Соединения PFsense https необычайно медленные
У меня очень странная проблема с PFsense, так как маршрутизатор работает в KVM с CentOS 7. Соединения https невероятно медленные (10 КБ / с или меньше), а загрузка через https просто не работает; например, использование https://imgur.com/ через https загружает, но загрузка изображения займет несколько минут, после чего оно сообщит, что оно не удалось.
У меня двойная установка с подсетью 192.168.178.x/24 между виртуальной машиной PFsense и 2 модемами / модемами ADSL. Функциональность NAT маршрутизатора / модема не может быть отключена, поэтому я просто поместил их в одну подсеть и подключил их друг к другу, когда активен только 1 DHCP-сервер, первый маршрутизатор установлен на.1, а второй на.2. Коробка PFsense сидит на.5. Частная сеть за pfsense - 172.16.xx/16. Виртуальная машина PFsense работает на гипервизоре CentOS 7 KVM с двумя сетевыми картами Intel Gbe, соединенными мостом linux с сетевыми картами виртуальной машины, с помощью драйверов virtIO, если это имеет какое-либо значение.
У меня есть Squidproxy, однако он не включен для соединений https, и доступ https не отображается в логах Squid, и отключение или удаление Squid не имеет значения. Перемещение себя в подсеть 192.168.178.x/24 до того, как PFsense ДЕЙСТВИТЕЛЬНО меняет ситуацию, так как внезапно все снова работает гладко, и любой контент https загружается мгновенно.
Кто-нибудь знает, что может происходить? Что-нибудь, что я мог попытаться диагностировать? Я пробовал Wireshark и в сторону за медлительность я не вижу ничего необычного.. Любые предложения приветствуются!
редактировать: в настоящее время я запускаю memtest86+ внутри виртуальной машины (они тоже не должны давать ошибок?), и у меня пока есть 1 ошибка, хотя, похоже, она выходит за пределы диапазона памяти, который я выделил виртуальной машине, поэтому я ' Я немного сбит с толку.. Я обновлю, как только у меня будет больше информации. Позже я могу запустить полное тестирование на хосте, если я смогу на мгновение удалить пользователей с хоста.
4 ответа
Вполне возможно, что если вы используете pfSense 2.2 или более позднюю версию, это влияет на вас. Симптомы включают в себя:
- Замедление для других виртуальных машин, размещенных на платформе KVM, если им требуется доступ к сетевому ресурсу, который находится на другой стороне одного из интерфейсов маршрутизатора на маршрутизаторе pfSense
- Физические машины, которым нужен доступ к чему-либо через маршрутизатор, работают очень быстро
Я не эксперт, но в настоящее время я понимаю, что контрольные суммы неправильно рассчитываются для пакетов, которые перемещаются с одной виртуальной машины на другую, поэтому либо маршрутизатор pfSense отбрасывает их, либо получатель на другом конце соединения отбрасывает их, потому что они полагаю, что пакеты были искажены в транспорте (что, я думаю, технически они были). Об этом много говорится в теме, которую я связал выше, а также в этой теме.
Чтобы решить эту проблему, вам, вероятно, потребуется отключить как минимум разгрузку контрольной суммы TX на виртуальных сетевых картах виртуальной машины pfSense. Я не уверен в процедуре, чтобы сделать это в KVM, так как я сам человек Ксен. Хорошей охоты!
Пожалуйста, проверьте, если у вас нет неправильной конфигурации сервера ldap/radius. Для проверки сделайте резервную копию настроек и удалите сервер. Это была проблема в моем случае.
Как настроен двойной WAN? Это в режиме резервирования, распределения нагрузки или распределенного?
Это может быть проблемой, если в какой-то момент происходит переключение между глобальными сетями, а вторичный / резервный происходит намного медленнее.
Возможно, вы включили параметр, который наказывает "неизвестный" или зашифрованный трафик? Этот параметр обычно предназначен для того, чтобы наказать или сделать сеть непригодной для совместного использования файлов и пользователей p2p, но, возможно, pfsense видит, что https зашифрован, и соответственно штрафует его.