16
German - Deutsch / Re: Peformance-Probleme mit OPNsense
« on: November 21, 2022, 03:39:27 pm »
Wo könnte ich ansetzen, um dem nachzugehen?
Show Posts
This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.
Pages: 1 [2]
17
German - Deutsch / Re: Peformance-Probleme mit OPNsense
« on: November 20, 2022, 08:04:59 pm »
Ich habe nachher noch mit 10 Streams gemessen. Kann ich gerne zur Verfügung stellen. Was ich aber nicht verstehe: Wenn ich auf Netcup-Seite eine Datei downloade, schläft die Geschwindigkeit auf ca. 3-4 MB/s ein. Ich habe hier aber 250 MBit/s. Da ist VPN nicht im Spiel. Offenbar habe ich also zwei Probleme.
Könntest du bitte meine öffentliche IP aus dem Zitat in deinem Beitrag nehmen? Hatte diese versehentlich nicht anynomisiert.
Könntest du bitte meine öffentliche IP aus dem Zitat in deinem Beitrag nehmen? Hatte diese versehentlich nicht anynomisiert.
18
German - Deutsch / Re: Peformance-Probleme mit OPNsense
« on: November 19, 2022, 09:20:23 pm »
Ich will nicht ausschließen, dass es mit dem VPN Probleme gibt, aber die Performance zeigt, dass es auch ohne welche gibt. Das ist mir aber erst bei den Tests aufgefallen. Deswegen steht es im Anfangspost noch anders.
Bufferbloat Ergebnis hier:
https://www.waveform.com/tools/bufferbloat?test-id=14595297-c22a-4549-8042-da6217ed9c08
Das scheint ja eigentlich nicht so schlecht zu sein. Wenn ich aber - wie gesagt - Dateien herunterlade, schläft mir nach kurzer Zeit die Geschwindigkeit ein.
Die iperf Ergebnisse poste ich hier Mal.
An die öffentliche IP der OPNsense:
An die private IP (über den VPN-Tunnel):
Man sieht also, dass VPN schon eine signifikante Auswirkung hat. Aber auch ohne ist es zu langsam.
Die lokale OPNsense ist über VMWare ESXi virtualisiert.
Bufferbloat Ergebnis hier:
https://www.waveform.com/tools/bufferbloat?test-id=14595297-c22a-4549-8042-da6217ed9c08
Das scheint ja eigentlich nicht so schlecht zu sein. Wenn ich aber - wie gesagt - Dateien herunterlade, schläft mir nach kurzer Zeit die Geschwindigkeit ein.
Die iperf Ergebnisse poste ich hier Mal.
An die öffentliche IP der OPNsense:
Code: [Select]
c:\iperf>iperf3 -c XY -p 5201 -4 -P 1 -R
Connecting to host XY, port 5201
Reverse mode, remote host XY is sending
[ 4] local 192.168.132.222 port 59675 connected to XY port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 11.0 MBytes 91.6 Mbits/sec
[ 4] 1.00-2.00 sec 14.2 MBytes 119 Mbits/sec
[ 4] 2.00-3.00 sec 11.4 MBytes 95.3 Mbits/sec
[ 4] 3.00-4.00 sec 9.93 MBytes 83.3 Mbits/sec
[ 4] 4.00-5.00 sec 14.8 MBytes 124 Mbits/sec
[ 4] 5.00-6.00 sec 14.4 MBytes 120 Mbits/sec
[ 4] 6.00-7.00 sec 13.8 MBytes 116 Mbits/sec
[ 4] 7.00-8.00 sec 14.2 MBytes 119 Mbits/sec
[ 4] 8.00-9.00 sec 14.5 MBytes 121 Mbits/sec
[ 4] 9.00-10.00 sec 7.61 MBytes 64.0 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 126 MBytes 106 Mbits/sec 19 sender
[ 4] 0.00-10.00 sec 126 MBytes 106 Mbits/sec receiver
iperf Done.
c:\iperf>iperf3 -c XY -p 5201 -4 -P 1
Connecting to host XY, port 5201
[ 4] local 192.168.132.222 port 59735 connected to XY port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.01 sec 6.62 MBytes 54.9 Mbits/sec
[ 4] 1.01-2.01 sec 6.50 MBytes 55.0 Mbits/sec
[ 4] 2.01-3.01 sec 6.50 MBytes 54.1 Mbits/sec
[ 4] 3.01-4.01 sec 6.62 MBytes 55.6 Mbits/sec
[ 4] 4.01-5.00 sec 6.50 MBytes 55.0 Mbits/sec
[ 4] 5.00-6.01 sec 6.50 MBytes 54.0 Mbits/sec
[ 4] 6.01-7.01 sec 6.62 MBytes 55.8 Mbits/sec
[ 4] 7.01-8.01 sec 6.50 MBytes 54.3 Mbits/sec
[ 4] 8.01-9.01 sec 6.62 MBytes 55.8 Mbits/sec
[ 4] 9.01-10.01 sec 6.50 MBytes 54.8 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.01 sec 65.5 MBytes 54.9 Mbits/sec sender
[ 4] 0.00-10.01 sec 65.3 MBytes 54.8 Mbits/sec receiver
iperf Done.An die private IP (über den VPN-Tunnel):
Code: [Select]
c:\iperf>iperf3 -c 192.168.133.1 -p 5201 -4 -P 1
Connecting to host 192.168.133.1, port 5201
[ 4] local 192.168.132.222 port 59807 connected to 192.168.133.1 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.01 sec 3.62 MBytes 30.1 Mbits/sec
[ 4] 1.01-2.01 sec 3.25 MBytes 27.2 Mbits/sec
[ 4] 2.01-3.01 sec 4.00 MBytes 33.7 Mbits/sec
[ 4] 3.01-4.01 sec 3.62 MBytes 30.4 Mbits/sec
[ 4] 4.01-5.00 sec 4.00 MBytes 33.7 Mbits/sec
[ 4] 5.00-6.01 sec 4.00 MBytes 33.2 Mbits/sec
[ 4] 6.01-7.01 sec 3.50 MBytes 29.4 Mbits/sec
[ 4] 7.01-8.01 sec 3.62 MBytes 30.4 Mbits/sec
[ 4] 8.01-9.01 sec 3.88 MBytes 32.5 Mbits/sec
[ 4] 9.01-10.01 sec 3.88 MBytes 32.5 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.01 sec 37.4 MBytes 31.3 Mbits/sec sender
[ 4] 0.00-10.01 sec 37.2 MBytes 31.2 Mbits/sec receiver
iperf Done.
c:\iperf>iperf3 -c 192.168.133.1 -p 5201 -4 -P 1 -R
Connecting to host 192.168.133.1, port 5201
Reverse mode, remote host 192.168.133.1 is sending
[ 4] local 192.168.132.222 port 59853 connected to 192.168.133.1 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 4.53 MBytes 37.9 Mbits/sec
[ 4] 1.00-2.00 sec 4.56 MBytes 38.3 Mbits/sec
[ 4] 2.00-3.00 sec 5.38 MBytes 45.0 Mbits/sec
[ 4] 3.00-4.00 sec 4.09 MBytes 34.4 Mbits/sec
[ 4] 4.00-5.00 sec 3.96 MBytes 33.1 Mbits/sec
[ 4] 5.00-6.01 sec 5.67 MBytes 47.5 Mbits/sec
[ 4] 6.01-7.00 sec 3.47 MBytes 29.2 Mbits/sec
[ 4] 7.00-8.00 sec 3.66 MBytes 30.7 Mbits/sec
[ 4] 8.00-9.00 sec 5.43 MBytes 45.7 Mbits/sec
[ 4] 9.00-10.01 sec 4.21 MBytes 35.2 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.01 sec 45.2 MBytes 37.9 Mbits/sec 153 sender
[ 4] 0.00-10.01 sec 45.1 MBytes 37.8 Mbits/sec receiver
iperf Done.Man sieht also, dass VPN schon eine signifikante Auswirkung hat. Aber auch ohne ist es zu langsam.
Die lokale OPNsense ist über VMWare ESXi virtualisiert.
19
German - Deutsch / Re: Peformance-Probleme mit OPNsense
« on: November 18, 2022, 08:32:48 am »
Irgendwie scheint keiner richtig zu lesen. VPN als Ursache können wir - wenn ich nicht ein völliges Fehlverständnis habe - ausschließen. Mit dem Rest werde ich mich bei Gelegenheit befassen. Allerdings sind die Einwirkungsmöglichkeiten auf die Hardware äußert begrenzt.
20
German - Deutsch / Re: Peformance-Probleme mit OPNsense
« on: November 18, 2022, 08:30:10 am »
Es handelt sich um das Paket VPS 500 G10s.
Da ich keine nested virtualization betreibe (was mE bei Netcup auch nicht mehr möglich ist), handelt es sich um eine VM. Auf einem VPS kann ich auch nicht irgendwas zuweisen. Oder was meinst du?
Ich denke auch, dass etwas falsch konfiguriert ist. Genau darum geht es mir ja.
Da ich keine nested virtualization betreibe (was mE bei Netcup auch nicht mehr möglich ist), handelt es sich um eine VM. Auf einem VPS kann ich auch nicht irgendwas zuweisen. Oder was meinst du?
Ich denke auch, dass etwas falsch konfiguriert ist. Genau darum geht es mir ja.
21
German - Deutsch / Re: Peformance-Probleme mit OPNsense
« on: November 18, 2022, 12:40:38 am »
Welche Informationen würden noch weiterhelfen?
22
German - Deutsch / Re: Peformance-Probleme mit OPNsense
« on: November 15, 2022, 11:47:39 pm »
Sind alle virtualisiert, Basis ist KVM. Ich bin bei Netcup. Die Maschinen sind mittels VLAN (= zweite, rein interne, NIC) untereinander verbunden. Die externe NIC ist jeweils deaktiviert, bis auf der OPNsense, dort natürlich nicht. Internetverkehr läuft daher über diese.
23
German - Deutsch / Re: Peformance-Probleme mit OPNsense
« on: November 14, 2022, 10:36:05 pm »
Die Performance-Probleme habe ich auch bei einem Download ohne Nutzung des Tunnels (Server auf einer Seite lädt etwas aus dem Internet herunter), aber unter Einbeziehung der OPNsense. Es sollte daher kein Wireguard-Thema sein. Oder sehe ich hier etwas falsch?
MSS auf 1300 hier hat auch nichts gebracht.
MSS auf 1300 hier hat auch nichts gebracht.
24
German - Deutsch / Peformance-Probleme mit OPNsense
« on: November 13, 2022, 11:03:19 pm »
Guten Abend,
Ich habe eine VPN Site-to-Site-Verbindung zwischen meinem heimischen Netzwerk und einem gehosteten VLAN (250 Mbit/s). An beiden Enden fungiert jeweils eine OPNsense VM and Endpunkt. Das funktioniert grundsätzlich auch prima. Nur lässt die Geschwindigkeit stark zu wünschen übrig. Wenn ich Dateien kopiere, bekomme ich idR weniger als 3-5 MB/s, also ca. 15-25 Mbit/s, wobei dies stark schwankt und kurzzeitig auch bis ca. 1 MB/s runtergeht. Auch ein Download auf einen Server beim Hoster hinter der OPNsense beim Hoster ist entsprechend langsam. Es scheint also so, dass alles, was über die OPNsense läuft, zu Einbrüchen führt. Innerhalb des VLAN ist die Geschwindigkeit erwartungsgemäß.
Bitte nicht auf den Werten festnageln, letztlich sind Sie auf jeden Fall zu niedrig bei einer Download-Messung (iperf3 -R).
Die gehosteten Server sind grundsätzlich nicht öffentlich erreichbar, alles läuft also - abgesehen vom VLAN - über die OPNsense.
Mit iperf3 wurden diverse Messungen vorgenommen.
Zuhause habe ich 1 Gbit/s DL und 50 Mbit/s UL. Wenn ich nun eine Datei von Netcup nach Hause kopiere, wäre das nach meinem Verständnis ein Download. Die niedrigste Rate wäre dann das VLAN mit 250 Mbit/s. Das kann dann wohl kaum ein gewöhnliches Verhalten sein. In die andere Richtung ist die Geschwindigkeit aber ähnlich. Sie ist insgesamt recht wenig konstant .
Ich habe schon ein paar Dinge ohne Erfolg probiert und möchte eigentlich nicht weiter im Dunkeln herumtappen.
Was ich ausschließen kann, ist jedenfalls die CPU auf beiden Seiten. Die ist maximal bei 25-40 %, eher weniger.
Was ich zumindest versucht habe:
- hw.ibrs_disable under System->Settings-> Optimierungen auf "1"
- Schnittstellen->Einstellungen: CRC, TSO and LRO deaktiviert
- MTU auf 1400 oder 1300 auf Wireguard-Schnittstelle
Ich habe gelesen, dass man das Parent-Interface in der OPNsense aktivieren soll. Was genau das bedeuten soll, ist mir aber nicht klar.
Ich weiß nicht, wo ich ansetzen könnte, und bin daher über jede Hilfe dankbar.
Ich habe eine VPN Site-to-Site-Verbindung zwischen meinem heimischen Netzwerk und einem gehosteten VLAN (250 Mbit/s). An beiden Enden fungiert jeweils eine OPNsense VM and Endpunkt. Das funktioniert grundsätzlich auch prima. Nur lässt die Geschwindigkeit stark zu wünschen übrig. Wenn ich Dateien kopiere, bekomme ich idR weniger als 3-5 MB/s, also ca. 15-25 Mbit/s, wobei dies stark schwankt und kurzzeitig auch bis ca. 1 MB/s runtergeht. Auch ein Download auf einen Server beim Hoster hinter der OPNsense beim Hoster ist entsprechend langsam. Es scheint also so, dass alles, was über die OPNsense läuft, zu Einbrüchen führt. Innerhalb des VLAN ist die Geschwindigkeit erwartungsgemäß.
Bitte nicht auf den Werten festnageln, letztlich sind Sie auf jeden Fall zu niedrig bei einer Download-Messung (iperf3 -R).
Die gehosteten Server sind grundsätzlich nicht öffentlich erreichbar, alles läuft also - abgesehen vom VLAN - über die OPNsense.
Mit iperf3 wurden diverse Messungen vorgenommen.
Zuhause habe ich 1 Gbit/s DL und 50 Mbit/s UL. Wenn ich nun eine Datei von Netcup nach Hause kopiere, wäre das nach meinem Verständnis ein Download. Die niedrigste Rate wäre dann das VLAN mit 250 Mbit/s. Das kann dann wohl kaum ein gewöhnliches Verhalten sein. In die andere Richtung ist die Geschwindigkeit aber ähnlich. Sie ist insgesamt recht wenig konstant .
Ich habe schon ein paar Dinge ohne Erfolg probiert und möchte eigentlich nicht weiter im Dunkeln herumtappen.
Was ich ausschließen kann, ist jedenfalls die CPU auf beiden Seiten. Die ist maximal bei 25-40 %, eher weniger.
Was ich zumindest versucht habe:
- hw.ibrs_disable under System->Settings-> Optimierungen auf "1"
- Schnittstellen->Einstellungen: CRC, TSO and LRO deaktiviert
- MTU auf 1400 oder 1300 auf Wireguard-Schnittstelle
Ich habe gelesen, dass man das Parent-Interface in der OPNsense aktivieren soll. Was genau das bedeuten soll, ist mir aber nicht klar.
Ich weiß nicht, wo ich ansetzen könnte, und bin daher über jede Hilfe dankbar.
25
Virtual private networks / Opnsense Wireguard (routing) issues
« on: May 22, 2022, 08:19:34 pm »
Good evening,
I posted this topic at https://forum.opnsense.org/index.php?topic=28451.0, as well. As I am not sure, if or how soon I am going to receive an answer to my question there, I also post it here. I hope, this is allowed.
I setup Wireguard on opnsense, site to site.
So far, I can reach the local IP of opnsense at site b from site A. Unfortunately, I am not able to reach othere IPs at site B. From a device at site B I can't even reach the local opnsense IP at site A.
Site B is a VLAN, which means there is no router as standard gateway, where I could set some routes. Thinking logically, I suppose that I would need to set routes at the other devices at site B so they know which device to ask how to reach site A (have to ask opnsense at site B)
On the image attached there is the opnsense VM at site A missing (IP: 192.168.132.32). Opnsense at site B is on 192.168.133.1. There is windows running on 192.168.132.2.
Site A (home) is the red square on the left, site B is the red square on the right. At site A there is a VM with opnsense running (behind a router - Fritzbox), site B also has a VM but no router, instead a hoster's VLAN, to two NICs.
Allowed IPs at site A: 10.210.0.0/24 (after a hint on another board changed to /32) as well as 192.168.133.0/24
Allowed IPs at site B: 10.210.0.0/24 (after a hint on another board changed to /32) as well as 192.168.132.0/24
The Wireguard IPs at the two endpoints are 10.210.0.1 (site A) and 10.210.0.2 (site B)
Firewall site A:
- WAN rule with Wireguard Port, incoming, UDP, Gateway: standard
- Wireguard (Group): Source single host or network 10.210.0.0/32 as well as 192.168.133.0/24
Firewall site B:
the same, but IP range at second rule (Wireguard): 192.168.132.0/24
No other restrictions set via rules.
Blocking private networks in WAN interface at site A is deactivated.
What could be the issue?
I posted this topic at https://forum.opnsense.org/index.php?topic=28451.0, as well. As I am not sure, if or how soon I am going to receive an answer to my question there, I also post it here. I hope, this is allowed.
I setup Wireguard on opnsense, site to site.
So far, I can reach the local IP of opnsense at site b from site A. Unfortunately, I am not able to reach othere IPs at site B. From a device at site B I can't even reach the local opnsense IP at site A.
Site B is a VLAN, which means there is no router as standard gateway, where I could set some routes. Thinking logically, I suppose that I would need to set routes at the other devices at site B so they know which device to ask how to reach site A (have to ask opnsense at site B)
On the image attached there is the opnsense VM at site A missing (IP: 192.168.132.32). Opnsense at site B is on 192.168.133.1. There is windows running on 192.168.132.2.
Site A (home) is the red square on the left, site B is the red square on the right. At site A there is a VM with opnsense running (behind a router - Fritzbox), site B also has a VM but no router, instead a hoster's VLAN, to two NICs.
Allowed IPs at site A: 10.210.0.0/24 (after a hint on another board changed to /32) as well as 192.168.133.0/24
Allowed IPs at site B: 10.210.0.0/24 (after a hint on another board changed to /32) as well as 192.168.132.0/24
The Wireguard IPs at the two endpoints are 10.210.0.1 (site A) and 10.210.0.2 (site B)
Firewall site A:
- WAN rule with Wireguard Port, incoming, UDP, Gateway: standard
- Wireguard (Group): Source single host or network 10.210.0.0/32 as well as 192.168.133.0/24
Firewall site B:
the same, but IP range at second rule (Wireguard): 192.168.132.0/24
No other restrictions set via rules.
Blocking private networks in WAN interface at site A is deactivated.
What could be the issue?
26
German - Deutsch / Opnsense Wireguard (Routing) Probleme
« on: May 22, 2022, 12:22:00 am »
Guten Abend,
ich habe Wireguard auf opnsense, Site to Site, eingerichtet.
Ich kann nun auch von Standort A die lokale IP der opnsense an Standort B erreichen. Andere IPs im Netz B erreiche ich hingegen nicht. Von einem Gerät an Standort B aus erreiche ich an Standort A nicht einmal die lokale IP der opnsense.
Standort B ist ein VLAN, d.h. ich habe keinen Router als Standartgateway, wo ich Routen setzen könnte. Die Logik sagt mir aber, dass ich auf den weiteren Geräten an Standort B Routen setzen müsste, damit diese wissen, wen sie überhaupt fragen müssen, wenn sie das Subnetz von Standort A erreichen wollen (nämlich die opnsense an Standort B).
In dem anhängenden Schaubild fehlt noch die opnsense VM an Standort A (IP: 192.168.132.32). Die opnsense an Standort B befindet sich auf 192.168.133.1. Das Gerät 192.168.132.2 ist ein Windows-System.
Standort A (zuhause) ist das rote Quadrat links, Standort B das rote Quadrat rechts. An Standort A gibt es eine VM mit opnsense (hinter einer Fritzbox), an Standort B ebenfalls (da ist es aber in einem VLAN bei Netcup).
Allowed IPs an Standort A: 10.210.0.0/24 (Nach Hinweis in anderem Forum geändert auf /32) sowie 192.168.133.0/24
Allowed IPs an Standort B: 10.210.0.0/24 (Nach Hinweis in anderem Forum geändert auf /32) sowie 192.168.132.0/24
Die Wireguard IPs der beiden Endpunkte sind 10.210.0.1 (Standort A) und 10.210.0.2 (Standort B)
Firewall Standort A:
- WAN Regel mit Wireguard Port, eingehend, UDP, Gateway: standard
- Wireguard (Group): Quelle Einzelner Host oder Netzwerk 10.210.0.0/24 sowie 192.168.133.0/24
Firewall Standort B:
dasselbe, nur die zweite IP-Range bei der zweiten Regel: 192.168.132.0/24
Ansonsten keine Einschränkungen bei den Regeln.
Blockierung privater Netze in WAN Schnittstelle Standort A ist deaktiviert.
Wo kann das Problem liegen?
ich habe Wireguard auf opnsense, Site to Site, eingerichtet.
Ich kann nun auch von Standort A die lokale IP der opnsense an Standort B erreichen. Andere IPs im Netz B erreiche ich hingegen nicht. Von einem Gerät an Standort B aus erreiche ich an Standort A nicht einmal die lokale IP der opnsense.
Standort B ist ein VLAN, d.h. ich habe keinen Router als Standartgateway, wo ich Routen setzen könnte. Die Logik sagt mir aber, dass ich auf den weiteren Geräten an Standort B Routen setzen müsste, damit diese wissen, wen sie überhaupt fragen müssen, wenn sie das Subnetz von Standort A erreichen wollen (nämlich die opnsense an Standort B).
In dem anhängenden Schaubild fehlt noch die opnsense VM an Standort A (IP: 192.168.132.32). Die opnsense an Standort B befindet sich auf 192.168.133.1. Das Gerät 192.168.132.2 ist ein Windows-System.
Standort A (zuhause) ist das rote Quadrat links, Standort B das rote Quadrat rechts. An Standort A gibt es eine VM mit opnsense (hinter einer Fritzbox), an Standort B ebenfalls (da ist es aber in einem VLAN bei Netcup).
Allowed IPs an Standort A: 10.210.0.0/24 (Nach Hinweis in anderem Forum geändert auf /32) sowie 192.168.133.0/24
Allowed IPs an Standort B: 10.210.0.0/24 (Nach Hinweis in anderem Forum geändert auf /32) sowie 192.168.132.0/24
Die Wireguard IPs der beiden Endpunkte sind 10.210.0.1 (Standort A) und 10.210.0.2 (Standort B)
Firewall Standort A:
- WAN Regel mit Wireguard Port, eingehend, UDP, Gateway: standard
- Wireguard (Group): Quelle Einzelner Host oder Netzwerk 10.210.0.0/24 sowie 192.168.133.0/24
Firewall Standort B:
dasselbe, nur die zweite IP-Range bei der zweiten Regel: 192.168.132.0/24
Ansonsten keine Einschränkungen bei den Regeln.
Blockierung privater Netze in WAN Schnittstelle Standort A ist deaktiviert.
Wo kann das Problem liegen?
Pages: 1 [2]