Qualora si ritenesse di avere problemi di performante, consigliamo di seguire uno di questi suggerimenti per la risoluzione dei problemi su pfSense.

Possibili cause di basse performances:

  1. Hardware insufficiente
  2. Hardware/Driver Tuning Required (ottimizzazione del driver delle NIC)
  3. Duplex Mismatch
  4. Traffic Shaping
  5. Problemi di MTU
  6. WAN connection
  7. Client/Metodi di test
  8. Problemi dell’ISP

1. Hardware insufficiente

Questo rappresenta la causa più frequente dei problemi di performance. È indispensabile capire se l’hardware che abbiamo a disposizione è in grado di reggere il carico di lavoro per cui è stato installato.

Per prima cosa verificare è se il dimensionamento del firewall è stato fatto correttamente oppure l’hardware risulta evidentemente sottodimensionato.

Qualora il dimensionamento fosse adeguato sarà necessario passare a strumenti di verifica più affinati per identificare il problema.

La cosa più evidente da fare è la verifica dei parametri vitali della macchina come: carico della CPU, carico RAM e eventuale swapp durante i picchi di traffico.

Per fare ciò si può procedere in 3 modi:

  1. Verificare sulla Dashboard – System Information: verificare i parametri CPU usage, Memory usage, SWAP usage
  2. Possiamo poi verificare il dettaglio del carico della CPU durante i picchi di carico per verificare quale è il processo che satura la CPU. Il percorso da seguire è: Diagnostics > System Activity
  3. Entrare in console (anche tramite ssh) e eseguire il comando:top -aSH

Se si osserva un processo IRQ (interrupts) per la scheda di rete, allora l’hardware che si utilizza potrebbe essere quasi o completamente saturo, oppure il driver delle NIC potrebbe avere necessità di una ottimizzazione. Se il sistema non è sotto stress durante il trasferimento dei dati, il problema probabilmente risiede altrove.

Se il carico della CPU è alto e la quantità di interrupt è bassa, il problema potrebbe essere nella quantità di elaborazione dei pacchetti elaborati da pfSense o utilizzato per la crittografia.

Se pf satura una delle CPU, allora il collo di bottiglia sarà l’elaborazione dei pacchetti di pfSense. Si consiglia l’utilizzo di una CPU con un core con frequenza di clock più alta, in quanto uno dei limiti di pfSense  è proprio che alcuni demoni come pfSense sfruttano solo una CPU.

Nella versione 2.2 e successive pf Sensè in grado di utilizzare più core.
Qualora i limiti sulla CPU si riscontrassero a causa della crittografia si potrà sempre scegliere un sistema con processore crittografico.

2. Hardware/Driver Tuning Required (ottimizzazione del driver delle NIC)

Se durante la visualizzazione dell’elenco dei processi con il comando TOP si nota che una delle CPU è interamente occupata da interupt (IRQ) allora potrebbe essere necessario ottimizzare del driver.

Per fare questo bisogna ottimizzare le schede di rete.

Alcune schede di rete come IGB (Chipset Intel) sono in grado di utilizzare più code e distribuire il traffico su più core, quindi ottenere un throughput maggiore.

Un altro elemento da verificare è in System > Advanced ed infine Networking tab. Assicurarsi che le caselle per disattivare TSO e LRO sono fleggate. Se sono già fleggate, provare ad attivare l’opzione per la checksum offloading. Se non si osservano differenze, settare tutto come prima.

3. Duplex Mismatch

Su reti 100Mbit/s o meno, un duplex mismatch è possibile. Alcuni produttori sono bloccati all’età della pietra e ancora insistono su porte hard-coding su CPE, come convertitori di fibra a 100 Mbit/s full-duplex.

Se il CPE è hard-coded, ma il firewall non lo è, sarà necessario verificare il duplex su Status > Interfaces. La mancata corrispondenza duplex porterà ad errori di interfaccia, collisioni, e bassa velocità e bisogna impostare la velocità e duplex della NIC.

4. Traffic Shaping

Se la procedura guidata di traffic shaping è stata eseguita prima di un aumento della larghezza di banda, i limiti di banda impostati precedentemente possono essere ancora in vigore. Visita: Firewall> Traffic Shaper e controlla le regole impostate siano ancora valide.
Controllare anche il Limiters tab sotto le impostazioni del traffic shaper, verificare che eventuali limitatori siano impostati per le velocità adeguate.

5. Problemi MTU

I problemi che riguardano la velocità di upload spesso finiscono per essere problemi legati all’MTU. Se la MTU sul device pfSense® CE (default 1500), è superiore alla MTU del collegamento a monte, può tradursi in pacchetti che vengono frammentati o persi. Impostare l’MSS clamping sulle WAN o cambiare l’MTU dell’interfaccia può aiutare.

6. Connessione WAN

Ci potrebbero essere anche problemi tra la WAN e il modem/CPE. Potrebbe essere un cavo, o “un’anomalia” nel modo in cui le due interfacce parlano tra loro. Mettere un piccolo switch tra il firewall e il modem/CPE come un test.

7. Client/Metodi di test

La lentezza non può sempre dipendere dal device che ospita pfSense. Potrebbe essere il cliente stesso o come il modo in cui si connette.
Assicuratevi sempre che i device con cui e da cui effettuate i test non siano la causa del problema.

Assicurarsi che il client sia connesso al firewall tramite una connessione veloce almeno come la WAN.

8. Problemi dell’ISP

Se ogni altro fattore è stato eliminato, provare il modem senza il firewall. Se la velocità è ancora bassa, può essere il provider la causa della lentezza, o il modem/CPE.

Corso Personalizzaro pfSense

Corso Gratuito

Corso pfSense completamente gratuito che tratta l’installazione, configurazione e mantenimento di pfSense.

Attraverso videolezioni e laboratori operativi potrai approfondire tantissimi argomenti legati al celebre firewall open source.

Hai trovato utile questo articolo? Invialo a un amico o condividilo sui social!


Articoli correlati