OPNsense Forum

International Forums => German - Deutsch => Topic started by: Rocker on July 25, 2018, 06:01:06 pm

Title: OPNsense Proxmox
Post by: Rocker on July 25, 2018, 06:01:06 pm: Hallo liebe Community,

ich betreibe meine OPNsense unter Proxmox, und das funktioniert auch alles sehr gut!

nur hab ich eine meiner Meinung sehr hohe CPU Last wenn ich die Leitung (25000 DSL) auslaste.

Meine Frage nun ist das normal?
oder habe ich evtl an der Konfiguration etwas falsch gemacht?
Bzw. gibt es eine Möglichkeit den Qemu Agent zu installieren?

Ich habe ein paar Bilder angefügt, dort sieht man die Konfiguration und die Auslastung (es war ein Steam Download)

Vielen Dank!

Gruß Rocker
Title: Re: OPNsense Proxmox
Post by: ruffy91 on July 25, 2018, 07:48:41 pm: Hallo Rocker,

Verwendest du IPS/Suricata?
Wie sieht es aus wenn du VMXNET3 oder VirtIO anstatt der e1000 verwendest. VirtIO sollte beste Performance ohne IPS geben und VMXNET3 mit IPS nach meinem aktuellen Kentnisstand.
Stelle weiterhin sicher das du TSO und LRO deaktiviert hast. (sind sie standardmässig)
Title: Re: OPNsense Proxmox
Post by: Rocker on July 25, 2018, 08:08:12 pm: meinst du Intrusion prevention?

das habe ich aktiviert,

was ist TSO und LRO?

Vielen Dank

Gruß Rocker
Title: Re: OPNsense Proxmox
Post by: guest18611 on July 25, 2018, 08:18:02 pm: Hi,

TSO und LRO findest du unter Interfaces -> Settings.

Wenn du Intrusion Prevention/IPS aktiviert hast sollten dort CRC, TSO und LRO ausgeschaltet sein.
Title: Re: OPNsense Proxmox
Post by: Rocker on July 25, 2018, 08:39:42 pm: Hallo

Danke für deine Antwort,
Es ist alles deaktiviert.
Ich muss morgen mal mit den verschiedenen VM Optionen spielen.

Gruß Rocker
Title: Re: OPNsense Proxmox
Post by: ruffy91 on July 25, 2018, 08:42:00 pm: Welche Intrusion Prevention Regeln hast du denn aktiviert? Die fressen recht CPU wenn jedes Paket überprüft wird.
Title: Re: OPNsense Proxmox
Post by: lewald on July 25, 2018, 11:24:19 pm: Warum verwendest Du keine Hardware Virtualisierung für die Opnsense im Proxmox ?
Unterstützt Dein Rechner dies nicht ?
Title: Re: OPNsense Proxmox
Post by: Rocker on July 26, 2018, 06:20:03 am: Hallo,

wie meinst du das?
ich nutze einen Dell T20 mit Xeon.

Vielen Dank

Gruß Rocker
Title: Re: OPNsense Proxmox
Post by: mimugmail on July 26, 2018, 06:38:22 am: Quote from: ruffy91 on July 25, 2018, 07:48:41 pm
Hallo Rocker,

Verwendest du IPS/Suricata?
Wie sieht es aus wenn du VMXNET3 oder VirtIO anstatt der e1000 verwendest. VirtIO sollte beste Performance ohne IPS geben und VMXNET3 mit IPS nach meinem aktuellen Kentnisstand.
Stelle weiterhin sicher das du TSO und LRO deaktiviert hast. (sind sie standardmässig)

VirtIO und IPS vertragen sich nicht, bitte nur e1000 oder vmx
Title: Re: OPNsense Proxmox
Post by: lewald on July 26, 2018, 08:43:47 am: Quote from: Rocker on July 26, 2018, 06:20:03 am
Hallo,

wie meinst du das?
ich nutze einen Dell T20 mit Xeon.

Vielen Dank

Gruß Rocker

Nun in Deinem Screennshot von der opnsense steht als CPU TYP eine virtuelle CPU drin. Bei Hardware Virtualisierung würde da aber Xeon stehen. Du hast beim erstellen der VM keine Hardware Virtualisierung ausgewählt.
Title: Re: OPNsense Proxmox
Post by: Rocker on July 26, 2018, 08:50:26 am: Hallo,

Ich habe bei der Erstellung absichtlich Qemulated verwendet, da, ich mit FreeBSD die Erfahrung gemacht habe, dass es in der Virt-Umgebung zumindest auf meinem Dell T20 besser läuft (da gab es unter anderem Hänger beim reboot usw)

Ich teste KVM oder HOST-CPU mal durch und schau was passiert

Gruß Rocker
Title: Re: OPNsense Proxmox
Post by: lewald on July 26, 2018, 09:42:39 am: Ich habe hier in 4 verschiedenen Installationen mit Opnsense und Proxmox immer Host CPU.
Weil das ist HW virtualisiert. Habe aber immer nur das normale Bios. Läuft hier eigentlich rund.
Title: Re: OPNsense Proxmox
Post by: ruffy91 on July 26, 2018, 11:12:00 am: In dem Fall mit IPS CPU auf host stellen und IPS auf hyperscan umstellen dann dürftest du einiges mehr an Durchsatz mit geringerer Last erhalten.
Title: Re: OPNsense Proxmox
Post by: Rocker on July 26, 2018, 12:45:05 pm: Hallo,

das werde ich heute auf jeden Fall noch versuchen!
Ich werde vom Ergebnis berichten.

Vielen Dank

Gruß Rocker
Title: Re: OPNsense Proxmox
Post by: Rocker on July 26, 2018, 05:37:32 pm: Hallo,

so ich hab das Ganze mal probiert,
leider ist kein Unterschied zu erkennen.
CPU ist jetzt Host, und die Einstellung für IPS Hyperscan.
Zusätzlich zu der hohen CPU Last kommt das IO-Delay.
Anbei ein paar Bilder zum veranschaulichen.

ist es evtl. möglich, dass bei einem Steam download alles durch den squidguard geschoben wird und daher die hohe Last kommt?
...denn ich habe die Intrusion Prevention komplett deaktiviert, aber ich sehe keinen Unterschied an der CPU Last.

Vielen Dank

Gruß Rocker
Title: Re: OPNsense Proxmox
Post by: Rocker on August 04, 2018, 01:34:04 pm: Hallo,

so ich habe etwas gekämpft und konnte es eingrenzen!

Die intrusion prevention erzeugt fast keine Last ich habe hier fast alles ausprobiert.

Jedoch ist es so, dass die Last vom Webproxy kommt!
Bei der Konfiguration des selbigen bin ich nach dem Wiki vorgegangen. Und habe die automatische Regel mit eingerichtet (ich habe aktuell nur einen proxy für HTTP und den Modus Transparent + clamav und icap)

der Proxy erzeugt so viel CPU Last, dass hierdurch die Bandbreite begrenzt wird.
con ca 10 MB´s auf ca . 8 MB,s

anbei noch die Konfiguration als Screenshots

wie kann ich den proxy "besser" konfigurieren?

Vielen Dank

Gruß Rocker
Title: Re: OPNsense Proxmox
Post by: Rocker on August 04, 2018, 01:36:49 pm: Hier anbei noch die NAT Regel und die Blacklists die im Proxy laufen.

Gruß Rocker