PFsense https conexões inutilmente lentas

Navegue suas respostas
2

Eu tenho um problema muito estranho com o PFsense como roteador sendo executado no KVM com o CentOS 7. As conexões de https são incrivelmente lentas (10 KB / s ou menos), e os uploads por https simplesmente não funcionam; por exemplo, usando o link por meio de carregamentos de https, mas o upload de uma imagem levará alguns minutos. Depois disso, ela falhou.

Eu tenho uma configuração dual-wan com uma sub-rede 192.168.178.x / 24 entre o VM PFsense e os 2 modems / roteadores ADSL. A funcionalidade NAT do roteador / modem não pode ser desativada, portanto, basta colocá-los na mesma sub-rede e conectá-los um ao outro com apenas 1 servidor DHCP ativo, o primeiro roteador sentado em .1 e o segundo em .2. A caixa PFsense fica em .5. A rede privada por trás do pfsense é 172.16.x.x / 16. A máquina virtual PFsense é executada em um hipervisor CentOS 7 KVM com 2 placas intel Gbe NICs, conectadas usando uma ponte Linux com as placas de rede VM, usando drivers virtIO, se fizer alguma diferença.

Eu tenho um Squidproxy, mas ele não está habilitado para conexões https, e os acessos https não aparecem nos logs do Squid, e desligar ou remover o Squid não faz diferença. Mover-me para a sub-rede 192.168.178.x / 24 antes do PFsense FAZER a diferença, no entanto, de repente tudo corre suavemente de novo, e qualquer conteúdo https carrega instantaneamente.

Alguém tem idéia do que poderia estar acontecendo? Qualquer coisa que eu possa tentar diagnosticar? Eu tentei wireshark e de lado para a lentidão eu não vejo nada de anormal .. Todas as sugestões são bem vindas!

edite: Atualmente estou executando o memtest86 + dentro de uma VM (eles não devem dar erros, certo?), E eu tenho um erro até agora, embora pareça estar fora do intervalo de memória que eu concedi a VM, então eu sou um pouco confuso .. Vou atualizar uma vez que tenho mais informações. Pode executar um memtest completo no host mais tarde, se eu puder limpar os usuários do host por um momento.

    
por Alex 28.01.2015 / 05:55

4 respostas

4

É perfeitamente possível que, se você estiver usando o pfSense 2.2 ou posterior, esteja sendo afetado por isso . Os sintomas incluem:

  1. Lentidão para outras VMs hospedadas na plataforma KVM se precisarem acessar um recurso de rede que esteja do outro lado de uma das interfaces do roteador no roteador pfSense
  2. Máquinas físicas que precisam acessar algo em todo o roteador são perfeitamente rápidas

Não sou especialista, mas meu entendimento atual é que as somas de verificação não são calculadas corretamente para pacotes que se movem de uma VM para outra VM, portanto o roteador pfSense os descarta ou o destinatário na outra extremidade da conexão os descarta , porque eles acreditam que os pacotes foram mutilados no transporte (que, eu acho, eles tecnicamente eram). Há muita discussão sobre isso no tópico que eu relacionei acima, e também no tópico .

Para resolver, você provavelmente precisará desabilitar pelo menos o descarregamento de soma de verificação TX nas NICs virtuais da VM pfSense. Eu não tenho certeza do procedimento para fazer isso no KVM, já que eu sou um homem Xen, eu mesmo. Caça feliz!

    
por 29.08.2015 / 17:44
0

Como a WAN dupla é configurada? Está no modo de redundância, balanceamento de carga ou distribuído?

Esse pode ser o problema se, em um ponto, uma troca ocorrer entre as WANs e a secundária / de backup for muito mais lenta.

    
por 28.01.2015 / 07:24
0

Você talvez tenha ativado uma configuração que penaliza o tráfego "desconhecido" ou criptografado? Essa configuração geralmente destina-se a punir ou tornar a rede inutilizável para usuários de compartilhamento de arquivos e p2p, mas talvez o pfsense esteja vendo que https está criptografado e penalizando-a de acordo.

    
por 31.01.2015 / 01:58
0

Por favor, verifique se você não tem uma configuração incorreta do servidor ldap / radius. Para testar, por favor, faça backup de suas configurações e remova o servidor. Esse foi o problema no meu caso.

    
por 16.11.2015 / 18:03

Tags

Preciso de VLAN para o telefone VOIP se meus comutadores de rede forem compatíveis com IEEE P802.1p QoS? O que está causando erros 'skb rides the rocket'?