[SOLVED] Nur 10Mbps auf WAN Nic

[sunghost]

Hi,
ich habe PVE mit Kernel 5.3.18-3 und 2 Nics installiert. Als KVM läuft eine Firewall die jedoch auf dem WAN max. 10Mbps durchlässt. Die Nics auf dem Hyper als auch der VM werden mit 1.000Mbits FH angezeigt. Im LAN kann ich mit über 90Mbits kopieren. Alles was jedoch ins WAN geht, bleibt bei max 10Mbps hängen, obwohl ich 50Mbits max habe. Teste ich direkt am Modem komme ich auf 46-51Mbps. In der Firewall ist nichts weiter als Portforwarding konfiguriert, kein Traffic-Shaping oder irgend eine Limitierung. Als Nic der VM habe ich schon E1000 als auch virtio getestet, aber ohne Erfolg.

Hat noch jemand eine Idee?

thx

 

[gmed]

Welche Firewall läuft da als VM?

Gilt die Begrenzung von 10MBit für den Upload (VDL-Limit?) oder auch für den Download?
(nur um Mißverständnisse zu vermeiden)

 

[sunghost]

Hi,
OPNsense. Die Leitung kann 50Mbits Down und 10Mbits bzw. 1MB kommen an. kopieren ich auf dem selben Hypervisor von einer KVM auf die andere, dann sind es 50-80MB. Mit dem Provider habe ich auch schon gesprochen, demnach ist die Leitung störungsfrei, was ja mein Test direkt am Modem bestätigt.

 

[gmed]

Wie kommt der WAN-Port der OpenSense an's DSL-Modem/ Gateway?

Sprich wie schaut die Netzwerkkonfiguration für die OpenSense aus und wie die vom Host?

 

[sunghost]

Hi auf dem Host sind beide 1Gbits Karten als Bridge konfiguriert (vmbr0 = WAN und vmbr1 = LAN). Der VM ist dann je eine E1000 Nic mit Bridge zu vmbr0 bzw. die zweite zu vmbr1 zugewiesen. (Default MTU 1500)

 

[gmed]

Also so ? :


Wie schaut die Konfiguration von der vmbr0 aus?
Geht das über einen Gateway-Router oder ein xDSL-Modem?
(PPPOE oder nicht?)

 

[sunghost]

ICO Host ist NIC0 Host, falls es nicht das selbe bedeutet . vmbr0 ist bridged auf NIC0 Host mit fester IP und Gateway der Firewall. Von dort geht die Verbindung auf das Modem / Router des Provider das per VDSL verbunden ist.

 

[gmed]

Dann sollte das so aussehen:


Die IP-Adressbereiche sind natürlich Dummys und ob IC0 oder NIC0, hauptsache man versteht sich

 

[sunghost]

Ja so müsste es sein, danke für deine Zeit und Aufwand.

 

[gmed]

Müsste ist nicht ist.
Gleich das mal ab.
Vor allem, das vmbr0 keine IP und keinen GW Eintrag hat.
Dafür das WAN-IF der Opensense die IP und den Gateway-Eintrag.

Die andrren VM's hängen alle an vmbr1?

 

[sunghost]

Ja dachte mir schon, das das kommt , ist auch ok. Ja vmbr0 = WAN hat keine IP und vmbr1= LAN hat eine IP und als GW die der FW.

 

[gmed]

Schön,

dann wird's jetzt sportlich:
Stöpsle dein Patchkabel aus NIC0 raus und kontrollier, ob das voll beschaltet ist.

Is mein Ernst. Erst vorletzte Woche Riesendrama, weil ein neu geschalteter VDSL nicht "hoch kam" -> falsches Patchkabel verwendet, dummes Gesicht beim Telekomiker und das übliche "hatte ich noch über"-Gedöns.
Dann mit mii-tool mal auf dem Host schauen, ob der Link an Nic0 1GB VD hat.
Screenshot vom Dashboard der OpnSense wäre cool.

 

[sunghost]

Kabeltest:
Hatte ich auch schon getestet - am selben Kabel mein Notebook angeschlossen = ok.

Nic mii-tool Test:
Habe ethtool genommen, aber ja 1GBit FD.

 

[gmed]

Guten Morgen,

Anbei mal 3 Screenshots aus unseren Testsystemen:

CP1
Kopiert wird einmal eine DVD-ISO durch einen OpnSense auf eine VM, welche auf dem selben Host sitzt, wie die OpnSense.
-> max. 20 - 25 MBit/s

CP2
Dabei ist die CPU des Hosts hoch belastet. Was im Screenshot noch 40% ist, wurde später in der Spitze bis zu fast 70%

CP3
Der gleiche Kopiervorgang direkt ohne die OpnSense dazwischen erreicht dann fast 90MBit/s.

In meinem Fall ist das Problem nicht die ausgehandelte Netzwerkgeschwindigkeit/ Kabel oder Firewall-Gedöns.
Unser Testsystem hat schlichtweg nicht die nötige Wuppsidität um das Routing so zügig umzusetzen, dass die volle Bandbreite erreicht wird.

Dabei hat die OpnSense-VM in unserem Testszenario als CPU die Standart KVM-CPU 64Bit mit einem Sockel und 2 Kernen.

Solange du keine Angaben zu deiner Konfiguration/ Hardware machst, kann nicht gut geholfen werden.

 

[sunghost]

Hi,
mh könnte an der CPU liegen, was mich dennoch wundern würde. Anbei ein Screen zum Zeitpunkt der 10Mbits im Down aus dem WAN:



HW ist ein Zotac CI327 Nano. Hier im Beitrag läuft die Kiste ohne Probleme: https://forum.opnsense.org/index.php?topic=9714.15 , allerdings wohl direkt auf dem Gerät und ohne PVE

 

[gmed]

Wenn das ganze Nativ läuft, hat die CPU nicht viel zu tun.
Dann läuft das Meiste direkt über die Schnittstellen etc.
Kommt da ne Virtualisierung dazwischen, muß die CPU das ganze Gedöns (Schnittstellen, Chipsatz...) ja emulieren.
Evtl. kann die Umstellung auf virtio hier noch etwas Besserung bringen, aber viel wirds nicht bringen.

Ich denke, dass es an der CPU im Host liegt, zumal die eh etwas arg schwach ist.

 

[sunghost]

Ja klar, frisst die Virtualisierung Ressourcen, aber dennoch würde ich davon ausgehen, dass es generell in dieser Konstellation funktionieren sollte. Ich habe keine VPN Verbindungen, keinen Proxy oder andere Caching, Filter -Konfigurationen, noch IDS etc. D.h. eigentlich wird "nur" NAT gemacht. Wie ich eingangs schrieb, virtio für die NICs habe ich ausprobiert, war gleich bzw. für die kurze Betrachtung eher etwas geringer in der Performance.

 

[sunghost]

Hi,
auf deinem System muss doch mehr als mehr mir laufen. Allein die RAM Auslastung ist wesentlich höher. Hast du IDS, VPN etc. laufen?

 

[gmed]

Da lief bei dem Test noch ein Windows-Server 2019, auf den ich durch die OpnSense kopiert habe.
Und obwohl meine CPU ein gutes Stück potenter ist, als dein Celeron, musste die ganz schön ackern und dabei lief in der Server-VM nur dieser Kopiervorgang.
OpnSense war taufrisch, ohne Firewall etc. pp.

Deine Zweifel sind verständlich, aber manchmal ist eine Ente eben eine Ente und kein Schwan.
Was die Ente nicht abwertet aber halt mal so ist.

 

[sunghost]

Ich hatte hier noch einen NUC5PPYH und eben mit aktuellem PVE und OPNs installiert. Als 2. Nic für das WAN habe ich einen USB-100Mbit Stick verwendet. Screen anbei....