pfSense hohe Auslastung unter Proxmox (KVM)

xXThunderbyteXx

xXThunderbyteXx

Experte
Thread Starter
Mitglied seit
15.11.2014
Beiträge
1.085
Hi,

Ich habe die neuste Version von pfSense auf meinem HP Microserver Gen8 in einer KVM VM laufen. Der VM sind 2 Kerne und 1GB RAM zugewiesen.
Wenn das Netzwerk belastet wird, bspw durch einen Download auf einem der angeschlossenen Geräten. Steigt die CPU Last auf 100% auf beiden Kernen.
Ich habe etwas im Internet nachgelesen, und soweit ich verstanden habe, sollte es Besserung bringen die Netzwerkkarte von E1000 auf VirtIO (paravirtualized) umzustellen und einige Module zu aktivieren.
Kann das jemand aus eigener Erfahrung bestätigen?


Grüße
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Ich habe gerade mal Sophos UTM auf dem Server installiert, selbes Problem- Bei der Auslastung des Netzwerks steigt die CPU Last auf 70-100% an.
Als Netzwerkkarte habe ich VirtIO gewählt.

Edit: Die CPU Auslastung laut Sophos beträgt nur etwa 7%, Proxmox sagt mir aber deutlich mehr.
 
Ich habe unter PVE eine Sophos am Laufen, der ich 2 CPU´s und 2 GB RAM zu gewiesen habe.
Als Netzwerktyp habe ich VirtIO ausgewählt, das gleiche gilt für den Storage.

pfSense habe ich auch hin und wieder zum rum spielen am Laufen mit 2 CPU´s und 1 GB RAM.
Jedoch musst in den Netzwerkconfigs im pfSense GUI eine Option deaktivieren, sonst kommt kaum Bandbreite durch.
Bei mir waren es von damals 30Mbit nur knapp die Hälfte. Leider müsste ich hier zu erst die pfSense hochfahren um dir die Option zu sagen.

So sieht aktuell meine Auslastung aus
pve_sophos.JPG

Im UTM WebGUI idelt die CPU so bei 2% rum.
Falls du das volle Programm nutzen willst, speziell den Webfilter, gib der UTM 4 GB ram.
 
bacon schrieb:
Ich habe unter PVE eine Sophos am Laufen, der ich 2 CPU´s und 2 GB RAM zu gewiesen habe.
Als Netzwerktyp habe ich VirtIO ausgewählt, das gleiche gilt für den Storage.

pfSense habe ich auch hin und wieder zum rum spielen am Laufen mit 2 CPU´s und 1 GB RAM.
Jedoch musst in den Netzwerkconfigs im pfSense GUI eine Option deaktivieren, sonst kommt kaum Bandbreite durch.
Bei mir waren es von damals 30Mbit nur knapp die Hälfte. Leider müsste ich hier zu erst die pfSense hochfahren um dir die Option zu sagen.

So sieht aktuell meine Auslastung aus
Anhang anzeigen 371809

Im UTM WebGUI idelt die CPU so bei 2% rum.
Falls du das volle Programm nutzen willst, speziell den Webfilter, gib der UTM 4 GB ram.
Zum Vergrößern anklicken....

Was hast du als Netzwerkkarte genutzt? Intel E1000, Virtio etc.?
 
Lese dir nochmal den zweiten Satz durch :)
 
Ich habe pfSense nun einmal direkt auf dem Server, ohne Virtualisierung installiert.
Nun ist die Auslastung ein gutes Stück niedriger. 10% etwa, bei 180 MBit/s Netzwerkauslastung.
Scheint also an der Virtualisierung zu liegen. Jemand eine Ahnung was da das Problem sein könnte?
 
Das man in einer VM eine höhere Auslastung hat, ist normal. Habe ich bei meinem ESXi-Server auch. Ist ja auch verständlich, jedes Datenpaket durchläuft das System theoretisch doppelt.
Ich vermute mal, dass die IP Offload Engine der Netzwerkkarten in der VM nicht genutzt werden kann. Hier springt dann die CPU ein.
Durch umstellen auf VirtIO sollte es etwas besser werden, da hier weniger Emuliert werden muss.
 
Also ich nutz auch ein pfsense virtualisiert, folgende Änderungen brachten bei mir erhebliche Leistungssteigerungen:

1.)Auf pfsense:

Webfrontend->System->Advanced->Networking:
  • Hardware Checksum Offloading | disable
  • Hardware TCP Segmentation Offloading | disable
  • Hardware Large Receive Offloading | disable


2.)In /boot/loader.conf folgendes eintragen:
kern.hz=100
virtio_load="YES"
virtio_pci_load="YES"
if_vtnet_load="YES"
virtio_blk_load="YES"
Zum Vergrößern anklicken....
Damit werden die virtio Treiber geladen, als Interface dann virtio auswählen. Die kern.hz Einstellung reduziert die Last weiter.




3.)Auf dem VM-Host dann noch tx/rx-checksumming für die virtuellen Interfaces von pfsense deaktivieren:
ethtool -K InterfaceName rx off
ethtool -K InterfaceName tx off
Zum Vergrößern anklicken....
 
warum virtualisiert man auf einem Micro server von ano dazumal ein (static) BSD und wundert sich dann ?

versuch mal onpsense - https://opnsense.org/
 
Zuletzt bearbeitet:
pumuckel schrieb:
warum virtualisiert man auf einem Micro server von ano dazumal ein (static) BSD und wundert sich dann ?
Zum Vergrößern anklicken....

Ich nutz noch ne Generation vorher von Micro mit dem AMD Dualcore, und da laufen noch 5 weitere VMs drauf und alles läuft sauber und schnell.
CPU ist nicht das einzige, also wenn man keine Ahnung hat dann.....
 
Zuletzt bearbeitet:
Entweder weißt/verstehst du nicht um was es hier geht, oder du hast keine Ahnung, hier gehts nämlich um ein KVM virtualisiertes pfsense und die schlechte NIC Perfromance im default Zustand und nicht um 90%+ bloated Win VMs, damit scheinst du dich ja aus zu kennen...

Wenn das für dich eine Beleidigung ist, bitte, dann habe ich dich beleidigt.
 
Moin,

ich habe das gleiche Problem schon im pfSense Forum angeschrieben aber auch noch keine Lösung gefunden, siehe https://forum.pfsense.org/index.php?topic=116373.msg645323#msg645323
Demnächst werde ich mal mit Sir Diablos Einstellungen spielen ...

@pumuckel: Dadurch das ich inzwischen den etwas akuelleren T20 als Server benutze wurde das Problem nicht beeinflusst, vorher war es mit dem HP G8 genauso besch......eiden :mad:

-teddy
 
magicteddy schrieb:
@pumuckel: Dadurch das ich inzwischen den etwas akuelleren T20 als Server benutze wurde das Problem nicht beeinflusst, vorher war es mit dem HP G8 genauso besch......eiden :mad:

-teddy
Zum Vergrößern anklicken....

alles ok, ich bin einfach zu dumm
 
magicteddy schrieb:
Moin,

ich habe das gleiche Problem schon im pfSense Forum angeschrieben aber auch noch keine Lösung gefunden, siehe https://forum.pfsense.org/index.php?topic=116373.msg645323#msg645323
Demnächst werde ich mal mit Sir Diablos Einstellungen spielen ...

@pumuckel: Dadurch das ich inzwischen den etwas akuelleren T20 als Server benutze wurde das Problem nicht beeinflusst, vorher war es mit dem HP G8 genauso besch......eiden :mad:

-teddy
Zum Vergrößern anklicken....

Hi,

Du kannst dich ja gerne nochmal Melden, wenn du irgendwie weiter gekommen bist, ich werde mir das die Tage auch nochmal ansehen.


Danke für die Antworten @all

Grüße
 
Moin,

habe jetzt nochmal einen Versuch gestartet mit pfSense 2.4.3 und es schaut schon deutlich besser aus. allerdings habe ich eine Intel quad Port Nic direkt in die VM durchgereicht, ein paar Parameter in der Sicherung angepaßt und eingespielt. Da das ganze nur eine Notlösung für einen Hardwareausfall der "pfSense auf Blech" dient stecke ich da keine weitere Zeit rein. Ohne triftigen Grund virtualisiere ich keine Firewall.

-teddy
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh