[SOLVED ] Sophos Firewall 19 Home - Proxmox hohe CPU-Auslastung beim Download / WAN langsam

cRaZy-biScuiT

cRaZy-biScuiT

Enthusiast
Thread Starter
Mitglied seit
07.05.2006
Beiträge
3.017
Edit: Die "Lösung" ist, dass ich das Zima-Board jetzt als BareMetal betreibe: Ohne IDS/IPS komme ich auf >100MB/s mit maximal 30% CPU-Last. Mit IDS/IPS immer noch auf knapp 100MB/s.

---

Ich nutze derzeit Sophos Firewall 19 auf einer Proxmox VE-Instanz.

Hardware
  • CPU: N3450 (QuadCore)
  • 8 GB RAM
  • 1 GB/s Kabel-Internet von Vodafone
  • Vodafone-Router im Bridge-Modus
  • CPU-Auslastung beim Download: 60-70%

Software / Hypervisor-Eintellungen
  • CPU: 4 Cores
  • RAM: 6192 MB
  • NICS: virtio
  • Hardware-AES für VM aktiv
  • Keine TLS-Decryption / Proxy aktiv
  • kein Traffic-Shaping, QoS
Problem
Der Downstram am WAN liegt bei maximal 65 MB/s. Ich komme ohne Bridge-Modus mit dem VF Router bzw. im Bridge-Modus mit dem PC direkt angeschlossen auf ~100-120Mb/s - je nach Uhrzeit & Server.

Fragen
  1. Kann ich noch etwas an den Settings im Bios oder unter Proxmox bzw. im Sophos optimieren?
  2. Ist die CPU-Auslastung normal? Wie kann ich die minimieren? Es kann doch nicht sein, dass ein Datei-Download dazu führt.
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
cRaZy-biScuiT schrieb:
Kann ich noch etwas an den Settings im Bios oder unter Proxmox bzw. im Sophos optimieren?
Zum Vergrößern anklicken....
Statt virtio nen Ethernet NIC via PCIe an die Firewall durchreichen.

cRaZy-biScuiT schrieb:
Ist die CPU-Auslastung normal? Wie kann ich die minimieren? Es kann doch nicht sein, dass ein Datei-Download dazu führt.
Zum Vergrößern anklicken....
So nen Celeron ist jetzt nicht gerade ne Rakete, daher ja. Weniger virtualisieren reduziert den Overhead, NIC Passthrough statt virtuellem NIC. Setzt natürlich ausreichend weitere Netzwerkports vorraus.
 
Hast du irgendwelche IDS oder IPS am Laufen auf der Sophos?
Der Celeron ist echt zu lahm für sowas, wenn du vernünftigen Speed willst.
Ich würde auch dazu raten, eine Netzwerkkarte zu kaufen, die Virtualisierungstechnologie unterstützt.
 
Shiga schrieb:
Hast du irgendwelche IDS oder IPS am Laufen auf der Sophos?
Zum Vergrößern anklicken....
Bisher
Shiga schrieb:
Der Celeron ist echt zu lahm für sowas, wenn du vernünftigen Speed willst.
Zum Vergrößern anklicken....
Ich bin am überegen das Ganze nochmal ohne Virtualisierung zu testen. Ich habe das Gefühl, dass hier ein massiver Overhead greift.
Shiga schrieb:
Ich würde auch dazu raten, eine Netzwerkkarte zu kaufen, die Virtualisierungstechnologie unterstützt.
Zum Vergrößern anklicken....
Das bedeutet was genau? Was muss sie unterstützen?
Beitrag automatisch zusammengeführt:

spyfly schrieb:
Statt virtio nen Ethernet NIC via PCIe an die Firewall durchreichen.
Zum Vergrößern anklicken....
Das könnte ich mal versuchen. Hab halt nur zwei NICs, deswegen könnte ich nur den WAN-NIC durchreichen. Keine Ahnung, ob das die Situation bereits verbessern würde.
spyfly schrieb:
So nen Celeron ist jetzt nicht gerade ne Rakete, daher ja. Weniger virtualisieren reduziert den Overhead, NIC Passthrough statt virtuellem NIC. Setzt natürlich ausreichend weitere Netzwerkports vorraus.
Zum Vergrößern anklicken....
Ja das ist das Problem.. Mh. Ich versuchs vielleicht mal direkt auf dem Blech ohne Hypervisor...
 
cRaZy-biScuiT schrieb:
Das könnte ich mal versuchen. Hab halt nur zwei NICs, deswegen könnte ich nur den WAN-NIC durchreichen. Keine Ahnung, ob das die Situation bereits verbessern würde.
Zum Vergrößern anklicken....
Wenn deine Sophos VLANs kann, dann könntest du mit dem einen NIC auskommen.

cRaZy-biScuiT schrieb:
Ja das ist das Problem.. Mh. Ich versuchs vielleicht mal direkt auf dem Blech ohne Hypervisor...
Zum Vergrößern anklicken....
Das wäre wahrscheinlich für eine System dieser Leistungsklasse die beste Option.
 
spyfly schrieb:
Das wäre wahrscheinlich für eine System dieser Leistungsklasse die beste Option.
Zum Vergrößern anklicken....
Auf mehr als 80-100 Mbit wird er auch nicht kommen (mit IDS+IPS), hatte Sophos XG und UTM auch auf dieser CPU in einer Zbox am Laufen, spreche hier aus eigener Erfahrung.
 
Selbst native ist die Hardware sehr mager für eine Sophos. Zudem würde ich dem Host zumindestens eine CPU übrig lassen.
 
Native / Bare Metal bekomme ich 100 MB/s+ - obs noch limitiert oder das Maximum ist, kann ich schwer sagen. Aber es ist sehr nahe am mir bekannten Maximum auf jeden Fall. Die CPU wird nur zu 20-30% genutzt.

Irgendwie scheint das mit der Virtualisierung nicht ordentlich zu laufen. Kann ich da noch etwas optimieren?

Ansonsten bleibt die Kiste BareMetal. Ich habe noch einen Lenovo Tiny M75Q mit 5650GE für meine Lab-Virtualisierungsumgebung - das ist CPU-technisch eine andere Liga.

Zur Frage oben: Mein Switch kann VLANs, wenn der Traffic jedoch nur über einen Port geht, könnte eben dieser auch wieder limitieren. Überlegt habe ich das ursprünglich mal....
 
cRaZy-biScuiT schrieb:
Irgendwie scheint das mit der Virtualisierung nicht ordentlich zu laufen. Kann ich da noch etwas optimieren?
Zum Vergrößern anklicken....
Wie schon gesagt, NIC-Passthrough probieren, am besten packst du dafür ne Dual/Quad-Port Intel NIC rein der dann rein von der FW genutzt wird.

Alternativ lässt du die Box einfach Baremetal. Ich hatte früher mal ne virtualisierte pfSense, aber BareMetal ist mir mittlerweile lieber, dann geht die FW auch wenn mal der Hypervisor Host zu Wartungszwecken offline ist, an so ner Firewall hingegen gibt's eher wenig zu warten.
 
spyfly schrieb:
Wie schon gesagt, NIC-Passthrough probieren, am besten packst du dafür ne Dual/Quad-Port Intel NIC rein der dann rein von der FW genutzt wird.

Alternativ lässt du die Box einfach Baremetal. Ich hatte früher mal ne virtualisierte pfSense, aber BareMetal ist mir mittlerweile lieber, dann geht die FW auch wenn mal der Hypervisor Host zu Wartungszwecken offline ist, an so ner Firewall hingegen gibt's eher wenig zu warten.
Zum Vergrößern anklicken....
Das ist ein kleiner SoC, Zima-Board. Witziger-Weise hat das Ding einen PCI-E-Port - sprich dein Vorschlag würde sogar funktionieren. Das führt die kompakte Größe dann aber wieder ad absurdum. Vermutlich passt das mit BareMetal am Besten: Das Gerät bleibt klein & kompakt, die Performance stimmt ebenfalls.

PS: Die Realtek-Nics die das Board leider hat durchzureichen hat nichts gebracht....
Beitrag automatisch zusammengeführt:

Anmerkung: BareMetal ist sogar noch Performance für IDS/IPS über - ich komme auf ~98 MB/s, wenn das aktiv ist. Ich glaube es ist die beste Variante so.

Danke für euren Input!
 
Shiga schrieb:
Ich denke du meinst eher 98 mb/s 98 MB/s mit IDS/IPS will ich auf dieser Hardware sehen. :P
Zum Vergrößern anklicken....
Ich meinte schon Megabyte/Sekunde. Ich hatte IDS/IPS aktiv, aber ich nehme an meine Firewallregeln haben die Nutzung nicht erzwungen. Müsste ich nochmal prüfen & auch in den Logs schauen. Aktuell ist es nur Rätselraten.

Ich habe einen 1Gbit/s Anschluss - sprich in der Theorie schafft der schon mehr als 1 MB/s. praktisch kommt man, ohne Störfaktoren, zumindest i.d.R. auf knapp bis 1 MB/s.
 
Die Sophos setzt automatisch nen transparenten Proxy auf sobald du IPS/IDS aktivierst. Da ist es dann voellig egal welches Ruleset du verwendets. Die Pakete gehen brav durch die scan-engine.
 
Verstehe. Dann war die Performance native ziemlich gut.
 
Anmelden, um zu antworten.

Ähnliche Themen

P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
876
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
567
OsiMosi
O
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh