OPNsense Forum

International Forums => German - Deutsch => Topic started by: Wayne Train on May 10, 2019, 12:04:04 pm

Title: RAM-Auslastung steigt kontinuierlich. IPSec ?
Post by: Wayne Train on May 10, 2019, 12:04:04 pm

Hi,

seit etwa 3-4 Monaten steigt die RAM-Auslastung der OPNsense über einen Zeitraum einer Woche immer weiter an, bis sie irgendwann garnicht mehr reagiert. Leider habe ich es bisher nicht geschafft, die Ursache dafür zu finden, bzw. den Prozess auszumachen, der dafür verantwortlich ist. Ich vermute allerdings, dass es an einem IPSec Tunnel liegt, da dort bei einem der Tunnel extrem viele SPIs angelegt werden die für mich persönlich aufgrund der Time in den Stats wie Duplikate aussehen. Das ist aber auch nur eine Vermutung. Hat jemand eine Idee, woran das liegen könnte, bzw. wie ich das ganze weiter eingrenzen kann.
Auf einer anderen OPNsense, auf der ich ebenfalls einen Tunnel zur gleichen Destination aufbaue, läuft der RAM nicht voll.

Mittels top und ps konnte ich bisher auf nichts brauchbares stoßen.

Wäre cool, wenn jemand noch ne Idee hätte, oder einen Tipp parat hat.
MFG

Title: Re: RAM-Auslastung steigt kontinuierlich. IPSec ?
Post by: mimugmail on May 10, 2019, 12:40:53 pm

Welche Dienste laufen denn rechts im Dashboard? Bei mir ist es meistens BIND, Redis, rpsamd oder ntopng.

Title: Re: RAM-Auslastung steigt kontinuierlich. IPSec ?
Post by: Wayne Train on May 10, 2019, 01:24:51 pm

Bei mir laufen:

• captiveportal
  configd
  dhcpd
  flowd_aggregate
  login
  ntpd
  openssh
  openvpn
  openvpn
  openvpn
  openvpn
  pf    
  samplicate
  strongswan
  suricata
  syslog
  unbound
  

Das was mich etwas stutzig macht ist wie gesagt, der eine Tunnel. Hier in diesem Fall "con3" und die Anzahl der TUNNEL/SPIs
# ipsec status con1 | grep INSTALLED | wc -l
       3
# ipsec status con2 | grep INSTALLED | wc -l
       1
# ipsec status con3 | grep INSTALLED | wc -l
     171

Für mich sieht das so aus, als würde er da dauernd einen neuen hinzufügen:

con3{142480}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs
con3{142481}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs
con3{142482}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs
con3{142483}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs
con3{142484}:  INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs

Zumindest, wenn man davon ausgeht, dass das Timesramps sein sollen....

Die Gegenstelle ist ebenfalls eine OPN, aber als Exposed Host hinter einer Fritze. Falls das von Belang ist.
Das einzig auffällige, was ich in der ipsec.log sehe ist "received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding". Das tritt auch nur bei dieser Verbindung auf. Bei den anderen nicht.
Sagt dir das was ?

Danke schonmal.

Title: Re: RAM-Auslastung steigt kontinuierlich. IPSec ?
Post by: mimugmail on May 10, 2019, 04:30:10 pm

Ich würde eher mal CP, samplicate und netflow_aggregator neu starten, also immer nur einen. Dann schauen was passiert. Alle anderen Dienste sind nicht dafür bekannt RAM zu fressen.

Title: Re: RAM-Auslastung steigt kontinuierlich. IPSec ?
Post by: Wayne Train on May 13, 2019, 12:29:44 pm

Hi,
erstmal danke für den Tipp. Ich habe schon mehrfach alle Dienste neu gesartet. Der RAM wird dadurch nicht entladen. EInzig ein reboot putzt ihn wieder leer. Gibt es unter BSD irgendwelche Tools mit denen ich das genauer analysieren kann ? Oder hast du eine Idee, wie ich vielleicht nur den RAM für eine einzige Applikation monitoren kann ?
MFG
Wayne

Title: Re: RAM-Auslastung steigt kontinuierlich. IPSec ?
Post by: mimugmail on May 13, 2019, 12:34:53 pm

Schau mal mit dem netdata Plugin ob du da mehr raus bekommmst