[geloest] Firewall Durchsatz wird nicht erreicht

[ascii]

Hallo zusammen,

ich bin neu in dem OPNsense Thema.
Aktuell evaluiere ich es für einen möglich einsatz.
Anforderung ist 1Gbit Durchsatz.

das ganze habe ich auch schon im Englischen Teil des Forums gepostet. Aber im deutschen bin ich etwas fitter als im Englischen. https://forum.opnsense.org/index.php?topic=15944.0

Aktuell teste ich auf einem Dell PowerEdge R220 mit Intel(R) Xeon(R) CPU E3-1220 v3 @ 3.10GHz (4 cores) und 4GB of RAM.
Onboard sind 2 broadcom Netzwerkkarten. Via PCIe ist noch eine dual NIC von Intel drin.
BIOS und Firmware der NICs habe ich schon aktualisiert.

Testaufbau sieht so aus
Laptop 1 -> Switche -> LAN OPNsense -> WAN OPNsense -> switch Laptop2
Leider schwankt der Durchsatz oder sehr und erreicht keinen LineSpeed.
Von dem was ich im Hardware Guide gelesen habe sollte die Hardware aber locker ausreichen.

laptop 1 lenovo x230t mit kali linux
laptop 2 lenovo x280 mit win10
auf beien läuft iperf3

laptops direkt miteinander verbunden

Code Select Expand

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-90.00  sec  9.78 GBytes   934 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  9.78 GBytes   933 Mbits/sec                  receiver

laptops jeweils an den swittch angebunden

Code Select Expand

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-90.00  sec  9.78 GBytes   933 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  9.78 GBytes   933 Mbits/sec                  receiver

jetzt über den Dell mit OPNsense

broadcom LAN zu broadcom WAN

Code Select Expand

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-90.00  sec  7.02 GBytes   670 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  7.02 GBytes   670 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  5.89 GBytes   563 Mbits/sec    1             sender
[  5]   0.00-90.00  sec  5.89 GBytes   563 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  5.91 GBytes   564 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  5.91 GBytes   564 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  5.91 GBytes   564 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  5.91 GBytes   564 Mbits/sec                  receiver


broadcom LAN zu intel WAN

Code Select Expand

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-90.00  sec  7.95 GBytes   759 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  7.95 GBytes   759 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  6.07 GBytes   579 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  6.07 GBytes   579 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  7.98 GBytes   762 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  7.98 GBytes   762 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  7.97 GBytes   761 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  7.97 GBytes   761 Mbits/sec                  receiver


intel LAN zu intel WAN

Code Select Expand

[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-90.00  sec  8.88 GBytes   848 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  8.88 GBytes   848 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  6.26 GBytes   598 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  6.26 GBytes   598 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  6.26 GBytes   598 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  6.26 GBytes   598 Mbits/sec                  receiver

[  5]   0.00-90.00  sec  8.89 GBytes   848 Mbits/sec    0             sender
[  5]   0.00-90.00  sec  8.89 GBytes   848 Mbits/sec                  receiver

ich kann mir nicht erklären warum der Durchsatz bei den Tests immer schwank.
Es ist nicht anderes am Switch oder an dem Server angeschlossen.

ich habe OPNsense auch mal mit Firewall deaktiviert gestestet. Also nur als router. Gleiches Ergebnis.

unter den tunableables habe ich

Code Select Expand

kern.ipc.nmbclusters="1000000"
hw.bge.tso_enable=0
hw.pci.enable_msix=0

eine CPU Auslastung mit top konnte ich auch nicht sehen.

Ich bin ratlos was ich noch versuchen kann. Mit BSD kenne ich mich auch nicht aus.

[micneu]

kannst du mal bitte einen netzwerkplan zeichnen. was hast du für firewall regeln erstellt oder ist die sense out of the box also ohne eigene regeln? die sense läuft auch direkt auf dem blech und nicht virtualisiert?

[ascii]

bis jetzt erst mal out of the box.
mit default any und NAT

bis jetzt ist auch noch nix verbaut.
liegt alles auf meinem schreibtisch.

switch mit 2 vlans, 1 als LAN und 1 als WAN
daran sind die bieden laptops und der dell server.
genau läuft direkt auf dem blech.

macht auch keinen unterschied wenn ich die beiden laptops direkt an den server anschließen and den LAN bzw. WAN Port.

[micneu]

Wie wird die Messung gemacht?
Mit iperf?


Gesendet von iPhone mit Tapatalk Pro

[ascii]

Ja genau mit iperf3.

Der Laptop auf der WAN Seite ist der iperf Server mit iperf3 -s
der Laptop im LAN somit der Client mit Standard Aufruf iperf -c <IP Laptop WAN>

[lewald]

Hatte ähnliches.
Es war das Hardware VLan Filtering an.
Ich habe das auf disable gestellt. Muss allerdings dazu sagen das die OPNsense
virtuell läuft. Seit dem habe ich durchgängig 900 bis 850 im up- und download.
Auf unserer Maschine im Internet.

Ist unter -> http(s)://IP_opnsense/system_advanced_network.php zu finden.

[ascii]

dank für den Tipp.
habe ich gerade ausprobiert.
Leider macht es keine Unterschied ob Hardware vlan filtering enabled oder disabled ist.

Weiterhin mal ca. 600Mbit mal ~830Mbit

aus meinem Englischen Port hat bartjsmit mir empfohlen mir mal die MTU anzuschauen.
Ich habe jetzt auf der LAN seite Jumbo Frames mit 9.000 MTU
Den Speed bekomme ich jetzt hoch auf ca ~ 930Mbits. aber leider nur bei ca 20-30% der Versuche. Die anderen hängen immer bei 670Mbits.

Code Select Expand

~# iperf3 --client 192.168.178.5 -t 5
Connecting to host 192.168.178.5, port 5201
[  5] local 10.68.133.5 port 59666 connected to 192.168.178.5 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec   111 MBytes   933 Mbits/sec    0   69.3 KBytes       
[  5]   1.00-2.00   sec   111 MBytes   932 Mbits/sec    0   69.3 KBytes       
[  5]   2.00-3.00   sec   111 MBytes   934 Mbits/sec    0   69.3 KBytes       
[  5]   3.00-4.00   sec   111 MBytes   932 Mbits/sec    0   69.3 KBytes       
[  5]   4.00-5.00   sec   111 MBytes   933 Mbits/sec    0   69.3 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-5.00   sec   556 MBytes   933 Mbits/sec    0             sender
[  5]   0.00-5.00   sec   556 MBytes   932 Mbits/sec                  receiver

iperf Done.
~# iperf3 --client 192.168.178.5 -t 5
Connecting to host 192.168.178.5, port 5201
[  5] local 10.68.133.5 port 59670 connected to 192.168.178.5 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  80.2 MBytes   673 Mbits/sec    0   69.3 KBytes       
[  5]   1.00-2.00   sec  79.7 MBytes   669 Mbits/sec    0   69.3 KBytes       
[  5]   2.00-3.00   sec  80.0 MBytes   671 Mbits/sec    0   69.3 KBytes       
[  5]   3.00-4.00   sec  79.8 MBytes   670 Mbits/sec    0   69.3 KBytes       
[  5]   4.00-5.00   sec  79.2 MBytes   665 Mbits/sec    0   69.3 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-5.00   sec   399 MBytes   669 Mbits/sec    0             sender
[  5]   0.00-5.00   sec   399 MBytes   669 Mbits/sec                  receiver

iperf Done.