Messages

Hi Fabio,
I am on a hardware with
i5 CPU / 8GB Memory / 64 SSD GB HDD/ Intel 82574L Gigabit Ethernet

So, if you are running your OPNsense on Hardware directly -> check out your current Pattern matcher (under Services/IntrusionDetection). For better Performance you could try "Hyperscan" instead of "Aho-Corasick".

Fabio

Thank you Fabio,
the connections works only its dropped significly down.
i tried everything but nothing helped.

Hello Julien.

What for an Virtualization Host and qemu-Version you are using?

Hello Julien,

Is the difficulty being shown at any speed? Or is only felt when you reach 200mbps?

Thanks!

In my environment I tested it via iperf to a System in another Subnet or over WAN:
Virtio and IPS disabled: ~900Mbit/s
E1000 and IPS disabled: ~200-250Mbit/s
VMXNET3 and IPS disabled: ~500Mbit/s
VMXNET3 and IPS enabled: ~300-400Mbit/s

Grretings,
Fabio

Hello again.

My problem was not the same as yours. My connections simply dropped dead. No even ping would pass.
It appears that is issue on your case is the vCPU of the opnsense appliance is not strong enough to handle all the traffic and IPS at the same time.
Can you add other vCPU's to your vm, and pin them with exclusivity to a physical CPU on the host and re-check?

Thanks

Yes, I have the same issue with E1000 and VirtIO, if IPS is enable -> nothing works!
And of course - I still played with the amount of vCores and with the emulated CPU Type. But it is always the same with E1000 and VirtIO. :(
I am running my Installation currently with VMXNET3, because I don't want to give up IPS...

Hello Julien,

Is the difficulty being shown at any speed? Or is only felt when you reach 200mbps?

Thanks!

In my environment I tested it via iperf to a System in another Subnet or over WAN:
Virtio and IPS disabled: ~900Mbit/s
E1000 and IPS disabled: ~200-250Mbit/s
VMXNET3 and IPS disabled: ~500Mbit/s
VMXNET3 and IPS enabled: ~300-400Mbit/s

Grretings,
Fabio

Hello Nuno.

Thank you for this information.

I am currently running pve-qemu-kvm: 2.9.0-pve4 @ my PROXMOX PVE Host.


Fabio

Ich habe es befürchtet - Dank Dir!

Ich betreibe die Firewall erst einmal weiter auf VMXNET3. Vielleicht tut sich was und ich kann irgendwann auf VirtIO umstellen...


Gruß,
Fabio

Schließe mich NilsS an. Wenn IPS aktiv sein sollte - welche Rulesets wurden aktiviert? Vielleicht siehst Du Einträge, wenn Du in der Intrusion Detection unter Alerts nach der IP Adresse deines Servers im Datacenter suchst.

Gruß,
Fabio

Hallo zusammen.

Eines vornweg: Ich bin mit OPNsense sehr zufrieden und habe bisher einige Firewall Installationen erfolgreich in Betrieb genommen.

Aber bei einem Thema beiße ich mir nun schon seit Tagen die Zähne aus. :( 
Wenn ich die OPNsense Installation als KVM betreibe habe ich enorme Probleme mit IPS. Hier die Eckdaten zu meiner KVM Umgebung:
- 4 virtual Cores (Host oder Haswell)
- 4-8GB RAM
- wahlweise E1000-, VirtIO- oder VMXNET3- Interfaces
- OPNsense 17.7.7_1
- alle Hardware Offloads deaktiviert
- IDS/IPS (Hyperscan oder wahlweise Aho-Corasick) aktiviert - ohne zusätzliche Rulesets

Folgendes passiert:
Sobald ich ein zu überwachendes Interface (z.B.: WAN) im IDS angebe und habe gleichzeitig IPS aktiviert, ist diese Schnittstelle nicht mehr funktionsfähig. Dieses Verhalten tritt auf, wenn ich die Interfaces auf Basis E1000 oder VirtIO betreibe.
Konfiguriere ich die Interfaces mit VMXNET3, funktioniert alles rund um IDS/IPS problemlos. Mit VMXNET3 verliere ich aber ca. 75% der zur Verfügung stehenden Netzwerkperformance (ca. 60% Verlust, wenn ich IDS/IPS vollständig deaktiviere).

Interessant an dieser Stelle:
Konfiguriere ich die Interfaces über VirtIO und deaktiviere IPS, erhalte ich ca. 90% der zur Verfügung stehenden Netzwerkperformance.

Vielleicht hat jemand eine Idee wie ich entweder VirtIO, bzw. E1000 mit OPNsense und IDS/IPS richtig zum Laufen bekomme oder ich die Performance mit VMXNET3 signifikant verbessern kann.

Über Eure Hilfe würde ich mich sehr freuen.


Gruß,
Fabio

Hello.

I have exactly the same issue with my virtual OPNsense, even if I switch to E1000. All of the activated Interfaces (inside IDS configuration) won't work if I enable IPS. :(

This behaviour I have with VIRTIO & E1000. Just with VMXNET3 it seems to works. But here I loose ~70% of the physical Bandwidth after activating IDS/IPS. (even if I have increased CPU Cores & Memory from this Virtual Machine)

It would be great if you have any Idea how to realize OPNsense inside a virtual Machine with a good performance and activated IPS.


Thanks,
Fabio