Hallo Zusammen,
vielleicht kann mir jemand helfen:
Ich habe OPNsense (Aktuelle Version) unter Proxmox installiert, mit Virtio Netzwerk funktioniert es auch. Als Netzwerkkarte kommt ein 4-Port Realtek 8125 zum Einsatz.
Von PC zu Proxmox direkt hat man 2,35Gbit, aber von PC zu OPNsense (VM) sind es nur ca. 1,6gbit.
Hab schon einiges ausprobiert und die Suche hier im Forum hab ich nichts gefunden. Hat jemand noch ne Idee?
Viele Grüße
Hast du einen PCIe-Slot frei? Bau eine Dual-Port Intel-Netzwerkkarte ein und konfiguriere sie mit PCIe-Passthrough in die VM.
Du wirst mit den virtualisierten Treibern wahrscheinlich keinen höheren Durchsatz bekommen.
Ja wenn ich die Netzwerkkarte durchschleife oder bestimmte Ports davon, dann funktioniert es mit ca. 2,4gbit.
Aber ich brauch alle 4 Ports und für Proxmox hätte ich kein Netzwerkport für das Webinterface übrig.
Oder könnte man für das Webinterface von Proxmox eine virtuelle Netzwerkkarte setzen und diese in OPNsense als weitere Netzwerkkarte durchreichen? Dann würde der Zugriff darauf über OPNsense laufen
Bei den VM Einstellungen unter Netzwerkkarten ist keine 8125 zur Auswahl, kann man das irgendwie erweitern/hinzufügen?
Ist halt blöd das es nicht so gut in Proxmox geht...
Sorry, bin bei Proxmox überfragt.
Für Proxmox ist eigentlich die Verwendung von VirtIO für beste Performance empfohlen, aber das bezieht sich vermutlich nur auf die Auswahl der Netzwerkinterface-Emulationen. Mit dem Durchreichen von Hardware schränkt man die Möglichkeiten des Migrieren von VMs ein, weshalb ich das nicht so gerne mache.
Vor Jahren habe ich mal mit Proxmox 6 und OPNsense gespielt. In meiner wagen Erinnerung musste an damals beim Proxmox VirtIO Netzwerkinterface mit dem Multiqueue Parameter spielen und FreeBSD das auch irgendwie mitteilen. Andernfalls lief der Netzwerkstack nur Single-Threaded. Weiß nicht, ob das noch aktuell ist. Hast Du mal gestest wie hoch der Durchsatz zur einem Linux Guest ist?
Nein mit den Multiqueue Parameter hab ich noch nicht probiert, weißt du noch was du da eingestellt hast? Was macht diese Parameter genau?
Mir fällt noch ein eine andere Frage: wie betreibst du die OpnSense? Nativ?
Falls Deine Switch es unterstützt, könntest Du auch einen bond (LACP) für die bridges erstellen. Realtek ist bekanntermaßen nicht so 100%ig mit dem PVE ,,gut Freund". Wie sieht denn Deine Netzkonfig innerhalb vom PVE aus?
Also mit den Multiqueue Parameter hat es sich nicht verbessert, ich komme immer auf ca. 1,65gigabit. 2,35 Gigabit geht nativ unter OPNsense.
Bei der Einstellung von Multiqueue Parameter hab ich es so verstanden das man nur auf Proxmox das einstellt, ist das richtig ?
Ich kann leider nicht mehr sagen, was ich eingestellt hatte, aber man muss(te) es auch OPNsense sagen über tuneables. Es gibt dazu Anleitungen im Internet.
Ich würde auch mal messen, wie hoch der Durchsatz mit einem Linux Guest ist. Dann kann man schon mal einschränken, ob das Problem nur bei Proxmox oder nur FreeBSD liegt.
Edit: Was sagt den top auf der OPNsense be voller Auslastung? Ist da ein Kern gesättigt?
Nun,
eine Linux Bridge auf Proxmox braucht auch CPU/Ram Leistung!
Daher mal die Frage was ist denn da so im Rechner?
-Multiqueue- Ist eine Netzwerkeinstellung im Proxmox für die virtuellen Netzwerkkarten.
Die sollten virtio sein(http://prox_net.png).
Und außer einem Neustart der OPNsense VM ist da auch nichts innerhalb von OPNsense einzustellen.
Das was gemeint sein könnte ist das Thema RSS.
Der Rechner ist ein Intel J5005 Fuijustu Futro S940. 16GB RAM, 128GB SSD
Was seltsam ist, nachdem ich OPNsense nativ neu installiert, habe ich dort auch nur max. 1,62gbit, den realtek treiber über webgui hatte ich installiert, sonst erkennt dieser nicht meine Realtek Karte 8125
Über Linux Host wie Proxmox habe ich 2,35gbit, so langsam bin ich am verzweifeln
Nun,
unabhängig vom Speed von OPNsense.
Die Kiste ist viel zu langsam für 4x2,5 Gbit Routing und Firewall.
Na unter proxmox kann ich zum NAS mit 280mb dateien rüberschieben.
Dabei muss aber weder Proxmox noch NAS routen, bridgen, filtern, NATen, ...
Also sooo langsam ist ein J5005 auch nicht. Ich würde es mal mit RSS (https://forum.opnsense.org/index.php?topic=24409.0) probieren.
Bei Proxmox / KVM kann das aber auch je nach NIC an der Emulation liegen. Bei einigen läuft einfach virt-io nicht so fix wie es soll bzw. gibt/gab es da auch andere Probleme. Ich würde dann bevor ich in die Tiefe zum Schrauben von Einstellungen am Adapter gehe eher mal den virtuellen NIC ändern und mal nachschauen, ob da die Realtek Klitsche besser mit klar kommt. E1000 oder E1000e mal probieren. Nur weil die 1000 heißen, heißt das nicht, dass die erzwungen limitiert sind auf 1Gbps.
Cheers
Ja vielen Dank, aber abschliessend kann ich bestätigen das die Realtek Lan´s Probleme machen. Jegliche Versuche und Zeit die ich da reingesteckt habe waren leider nutzlos gewesen. Aber dafür viel nebenbei dazu gelernt.
Was ich auch festgestellt habe das die Intel J5005 CPU schon etwas langsam ist, grad wenn ich was runterlade und Gleichzeitig im Internet schauen möchte gibts Probleme, bzw. der Download wird einfach abgebrochen.
Jetzt würde ich mit einen NUC mit Dual Lan kaufen, reicht der N100 ?
Ne Alternative wäre auch so ein Lenovo M920Q mit PCIE-Karte verbaut, hat da jemand Erfahrung ?
Auf bare metal ja, aber unter Proxmox?
Die CPU ist ca. doppelt so schnell wie der J5005. Kommt also drauf an, was der so alles tun soll (z.B: was läuft sonst noch auf dem Proxmox; was ist mit Zenarmor, Crowdsec, Suricata?)...
Nun ich habe so einen N100 im Einsatz.
Mit Proxmox.
Er reicht für eine 1 Gbit Wan Anbindung. Mit Zenarmor jedoch nicht.
Es hängt aber sehr vom CPU Power Profil ab. https://forum.opnsense.org/index.php?topic=35023.15
Bei mir musste ich das auch ändern. Geht trotz fehlender Bios Einstellungen aber unter Proxmox.
Ich habe da auch noch einen Windows Server Vm und eine Pi Hole VM drauf. Ich betreibe den satt mit 6W mit 10 W.
Zum Lan durchsatz kann ich nur sagen 1Gbit funktioniert. Mehr habe ich derzeit nicht zur Verfügung.
Also es soll nur OPNsense laufen, Proxmox war angemacht für einfache Backup´s/Restore´s.
Hab ne über Wan eine 1Gbit Leitung, internes Netzwerk läuft mit 2,5Gbit.
Ich würde auch IDS (Siricata/Zenarmor) laufen lassen und einwenig Reserve für die Zukunft haben, was würdet Ihr dann empfehlen ?
Zenarmor ist aktuell (noch) ein Problem, weil das auf einen Thread beschränkt ist.
Da ist man schnell mit Systemen dabei, deren CPUs auf Desktop-Niveau liegen - allerdings auch beim Stromverbrauch. Das gilt insbesondere, wenn der Inter-VLAN- oder der Internet-Traffic wirklich 2.5 GBit/s inklusive Inspektion können soll.
Sinnvollerweise wird man dann ja auch einen Switch anschließen, der mehrere Ports mit 2.5 GBit/s bedienen kann und deshalb vermutlich mit 10 GBit/s angebunden werden soll.
Deciso hat da die DEC8x0. Ich selbst setze einen Minisforum MS-01 ein.
ich hatte den Minisforum Mini PC NAB5 Intel Core i5-12450H
ins Auge gefasst, den gibts aktuell für 289€, oder ist der zu viel?
Was verbraucht der Minisforum MS-01 im Idle? wie siehts mit Bios Updates aus ?
Mit BIOS-Updates ist es bei diesen China-Boxen immer schwierig. Aber wenn es geht, braucht man ja nur nur CPU-Microcodes und die kann man separat beschaffen.
Stromaufnahme ist sehr variabel, je nach Last. Ist halt kein N100 mit 6 Watt, sondern Alder Lake mit bis zu 55 Watt. Das konkrete Modell kenne ich nicht. Der MS-01 hat halt 2xSFP+ und vor allem Intel-NICs, keine Realteks.
Würde ein I5-7500T/8500T mit 16GB RAM für OPNsense und Siricata reichen bzw. läuft das dann vernünftig ?
Habe 1Gbit WAN.
Ich habe hier noch ein Lenovo Thinclient M720Q noch übrig...
Wenn Du die üblichen Vergleichssites wie CPU-Monkey usw. nimmst, wirst Du feststellen, dass diese Prozessoren im Single Thread nur etwas gleichauf mit dem einige Jahre jüngeren N100 liegen (bei vielfachem Stromverbrauch). Da der 7500T auch nur 4 Threads hat, ist er im Multi-Core auch nicht schneller als der N100. Der 8500T hat zwar 6 Threads, aber wenn die Workload nicht passt (z.B. aktuell noch Zenarmor (https://forum.opnsense.org/index.php?topic=41295.0)), bringt das gar nichts.
Für 1 GBit reichen die alle. In diesem Thread ging es doch um 2.5 GBit/s, oder? Es kommt schon sehr darauf an, was Du tun willst: Routen / Introspektion, 1 GBit Internet / 2.5 GBit Intra-VLAN usw.