Sep 09, 2018

5130

Geschwindigkeitsprobleme mit pfSense

Hallo,

mein Aufbau sieht so aus: Fritz!Box -> Server (HP ProLiant DL380 G6) -> pfSense auf VirtualBox -> WLAN-AP (Linksys WRT54G)

Mein Problem ist, dass die WLAN-Geräte eine maximale Download-Geschwindigkeit von 1,2 MB/s haben. Führe ich einen Speedtest auf der pfSense aus, dann habe ich meine volle Downloadgeschwindigkeit (25.000er DSL). So richtig komme ich nicht darauf wo das Problem liegt. Traffic-Shaper und QoS sind nicht aktiviert. Hat evtl. jemand eine Idee woran es liegen könnte?

MFG Dietzi

Please also mark the comments that contributed to the solution of the article

Content-Key: 385988

Url: https://administrator.de/contentid/385988

Printed on: April 26, 2024 at 00:04 o'clock

35 Comments

Latest comment

ein Problem ist, dass die WLAN-Geräte eine maximale Download-Geschwindigkeit von 1,2 MB/s haben.

Nun der WRT ist ein 802.11G Wifi Router, max. zu erzielende Nettodatenrate ist 5–25 MBit/s (2-3MB/s max.) , also wenn du nicht direkt neben dem AP sitzt oder das Wifi durch andere parallel funkende AP auf dem selben Kanal oder Störer (Mikrowelle,Babyphon,...) gestört wird sind die 1,2 MB/s vollkommen normal. Dein WLAN ist hier eben das Nadelöhr. Also AP durch potentere Hardware (WLAN N/AC) ersetzen und über volle Geschwindigkeit freuen ...

Moin...

wiso. ist doch alles ok, dein AP liefert 54 Mbit/s.. mehr kann da nicht kommen... im besten fall 2,5 MB/s... das ist aber eher Netto...

Frank

pfSense auf VirtualBox

Nicht gut, denn alle Traffic muss durch virtuelle Netzwerkkarten die auf dem Hypervirsor Performance kosten.
Zu virtuellen Firewalls und der generellen Problematik dazu mal gar nichts gesagt...

9,6 Mbit ist jetzt kein ganz so gruseliger Wert für ein WLAN und druchaus normal.
Jedenfalls wenns es ums 2,4 Ghz Band geht.
Mehr als 20Mbit/s kannst du da nicht erwarten auf dem völlig überfüllten Band sofern du nicht gerade auf einer einsamen Alm der direkt hinterm Deich wohnst.
Von WLAN Durchsatz zu erwarten ist Lotterie spielen...
Wenn dann klappt das nur im absoluten Nahbereich nicht mehr als 2m oder wenn du das auf 5 Ghz machst da aber auch im Nahbereich auf ungestörten Funkkanälen.

Man kann das WLAN etwas optimieren wenn man zwangsweise diese Schritte alle durchführt:
Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Wunder darf man da aber auch nicht erwarten.
https://www.tomsnetworking.de/content/reports/j2005a/report_wlan_luege/i ...
Grundproblem ist wohl eine Kombination von beidem, virtueller FW und schlechtem WLAN.

Ich habe eben noch ein paar Tests gemacht..... Lade ich eine Datei von https://speed.hetzner.de/ direkt runter, dann habe ich konstant 1,2 MB/s. Lade ich diese auf den HP-Server und ziehe die dann übers Intranet habe ich plötzlich 2,5 MB/s konstant. Mit meinem Laptop sitze ich 2,5 Meter vom AP entfernt.

Übrigens bin ich auf Kanal 11 mit meinen AP's. Alle anderen Netze in der Umgebung (3 WLAN-Netze) senden auf Kanal 1 und 3.

Und jetzt noch eine interessante Feststellung: gehe ich mit dem Laptop per Kabel an den WRT54G ändert sich nichts an den 1,2 MB/s. Scheinbar liegt das Problem bei den AP's bzw. bei dd-wrt....

Moin..

Scheinbar liegt das Problem bei den AP's bzw. bei dd-wrt...

na das haben wir dir ja öfters schon geschrieben.

Frank

Das ist ja richtig dass ihr das geschrieben habt. Aber wenn ich per Kabel am AP hänge (100 Mbit/s), dann sollte der Download schneller sein als 1,2MB/s oder täusche ich mich da?

Zitat von @dietzi:

Das ist ja richtig dass ihr das geschrieben habt. Aber wenn ich per Kabel am AP hänge (100 Mbit/s), dann sollte der Download schneller sein als 1,2MB/s oder täusche ich mich da?

das sollst du uns mal bitte genauer erklären.... aber bitte langsam, und zum mitlesen!

Frank

Nachtrag:

oder täusche ich mich da?

Ach jetzt sehr ich das erst das das ganze in einer VM rennt, na dann ist mir das klar das dein Virtualbox und seine virtuellen NICs das Problem sind die NAT Performance ist unterirdisch. Schnapp dir einen vernünftigen Virtualisierer wie Hyper-V oder VMWare &Co.

Werf deinen Wireshark an und du siehst was Sache ist!

Wenn ich mit meinem Laptop direkt per Kabel an den AP anstöpsel bleibt die Donwload-Geschwindigkeit auch auf 1,2 MB/s. Ich hänge doch aber direkt am internen Switch vom AP welcher auf 100 MBit läuft. Inzwischen verstehe ich die "niedrige" Donloadrate aufgrund mehrer Clients am AP (WLAN) und den 54 MBit/s. Aber LAN müsste doch mehr her geben..... Zumal ein Download via WLAN aus dem internen Netz mit 2,5 MB läuft und ein externer Download (aus dem Internet) mit 1,2 MB/s.

Moin..

ernsthaft.. bei einem 54 MBit AP und einem 100Mbit Netzwerk ist es fast egal ob du 2,5 MB oder 1,2 MB hast....
kauf dir mal etwas aktuellere hardware, dann wird das alles auch schneller, und wir reden nicht über 1MB unterschied...

Frank

Hallo Dietzi, (nachname?!)

Empfehlung:

- Neuer Server
- Neue Firewall
- Neue APs
ggf. neue Projektierung und Umsetzung (Fritzbox raus, dafür Modem), mal schauen, was man dann noch findet...

Du wirst nicht glauben, was dann möglich ist, Ernsthaft, wie viele Menschen wollen damit arbeiten? Wenn ich mit 1,2Mbit/s? auf meine Daten warten würde, dann wäre ich ja in 2 Jahren noch nicht damit fertig, was ich seit heute morgen nebenher gemacht hab.

Für konkrete Fragen, schreib am besten ne PN...

Viele Grüße,

Christian

Vielleicht noch ein kleiner aber sehr wichtiger Aspekt: es geht um mein Wohnhaus. Anschaffung neuer Hardware ist somit aus finanziellen Gründen nicht DIE Lösung. Was mich eben verwundert: lade ich intern, dann habe ich 2,5 MB/s und von extern nur 1,2 MB/s. Wo ist da das Nadelör? Evtl die Firewall vom Server selbst (iptables)?

Hier mal die Listings von iptable:

iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       udp  --  anywhere             anywhere             udp multiport dports isakmp,ipsec-nat-t,openvpn to:10.0.0.3
DNAT       tcp  --  anywhere             anywhere             tcp multiport dports isakmp,4500,openvpn to:10.0.0.3
DNAT       tcp  --  anywhere             anywhere             tcp dpt:finger to:10.0.0.4:79
DNAT       tcp  --  anywhere             anywhere             tcp dpt:81 to:10.0.0.9:81
DNAT       esp  --  anywhere             anywhere             to:10.0.0.3
DNAT       tcp  --  anywhere             anywhere             tcp dpt:webmin to:10.0.0.3

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere


iptables -L -t filter
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  localhost            anywhere             tcp dpt:telnet
REJECT     tcp  --  anywhere             anywhere             tcp dpt:telnet reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


iptables -L -t mangle
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Jetzt bitte keine Belehrung, dass ACCEPT unsicher ist. Das weiß ich auch selbst - wird aber geändert. Mir geht es ausschließlich darum weshalb der eingehende Traffic (ausschließlich im WLAN) auf 1,2 MB/s liegt. Wie desöfteren erwähnt: lade ich direkt vom Server irgendwas, dann habe ich (auch im WLAN) 2,5 MB/s.

Mein Ziel ist somit die 2,5 MB/s generell durchzusetzen......

LG Dietzi

p.S.: Dietz ist mein Nachname ;)

Les mal meinen Post oben, dein Virtualbox und die virtuelle NIC ist das Problem. Auch wenn da 100MBit/s Negotiated steht heißt das bei VirtualBox nicht das da auch 100MBit/s durchgehen. Das ist ein bekanntes Problem.

VirtualBox kann aber nicht das Problem sein, da der Traffic egal ob intern oder extern grundsätzlich über VirtualBox läuft.....

Zitat von @dietzi:

VirtualBox kann aber nicht das Problem sein, da der Traffic egal ob intern oder extern grundsätzlich über VirtualBox läuft.....

Doch kann es, falscher virt. NIC-Treiber an der zweiten Karte z.B.. Aber leider sind beschreibst du deine Netzwerkumgebung nicht ausreichend genug ... verwendete NICs, VirtualBox Config usw. und sofort.

Welche Daten genau brauchst du für deine "Analyse"? Ich bin da weltoffen. Es sind 4 NICs verbaut. 4 mal "Ethernet controller: Broadcom Limited NetXtreme II BCM5709 Gigabit Ethernet (rev 20)"

Evtl liegt es an der Bridge..... Karte 2 (VirtualBox) lauscht auf br_wlan. Gebdriget sind Interface 3 und 4 am Server.

br_wlan: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 10.10.0.1  netmask 255.255.255.0  broadcast 10.10.0.255
        ether 18:a9:05:63:30:42  txqueuelen 1000  (Ethernet)
        RX packets 8469  bytes 932503 (910.6 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 6179  bytes 1662940 (1.5 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

enp3s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 18:a9:05:63:30:42  txqueuelen 1000  (Ethernet)
        RX packets 2204  bytes 294060 (287.1 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4573  bytes 1703957 (1.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

enp3s0f1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 18:a9:05:63:30:44  txqueuelen 1000  (Ethernet)
        RX packets 6407  bytes 800300 (781.5 KiB)
        RX errors 0  dropped 4  overruns 0  frame 0
        TX packets 6944  bytes 776102 (757.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0



> brctl show
bridge name     bridge id                    STP enabled     interfaces
br_wlan         8000.18a905633042            no              enp3s0f0
                                                             enp3s0f1

Siehst du das alles fehlt den Leuten hier, du schreibst oben was von einem Server und nichts von einem Linux Server mit VirtualBox, da geht man natürlich erst mal von einem VirtualBox auf dem Windows Server aus.

Also mach doch bitte mal eine vernünftige Skizze die alles nötige Netzwerktechnische enthält (Adressierung, Masken, Treiber, NICs & Co.) was auch jemand versteht der nicht an deinem Netzwerk sitzt ansonsten bin ich sonst raus. Wir sind keine Hellseher.

So.... Ich habe jetz mal ein Netzwerk-Diagram erstellt und hoffe, dass es soweit verständlich ist.

Als Treiber läuft auf dem Server "bnx2: QLogic bnx2 Gigabit Ethernet Driver v2.2.6 (January 29, 2014)" und in VirtualBox sind die Interfaces als Netzwerkbrücke mit "Intel PRO/1000 MT Desktop 82540EM)" definiert - diese werden in pfSense mit "Intel(R) PRO/1000 Legacy Network Connection 1.1.0" angesprochen.

Wenn noch was fehlt, dann bitte Bescheid geben.

Ich habe jetz meinen Linksys WRT54G im Wohnzimmer gegen meinen Edimax-AP getauscht. Bei einem Download vom Server (10.0.0.1) habe ich nun 4,5 MB/s aber von extern ist es nicht wirklich besser. Da bin ich jetzt bei 1,5 MB/s. Immerhin eine Steigerung von 0,3 MB/s - dennoch fehlt mir 1 MB/s......... Scheinbar ist wirklich iptables das Problem. Oder kann es am Doppel-NAT liegen?

Eher das doppelte NAT, das ist immer kontraproduktiv !
Wenn du DD-WRT am Router einsetzt, dann kannst du das deaktivieren (Router Mode statt Gateway Mode).
Ansonsten besser einen kleinen Mikrotik o.ä. verwenden.

Das Doppel-Nat liegt nicht am Router sondern daran: pfsense - > Server - > FRITZ!Box

Das sind 3 verschiedene Subnetze

So.... Ich habe inzwischen meinen Server auf Proxmox umgestellt und den WRT54G gegen den Edimax ersetzt. Bei einem Download vom Server habe ich inzwischen 6 MB/s aber von extern immernoch 1,4 MB/s. Ein Download direkt von pfSense liegt aber bei 2,5 MB/s.

Mein Verdacht geht immer mehr in die Richtung, dass iptables auf dem Server das ganze begrenzt.... Ich habe aber weder Traffic-Shaping noch QoS eingerichtet. IPv6 habe ich grundsätzlich deaktiviert.

Hat vielleicht noch jemand eine Idee?

Ich möchte das ganze nochmal pushen, da ich echt nicht mehr weiter weiß. WLAN auf 5GHz hat auch keine Verbesserung nach extern gebracht.... Antiviren-Scanner ist deaktiviert. Proxy ist auch keiner aktiv.

Hast du diesen miesen Wert auch wenn du rein nur im LAN als Draht basiert misst ??
Durchsatz Tests solltest du immer mit Kabel machen und niemals mit WLAN.
Das gibt dir erstmal einen verlässlichen Wert.
Gehts dir um den lokalen WLAN Durchsatz grundsätzlich, dann solltest du einen Test mit netio machen:
https://web.ars.de/netio/
http://www.nwlab.net/art/netio/netio.html
Das sagt dir genau was physisch bei dir geht...oder nicht geht.

Die gleiche Leistung habe ich auch wenn ich über Draht am AP bin. Fakt ist ja aber dass ich intern über WLAN einen bedeutend höheren Durchsatz habe als bei einem Download von extern. Fakt ist auch dass die pfSense selbst die volle DSL-Geschwindigkeit nutzen kann. Aber eben nicht die WLAN-Clients

wenn ich über Draht am AP bin

Wie kann man via Draht an einem WLAN AP sein...?? Das musst du dem Forum jetzt aber mal näher erklären. Ein Widerspruch in sich...

Fakt ist ja aber dass ich intern über WLAN einen bedeutend höheren Durchsatz habe als bei einem Download von extern

Was dann klar besagt das der Flaschenhals von der WAN / Internet Verbindung kommt.
Die Frage die sich dann stellt ist:

Kommt das vom Provider selber und ggf. von einem überbuchten oder gestörten Internet Anschluss ?
Oder liegt es an der Router Hardware das der überfordert ist ?

Wenn du per Draht an der pfSense angeschlossen bist, und dann aber volle Performance hast, dann widerspricht das ja diametral deinen beiden Aussagen oben !
Klar, denn kann kann man die pfSense und ggf. Performance Probleme und auch die Provider Probleme ja wieder völlig ausschliessen.
Dann bleibt wieder nur das WLAN selber als Verursacher.
Hast du dein WLAN korrekt und sauber eingerichtet ??
Hier wären mal alle ToDos dazu die du zwingend umsetzen musst damit dort Störungsfreiheit herrscht !
Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Vergiss nie das WLAN Funk ist !!
Du hast also permanent schnell wechselnde Datenraten je nach Position im Raum und zum Accesspoint. Ein Umstand der WLAN immer wackelig macht was Datenraten anbetrifft.
Da ist nun mal die Physik so. Funk ist kein Kupferdraht und kann ihn nicht ersetzen !

Wie kann man via Draht an einem WLAN AP sein...?? Das musst du dem Forum jetzt aber mal näher erklären. Ein Widerspruch in sich...

Indem ich meinen Laptop an einen freien Port am AP anschließe. Weiter oben habe ich ja schon geschrieben, dass es sich um einen Linksys WRT54G handelt (5 LAN-Ports). Diesen habe ich inzwischen durch einen Edimax BR-6208AC ersetzt (auch 5 LAN-Ports).

Kommt das vom Provider selber und ggf. von einem überbuchten oder gestörten Internet Anschluss ?

Das kann ich klar verneinen, da ich auf dem Server und auf pfSense fast die vollen 25 MBit/s habe (2,8 MB/s).

Oder liegt es an der Router Hardware das der überfordert ist ?

Kann ich ausschließen, da ja ein interner Download mit über 6 MB/s läuft.

So richtig habe ich keine Idee an was es liegen kann.... Wohlmöglich am Laptop selbst (Windows 10 Pro)? Andere PC's habe ich leider aktuell nicht zur Verfügung um das ganze testen zu können. Meine Smartphone's schließe ich für einen solchen Test aus.

LG Dietzi

Indem ich meinen Laptop an einen freien Port am AP anschließe.

Ahhh, ok, so war das gemeint. War etwas verwirrend ?!

So richtig habe ich keine Idee an was es liegen kann....

In der Tat...

Provider und Anschluss kann man ausschliessen
pfSense kann man ausschliessen
lokales LAN und WLAN kann man ausschliessen

Da bleibt dann nicht mehr viel.
Die niedrige Datenrate taucht dann einzig nur auf wenn du von extern, sprich Internet, aus deinem lokalen Netz Daten runterlädst, richtig ?
Wie greifst du denn zu, direkt und ungeschützt per Port Forwarding oder per VPN.
Könnte dann ggf. nur noch ein MTU Problem sein oder wenn du xDSL hast dann natürlich der Uplink der natürlich eine geringere Speed hat als der Downlink. Aber das weisst du ja selber.

Die niedrige Datenrate taucht dann einzig nur auf wenn du von extern, sprich Internet, aus deinem lokalen Netz Daten runterlädst, richtig ?

Genau so.

VPN nutze ich nur um mit meinem Smartphone von extern ins Heimnetz zu kommen.
Der Zugriff ist per Port-Forwarding. In der Fritzbox werden alle Ports (außer die benötigten der Fritzbox) direkt an den Server weitergeleitet und dieser Nattet dann an pfSense ohne feste Forwardings. Ich habe irgendwo gelesen, dass ich wohl in iptables Regeln für ESTABLISHED ect. einstellen soll. Das schließt sich mir aber auch nicht, da default auf ACCEPT steht und keine Regeln existieren welche die Verbindung drosseln könnten.

MTU hatte ich auch schon im Verdacht. Das würde dann aber explizit den Laptop betreffen, da ja pfSense selbst volle Geschwindigkeit hat. Der Uplink scheitet auch aus -> 1 Gigabit (sollte bei 25 MBit DSL reichen....).

Der Zugriff ist per Port-Forwarding.

Sehr mutig, oder sehr dumm. Damit gehen deine Daten ungeschützt ins Internet. Es sei denn sie sind nicht schützenswert....aber egal.

In der Fritzbox werden alle Ports (außer die benötigten der Fritzbox) direkt an den Server weitergeleitet und dieser Nattet dann an pfSense ohne feste Forwardings

Sorry, Bahnhof ???
Das Design ist unverständlich....
Betreibst du eine Router Kaskade mit FritzBox und pfSense ?? Also:

(Internet)===(FritzBox)---Koppelnetz---(pfSense)---Lokales LAN---(Server)

Oder wie sieht das da aus ?? Was macht der Server da in der Verbindung der ist doch dann da völlig überflüssig. Und vor allem warum macht der NAT ??
Verwirrung komplett...

Man kann nur stark vermuten das du die Anbindung der Firewall an den Server vollkommen falsch gemacht hast.
Der Server darf nie und nimmer nicht NATen, das macht alles die Firewall !

Schau mal weiter oben. Da habe ich den Aufbau meines Netzwerks als Grafik gepostet. Die Firewall des Servers (iptables) macht das NAT. Und pfSense auch.

Die Fritzbox hat ihr eigenes Netz -> 192.168.178.0/24
Der Server hat sein eigenes Netz -> 10.0.0.0/24
Die pfSense hat ihr eigenes Netz -> 10.10.0.0/24

Diese Netze sind alle bewusst gewählt um eine klare Trennung von LAN und WLAN zu haben. Hintergrund der pfSense ist das Captive Portal und die Verwaltung der Clients per RADIUS. Natürlich könnte das der Debian-Server auch aber pfSense ist da einfacher zu handhaben. Der Server selbst macht Sachen wie DNS, NAS, HTTP, FTP, MYSQL, ect....

Die Firewall des Servers (iptables) macht das NAT. Und pfSense auch.

Grusel....
Warum 2mal NAT, das ist doch eigentlich Unsinn und auch ziemlich kontraproduktiv aus Management- und vor allem Performance Sicht !

Die pfSense hat ihr eigenes Netz -> 10.10.0.0/24

Mmmhhh... nur eins ??? Normal hat eine pfSense immer 2 Netzsegmente: WAN (ungeschützt) und LAN (geschützt) ! Wo ist denn dein 2tes Segment ??

Diese Netze sind alle bewusst gewählt um eine klare Trennung von LAN und WLAN zu haben.

Was auch sehr vernünftig ist !

Der Server selbst macht Sachen wie DNS, NAS, HTTP, FTP, MYSQL, ect....

Und warum macht er dann sinnloserweise noch NAT on Top ?

German Question LAN, WAN, Wireless Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments