Messages

Moin,

ich habe eine Frage zum traffic shaping - Ich habe folgende Situation: VLAN Kinder per traffic shaping begrenzt auf 50Mbit down, 15Mbit up. Soweit funktioniert das auch, allerding ist immer eine recht große Differenz zwischen dem WAN interface und dem Kinder Interface bezüglich der Bandbreite. Beispiel gerade jetzt: Download Kinder bei ca. 51 Mbit (warum nicht 50 Mbit wie im entsprechenden Pipe konfiguriert?), aber WAN interface bei 61-65 Mbit. Keine anderen "Verbraucher" die die Bandbreitendifferenz erklären würden.

Meine Frage - warum ist hier die Differenz zwischen WAN und VLAN so groß? Konfigurationsproblem? Verständnisproblem?

Update:
Im running OPNsense in a vm on proxmox with a intel 4port nic passed through. I have max throughput with iperf3 (>100 MB/s), although performance is drastically decreased when using sensei, suricata or ntopng (~60 MB/s).

Im going on with the virtualized OPNsense, keeping the APU2D4 as a backup.

Thank you all for your help!

i have set up opnsense on my proxmox host with a intel I350 quad nic/passthrough with my original configuration from the APU2D4, and there i get 112 MBit/sec. So seems to be related to cpu? What is wrong with my APU and/or configuration?

Hey, i tried again with all settings reverted (somehow my box hung after setting the tunables so i had to use the serial...), and it says 20-25 Mb/sec even with -P 6 (and also for lower and higher values).
Im not sure if i can make the pfsense install easily since i have set up VLANs across my homenet; i was thinking about buying a 4-port nic and going VM (enough power to rule that out), since i have proxmox running anyways.
Maybe.

Thanks for the effort @opnfwb, but it only yielded ~30Mb/sec, but with iperf3 -c <ip> -P 6 i get around 70Mb/sec...

OK, after trying all (well, many...) options and tunables im under the impression that the following is the important part:

[...]
Because of this, most of the configs being posted here will not have any impact.
[...]
You will notice that if you run this command, there are now many different configurable settings that do not match any of the previously used configs that we relied on in FreeBSD 11.x.

^Any hints on this from the experts?

See https://teklager.se/en/knowledge-base/opnsense-performance-optimization/

You have to edit /boot/loader.conf.local and also set up as parameters through the GUI.

E.g. my file is:
<snip>

I tried the teklager advices already (and reverted since i saw no improvement), and taking mirocos remark into consideration i think these /might/ be outdated. Anyways - thanks for the hints.

Anything else i can try, or is it really limited (cant believe this...)

Cheers, Burschi

No for both suggestions - i dont have traffic shaping active on this VLAN, and with -P 2 i get about the same transfer rate...

Edit:
Hm, when disabling traffic shaping on the other VLAN it seems to get a bit better. Could this be cpu related? But then i was under the impression that the apu2d4 should be able to route 1Gbit...

Hello everybody,

it seems i have a problem with the throughput of opnsense on my apu2d4. Using iperf3 i only get about 200 Mbits/sec between Interfaces:

Code Select Expand


iperf3 -V -f m -c 192.168.20.237
[  5] local 192.168.30.220 port 34084 connected to 192.168.20.237 port 5201
Starting Test: protocol: TCP, 1 streams, 131072 byte blocks, omitting 0 seconds, 10 second test, tos 0
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  27.1 MBytes   227 Mbits/sec    0   1.22 MBytes       
[  5]   1.00-2.00   sec  23.8 MBytes   199 Mbits/sec   57   1.13 MBytes       
[  5]   2.00-3.00   sec  23.8 MBytes   199 Mbits/sec    0   1.24 MBytes       
[  5]   3.00-4.00   sec  23.8 MBytes   199 Mbits/sec    0   1.33 MBytes       
[  5]   4.00-5.00   sec  23.8 MBytes   199 Mbits/sec    0   1.39 MBytes       
[  5]   5.00-6.00   sec  23.8 MBytes   199 Mbits/sec    4   1.01 MBytes       
[  5]   6.00-7.00   sec  23.8 MBytes   199 Mbits/sec    0   1.08 MBytes       
[  5]   7.00-8.00   sec  23.8 MBytes   199 Mbits/sec    0   1.14 MBytes       
[  5]   8.00-9.00   sec  23.8 MBytes   199 Mbits/sec    0   1.17 MBytes       
[  5]   9.00-10.00  sec  23.8 MBytes   199 Mbits/sec    0   1.20 MBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
Test Complete. Summary Results:
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   241 MBytes   202 Mbits/sec   61             sender
[  5]   0.00-10.07  sec   238 MBytes   198 Mbits/sec                  receiver
CPU Utilization: local/sender 1.6% (0.0%u/1.5%s), remote/receiver 21.5% (1.3%u/20.2%s)
snd_tcp_congestion cubic
rcv_tcp_congestion cubic


Where 192.168.30.220 is a VLAN on igb2 and 192.168.20.237 is a lxc on physical igb1. Even when using doing the test from 192.168.30.220 to the lxc host (proxmox/Debian, bare metal) i only get ~220 Mbits/sec:

Code Select Expand


iperf3 -V -f m -c 192.168.20.230
[  5] local 192.168.30.220 port 55432 connected to 192.168.20.230 port 5201
Starting Test: protocol: TCP, 1 streams, 131072 byte blocks, omitting 0 seconds, 10 second test, tos 0
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  29.8 MBytes   250 Mbits/sec    0   1.33 MBytes       
[  5]   1.00-2.00   sec  26.2 MBytes   220 Mbits/sec   60   1.15 MBytes       
[  5]   2.00-3.00   sec  26.2 MBytes   220 Mbits/sec    0   1.26 MBytes       
[  5]   3.00-4.00   sec  25.0 MBytes   210 Mbits/sec    0   1.35 MBytes       
[  5]   4.00-5.00   sec  26.2 MBytes   220 Mbits/sec    0   1.41 MBytes       
[  5]   5.00-6.00   sec  26.2 MBytes   220 Mbits/sec    2   1.04 MBytes       
[  5]   6.00-7.00   sec  26.2 MBytes   220 Mbits/sec    0   1.11 MBytes       
[  5]   7.00-8.00   sec  25.0 MBytes   210 Mbits/sec    0   1.15 MBytes       
[  5]   8.00-9.00   sec  26.2 MBytes   220 Mbits/sec    0   1.18 MBytes       
[  5]   9.00-10.00  sec  26.2 MBytes   220 Mbits/sec    0   1.20 MBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
Test Complete. Summary Results:
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   264 MBytes   221 Mbits/sec   62             sender
[  5]   0.00-10.07  sec   260 MBytes   217 Mbits/sec                  receiver
CPU Utilization: local/sender 1.6% (0.1%u/1.5%s), remote/receiver 16.7% (1.6%u/15.1%s)
snd_tcp_congestion cubic
rcv_tcp_congestion cubic


The same is true if i go from one VLAN to VLAN which are located at the same physical interface.

As said before im using a apu2d4, suricata disabled, hardware offloading enabled and have a cpu usage of 70-100%. I installed the latest ROM and tried the hints from https://teklager.se/en/knowledge-base/opnsense-performance-optimization/, but with no success. I know there is an issue open in thread https://forum.opnsense.org/index.php?topic=18754.0, but the reported speeds there are for 10GBit and far higher than mine. So im not sure if im suffering from the same bug, or if im just experiencing the results of bad configuration...

Any help would be appreciated!

Nichts, aber wenn man nur Pass erlaubt, und die Kinder während der Zeit Verbindungen offen haben bleiben diese auch nach der Erlaubten Zeit offen. Mit Block ist das nicht so.
Zumindest haben meine Kinder das so festgestellt  :P

I don´t know if this solves the problem too, i found it by trial-and-error and thought someone might have the same problem.

Sorry for being late to reply.

So i was in the process converting my internal net to VLAN only networks, with the last step of disabling/unassigning my native LAN interface (igb2, 192.168.10.254). After doing so i found messages from syslog-ng, repeating every minute:

Code Select Expand


syslog-ng Error binding socket; addr='AF_INET(192.168.10.254:0)', error='Can\'t assign requested address (49)'
syslog-ng Initiating connection failed, reconnecting; time_reopen='60'


After fiddling around looking for forgotten references to the old if in the config i found out that the reason was in some config file not available through gui:

Code Select Expand


/usr/local/etc/syslog-ng.conf.d/legacy-remote.conf

network("192.168.10.220" transport("udp") port(514) ip-protocol(4) localip(192.168.10.254));



where .220 is my syslog protocol server and .10.254 is the old if address. Changing that to the new ips solved the problem.

Zu ungeduldig - kann sein. Ich habe meine Antwort auch so gemeint wie ich geschrieben habe - vielleicht habe ich die Frage im ersten Post falsch gestellt.

Schlechter Stil/Glocke rühren - naja, schlechter Stil ist meiner Meinung nach noch ein Stück was anderes, und ich habe glaube ich nichts ungebührliches geschrieben.

Zur eigentlichen Frage - Mein Verständnisproblem ist wohl ein Grundsätzliches. In verschiedenen Posts habe ich in Zusammenhang mit IP-Listen gelesen, das die Anzahl der enthaltenen IPs sich auf die table entries auswirkt. Jede IP einen Eintrag so dachte ich. Jetzt habe ich verschiedene Listen angewendet, und lt. log wirken diese auch, aber ich habe keine Möglichkeit gefunden zu kontrollieren wieviele table entries gesamt vorhanden sind.

Zu blöde, einfache oder schwere Frage? Bin über jeden Hinweis dankbar.

[State table (size):]

Hallo forum,

wieder einmal habe ich eine Frage, und es sieht so aus, das mein Wissen noch nicht einmal ausreicht Tante Google die richtigen Fragen zu stellen. Also versuche ich es mal hier  ;):
Ich beschäftige mich gerade mit IP Filterlisten, und bin in dem Zusammenhang auf zwei Sachen gestossen die ich noch nicht richtig einordnen kann (oder nicht finde...):

State table (size):
Soweit ich das verstehe sind das die aktiven, von der Firewall kontrollierten Verbindungen. In dem Zusammenhang macht das dann auch Sinn, das ich mit meinem Heimnetzwerk auf nur sehr bescheidene Zahlen komme (<1000). Diese Zahl scheint weniger von der Anzahl der vorhandenen (importierten) Regeln/IPs abzuhängen als vielmehr von der Anzahl der User/Verbindungen. Diesen Eintrag finde ich im Dashboard.

Firewall (Maximum) Table Entries:
So, hier sind dann alle Einträge aufgeführt, für jede IP aus der/den (Alias-)Liste/n einer. Das heißt hier sollte ich irgend was in der Summe der Einzellisten sehen. Finde ich aber nicht... Des weiteren ist die Summe der Regeln im Vergleich zu den Importierten IP sehr gering.
Scheint also das ich was wichtiges nicht verstanden habe, und bitte um Aufklärung (mit dem Hintergrund das ich keine Firma sondern "nur" mein Heim zu versorgen habe)?

[tl;dr]
Die Frage ist also in der Richtung: "Was haben die Filterlisten/Aliaslisten/Anzahl der Einzeleinträge mit den unter OPNsense angezeigten (oder auch nicht...) state tables und table entries zu tun?"

Danke,
Burschi