Internet auf OPNSense nur 1/5

[Nicodil]

Hi,

auf meiner OPNSense bekomme ich nur 1/5 der Geschwindigkeit.
Gibt es vllt eine Liste der Punkte die man mal prüfen kann, die dafür verantwortlioch sein können? DNS habe ich eigentlich schon geprüft, ich nutze Adguard. Wie verifiziere ich, dass die Anfragen wirklich über Adguard laufen? Die Statistik ist auf jedenfall gefüllt.
Es gibt ja den Befehl nslookup. Welchen Output sollte ich da erwarten?

Ich habe eine 1000er Leitung:

 

[ms007]

WIe ist denn der Weg von der OPNsense zur "1000er Leitung": Modem, Providerrouter, ggf. Type / Modell ...

 

[Nicodil]

Hi,
Es ist Kabel Internet. Also erstes das Vodafone Connect Box im Bridge mode und direkt die Opnsense dran.

 

[Zeroflow]

Bekommst du tatsächlich nur 20% deiner Geschwindigkeit, oder ist es nur der Speedtest auf opnsense?
Vor allem bei großen Leitungen limitiert teilweise der ausgewählte Speedtest Server.
Wie schnell ist der Download, wenn du z.B. ein Spiel bei Steam herunterlädst oder den Speedtest auf deinem PC laufen lässt?
Adguard sollte hier kein Problem sein, da es nur auf DNS-Ebene agiert. Das sollte keinen Einfluss auf den Traffic selbst haben.

 

[Lawnmower]

Kann tageszeit abhängig sein die Geschwindigkeit, speziell bei Kabel möglich.
Am besten ist es mit dem offiziellen Tool der Bundesnetzagentur zu messen: https://www.breitbandmessung.de
Wichtig ist die Regeln für die Messungen zu beachten (z.B. kein WLAN, etc).

 

[Nicodil]

Hier ein Screenshot von einer Windows VM. Der Rechner ist direkt an der OPN-Sense dran (Unifi-Switch noch zwischendrin)

 

[Ic3HanDs]

Erstmal: DNS hat genau nichts mit der Geschwindigkeit zu tun. DNS löst nur Namen wie Google.de zu einer IP auf.
Auf welcher Hardware läuft deine Opensense? Welche Funktionen sind alle aktiv? Hast du direkt hinter dem Probider-Router die volle Geschwindigkeit?

 

[gaym0r]

direkt die Opnsense dran.

Und worauf läuft Opnsense?

 

[Nicodil]

Ich habe eine Protectli Vault FW4B 4Port 512GB SSD 8GB.
Das Protectli ist direkt an die Connect Box angeschlossen, die wie gesagt im Bridge-Mode läuft.
Kann ich in dieser trotz Bridge-Mode noch die ankommende Geschwindigkeit sehen?
Hab nachgeschaut, kann ich nicht finden. Macht ja eigentlich im Bridge Mode auch keinen Sinn...

 

[gaym0r]

1 Gbit/s Durchsatz schafft der FW4B so oder so nicht. Mehr als die 200 Mbit/s sollten es aber eigentlich sein.

 

[Lawnmower]

Wenn Du die Messungen z.B. alle 30 Minuten durchführst, hast Du dann auch so starke Schwankungen?
Denke die CPU schafft 1 Gbit/s problemlos - sofern natürlich nicht noch andere Sachen gleichzeitig aktiv sind wie etwa VMs oder VPN Server.

 

[Nicodil]

Wenn Du die Messungen z.B. alle 30 Minuten durchführst, hast Du dann auch so starke Schwankungen?
Denke die CPU schafft 1 Gbit/s problemlos - sofern natürlich nicht noch andere Sachen drauf laufen wie etwa VMs oder VPN Server.

Ich habe öfters starke Schwankungen, ja..
Das heißt beim FW4B passt der obere Speedtest?

 

[Lawnmower]

Das kannst Du nur rausfinden indem Du direkt an der Bridge/Modem einen Speedtest machst mit einem Client.
Ist es dort genau gleich langsam/schwank --> Provider schuld, Bridge defekt, Verkabelung/Störung oder schlicht das klassiche Problem wenn zuviele Leute gleichzeitig online sind und zuwenig Bandbreite zur Verfügung steht.
Ist es dort Vollgas irgendwie 900 - 950 Mbit/s, wird es an deiner Firewall liegen.

 

[qiller]

Also der Intel Celeron J3160 sollte eigentlich bei reinem Routing/NAT schon noch mehr als 60Mbit/s schaffen^^ - auch wenns ne lahme Krücke ist. Kannst ja testweise mal ne andere FW-Distribution testen. Linuxbasierte FWs sind da nicht ganz so performancehungrig. Vlt. mal OpenWRT o. IPFire testen. Ansonsten kann man pauschal natürlich einfach mal auf die ganzen Intel N100-China-Firewalls zeigen, da gibts ja mittlerweile nen ganzen Haufen von (z.B. auch mit 6x 2.5Gb).

 

[wildfly]

Der Protectli Vault FW4B hat Intel 1G NICs, da kannst du unter Interfaces -> Settings den Haken bei "Disable hardware checksum offload" rausnehmen.
Das steigert den Durchsatz.

 

[Nicodil]

https://bsd-hardware.info/?probe=9a7855ac46

Der Protectli Vault FW4B hat Intel 1G NICs, da kannst du unter Interfaces -> Settings den Haken bei "Disable hardware checksum offload" rausnehmen.
Das steigert den Durchsatz.

Habe ich mal probiert, keine Ahnung ob es eine Schwankung ist oder an der Einstellung liegt:

CPU Auslastung ist btw bei ca 40 Prozent pro Core....

 

[Lawnmower]

Habe eine pfSense Appliance mit Celeron 3865U (der hat sogar nur 2 Cores und ist auch nicht viel jünger) ebenfalls mit passiver Kühlung, aber schaffe problemlos 1 Gbit/s WAN to LAN und umgekehrt.
@Nicodil Was ist mit der Messung direkt an der Bridge mit einem Client?

 

[Nicodil]

Das kannst Du nur rausfinden indem Du direkt an der Bridge/Modem einen Speedtest machst mit einem Client.
Ist es dort genau gleich langsam/schwank --> Provider schuld, Bridge defekt, Verkabelung/Störung oder schlicht das klassiche Problem wenn zuviele Leute gleichzeitig online sind und zuwenig Bandbreite zur Verfügung steht.
Ist es dort Vollgas irgendwie 900 - 950 Mbit/s, wird es an deiner Firewall liegen.

Aber das Modem fungiert ja dann nicht mehr als DHCP, oder?

 

[Lawnmower]

Nehme an man kriegt dann direkt eine IP vom Provider, im Bridge Modus wird da doch kein DHCP Service aktiv drauf sein.
Auf dem Test Client sollte mit dem Setup allerdings eine Desktop Firewall (Windows Defender z.B.) aktiv sein damit man sich da nicht instant irgendwas einfängt wenn man so direkt am Internet hängt.

 

[Der_Dicke82]

Hast du einen anderen Router? Mich würde sehr interessieren ob es wirklich an opnsense liegt, was ich mir nicht vorstellen kann!

Problematisch ist Kabel aber tatsächlich auch selbst, weil die starken Schwankungen leider hausgemacht sind!

Ein bekannter hatte auch nie seine 1 Gbit sonder max 700 Mbit und normal so 300 Mbit.

Ich würde wahrscheinlich mal einen trockenaufbau mit iperf Server am WAN der opnsense machen um sicher zu sein das der Router nicht die Drossel ist.