Назад | Перейти на главную страницу

PFsense https-соединения необычно медленные

У меня очень странная проблема с PFsense как маршрутизатором, работающим в KVM с CentOS 7. https-соединения невероятно медленные (10 КБ / с или меньше), а загрузка через https просто не работает; например, используя https://imgur.com через https загружается, но загрузка изображения займет несколько минут, после чего он сообщает, что не удалось.

У меня есть настройка с двумя WAN с подсетью 192.168.178.x / 24 между виртуальной машиной PFsense и двумя маршрутизаторами / модемами ADSL. Функциональность NAT маршрутизатора / модема нельзя отключить, поэтому я просто поместил их в одну подсеть и подключил друг к другу, имея только 1 активный DHCP-сервер, первый маршрутизатор находится на .1, а второй - на .2. Коробка PFsense находится на 0,5. Частная сеть за pfsense - 172.16.x.x / 16. Виртуальная машина PFsense работает на гипервизоре CentOS 7 KVM с двумя сетевыми картами Intel Gbe, соединенными мостом linux с сетевыми картами VM, с использованием драйверов virtIO, если это имеет значение.

У меня есть Squidproxy, однако он не включен для https-соединений, и https-доступы не отображаются в журналах Squid, и отключение или удаление Squid не имеет значения. Однако переезд в подсеть 192.168.178.x / 24 до того, как PFsense ДЕЙСТВИТЕЛЬНО имеет значение, поскольку внезапно все снова работает гладко, и любой контент https загружается мгновенно.

Кто-нибудь знает, что может происходить? Что-нибудь, что я мог бы попытаться диагностировать? Я пробовал wirehark и, если не считать медлительности, не вижу ничего необычного ... Любые предложения приветствуются!

edit: в настоящее время я запускаю memtest86 + внутри виртуальной машины (они тоже не должны давать ошибок, верно?), и у меня пока есть 1 ошибка, хотя, похоже, она выходит за пределы диапазона памяти, который я предоставил виртуальной машине, поэтому я ' m немного запутался .. Я обновлю, когда у меня будет больше информации. Возможно, позже я проведу полный мемтест на хосте, если смогу на мгновение удалить пользователей с хоста.

Вполне возможно, что если вы используете pfSense 2.2 или более поздней версии, на вас влияет этот. Симптомы включают:

  1. Медленная работа других виртуальных машин, размещенных на платформе KVM, если им необходимо получить доступ к сетевому ресурсу, который находится на другой стороне одного из интерфейсов маршрутизатора на маршрутизаторе pfSense.
  2. Физические машины, которым нужен доступ к чему-либо через маршрутизатор, работают очень быстро.

Я не эксперт, но мое текущее понимание состоит в том, что контрольные суммы неправильно рассчитываются для пакетов, которые перемещаются с одной виртуальной машины на другую, поэтому либо маршрутизатор pfSense отбрасывает их, либо получатель на другом конце соединения отбрасывает их, потому что они полагаю, что пакеты были искажены при транспортировке (что, я полагаю, технически так и было). Об этом много говорится в ветке, на которую я ссылался выше, а также в этот нить.

Чтобы решить эту проблему, вам, вероятно, потребуется отключить по крайней мере разгрузку контрольной суммы TX на виртуальных сетевых адаптерах виртуальной машины pfSense. Я не уверен в том, как это сделать в KVM, поскольку я сам человек Xen. Хорошей охоты!

Пожалуйста, проверьте, нет ли у вас неправильной конфигурации сервера ldap / radius. Для проверки сделайте резервную копию ваших настроек и удалите сервер. В этом была проблема в моем случае.

Возможно, вы включили параметр, который штрафует "неизвестный" или зашифрованный трафик? Этот параметр обычно предназначен для того, чтобы наказать или сделать сеть непригодной для совместного использования файлов и пользователей p2p, но, возможно, pfsense видит, что https зашифрован, и наказывает его соответствующим образом.

Как настроен двойной WAN? В режиме избыточности, с балансировкой нагрузки или распределенным?

Это может быть проблемой, если в какой-то момент происходит переключение между глобальной сетью и вторичной / резервной намного медленнее.