Posts by mindtec

    Quote

    Warum eigentlich?

    Wie gesagt - ich hatte zwischen den Systemen praktisch keine Bandbreite und nach vergleichbaren Problemen im Netz gesucht.
    Die Performance-Probleme entsprechen auch den anderen Fragestellern in diesem Thread.

    Primär findet man im Netz als Antworten:
    1. Offloading & Co. überprüfen und abschalten (vgl. https://imgur.com/a/vt4tAMD)

    2. Andere MTU sowie MSS testen - die empfohlenen Werte in verschiedenen Foren- und Blogbeiträgen sind alle ziemlich "random"

    Mangels besseren Wissen und Erfahrung hab ich dann jede Menge Werte nach dem try&error-Prinzip ausprobiert... :)


    Quote

    Zur Erkennung einer geringeren MTU gibt es die pMTUd (path MTU discovery) [...]


    Top - da werde ich mich einlesen. Ich finde es super, dass Du wertvolle Hinweise gibst, wie man tiefer in die Materie einsteigen und den Problemen auf den Grund gehen kann. Danke dafür!
    Der Artikel zu dem Thema sieht vielversprechend aus: https://blog.cloudflare.com/path-mtu-discovery-in-practice/

    Quote

    OpenVPN ist in manchen Versionen auch bei funktionierendem ICMP störisch

    Gut, in meinem Fall ging es nicht um OpenVPN, sondern um die Performance im VLAN - das lies sich ja über den Kontakt zum Netcup-Support im Backend lösen und somit auch ausschließen, dass es an der MTU lag :)

    Ich habe nun die MTU 1492 getestet und erhalte dadurch nach wie vor super Werte.

    Ursprünglich hatte ich auf der FW und auf dem Server als MTU 1400 auf dem jeweiligen LAN-Interface eingestellt. Wenn ich nun mit einer höheren Paketgröße gepingt habe, kam die Meldung "local error".


    Nach dem Hochschrauben auf die MTU 1492 geht die Paketgröße 1464 Byte jedoch problemlos durch - alles darüber hinaus nicht mehr.

    Quote

    Wenn Du einen „local error“ siehst, dann ist bereits der Host, von dem der Test ausgeht, in der MTU beschränkt. Über den Zielhost sagt das noch nichts aus.

    Da es offenbar auch an den Einstellungen der VMs hängt (wie gerade durch die Einstellungsänderung getestet), bin ich mir nicht sicher, ob die Beschränkung bereits durch den Host kommt bzw. die Fehlermeldung dadurch ausgelöst wird.

    Hi eripek,


    Danke für Deine Antwort und Rückfragen - auf letztere gehe ich weiter unten ein.

    Vorweg: das Problem ist in meinem Fall gelöst.

    Ablauf:
    Ich hatte gestern nochmal den Support angeschrieben und auch auf diesen Thread verwiesen. Heute morgen kam die Frage vom Support, welche Server betroffen seien. Parallel hatte ich die Performance im VLAN nochmal getestet und war bei 100 Kbit/s. Im Laufe des Nachmittags kam die Meldung vom Support, dass sie auf dem betreffenden Hostsystem keine Performance-Probleme feststellen können und hatten auch einen iperf-Log mitgeschickt:


    Ich habe dann direkt nochmal die Performance geprüft und kam auf sehr gute Werte:

    Code
    iperf3 -c [server-ip] -p [server-port]

    An den Systemeinstellungen hatte ich seit meinem Beitrag in diesem Thread nichts mehr geändert.

    Zu Deinen Fragen:

    Quote

    Offloading trotz VM aktiviert? Oder Offloading ohne virtio? TCP Checksums?

    Warum setzt Du die MSS um 100Byte kleiner als die MTU - anstelle von 60 (TCP/IPv4) oder 80 (TCP/IPv6)

    - Offloading ist bei OpnSense scheinbar schon per default deaktiviert - hatte die Einstellungen aufgrund dieses Threads schon gestern geprüft und sie waren schon deaktiviert, obwohl ich vorher nichts dran gedreht habe.

    Siehe auch: https://imgur.com/a/vt4tAMD

    - Als Netzwerk-Interface ist auf beiden betreffenden Systemen "virtio" aktiviert

    Zum Thema MTU vs. MSS:
    Hier hast Du mich kalt erwischt... ich habe tatsächlich kein Verständnis davon und habe Werte nur nach dem Try&Error-Prinzip ausprobiert.
    In der Vergangenheit bin ich diesbezüglich auch noch nie in Sachen Performance auf Probleme gestoßen. Daher vielen Dank für den Hinweis.

    Ich habe mir folgenden verständlichen Artikel zu Gemüte geführt und verstehe nun mehr: https://www.elektronik-kompendium.de/sites/net/0812211.htm

    Aus dem Artikel entnommen:


    Code
    ping -c 1 -s $((1500-28)) -M do [ip-von-anderem-host]
    Quote

    PING 192.168.1.1 (192.168.1.1) 1472(1500) bytes of data.

    ping: local error: Message too long, mtu=1400


    Die fürs VLAN bei Netcup optimale MTU scheint also bei 1400 zu liegen.

    Ich kann mit einem Windows-System auf Basis RS 500 SAS G8 dienen.

    So ermittelt:
    https://www.heise.de/tipps-tricks/Festplatten-Geschwindigkeit-testen-so-geht-s-4184627.html


    Hallo zusammen,


    mein Problem ist vergleichbar -

    Setup:
    - OpnSense als Firewall
    - 100 MBit/s CloudVLAN - innerhalb des VLANs kommt lediglich IPv4 zum Einsatz
    - Debian-Server hinter der Firewall innerhalb des VLANs

    Getestet habe ich verschiedene Punkte:
    - Up- und Download-Raten vom Server durch die OpnSense -> ~90 MBit/s up&down
    - Up- und Download-Raten über das WAN-Interface vom Server (habe es testweise aktiviert) -> ~90 MBit/s up&down

    Also an sich super Werte...

    Aber:
    Mittels iPerf3 komme ich zwischen dem Linux-Server und der OpnSense lediglich auf eine Bandbreite von 100 Kbit/s

    Die MTU ist auf dem LAN-Interface bei der OpnSense auf 1500 eingestellt. Beim Debian-Server genauso.
    Wechsele ich die MTU auf beiden System zu 1300 (und MSS bei der OpnSense auf 1200), fällt die Bandbreite auf ~70 Kbit/s

    Willkommen in ISDN-Zeiten... ;)

    Erklären kann ich mir das nicht wirklich.
    Besonders interessant ist die Tatsache, dass Upload- und Downloadrate durch die Firewall hindurch sehr gut sind.


    Falls jemand auf ähnliche Probleme stößt, noch ein paar Tipps zu iPerf3.
    1. Ist als Plugin auf der OpnSense problemlos installierbar. Findet sich dann unter Interfaces > Diagnostics > iPerf
    2. Auf Linux-System idR schnell per Paket-Manager installiert (z.B. apt install iperf)
    3. Auf einem System einen iPerf-Server starten: iperf -s (dort erhält man einen Port angezeigt)
    4. Auf dem anderen System den iPerf als Client starten: iperf -c [ip-adresse-vom-server] -p [vom-server-angezeigten-port]

    ----

    Jedenfalls habe den Support heute dazu schon angerufen. Man verwies darauf, dass ich bitte einmal im Forum nachhaken soll, ob auch andere Kunden dieses Problem haben bzw. was noch getestet oder analysiert werden könnte. Falls ich hier nicht weiter kommen sollte, soll ich ein Ticket beim Support erstellen.


    Liebe Community, habt ihr dazu eine Idee?
    Welche Informationen könnt ihr zwecks Analyse gebrauchen?

    Viele Grüße
    Volker