Topics

Moin,

ich habe eine Frage zum traffic shaping - Ich habe folgende Situation: VLAN Kinder per traffic shaping begrenzt auf 50Mbit down, 15Mbit up. Soweit funktioniert das auch, allerding ist immer eine recht große Differenz zwischen dem WAN interface und dem Kinder Interface bezüglich der Bandbreite. Beispiel gerade jetzt: Download Kinder bei ca. 51 Mbit (warum nicht 50 Mbit wie im entsprechenden Pipe konfiguriert?), aber WAN interface bei 61-65 Mbit. Keine anderen "Verbraucher" die die Bandbreitendifferenz erklären würden.

Meine Frage - warum ist hier die Differenz zwischen WAN und VLAN so groß? Konfigurationsproblem? Verständnisproblem?

Hello everybody,

it seems i have a problem with the throughput of opnsense on my apu2d4. Using iperf3 i only get about 200 Mbits/sec between Interfaces:

Code Select Expand


iperf3 -V -f m -c 192.168.20.237
[  5] local 192.168.30.220 port 34084 connected to 192.168.20.237 port 5201
Starting Test: protocol: TCP, 1 streams, 131072 byte blocks, omitting 0 seconds, 10 second test, tos 0
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  27.1 MBytes   227 Mbits/sec    0   1.22 MBytes       
[  5]   1.00-2.00   sec  23.8 MBytes   199 Mbits/sec   57   1.13 MBytes       
[  5]   2.00-3.00   sec  23.8 MBytes   199 Mbits/sec    0   1.24 MBytes       
[  5]   3.00-4.00   sec  23.8 MBytes   199 Mbits/sec    0   1.33 MBytes       
[  5]   4.00-5.00   sec  23.8 MBytes   199 Mbits/sec    0   1.39 MBytes       
[  5]   5.00-6.00   sec  23.8 MBytes   199 Mbits/sec    4   1.01 MBytes       
[  5]   6.00-7.00   sec  23.8 MBytes   199 Mbits/sec    0   1.08 MBytes       
[  5]   7.00-8.00   sec  23.8 MBytes   199 Mbits/sec    0   1.14 MBytes       
[  5]   8.00-9.00   sec  23.8 MBytes   199 Mbits/sec    0   1.17 MBytes       
[  5]   9.00-10.00  sec  23.8 MBytes   199 Mbits/sec    0   1.20 MBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
Test Complete. Summary Results:
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   241 MBytes   202 Mbits/sec   61             sender
[  5]   0.00-10.07  sec   238 MBytes   198 Mbits/sec                  receiver
CPU Utilization: local/sender 1.6% (0.0%u/1.5%s), remote/receiver 21.5% (1.3%u/20.2%s)
snd_tcp_congestion cubic
rcv_tcp_congestion cubic


Where 192.168.30.220 is a VLAN on igb2 and 192.168.20.237 is a lxc on physical igb1. Even when using doing the test from 192.168.30.220 to the lxc host (proxmox/Debian, bare metal) i only get ~220 Mbits/sec:

Code Select Expand


iperf3 -V -f m -c 192.168.20.230
[  5] local 192.168.30.220 port 55432 connected to 192.168.20.230 port 5201
Starting Test: protocol: TCP, 1 streams, 131072 byte blocks, omitting 0 seconds, 10 second test, tos 0
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  29.8 MBytes   250 Mbits/sec    0   1.33 MBytes       
[  5]   1.00-2.00   sec  26.2 MBytes   220 Mbits/sec   60   1.15 MBytes       
[  5]   2.00-3.00   sec  26.2 MBytes   220 Mbits/sec    0   1.26 MBytes       
[  5]   3.00-4.00   sec  25.0 MBytes   210 Mbits/sec    0   1.35 MBytes       
[  5]   4.00-5.00   sec  26.2 MBytes   220 Mbits/sec    0   1.41 MBytes       
[  5]   5.00-6.00   sec  26.2 MBytes   220 Mbits/sec    2   1.04 MBytes       
[  5]   6.00-7.00   sec  26.2 MBytes   220 Mbits/sec    0   1.11 MBytes       
[  5]   7.00-8.00   sec  25.0 MBytes   210 Mbits/sec    0   1.15 MBytes       
[  5]   8.00-9.00   sec  26.2 MBytes   220 Mbits/sec    0   1.18 MBytes       
[  5]   9.00-10.00  sec  26.2 MBytes   220 Mbits/sec    0   1.20 MBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
Test Complete. Summary Results:
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   264 MBytes   221 Mbits/sec   62             sender
[  5]   0.00-10.07  sec   260 MBytes   217 Mbits/sec                  receiver
CPU Utilization: local/sender 1.6% (0.1%u/1.5%s), remote/receiver 16.7% (1.6%u/15.1%s)
snd_tcp_congestion cubic
rcv_tcp_congestion cubic


The same is true if i go from one VLAN to VLAN which are located at the same physical interface.

As said before im using a apu2d4, suricata disabled, hardware offloading enabled and have a cpu usage of 70-100%. I installed the latest ROM and tried the hints from https://teklager.se/en/knowledge-base/opnsense-performance-optimization/, but with no success. I know there is an issue open in thread https://forum.opnsense.org/index.php?topic=18754.0, but the reported speeds there are for 10GBit and far higher than mine. So im not sure if im suffering from the same bug, or if im just experiencing the results of bad configuration...

Any help would be appreciated!

So i was in the process converting my internal net to VLAN only networks, with the last step of disabling/unassigning my native LAN interface (igb2, 192.168.10.254). After doing so i found messages from syslog-ng, repeating every minute:

Code Select Expand


syslog-ng Error binding socket; addr='AF_INET(192.168.10.254:0)', error='Can\'t assign requested address (49)'
syslog-ng Initiating connection failed, reconnecting; time_reopen='60'


After fiddling around looking for forgotten references to the old if in the config i found out that the reason was in some config file not available through gui:

Code Select Expand


/usr/local/etc/syslog-ng.conf.d/legacy-remote.conf

network("192.168.10.220" transport("udp") port(514) ip-protocol(4) localip(192.168.10.254));



where .220 is my syslog protocol server and .10.254 is the old if address. Changing that to the new ips solved the problem.

[State table (size):]

Hallo forum,

wieder einmal habe ich eine Frage, und es sieht so aus, das mein Wissen noch nicht einmal ausreicht Tante Google die richtigen Fragen zu stellen. Also versuche ich es mal hier  ;):
Ich beschäftige mich gerade mit IP Filterlisten, und bin in dem Zusammenhang auf zwei Sachen gestossen die ich noch nicht richtig einordnen kann (oder nicht finde...):

State table (size):
Soweit ich das verstehe sind das die aktiven, von der Firewall kontrollierten Verbindungen. In dem Zusammenhang macht das dann auch Sinn, das ich mit meinem Heimnetzwerk auf nur sehr bescheidene Zahlen komme (<1000). Diese Zahl scheint weniger von der Anzahl der vorhandenen (importierten) Regeln/IPs abzuhängen als vielmehr von der Anzahl der User/Verbindungen. Diesen Eintrag finde ich im Dashboard.

Firewall (Maximum) Table Entries:
So, hier sind dann alle Einträge aufgeführt, für jede IP aus der/den (Alias-)Liste/n einer. Das heißt hier sollte ich irgend was in der Summe der Einzellisten sehen. Finde ich aber nicht... Des weiteren ist die Summe der Regeln im Vergleich zu den Importierten IP sehr gering.
Scheint also das ich was wichtiges nicht verstanden habe, und bitte um Aufklärung (mit dem Hintergrund das ich keine Firma sondern "nur" mein Heim zu versorgen habe)?

[tl;dr]
Die Frage ist also in der Richtung: "Was haben die Filterlisten/Aliaslisten/Anzahl der Einzeleinträge mit den unter OPNsense angezeigten (oder auch nicht...) state tables und table entries zu tun?"

Danke,
Burschi

Hallo in die Runde,

ich habe seit letztem Wochenende OPNSense installiert und dann auch Suricata ausprobiert. Jetzt scheint alles soweit zu laufen und funktionieren wie ich es mir vorstelle, aber Suricata liefert mir recht viele Hits auf  "ET P2P BitTorrent DHT ping request", und zwar von meiner Firewall IP aus. Das Setup ist

Internet --> Fritz --> APU2D4, OPNSense 19,1,7 --> LAN

Jetzt stehe ich vor der Frage, woher die dauernden Ping requests kommen, bzw. welcher Computer dafür verantwortlich ist. Die IP ist von der APU (192.168.178.40), ein beispielhafter Logeintrag ist wiefolgt:

Code Select Expand


May 14 21:16:09 suricata[18432]: [Drop] [1:2008581:3] ET P2P BitTorrent DHT ping request [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.178.40:45534 -> 83.238.73.42:6881
May 14 21:10:52 suricata[18432]: [Drop] [1:2008581:3] ET P2P BitTorrent DHT ping request [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.178.40:63885 -> 91.121.220.134:51413
May 14 21:05:34 suricata[18432]: [Drop] [1:2008581:3] ET P2P BitTorrent DHT ping request [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.178.40:51959 -> 88.195.204.74:55317
May 14 21:00:29 suricata[18432]: [Drop] [1:2008581:3] ET P2P BitTorrent DHT ping request [Classification: Potential Corporate Privacy Violation] [Priority: 1] {UDP} 192.168.178.40:58720 -> 51.15.51.63:51413


Was kann ich tun um die Quelle zu identifizieren? Ich habe zwar rudimentäre Netzwerkkenntnisse und den Willen mich weiterzubilden, aber im Moment stehe ich auf dem Schlauch und bin auf Hilfe angewiesen...