung ist das Problem auf einer recht schwachen Hardware zu Virtualisieren. Versuche doch mal mit der gleichen Hardware direkt opnsense auf dem blech und dann den Test nochmal machen
Gesendet von iPhone mit Tapatalk Pro
Danke für Deine Antwort. Einen Umbau kann ich mir zeitlich gerade nicht leisten, deshalb frage ich nach Erfahrungen :)
Gern auch mit ähnlichen Systemen.
Meine Systeme sind alle potenter als deine, siehe footer
System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel
Gesendet von iPhone mit Tapatalk Pro
Habe OPNsense auch in diversen Installation als PROXMOX VM.
Dabei ist mir aufgefallen das Hardeware VLAN Filtern "an" die Performance gebremst hat.
Meine OPNsense installation läuft direkt auf einem HP T-620 ThinClient mit AMD GX-415GA
https://www.cpubenchmark.net/compare/Intel-Celeron-N3450-vs-AMD-GX-415GA-SOC/2907vs2081 (https://www.cpubenchmark.net/compare/Intel-Celeron-N3450-vs-AMD-GX-415GA-SOC/2907vs2081)
AMD single-core ist ein wenig niedriger als der Celeron
Mit iperf3 zwischen LAN und verkabeltem PC krieg ich ~500Mbit/s max., dabei ist ein Kern mit dem iperf3 thread bei ~80%.
Mit zusätzlichen Verlusten durch das Virtualisieren sind deine 450Mbit/s wohl durch deine CPU-Leistung verursacht.
Danke euch allen für eure Rückmeldungen. Dann werde ich demnächst wohl doch mal die VM auf meinen "dicken" VM-Host ziehen und schauen welchen Unterschied das macht.
ich schätze du wirst maximal ca. 550 - 600MBit/s erreichen.
Hm ich hab hier noch einen J1900 mit 4x2.00 GHz rumliegen... Eigentlich ausgemustert, aber eventuell kann der ja was reissen. Muss nur noch ein NIC bestellen dafür. Hat dummerweise kein Hardware-AES.
Oder aber ich nehm mal wieder ein paar Euro in die Hand. Wenn ich die Kiste mit IDS / IPS laufen lasse (ETPro), evtl. proxy und SSL inspection, was würdet ihr empfehlen?
kommt den das 1Gbit auch wirklich an?
Du kannst ja mal versuchen einen Rechner direkt an das WAN zu hängen und iperf laufen lassen.
ggf. auch mal bei iperf mit -P x oder -R laufen lassen
-P x , wobei x die zahl der paralellen tests ist
-R dann sendet der an dich und nicht du zum server
Den j1900 würde ich heute nicht mehr einsetzen. Wenn du aus hamburg bist können wir ein paar Tests mit meinem Core i3 System machen
Gesendet von iPhone mit Tapatalk Pro
Es ist schlicht das IPS.
Ich habe einen "alten" N2810.
Der schafft per iperf problemlos sein Gigabit auf beiden Interface.
Sobald das IDS aktiv ist, werden es 250-300mbit.
Das schaffen die kleinen boards nicht ohne Verluste.
Ohne IDS ist gigabit WAN kein Problem mit dem Chip.
Quote from: micneu on February 28, 2020, 08:35:59 AMWenn du aus hamburg bist können wir ein paar Tests mit meinem Core i3 System machen
Danke für Dein Angebot, ich sitze im Süden :)
Quote from: lenny on February 28, 2020, 09:43:26 AM
Es ist schlicht das IPS.
Ich habe einen "alten" N2810.
Der schafft per iperf problemlos sein Gigabit auf beiden Interface.
Sobald das IDS aktiv ist, werden es 250-300mbit.
Das schaffen die kleinen boards nicht ohne Verluste.
Ohne IDS ist gigabit WAN kein Problem mit dem Chip.
Komisch. Dann scheint bei mir irgendwie der Wurm drin zu sein. Auch mit deaktiviertem IDS ändert sich nichts an meinem Durchsatz.
Gestern war ein Techniker da und hat den Kabelanschluss gerichtet, da war noch einiges im Argen. Direkt am Kabelmodem habe ich mit meinem Rechner die volle Geschwindigkeit erreicht.
Da werde ich dann wohl dochmal die Kiste ohne Virtualisierung testen müssen - ich werde berichten.
Quote from: ascii on February 28, 2020, 07:43:30 AM
kommt den das 1Gbit auch wirklich an?
Du kannst ja mal versuchen einen Rechner direkt an das WAN zu hängen und iperf laufen lassen.
ggf. auch mal bei iperf mit -P x oder -R laufen lassen
-P x , wobei x die zahl der paralellen tests ist
-R dann sendet der an dich und nicht du zum server
Ja das ist auch komisch. Weder direkt auf der OPNSense Box (iperf3 via shell) noch von einem dicken Rechner dahinter (genauso) komme ich auf bessere Werte. Und das auch wenn IDS etc deaktiviert sind. Auch die CPU der OPNSense Box macht in dem Moment keine Mucken, geht kaum über 20% Last. Habe nun alle möglichen freien iperf3 Server probiert.
So, ich nochmal 8)
OPNSense läuft jetzt direkt auf der Hardware. Ich habe stundenlang getestet, bin jedoch nicht über die Raten hinausgekommen die ich mit Proxmox erreicht habe. IDS an oder aus - kein Unterschied. Diverse Male mit unterschiedlichen Einstellungen (CSO, TSO; LRO, ...); durchgestartet - nix.
Zuletzt habe ich powerd aktiviert und die Interfaces statt auf Autoselect auf 1000baseT Full-Duplex gesetzt.
Und plötzlich rennt das Ding, ich bekomme ohne weitere >850MBit. Mit aktiviertem suricata, welches dabei auf max. ~150% CPU geht.
Wahrscheinlich kann ich noch ein wenig mehr rausholen, aber das ist erstmal ein ordentliches Ergebnis.