OPNsense Forum
International Forums => German - Deutsch => Topic started by: Rocker on July 25, 2018, 06:01:06 pm
-
Hallo liebe Community,
ich betreibe meine OPNsense unter Proxmox, und das funktioniert auch alles sehr gut!
nur hab ich eine meiner Meinung sehr hohe CPU Last wenn ich die Leitung (25000 DSL) auslaste.
Meine Frage nun ist das normal?
oder habe ich evtl an der Konfiguration etwas falsch gemacht?
Bzw. gibt es eine Möglichkeit den Qemu Agent zu installieren?
Ich habe ein paar Bilder angefügt, dort sieht man die Konfiguration und die Auslastung (es war ein Steam Download)
Vielen Dank!
Gruß Rocker
-
Hallo Rocker,
Verwendest du IPS/Suricata?
Wie sieht es aus wenn du VMXNET3 oder VirtIO anstatt der e1000 verwendest. VirtIO sollte beste Performance ohne IPS geben und VMXNET3 mit IPS nach meinem aktuellen Kentnisstand.
Stelle weiterhin sicher das du TSO und LRO deaktiviert hast. (sind sie standardmässig)
-
meinst du Intrusion prevention?
das habe ich aktiviert,
was ist TSO und LRO?
Vielen Dank
Gruß Rocker
-
Hi,
TSO und LRO findest du unter Interfaces -> Settings.
Wenn du Intrusion Prevention/IPS aktiviert hast sollten dort CRC, TSO und LRO ausgeschaltet sein.
-
Hallo
Danke für deine Antwort,
Es ist alles deaktiviert.
Ich muss morgen mal mit den verschiedenen VM Optionen spielen.
Gruß Rocker
-
Welche Intrusion Prevention Regeln hast du denn aktiviert? Die fressen recht CPU wenn jedes Paket überprüft wird.
-
Warum verwendest Du keine Hardware Virtualisierung für die Opnsense im Proxmox ?
Unterstützt Dein Rechner dies nicht ?
-
Hallo,
wie meinst du das?
ich nutze einen Dell T20 mit Xeon.
Vielen Dank
Gruß Rocker
-
Hallo Rocker,
Verwendest du IPS/Suricata?
Wie sieht es aus wenn du VMXNET3 oder VirtIO anstatt der e1000 verwendest. VirtIO sollte beste Performance ohne IPS geben und VMXNET3 mit IPS nach meinem aktuellen Kentnisstand.
Stelle weiterhin sicher das du TSO und LRO deaktiviert hast. (sind sie standardmässig)
VirtIO und IPS vertragen sich nicht, bitte nur e1000 oder vmx
-
Hallo,
wie meinst du das?
ich nutze einen Dell T20 mit Xeon.
Vielen Dank
Gruß Rocker
Nun in Deinem Screennshot von der opnsense steht als CPU TYP eine virtuelle CPU drin. Bei Hardware Virtualisierung würde da aber Xeon stehen. Du hast beim erstellen der VM keine Hardware Virtualisierung ausgewählt.
-
Hallo,
Ich habe bei der Erstellung absichtlich Qemulated verwendet, da, ich mit FreeBSD die Erfahrung gemacht habe, dass es in der Virt-Umgebung zumindest auf meinem Dell T20 besser läuft (da gab es unter anderem Hänger beim reboot usw)
Ich teste KVM oder HOST-CPU mal durch und schau was passiert
Gruß Rocker
-
Ich habe hier in 4 verschiedenen Installationen mit Opnsense und Proxmox immer Host CPU.
Weil das ist HW virtualisiert. Habe aber immer nur das normale Bios. Läuft hier eigentlich rund.
-
In dem Fall mit IPS CPU auf host stellen und IPS auf hyperscan umstellen dann dürftest du einiges mehr an Durchsatz mit geringerer Last erhalten.
-
Hallo,
das werde ich heute auf jeden Fall noch versuchen!
Ich werde vom Ergebnis berichten.
Vielen Dank
Gruß Rocker
-
Hallo,
so ich hab das Ganze mal probiert,
leider ist kein Unterschied zu erkennen.
CPU ist jetzt Host, und die Einstellung für IPS Hyperscan.
Zusätzlich zu der hohen CPU Last kommt das IO-Delay.
Anbei ein paar Bilder zum veranschaulichen.
ist es evtl. möglich, dass bei einem Steam download alles durch den squidguard geschoben wird und daher die hohe Last kommt?
...denn ich habe die Intrusion Prevention komplett deaktiviert, aber ich sehe keinen Unterschied an der CPU Last.
Vielen Dank
Gruß Rocker
-
Hallo,
so ich habe etwas gekämpft und konnte es eingrenzen!
Die intrusion prevention erzeugt fast keine Last ich habe hier fast alles ausprobiert.
Jedoch ist es so, dass die Last vom Webproxy kommt!
Bei der Konfiguration des selbigen bin ich nach dem Wiki vorgegangen. Und habe die automatische Regel mit eingerichtet (ich habe aktuell nur einen proxy für HTTP und den Modus Transparent + clamav und icap)
der Proxy erzeugt so viel CPU Last, dass hierdurch die Bandbreite begrenzt wird.
con ca 10 MB´s auf ca . 8 MB,s
anbei noch die Konfiguration als Screenshots
wie kann ich den proxy "besser" konfigurieren?
Vielen Dank
Gruß Rocker
-
Hier anbei noch die NAT Regel und die Blacklists die im Proxy laufen.
Gruß Rocker