OPNsense Proxmox

[Rocker]

Hallo liebe Community,

ich betreibe meine OPNsense unter Proxmox, und das funktioniert auch alles sehr gut!

nur hab ich eine meiner Meinung sehr hohe CPU Last wenn ich die Leitung (25000 DSL) auslaste.

Meine Frage nun ist das normal?
oder habe ich evtl an der Konfiguration etwas falsch gemacht?
Bzw. gibt es eine Möglichkeit den Qemu Agent zu installieren?

Ich habe ein paar Bilder angefügt, dort sieht man die Konfiguration und die Auslastung (es war ein Steam Download)

Vielen Dank!

Gruß Rocker

[ruffy91]

Hallo Rocker,

Verwendest du IPS/Suricata?
Wie sieht es aus wenn du VMXNET3 oder VirtIO anstatt der e1000 verwendest. VirtIO sollte beste Performance ohne IPS geben und VMXNET3 mit IPS nach meinem aktuellen Kentnisstand.
Stelle weiterhin sicher das du TSO und LRO deaktiviert hast. (sind sie standardmässig)

[Rocker]

meinst du Intrusion prevention?

das habe ich aktiviert,

was ist TSO und LRO?

Vielen Dank

Gruß Rocker

[guest18611]

Hi,

TSO und LRO findest du unter Interfaces -> Settings.

Wenn du Intrusion Prevention/IPS aktiviert hast sollten dort CRC, TSO und LRO ausgeschaltet sein.

[Rocker]

Hallo

Danke für deine Antwort,
Es ist alles deaktiviert.
Ich muss morgen mal mit den verschiedenen VM Optionen spielen.

Gruß Rocker

[ruffy91]

Welche Intrusion Prevention Regeln hast du denn aktiviert? Die fressen recht CPU wenn jedes Paket überprüft wird.

[lewald]

Warum verwendest Du keine Hardware Virtualisierung für die Opnsense im Proxmox ?
Unterstützt Dein Rechner dies nicht ?

[Rocker]

Hallo,

wie meinst du das?
ich nutze einen Dell T20 mit Xeon.

Vielen Dank

Gruß Rocker

[mimugmail]

Hallo Rocker,

Verwendest du IPS/Suricata?
Wie sieht es aus wenn du VMXNET3 oder VirtIO anstatt der e1000 verwendest. VirtIO sollte beste Performance ohne IPS geben und VMXNET3 mit IPS nach meinem aktuellen Kentnisstand.
Stelle weiterhin sicher das du TSO und LRO deaktiviert hast. (sind sie standardmässig)

VirtIO und IPS vertragen sich nicht, bitte nur e1000 oder vmx

[lewald]

Hallo,

wie meinst du das?
ich nutze einen Dell T20 mit Xeon.

Vielen Dank

Gruß Rocker

Nun in Deinem Screennshot von der opnsense steht als CPU TYP eine virtuelle CPU drin. Bei Hardware Virtualisierung würde da aber Xeon stehen. Du hast beim erstellen der VM keine Hardware Virtualisierung ausgewählt.

[Rocker]

Hallo,

Ich habe bei der Erstellung absichtlich Qemulated verwendet, da, ich mit FreeBSD die Erfahrung gemacht habe, dass es  in der Virt-Umgebung zumindest auf meinem Dell T20 besser läuft (da gab es unter anderem Hänger beim reboot usw)

Ich teste KVM oder HOST-CPU mal durch und schau was passiert

Gruß Rocker

[lewald]

Ich habe hier in 4 verschiedenen Installationen mit Opnsense und Proxmox immer Host CPU.
Weil das ist HW virtualisiert. Habe aber immer nur das normale Bios. Läuft hier eigentlich rund.

[ruffy91]

In dem Fall mit IPS CPU auf host stellen und IPS auf hyperscan umstellen dann dürftest du einiges mehr an Durchsatz mit geringerer Last erhalten.

[Rocker]

Hallo,

das werde ich heute auf jeden Fall noch versuchen!
Ich werde vom Ergebnis berichten.

Vielen Dank


Gruß Rocker

[Rocker]

Hallo,

so ich hab das Ganze mal probiert,
leider ist kein Unterschied zu erkennen.
CPU ist jetzt Host, und die Einstellung für IPS Hyperscan.
Zusätzlich zu der hohen CPU Last kommt das IO-Delay.
Anbei ein paar Bilder zum veranschaulichen.

ist es evtl. möglich, dass bei einem Steam download alles durch den squidguard geschoben wird und daher die hohe Last kommt?
...denn ich habe die Intrusion Prevention komplett deaktiviert, aber ich sehe keinen Unterschied an der CPU Last.


Vielen Dank

Gruß Rocker