Messages

Hmm, you didn't mention before that you were using Sensei? That's a major factor that would have been good to know.  ;)

You need to re-baseline and just run the performance tests with Sensei disabled and no other IPS/IDS packages running. If you have a traffic shaper configured, turn that off too.

Then re-run a download test with your newest (igb) network adapter and report back the results. I would suggest either using two iperf clients to push traffic through the firewall, or use a single client on the LAN side to download several linux ISOs via torrent. This should max out your connection and give you a good idea of what the max throughput will be.

While doing the above tests, also watch the output of this command at the SSH console: top -aSCHIP
Screenshot the CPU usage of that console when the throughput tests are running.

I will test that and will be back. thnx 4 the ideas.

https://forum.opnsense.org/index.php?topic=22019.msg110532#msg110532

Hi, after replacing my intel-nics to a newer version, the problem with the download and upload-rate is not that good as I wished to have.

NOW:
https://bsd-hardware.info/?probe=d8b645d95d
>> 82576 Gigabit Network Connection: The device is supported by FreeBSD versions 7.1 and newer.

BEFORE:
https://bsd-hardware.info/?probe=57bd6d4d0c
The device is supported by FreeBSD versions 6.1 and newer.

I hope they will fix it.


Therefor this is aother proof, that the addon sensei/sunvalley has got the problem with using net_map.

Hi Folks,

I now tested another configuration: https://bsd-hardware.info/?probe=57bd6d4d0c

The downloadrate is the same for INTEL-NICs with sensei included. My provider gives me a download up to 600MBit Download and 150MBit Upload.

New ideas?

Code Select Expand

root@opnsense:~ # speedtest-cli
Retrieving speedtest.net configuration...
Testing from SWN Stadtwerke Neumuenster GmbH (89.56.28.134)...
Retrieving speedtest.net server list...
Selecting best server based on ping...
Hosted by Marco Bungalski GmbH (Verden) [133.13 km]: 8.853 ms
Testing download speed................................................................................
Download: 139.92 Mbit/s
Testing upload speed...
Upload: 131.67 Mbit/s

Hi,
I guess that is the problem using realtek nic's. I have got the same problem.

I will test it and will be back.

It is actually. Buy Intel if it matters that much.


Cheers,
Franco

This is a system with nic included:
https://store.minisforum.com/collections/amd-%C2%AE-ryzen-%C2%AE/products/deskmini-dmaf5-amd-ryzen-5-3550h?variant=35905326350497

Therefor no option to use an intel nic.

Hi,
I have read a lot about the problems with realtek drivers and opnsense. Is the Problem really at this point? Or could it be, that the addon from sunvally (sensei) causes the problem iwth their netmap-implemantation? In my hardware I am using there is this hardware-nic: RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller. The performance is going down after installing sensei.

Before I have a download my rate was:
Download 550MBit and Upload 98Mbit
This is the hardware: AMD and opnsense and realtek-NIC: Probe URL: https://bsd-hardware.info/?probe=4f3f6a4102

So without sensei everything is OK.

Please look here: https://forum.opnsense.org/index.php?topic=22019.msg110532#msg110532

What is the problem? The answer to your question is: yes, Realtek is not as good as Intel.


Cheers,
Franco

Sorry that is not the answer for a solution. It is a not workaround or even an excuse.

Hi, and what is your solution?

Hi,

Congrats to pfSense for "solving" this in 2.5.0.

Whoever wrote that guide isn't using OPNsense, because we replaced the standard FreeBSD driver in 2017.

https://github.com/opnsense/changelog/blob/1663700184747c800c64f5e009bcf857718fc292/community/17.1/17.1.2#L54

The guide and your assumption is factually wrong.

I'm not saying you have no issue, but the conclusion and fix are incorrect as this relates to stability not performance.

It's probably possible to tune the system to reach higher performance using sysctls but it's also true that likely the Realtek chip will be slower.


Cheers,
Franco

Hi,

I will try if your infos are helping. The se are my systems with opnsense with the same configuration:

I5 and opnsense and Intel-nic:
Probe URL: https://bsd-hardware.info/?probe=ef64f03609

AMD and opnsense and realtek-NIC:
Probe URL: https://bsd-hardware.info/?probe=4f3f6a4102

thnx for the replies.

No one got an idea or a solution?

Hallo,
einen Proxy zu betreiben macht nur dann aus meiner Sicht Sinn, wenn der Traffic über verschiedene NextHopProxies geleitet werden müssen. Für das Filtern bringt das ohne SSL-Intercept nichts. Bei einem SSL-Intercept, müssen alle Clients das eigen Zertifikat importieren und vertrauen. Das macht nur nicht jeder Client mit oder man kann es dort nicht konfigurieren. Braucht man das nicht, kann man die Resourcen der Firewall sinnvoller nutzen.

Ein IDS/IPS ist eigentlich eine Pflichtveranstaltung (z.B. SNORT oder Suricata).

Daher ist eher die Überlegung dahin gehend richtiger eine NGFW einzusetzen. Das soll mit dem Addon SENSEI möglich sein. Das gibt es derzeit nicht für alle Firewalls.

Im Verbund mit einem pihole als DNS-Server sicherlich für viele eine lohnende Alternative (Betriebssystem:dietpi; Raspberry3 oder 4; externe SSD + SD-Card 8GB). Der pihole übernimmt alle DNS-Anfragen und gibt diese an die Firewall weiter. Alle DNS-Anfragen in Richtung Internet nur der Firewall selbst erlauben und DoT (DNS over TLS) einrichten (www.opennic.org). In UNBOUND dies eintragen. DONE

Oder man nutzt eine reine Firewall. Diese wird dann mit zusätzlichen Mechnismen (z.B. SecureOnion) ständig geprüft. Eine Hardwraeschlacht ist dann kaum noch wegzudenken.
Man muss davon ausgehen, dass man die Clients immer schwerer kontrollieren kann (ZeroTrust).

Trotzdem wünsche weiter Viel Spass.

thnx

Hallo,
eine Kombiantion ist durchaus möglich. Deine Firewall gibt den Clients als DNS den pihole und die Firewall mit. In der Firewall defininierst Du eine Regel, die nur die Firewall und den pihole für Port 53 nach außen zuläßt. Alle anderen DNS-Anfragen aus Deinem Netz werden geblockt. Im Piohole stellt Du folgendes ein:

Settings >> DNS >> Upstream DNS Servers: Deine Firewall
Settings >> DNS >> Advanced DNS settings: Never forward non-FQDNs,
Settings >> DNS >> Advanced DNS settings: Never forward reverse lookups for private IP ranges
Settings >> DNS >> Advanced DNS settings: Use DNSSEC (wenn Du das auch in der Firewall aktiv hast)
Settings >> DNS >> Use Conditional Forwarding: Local network in CIDR notation
Settings >> DNS >> Use Conditional Forwarding: IP address of your DHCP server (router)
Settings >> DNS >> Use Conditional Forwarding: Local domain name (optional)

Fertig. Wenn Du dann noch in der Firewall den ARP-Eintrag pro MAC setzt. wird alles noch runder ;)

Dann kannst Du im pihole pro IP Regeln definieren und Gruppen generieren. z.B. Malware oder VPN. Diese Gruppen kannst Du dann wieder Deinen IPs zuweisen. Man könnte fast von einer DNS-Firewall sprechen, wenn Deine Clients keine DNS extern nutzen können (Regel dafür einbauen).

Achja und wenn Du Deinen pihole noch optimieren möchtest: Nimm die Distro dietpi. Installiere diese und schließe eine externe SSD an. Verlagere das Filesystem mit Hilfe der mitgeliferten Tools auf die SSD. Dann bist Du auch in der Lage einen SWAP-Bereich auf der SSD einzurichten.
Danach rennt Dein Pihole fast 10 mal schneller. ;(
Auch die SDCard hält länger, da die Schreibzyklen nun auf der SSD sind.

Viele Spass weiter mit Deinem Pihole und Deiner Firewall OPNsense (läuft auch mit der pfsense)