Posts by CaptTaifun

Habe nun mal eine Portweiterleitung in der pfSense eingerichtet, Port 5001 zu der IP meiner VM, TCP/UDP.

iperf Server in der VM mit jenem Port gestartet und 2 Tests zwischen meinem Rechner hier und der VM durch die pfSense durchgeführt:

iperf mit TCP:

pasted-from-clipboard.png

iperf mit UDP:
pasted-from-clipboard.png

Führe ich den Test zwischen PC und pfSense durch, dann siehts wie folgt aus:
iperf mit TCP:
pasted-from-clipboard.png

iperf mit UDP:

pasted-from-clipboard.png

Hoppla, danke dir. Hatte ich ja komplett übersehen.

Hab ich jetzt geändert, jetzt war curl ziemlich schnell installiert.

Also hier:

Download:

curl ftp://speedtest.tele2.net/1GB.zip -o speedtest.zip

pasted-from-clipboard.png

Upload:

fallocate -l 1G test.img
curl -T test.img ftp://speedtest.tele2.net/upload/

pasted-from-clipboard.png

Ich habe nun folgenden Test am Proxmox Host durchgeführt:

Download:

curl -T speedtest.zip ftp://speedtest.tele2.net/upload/

pasted-from-clipboard.png

Upload:

curl -T speedtest.zip ftp://speedtest.tele2.net/upload/

pasted-from-clipboard.png

Hier sehen die Geschwindigkeiten einigermaßen normal aus, vorallem die Upload Geschwindigkeit ist höher (Hatte gelesen, dass speedtest-cli wohl irgendwie Probleme hat, wenn es um virtualisierte NICs geht oder so).

Nun wollte ich das Ganze mal in der VM selbst testen, kann sich ja nur um Stunden handeln:

apt install curl -y

pasted-from-clipboard.png

Beides eben sicherheitshalber nochmal geprüft, kann ich aber bestätigen. Habe bei pfSense allerdings alle offloading Sachen abgeschalten (davor nur checksum, hatte aber auch nichts gebracht). Was mich halt wundert ist, dass selbst der Proxmox Host eine so geringe Geschwindigkeit hat. Klar, der Guest läuft über die Bridge, nicht übers WAN vom Host, aber dennoch. Die pfSense scheint ja keine Probleme zu haben, was Up- und Download betrifft. Die Verbindungen zwischen den Geräten übers vLAN passt ebenfalls. Vielleicht ein Fehler im Proxmox Host?

Habe nun noch ein paar andere Tests durchgeführt, hier die Ergebnisse:

#########################

# iperf Tests

#########################

Proxmox Guest --> pfSense

pasted-from-clipboard.png

pfSense --> Proxmox Guest

pasted-from-clipboard.png

#########################

# speedtest-cli Tests

#########################

Von pfSense:

pasted-from-clipboard.png

Von Proxmox Guest:

pasted-from-clipboard.png

Von Proxmox Host:

pasted-from-clipboard.png

Proxmox habe ich bereits neu aufgesetzt, die MTU der vLAN Interfaces habe ich wieder auf 1500 gesetzt (zuvor 1300)
Es ist halt echt schlimm, weil apt update im Proxmox Guest bspw. Ewigkeiten dauert, wieso weshalb warum, keine Ahnung.

Hat einer eine Idee?

Guten Tag, ich mal wieder.

Nachdem ich nun herausgefunden habe, wie ich meine Proxmox Guests von der pfSense aus erreichen kann, habe ich nun ein anderes Problem:

Die Downloadgeschwindigkeit von meinen Guests beträgt max 40KB/s.

Ich teste es gerade, in dem ich das Debian Image runterlade.

pasted-from-clipboard.png

Der Guest hat als Interface die vmbr1 drinnen, welche das Interface fürs vLAN bridged. Gateway ist die pfSense.

Ich dachte es läge daran, dass ich das Cloud vLAN Free genutzt habe, weshalb ich vLAN Medium bestellt habe. Aber nein, das scheint nicht das Problem zu sein. Ich habe nun iperf3 zwischen pfSense und Guest laufen lassen, da bekomme ich nun um die 480 Mbits/s.

Ein Speedtest am Guest mit dem Debian Paket "speedtest-cli" gibt mir gerade 7 Mbit/s down, 3 Mbit/s up.

Ich habe die MTU von den Interfaces auf 1300 gesetzt (laut diesem Thread):

https://forum.netcup.de/admini…highlight=kbit#post111238

Weiß einer woran das liegen könnte ? IPv6 verwende ich nirgends, lediglich IPv4

Also dann, ich denke ich habe mich einfach ziemlich dämlich angestellt. Anfangs hatte ich nur einen Server, weshalb ich iptables und NAT/Masquerading verwendet habe. Nun hab ich eben drei. Lösung ist ziemlich einfach: Auf den Proxmox Hosts eine Bridge für's vLAN Interface erstellen und gut ist. Danke dennoch für die Antworten.

Servus!

Danke schon mal für die Antwort.

Ja, an sich soll HAProxy dann auch verwendet werden. Aber das bringt mir ja nur was bei TCP Verbindungen (in meinem Fall dann eben nur für Webserver). TeamSpeak bspw. nutzt ja UDP, sowie die meisten Gameserver.

Ich hatte nicht erwartet die Anwendungen für das Problem beschreiben zu müssen, da es an sich meiner Meinung nach keine Rolle spielt.

Wenn du mit Dreiecksverbindung meinst: pfSense <-> Proxmox, Proxmox <-> Container, pfSense <-> Container, dann stimme ich dir zu. Aber genau das möchte ich halt beheben. Quasi mit einer Art "direkt Verbindung" zwischen Container und pfSense ("direkt Verbindung" in "", weil der Traffic ja dennoch über Proxmox läuft).

Also pfSense <-> Proxmox, pfSense <-> Container
Sodass der Traffic über die pfSense läuft und dementsprechend zum richtigen Container geroutet wird, ohne dass ich in Proxmox zusätzliches etwas machen muss. Ich möchte quasi pfSense das "Netz der Container" bekannt machen, wenn du so willst. Vielleicht durch ein zusätzliches vLAN oder so? Wie gesagt, ab hier übersteigt es leider mein Wissen, was ich dennoch nun lernen möchte.

Mit freundlichen Grüßen

Dominic Resch

Einen schönen Nachmittag wünsche ich!

Und ich hoffe, dass es euch allen bei der derzeitigen Situation gut geht und wünsche weiterhin viel Gesundheit!

Bevor ich zu meinem Problem komme:

Ich bin KEIN Netzwerktechniker und gebe auch nicht vor, einer zu sein. Ich würde dennoch meinen, dass ich zumindest ein Grundverständnis dafür habe.

Dennoch möchte ich mich zurzeit in diese Richtung weiterentwickeln, mir nötiges Wissen aneignen und dafür brauche ich jetzt eben etwas Hilfe.

Nun zu meinem Problem:

Ich bin seit den letzten Tagen im Besitz von 2 x RS 8000 SAS G8SE a1, 1 x RS 2000 SSD G8 a1 und 1 x Cloud vLAN Free.

• Auf dem 2000er läuft zurzeit pfSense, zusammen mit OpenVPN.
• Auf den 2 8000ern läuft Proxmox, in einem Cluster zusammengeschlossen

Wie sieht meine Infrastruktur bisher aus?

Nun:

• Alle 3 Geräte sind mit dem kostenlosen vLAN erreichar (Also jedes Gerät wurde auf dem Interface mit einer statischen IP bestückt).
• Pingen und alles funktioniert einwandfrei, auch das VPN funktioniert und ich erreiche die einzelnen Hosts.
• Das Webinterface der Proxmox Hosts ist zurzeit noch über die jeweilige öffentliche IP erreichbar, solange meine Infrastruktur nicht steht. Das Webinterface von pfSense ist nur noch über VPN erreichbar.
• Bei beiden Proxmox Hosts habe ich das IP-Forwarding konfiguriert. Heißt: Wenn ich auf bspw. meinen TeamSpeak Server connecten möchte, dann läuft das über die öffentliche IP des jeweiligen Proxmox Hosts ab, welcher den Traffic zu meinem TS3-Container PATtet (Ganz normal über von mir konfigurierte iptables Regeln). Das Setup funktioniert soweit auch einwandfrei, alles kein Problem.

Mein Vorhaben:

• Aller Traffic soll über die pfSense laufen, von dort zu dem jeweiligen Host/Container geroutet werden.
• Theoretisch einfach, Portweiterleitung erstellen, auf die vLAN IP des jeweiligen Hosts zeigen lassen und gut ist.

Das Problem:

• Das mit der Weiterleitung funktioniert NUR, wenn ich die iptables auf den Proxmox Hosts konfiguriert lasse. Aber genau diesen Schritt möchte ich abschaffen! Wenn ich nun bspw. einen Container erstelle, der eine Webseite am Laufen hat, dann wäre der Workflow folgender:
  Portweiterleitung auf pfSense erstellen mit der IP des jeweiligen Hosts, wo der Container liegt -> Portweiterleitung auf dem Proxmox Host via iptables erstellen, weiter zur IP des Containers -> Container erhält nun den Traffic
• Wie ihr seht, müsste ich also sowohl die pfSense als auch die iptables konfigurieren, was mir etwas ineffizient erscheint.

Meine Fragen:

• Ist es möglich den 2. Schritt wegzulassen? Ich persönlich (wie gesagt, ich bin kein Netzwerktechniker!), würde bei der jetzigen Konfiguration sagen: Nein! Was bräuchte ich? Vermutlich ein weiteres Interface/Cloud vLAN. Stimmt das ? Wenn ja, wie würde ich das neue vLAN dann auf den Proxmox Hosts konfigurieren müssen? Oder geht es vielleicht sogar über das vLAN das ich bereits habe (obwohl es für das Cluster verwendet wird) ?
• Nehmen wir an es ist möglich, würdet ihr dazu raten? Oder ist das aus mir nicht bekannten Gründen keine schlaue Idee?
  Was ich jedoch stark bezweifel, denn zurzeit habe ich einen "größeren" administrativen Aufwand, als wenn ich nur eine Firewall konfigurieren müsste (Ja, es ist nur eine weitere Firewall Regel, aber dennoch zusätzlicher Aufwand). Aber vielleicht macht es aus sicherheitstechnischer Sicht irgendwie mehr Sinn oder so.

Ich habe natürlich schon einige Zeit damit verbracht, eine Lösung zu finden, habe diverse Sachen probiert und bin vieles gedanklich durchgegangen, aber es wollte nichts so wirklich klappen. Wohl gemerkt: Ich habe auf meinem Standrechner ebenfall Proxmox, da läuft pfSense allerdings in einer virtuellen Maschine. Hier muss ich also 3 Regeln erstellen: Router -> Proxmox, Proxmox -> pfSense, pfSense -> Container/VM. Und auch das meiste was ich bisher im Internet gefunden habe, bezieht sich darauf, pfSense als VM im Proxmox zu installieren. Aber ich habe ich eine pfSense VOR den Hosts, nicht innerhalb.

Das Ganze hat keinen Stress und ich werde mich auch nach wie vor mit dem Problem beschäftigen und so, aber vlt. hat einer von euch ja einen Anhaltspunkt oder eine Richtung, in die er mich bringen kann.

Vielen Dank schon mal im Voraus und bleibt gesund!

Mit freundlichen Grüßen

Dominic Resch