ubuntuusers.de

Ich habe meine VM-basierte Firewall OPNsense nun gegen eine Appliance ausgetauscht, und das läuft fast alles auf Anhieb perfekt... außer:

Ausgehender Verkehr aus meiner DMZ ist total langsam. Mein Netz sieht so aus:

WAN / Internet
            :
            : PPPoE-Telekom
            :
      .-----+-------.
      |  Zyxel-DSL  |
      '-----+-------'
            |
        WAN | IP or Protocol
            |
      .-----+------.   private DMZ   .------------.                 .-------------.
      |  OPNsense  +-----------------+ DMZ-Switch |-----------------+ DMZ-VB-Host |
      '-----+------' 192.168.4.0/24  '------------'                 '-------------'
            |                                   |                   .----------------.
        LAN | 192.168.0.0/24                    |-------------------+ DMZ-Testclient |  
            |                                                       '----------------'
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
           ... <hier funktioniert alles>

Hinter dem LAN-Switch habe ich die volle Geschwindigkeit des Anschlusses (250/40 Mbit/s).
Auf dem DMZ-VB-Host habe ich jedoch ein Problem (Download 250 Mbit/s, Upload 250 kbit/s!).

Ein Problem mit der Firewall kann ich nun ausschließen, denn wenn ich einen weiteren Rechner (DMZ-Testclient) anschließe, hat der ebenfalls die volle Geschwindigkeit.

Es MUSS also am DMZ-VB-Host liegen.

Das Kabel vom Host zum Switch habe ich schon getauscht, das hat keine Änderung gebracht.
Eine andere NIC auf dem Host habe ich noch nicht probiert (weil ich dazu ja wieder an der OPNsense ändern muss).
Die NICs auf dem Host sind alle gleich (also auf gleiche Weise) konfiguriert.

Habt Ihr eine Idee?

Ist es denkbar, dass ein Hardware-Problem vorliegt, das den ausgehenden Verkehr verlangsamt, den eingehenden aber nicht?

Kann ich relativ einfach die Geschwindigkeit bei mir im LAN messen, also zwischen LAN-Clients oder dem DMZ-Client auf der einen und einer VM oder dem VB-Host selbst auf der anderen Seite (sind alles Ubuntus oder Mints)?

Ich habe keine Ahnung was „DMZ-VB-Host“ ist, welches OS läuft darauf und wie hast du getestet?

• Hersteller/Model der Hardware?

• was für NICs sind verbaut?

• Ist das Problem auch mit einem Live Linux (von USB oder DVD gebootet)?

• Ist ein Konfiguration Fehler von dir auszuschließen?

• Was ist ist als Default Gateway angegeben auf dem "DMZ-VB-Host"?

Iperf und dann mal direkt im gleichen Ethernet-Link testen, um mal Router und Co. auszuschließen. Da muss dann voller Link-Speed erreicht werden. Ebenfalls mit bmon auf die Fehler gucken.

Ok, das Problem ist lokalisiert, allerdings noch nicht identifiziert.

Zunächst das Problem, so weit ich es jetzt erkannt habe:

• Die NICs auf dem Host sind in Ordnung, wenn ich iperf zwischen ihm und einem anderen Rechner laufen lasse, habe ich die volle Geschwindigkeit

• Virtuelle Maschinen haben im Download (also eingehend für die NIC) die volle Geschwindigkeit (1000 MBit/s)

• Virtuelle Maschinen haben im Upload (also ausgehend für die NIC) die drastisch verringerte Geschwindigkeit (12-90 MBit/s) - und zwar auf beiden NICs

• (Das Problem muss also auch schon bestanden haben, als ich auf diesem Host noch die OPNsense-Firewall als VM laufen hatte ... ist wohl nur nicht aufgefallen 😲 )

Ehe ich jetzt weitersuche, werde ich erst einmal sicherstellen, dass der Host den neuesten Kernel hat (ist aktuell 6.8.0-53-generic) und dass VirtualBox die neueste Version ist (ist aktuell 7.0.20r163906).

Ich suche gleich mal nach, oder ist jemandem dieses Verhalten schon einmal begegnet?

– Trennung –

... und falls sich jemand wirklich für die Details interessiert, vielleicht zuerst doch einmal meine Topologie ordentlich beschrieben:

• Ubuntu-Host mit VirtualBox, nenne ich jetzt "Host", hat zwei NICs

• (Beide NICs hängen an der OPNsense -spielt aber keine Rolle, Verhalten bleibt auch nach Trennung gleich)

• Auf "Host" laufen mehrere VMs, eine davon Ubuntu, nenne ich jetzt "VM"

• Beide NICs von "Host" hängen an einem Gigabit-Switch, daran wieder weitere Hardware-Rechner

DJKUhpisse schrieb:

Iperf und dann mal direkt im gleichen Ethernet-Link testen, um mal Router und Co. auszuschließen.

Danke, iperf habe ich wohl gesucht. Was ist "im gleichen Ethernet-Link"?

Ich habe auf die schnelle jetzt nicht gesehen, ob iperf in beide Richtungen misst oder wie ich das einstellen könnte, und habe deshalb auf der einen Kiste einfach iperf -s aufgerufen und auf der anderen iperf -c <IP>, und dann scheint es so, als würde der Client Daten an den Server senden, zumindest entspricht das den von mir beobachteten Geschwindigkeiten.

DJKUhpisse schrieb:

Ebenfalls mit bmon auf die Fehler gucken.

Kenne ich nicht, sehe ich mir aber auch gern mal an.

Emma2 schrieb:

und dass VirtualBox die neueste Version ist (ist aktuell 7.0.20r163906).

Mal ein wenig offtopic gefragt: Warum nimmst du überhaupt noch Virtual Box obgleich Linux mit QEMU/KVM/virt-manager alles an Bord hat, was für die Virtualisierung benötigt wird?

Hallo Emma2, aha, einer dieser lustigen Effekte mit VIRTUALBOX Systemen. 😀

Ok, ich gebe Dir mal den folgenden Tipp:…

Stelle um auf KVM/QEMU Virtualisierung… da ist es besser… auch was USB-Kontakt, Fernwartungsanzeigen usw. betrifft.

Verwende statt, dem von VIRTUALBOX vorgeschlagenen INTEL LAN-Modell, eine VIRTIO-Verbindung… entsprechende Treiber für VIRTIO sind im Internet zu finden - stellt kein grosses Problem dar.

…UND, wenn Du schon bei VIRTUALBOX bleiben möchtest/musst, dann stelle einen Downgrade auf V7.0.6 / V7.0.10 her… alles was darüber liegt hat ORACLE "angestossen" sehr sehr viele Infos in die ORACLE Cloud zu senden, Zwangslizenzierung bei kommerzieller Erkennung usw..

Deswegen stellen wir Stück-für-Stück um auf KVM/QEMU…

Bitte INFORMIERT euch!!! Alle notwendigen Informationen finden sich bei ORACLE… viel Spaß…

BYE HS

adelaar schrieb:

Mal ein wenig offtopic gefragt: Warum nimmst du überhaupt noch Virtual Box obgleich Linux mit QEMU/KVM/virt-manager alles an Bord hat, was für die Virtualisierung benötigt wird?

Offtopic-Antwort: Ich habe das vor einigen Jahren mal probiert, aber nicht zum Laufen gebracht, und da ich mit VirtualBox gut zurecht komme, bin ich bisher dabei geblieben.
Hast Du einen Lesetipp/Anleitung für mich?

@Emma2

z.B. hier → virt-manager

Hallo Emma2, na ja, viel lesen muss man nicht zwangsläufig… WIR verwenden das Basissystem BOXEN… fast alles notwendige ist drin… falls man mehr benötigt, dann muss man sich beschäftigen/lernen. Noch einfacher ist es EVTL. sich mit PROXMOX auseinander zu setzen.

BYE HS

Emma2 schrieb:

Hast Du einen Lesetipp/Anleitung für mich?

Lesetipp oder Anleitung nicht direkt. Aber bei mir läuft in einer KVM auf einem MiniPC mit 16GB/512SSD und N100 neben der pfsense noch eine Nextcloud. Insofern kann ich sagen es läuft hervorragend und ohne Probleme, wie die von dir geschilderten.

Ich habe das vor einigen Jahren mal probiert, aber nicht zum Laufen gebracht

Nun, da hat sich in der Zwischenzeit viel getan. Für mich war das eigentlich alles mehr oder weniger selbsterklärend.

STRAGIC-IT schrieb:

Hallo Emma2, aha, einer dieser lustigen Effekte mit VIRTUALBOX Systemen. 😀

Ulkigerweise passiert das nur auf einem Host. Ich habe noch einen anderen, der ist meines Wissens hardwaremäßig identisch, da habe ich dieses Verhalten nicht

STRAGIC-IT schrieb:

Ok, ich gebe Dir mal den folgenden Tipp:…

Stelle um auf KVM/QEMU Virtualisierung… da ist es besser… auch was USB-Kontakt, Fernwartungsanzeigen usw. betrifft.

Ja, wie gesagt lese ich mich da gern ein. Aber, wie auch gesagt, war das vor ein paar Jahren irgendwie nur sehr stockig, und da habe ich es schnell aufgegeben.

STRAGIC-IT schrieb:

Verwende statt, dem von VIRTUALBOX vorgeschlagenen INTEL LAN-Modell, eine VIRTIO-Verbindung… entsprechende Treiber für VIRTIO sind im Internet zu finden - stellt kein grosses Problem dar.

Hmm, hört sich gut an, und ich habe auch woanders schon einen Artikel mit diesem Vorschlag gesehen. Aber der behandelt VirtualBox auf Windows...
Hättest Du für mich einen Lesetipp, insbesondere auch dazu, wie man überhaupt Treiber manuell unter Ubuntu installiert.

STRAGIC-IT schrieb:

…UND, wenn Du schon bei VIRTUALBOX bleiben möchtest/musst, dann stelle einen Downgrade auf V7.0.6 / V7.0.10 her… alles was darüber liegt hat ORACLE "angestossen" sehr sehr viele Infos in die ORACLE Cloud zu senden, Zwangslizenzierung bei kommerzieller Erkennung usw..

Nee, echt jetzt? Vor ein paar Monaten hatte ich ein anderes Problem, und da wurde ich "ermahnt", dass es doof sei, VirtualBox manuell zu installieren, ich solle doch das Repository einbinden und immer die aktuelle Version verwenden... ☹

... in diesem Zusammenhang: Ich habe gerade genau das gemacht (aktualisiert auf 7.1.6), aber jetzt kann ich auch nach Neustart des Hosts nicht mehr per xfreerdp auf die VMs zugreifen. Habe ich da wohl etwas falsche gemacht? Oder geht das einfach nicht mehr?

schwarzheit schrieb:

@Emma2

z.B. hier → virt-manager

Jau, danke, sehe ich mir an. Kann das denn das, was ich möchte? Ist nicht wirklich viel: VMs müssen laufen, ich muss Snapshots erstellen können, ich muss, z.B. per xfreerdp, auf die VMs zugreifen können.

Edit: Ach, ja, fast das Wichtigste, kann ich meine VirtualBox-VMs dorthin portieren? Möglichst unter Erhaltung der bestehenden Snapshots?

Emma2 schrieb:

JVMs müssen laufen, ich muss Snapshots erstellen können, ich muss, z.B. per xfreerdp, auf die VMs zugreifen können.

Edit: Ach, ja, fast das Wichtigste, kann ich meine VirtualBox-VMs dorthin portieren? Möglichst unter Erhaltung der bestehenden Snapshots?

Kenne xfreerdp nicht. Aber: auf die Konsolen der VM kann man mittels Virtual Machine Manager und ssh zugreifen. Und ja, man kann VirtualBox-VMs zu KVM portieren. Anleitung im Netz. Hab ich auch schon mal gemacht gehabt, vor einigen Jahren.

Man kann den Zugriff via ssh sogar per 2FA (TOTP) absichern. Dann allerdings muss man den Default SPICE-Server gegen den VNC-Server tauschen. Mit dem SPICE-Server klappt das leider nicht.

Hallo Emma2,

das Problem ist dem HOST egal, das passiert im VIRTUALBOX.

Sieh Dir BOXEN an… sehr einfach… aber falls die GAST-VM als Netzwerkbrücke arbeiten soll, wird es problematischer… Standard ist NAT.

Der VIRTIO-Treiber wird nicht im HOST installiert… im VIRTUALBOX in der Netzwerkauswahl einstellen… dann für das GAST-System hier lesen, alles ist wunderbar zusammen gefasst… https://www.spice-space.org/download.html

ORACLE hat entsprechende ÄNDERUNGEN für GÄSTE im September 2024 vorgenommen… alles notwendige steht DORT!!! Bitte bei ORACLE erkundigen!

Betroffen ist USB 2/3, RDP an die VM-Einheit usw., nicht jedoch ein RDP IN die VM…

Man muss eine Lizenz abschliessen zu MINIMUM 100 Einheiten und PRO Einheit 46,50€ zahlen.

Macht Spass, oder…?

Ein Kunde von uns hat gezahlt… 3 Rechner mit VM-Windows11… dort wurden 3 REINER-SCT Chipkartenleser benötigt, die vorher als USB1.1 gelaufen sind UND auch heute noch als USB1.1 im Linux laufen… im Windows10/11 funktionieren diese nur noch, wenn USB3 verbunden wird!… somit festgestellte kommerzielle Nutzung… Anzeige erfolgte… Kunde zahlte… der Gag ist, so ein Chipkartenleser kostete 69€…

Fazit

Ein abgekartetes Spiel mit etlichen Beteiligten…

BYE HS

adelaar schrieb:

Kenne xfreerdp nicht. Aber: auf die Konsolen der VM kann man mittels Virtual Machine Manager und ssh zugreifen.

Das reicht mir nicht, weil da Windows-Gäste dabei sind, da brauche ich die GUI, muss also per RDP zugreifen, und dafür bietet VirtualBox einen "VRDE-Server".

adelaar schrieb:

Und ja, man kann VirtualBox-VMs zu KVM portieren. Anleitung im Netz. Hab ich auch schon mal gemacht gehabt, vor einigen Jahren.

Hört sich gut an. Danke.

adelaar schrieb:

Man kann den Zugriff via ssh sogar per 2FA (TOTP) absichern. Dann allerdings muss man den Default SPICE-Server gegen den VNC-Server tauschen. Mit dem SPICE-Server klappt das leider nicht.

Brauche ich nicht, ist alles nur bei mir im LAN.