Seltsame Einträge im Live View

[kosta]

Also gut, dafür kann die Firewall erstmal nichts wenn die Pakete dahin gesendet werden. Richtig?

Richtig.

Falls ja dann ist das ja genau das Problem: die Firewall merkt dies und gibt dir die Log Ausgabe.

Auch richtig von der Firewall aus, die Pakete zu blocken, die die nicht einsortieren oder klassifizieren kann.

Falsches Kabel, Switch Config versemmelt oder ARP Tabelle vollgelaufen. Die Ursache ist letztlich abseits der Firewall zu suchen.

Ich hab schlechte Performance mit VMXNET3 und Linux gehabt, daher da herumgedreht. Aber bei der Synology nix. Die war immer schon auf 4NIC Trunk. Ich werde versuchen abseits der Firewall zu suchen.

Schwierige Frage...

Ich werde auf jeden Fall rund um Synology suchen.

Hat mir schon sehr geholfen!

[lfirewall1243]

Also gut, dafür kann die Firewall erstmal nichts wenn die Pakete dahin gesendet werden. Richtig?

Richtig.

Falls ja dann ist das ja genau das Problem: die Firewall merkt dies und gibt dir die Log Ausgabe.

Auch richtig von der Firewall aus, die Pakete zu blocken, die die nicht einsortieren oder klassifizieren kann.

Falsches Kabel, Switch Config versemmelt oder ARP Tabelle vollgelaufen. Die Ursache ist letztlich abseits der Firewall zu suchen.

Ich hab schlechte Performance mit VMXNET3 und Linux gehabt, daher da herumgedreht. Aber bei der Synology nix. Die war immer schon auf 4NIC Trunk. Ich werde versuchen abseits der Firewall zu suchen.

Schwierige Frage...

Ich werde auf jeden Fall rund um Synology suchen.

Hat mir schon sehr geholfen!

Warum erwähnst du nicht von Anfang an, dass du Performance Probleme hattest und deshalb an deinem Netzwerk rumgebastelt hast?
Hätte dir und uns viel Zeit gespart

[kosta]

Sehe ich nicht so. Es ist für mich noch immer nicht klar ob das in irgendeiner Weise damit in Zusammenhang steht.

[lfirewall1243]

Sehe ich nicht so. Es ist für mich noch immer nicht klar ob das in irgendeiner Weise damit in Zusammenhang steht.

Sage ich ja auch nicht.
Dennoch ist es eine wichtige Info um das Thema einzugrenzen oder richtig anzugehen.

[kosta]

Das schon. Und ich erwähnte es genau dort, wo ich gesehen habe, dass es eventuell eine Verbindung dazu geben könnte.

[lfirewall1243]

Das schon. Und ich erwähnte es genau dort, wo ich gesehen habe, dass es eventuell eine Verbindung dazu geben könnte.

Wie auch immer

Dennoch wäre ein Netzwerkplan wichtig.

[kosta]

Ich hab mir die Sache jetzt mit Wireshark unter die Lupe genommen.
Grundsätzlich sehe ich ein PSH,ACK von NAS ausgehend Port 2049 (NFS) zu einem Server (der die NAS über NFS gemountet hat). No. 60 und 121 sind genau die Pakete die im Live View erscheinen. Es sind Duplicate ACKs.
Und hier scheint die OPNsense die Pakete zu blocken.

Ich untersuche weiter, insbesondere im Bereich der NIC Wechsel usw...

[kosta]

Und das hat mich zur Lösung des Problems geführt:
Trunk Type auf dem Switch-Port (10GBit) für den Server war auf Static und nicht LACP. (die NAS, die über 4 Ports angeschlossen ist, ist LACP konfiguriert).
Jetzt ist alles wieder gut.

Aber, interessante Erfahrung. Warum führt die Umstellung auf "Static" dazu, dass zwar alles weiterhin funktioniert aber so viele Retransmissions vorkommen? Und dass die OPNsense dabei die Pakete auch sieht, finde ich spannend, da diese eigentlich den Switch ja gar nicht verlassen dürften, oder?

[lfirewall1243]

Und das hat mich zur Lösung des Problems geführt:
Trunk Type auf dem Switch-Port (10GBit) für den Server war auf Static und nicht LACP. (die NAS, die über 4 Ports angeschlossen ist, ist LACP konfiguriert).
Jetzt ist alles wieder gut.

Aber, interessante Erfahrung. Warum führt die Umstellung auf "Static" dazu, dass zwar alles weiterhin funktioniert aber so viele Retransmissions vorkommen? Und dass die OPNsense dabei die Pakete auch sieht, finde ich spannend, da diese eigentlich den Switch ja gar nicht verlassen dürften, oder?

Denke der switch merkt da passt was nicht und wechselt in den Hub Modus.
Dann wird so gut wie alles auf alles Schnittstellen geschickt

[kosta]

Ich will jetzt nicht großgoschat reden, aber von HP Aruba tät ich mir sowas blödes nicht erwarten.

[lfirewall1243]

Ich will jetzt nicht großgoschat reden, aber von HP Aruba tät ich mir sowas blödes nicht erwarten.

Ist nichts blödes sondern die logische Konsequenz.
Der switch arbeitet dann mit einer Leitung die auf der anderen Seite ganz anders konfiguriert ist, dies gibt bei beiden Endpunkten ein riesen Netzwerkchaos und kostet auch Performance.

Eine Seite schickt dann ja Pakete über mehrere Ports raus die eigentlich zusammengehören und die andere Seite denkt "was soll der quatscht".

Sobald der switch erkennt "okay ist zu viel für mich", geht er in einen Error Modus um die Funktionalität zu gewährleisten und fungiert dann nur eingeschränkt, oft als reiner HUB.
Also sei froh dass er das macht und nicht alles lahmlegt.

Hast du kein Monitoring? Eigentlich werden dabei dann Logs  ausgegeben

[kosta]

"Verstehe". Wieder was gelernt.

Hast du kein Monitoring? Eigentlich werden dabei dann Logs  ausgegeben

Hab mich mit dem Switch-Monitoring Thema noch nie auseinandergesetzt.