Sehr langsames Internet über OPNsense

[W0nderW0lf]

Moinsen,

eine Frage an die Community. Was tun, wenn OPNsense bei der Geschwindigkeit der Bottleneck ist?
Ich hätte über meine Fritzbox 6591 zwischen 80-95 MBit/s. Über OPNsense erreiche ich nicht mal 200.
Der Schnitt liegt bei 10-18MBit/s Also gerade mal fast 20% der möglichen Geschwindigkeit.

Mein Netz:

      WAN / Internet
            :
            : Cable Fritzbox 6591 1Gbit
            :
      .-----+-----.
      |  Gateway  |
      '-----+-----'
            | 192.168.178.1/24
            |    + -------------------- TV + Firmen Notebook
    WAN |
            |
      .-----:-------.
      |  OPN:sense  +-------.
      |    |           |         |
      '-----:-------'         |
            |                    | Multimedia 192.168.50.1/25
            |
      LAN | MGMT 192.168.1.1/25           
             |
    ...-----+------... (Clients/Servers)



Aufgefallen ist mir die lahme Verbindung erst als ich den Web-Proxy eingeschaltet hab. Ich wollte Seiten einfach filtern und bei YouTube hat alles immer unglaublich lange gedauert. Generell hat das laden auf fast allen Seiten lange gedauert. Mit dem Proxy habe ich maximal  6MBit/s erreicht. Ich habe aber keine anderen Clients oder Server zu der Zeit im Betrieb gehabt. Somit kann ich schon mal ausschließen, dass andere Geräte die Bandbreite für sich beanspruchen. Wenn ich den Proxy abschalte, erreiche ich die oben angegeben 10-18.

Checkliste OPNsense:
- Die Intel J1900 CPU liegt im Schnitt unter 20%
- 8GB RAM zwischen 50 und 70%
- 4x 1GBit Intel NIC
- Auf der Fritzbox hat OPNsense ebenfalls 1Gbit zur Verfügung
- Config:

• Dynamisches DNS
• Suricata (WAN)
• Sensei (LAN)
• Maltrail
• Unbound DNS mit DoT
• OpenDNS filter
• IPv6 unterstützung mit IPv4 bevorzugt
• NAT Portforwarding Port 53 von LAN zu OPNsense
• Keine Firewall rule die sich auf die Geschwindigkeit auswirken könnte
• Alle Interfaces haben 1000T Base Full Duplex
• MTU 1500 (Default)

- Die Kabel sind CAT6

Weiß leider nicht was ich sonst noch checken könnte.
Danke vorab für jede Hilfe!

Grüße
-WW

[JeGr]

Stückweise die Sachen wegnehmen zum Debuggen, die die Kiste verlangsamen oder gleich einfach mal mit Standard Regeln/nach Installation testen.

Proxy weg,
IDS weg,
IPv6 weg

und dann stückweise nachschauen, WAS sich wie auswirkt. Die J1900 ist jetzt auch nicht die super-duper CPU mit Knaller Performance, ist so alt, dass sie nichtmal ein AES-NI Set hat und muss man auch mit im Auge behalten. "Im Schnitt unter 20%" kann auch heißen, dass sie trotzdem im Moment wenn du deine Geschwindigkeit testest ziemlich zu knabbern hat und danach wieder droppt.

Aber ein vollgestecktes System mit vielen Diensten Performance testen ohne vorher mal ein "nacktes" frischinstalliertes ohne Plugins, ist eher unpraktisch. So hat man keinen Vergleich vorher zu nachher.

Cheers
\jens

[W0nderW0lf]

Hi und danke!
Ich gucks mir morgen mal in aller ruhe mal an. Ich mach die am besten morgen mal Platt und füge mal die Dienste stück für stück wieder ein und teste.
Ich geb Feedback sobald ich schlauer bin!

[micneu]

Ich gebe JeGr mit der verwendeten Hardware recht, die CPU ist heute nicht der bringer (wie lange hast du die Hardware schon?)

Bei der eingesetzten Hardware würde ich ausfalle suricata weg lassen (belastet wahrscheinlich die CPU). Kannst du mal Hersteller und Model nennen, nach meinem Wissen wird mit der CPU auch gerne Realtek NIC verbaut (da hast du aber Glück das bei dir Intel verbaut ist)

Was für eine Internet Bandbreite hast du den bestellt/sollst du bekommen?

Gesendet von iPhone mit Tapatalk Pro

[W0nderW0lf]

Sodele... hab jetzt mal getestet und mit Werkseinstellung ohne konfigurierte Plugins erhalte ich über OPNsense die volle Bandbreite.
Sobald ich aber über suricata die ET Telemetry und Snort rules aktiviere und runterlade, schraubt sich die Geschwindigkeit auf 30% runter.
Meine Hardware habe ich aus dem "guten" alten China Land über Ali express bezogen. Hersteller heißt XCY. Ziemlich Noname und der Support für BIOS ist auch nicht existent. Bei 4x1,99 GHz dachte ich mir, da könnte nicht viel schief gehen. Es gibt leider auch kein Produktblatt mit den Technischen details zu den Kompenenten. Aber da mit Intel beworben wurde, gehe ich auch von Intel NIC's aus.
Da Suricata hier die Wurzel allen übels ist, stellt sich die Frage, brauche ich ein neues Gerät mit besserer CPU, oder kann ich Suricata mehr CPU Power zuteilen?

[micneu]

1. welche bandbreite?
2. brauchst du zwingend suricata?
3. wenn bei 2. ja. dann benötigst du eine bessere hardware, um abzuschätzen welche, währe spannend was du bei 1. antwortest. ich habe auch meine systeme bei aliexpress gekauft, suche einfach mal nach meinem system3, das könnte bei dir reichen. (suricata braucht auch etwas mehr ram)

[W0nderW0lf]

1. welche bandbreite?

Ohne Suricata ~ 90MB (Also mehr oder weniger fast meine ganze Glasfaser Geschwindikeit von Vodafone)
Mit Suricata ~30MB

2. brauchst du zwingend suricata?

Also ich entdecke regelmäßig Angriffsversuche aus dem Internet. Sensei vertraue ich da noch nicht so ganz. Sensei ist gut für die LAN seite. Da entdecke ich auch einiges das von meinen Clients raus geht. Würde das die Sicherheit in meinem Netz nicht verschlechtern, wenn ich Suricata einfach weg lasse?

3. wenn bei 2. ja. dann benötigst du eine bessere hardware, um abzuschätzen welche, währe spannend was du bei 1. antwortest. ich habe auch meine systeme bei aliexpress gekauft, suche einfach mal nach meinem system3, das könnte bei dir reichen. (suricata braucht auch etwas mehr ram)
[/quote]
Ist für mich halt ach eine Finanzielle Frage. Die 200€ habe ich noch ausm Arm schütteln können. Ich müsste nen abnehmer für die Kiste finden und noch etwas drauf legen, dann könnte das auch klappen.

[micneu]

zu 1. wollte ich wissen was du bei deinem provider genau gebucht hast (und bekommen sollst)
also, meine Core i7 hatte ich damals recht günstig bekommen (ich glaube das waren 450€ ohne ram und ssd).

[monstermania]

@W0nderW0lf
Ich würde mal auf suricata und sensei tippen!
Ehrlicherweise sehe ich in einem 08/15 Heimnetz nicht so recht den Nutzen von IDS/IPS (suricata) oder sensei. In meinem Heimnetz weiß ich ja, welche Geräte/User ich im Netzwerk habe.
In einem Unternehmen mit 100ten Usern und Devices sieht es natürlich Anders aus.

Ansonsten sehe ich nix, was Deine HW ans Limit bringen sollte. Ich lasse OPNsense auf einem alten D525 Atom laufen und komme auch mit aktivem Proxy auf die 100Mbit WAN Speed meines Internetanbieters.

@micneu
Hast Du ein Trauma seit der Nutzung von Realtek NIC!? 
Ich habe seit Jahren unterschiedliche OPNsense-Installationen mit Realtek HW vollkommen problemlos genutzt. Laufen absolut stabil. Hatte auch noch nie ein Flaschenhals durch die Realtek NIC.

[JeGr]

> Meine Hardware habe ich aus dem "guten" alten China Land über Ali express bezogen. Hersteller heißt XCY. Ziemlich Noname und der Support für BIOS ist auch nicht existent. Bei 4x1,99 GHz dachte ich mir, da könnte nicht viel schief gehen. Es gibt leider auch kein Produktblatt mit den Technischen details zu den Kompenenten. Aber da mit Intel beworben wurde, gehe ich auch von Intel NIC's aus.

Wo du die HW her hast, ist eigentlich irrelevant. Die J1900 sind ja überall verkauft worden. Aber die letzten 3-4 Jahre hab ich keine neuen Boxen mehr mit dem alten Chipsatz gesehen, darum die Frage und auch die Intention von Mic, ob das neue HW ist die du gekauft hast - dann hoffentlich spottbillig! - oder wie lang du die schon hast, denn das Ding ist nicht mal ansatzweise mehr SOTA (state of the art). Boxen mit der alten Celeron Gurke haben wir schon vor 4 Jahren aussortiert, weil die für Routing Einsatz echt mies war. Und heute sind Angaben wie 4x2GHz komplett sinnfrei weil du daran keine Performance festmachen kannst. Es sind 4 Kerne aber wie schnell die sind hängt stark von der Generation, der Bauweise und Interna wie Caches ab. Da kannst du heute einen i3 mit 1,6GHz nehmen und der dreht mit 2 Kernen trotzdem Kreise um die alte Kiste Zudem das eben eine tumbe Desktop CPU ist die nichtmal Basics wie AES-NI beherrscht!

Daher: 200€ für die alte Gurke (hoffentlich ist das schon länger her) ist eigentlich zu viel - zumindest als Routing Board. Als Desktop macht die vllt. irgendwas noch recht nettes Aber für 200€ bzw. für ein wenig mehr, bekommst du aktuell definitiv besseren Kram der auch läuft und nicht nur so tut als ob

Und wenn du nur 100-120Mbps hast, wäre selbst (*knirsch* ich mags fast nicht sagen) eine APU2 noch kräftig genug um ein wenig rumzufiltern.

@monstermania

Realtek NICs sollten bitte alle verbrannt und ausgeräuchert werden ARGH. Mir kam vor kurzem erst wieder eine unter die das Routing total versaut hat. Schön dass du noch nicht drübergefallen bist, aber die Dinger sind der letzte Murks.

[W0nderW0lf]

zu 1. wollte ich wissen was du bei deinem provider genau gebucht hast (und bekommen sollst)
also, meine Core i7 hatte ich damals recht günstig bekommen (ich glaube das waren 450€ ohne ram und ssd).

1Gbit und ich komm da auch zu 90% ran

@W0nderW0lf
Ich würde mal auf suricata und sensei tippen!
Ehrlicherweise sehe ich in einem 08/15 Heimnetz nicht so recht den Nutzen von IDS/IPS (suricata) oder sensei. In meinem Heimnetz weiß ich ja, welche Geräte/User ich im Netzwerk habe.
In einem Unternehmen mit 100ten Usern und Devices sieht es natürlich Anders aus.

Wie bereits erwähnt, sehe ich regelmäßig Angriffsversuche und denke mir eben, wenn ich es abschalten würde, hätten die doch ein leichtes Spiel, oder nicht?

Daher: 200€ für die alte Gurke (hoffentlich ist das schon länger her) ist eigentlich zu viel - zumindest als Routing Board. Als Desktop macht die vllt. irgendwas noch recht nettes Aber für 200€ bzw. für ein wenig mehr, bekommst du aktuell definitiv besseren Kram der auch läuft und nicht nur so tut als ob

Und wenn du nur 100-120Mbps hast, wäre selbst (*knirsch* ich mags fast nicht sagen) eine APU2 noch kräftig genug um ein wenig rumzufiltern.

Ich habe um die 180€ dafür vor 2 Jahren gezahlt.

[chemlud]

Wenn du keine Dienste auf dem WAN anbietest (Ports offen) und keine sinnlosen FW-Regeln auf dem WAN hast, die dir Löcher reissen, ist IDS/IPS auf dem WAN nicht wirklich eine Notwendigkeit. Oder brauchst du die ganzen (Fehl-)Alarme um dich täglich zu gruseln, wie böse doch die Welt da draussen ist? ;-)

Wenn deine Win-10 Rechner anfangen Malware aus dem Netz zu holen solltest du das auch auf dem entsprechenden LAN-Interface mit IDS/IPS finden...

[W0nderW0lf]

Wenn du keine Dienste auf dem WAN anbietest (Ports offen) und keine sinnlosen FW-Regeln auf dem WAN hast, die dir Löcher reissen, ist IDS/IPS auf dem WAN nicht wirklich eine Notwendigkeit. Oder brauchst du die ganzen (Fehl-)Alarme um dich täglich zu gruseln, wie böse doch die Welt da draussen ist? ;-)

Wenn deine Win-10 Rechner anfangen Malware aus dem Netz zu holen solltest du das auch auf dem entsprechenden LAN-Interface mit IDS/IPS finden...

Ich habe keine Ports nach draußen offen. Sollte Suricata oder Sensei, aber auch nicht machen, oder?
Ich verwende Sensei z.B. gerne um mich dieser ganzen fiesen Ad's zu entledigen die man mit dem Windows Defender jetzt nicht wirklich los wird. Generell möchte ich die Kommunikation von Windows einschränken. Z.B. macht Windows im Hintergrund ständig zeug ohne meine Erlaubnis, wie z.B. nach Android Geräten suchen, oder telemetrie an Microsoft übermitteln. Wie ich sowas sinnvoll in Firewall Regeln verpacke, weiß ich leider auch nicht so richtig.
Ich frage mich auch, wie würde ich denn einen Einbrecher erkennen, wenn IPS/IDS nicht mehr im Dienst wären? Die Firewall verfolgt ja nur strikt ihre Regeln, gibt aber keine Meldungen, wenn eingebrochen wurde und merken tut man das doch auch erst dann wenn es bereits zu spät ist?
Ich habe die Firewall zwar schon eine Weile, aber ich befinde mich noch immer im Anfangsstadium des Lernprozesses.

[micneu]

Ich habe um die 180€ dafür vor 2 Jahren gezahlt.

hmmm, ich würde sagen einfach was ordentliches neukaufen. und du hast einen  1GBit UP/DOWN? bei welchem provider, wo bekomme ich sowas für zuhause, will auch haben?

[chemlud]

Also ick lese da

Code: [Select]

Ohne Suricata ~ 90MB (Also mehr oder weniger fast meine ganze Glasfaser Geschwindikeit von Vodafone)
Mit Suricata ~30MB
;-)

Wenn du IDS/IPS und Sensei betreiben willst, würde ich etwas bessere Hardware in Erwägung ziehen. MS die Telemetrie abgewöhnen kann man mit Blocklisten probieren, ist aber eine Hase-Igel-Spiel und bei Win10 wird es wohl auch nicht mehr funktionieren. Probier doch mal die Win10-Kisten in ein eigenes Netz zu stecken und unterbinde allen Verkehr raus. Viel Glück! ;-)