veloc1ty · ʎʇƖɔolǝʌ

Links:

Each icon is taken from the providers trademark page.

Content licensed under CC BY-SA 4.0 - Powered by Hugo and a customized Hyde-X template

pfSense: Ethernet Errors als KVM Guest

Wednesday, May 25 2016 · Lesezeit: 2 Minuten · 349 Wörter · Tags: pfSense Achtung! Dieser Artikel ist älter als ein Jahr. Der Inhalt ist möglicherweise nicht mehr aktuell!

Ich hatte seit dem Update auf pfSense 2.3 „Network In“ Errors auf drei meiner virtuellen NICs. Vor allem, wenn Traffic größer als 600 MBit/s durch die Firewall geroutet werden, ging der Fehlerzähler stark nach oben. Im Alltag bemerkte man das nicht, jedoch mag ich es nicht, wenn man ein Problem verdrängt.

Diagnose

Mit Hilfe von netstat kann man sich den Fehlercounter pro Interface anzeigen lassen:

Hier ist der Wert von „Ierrs“ bei den Schnittstellen em1, em2 und em4 sehr hoch.

Ethernet Errors entstehen zum Beispiel durch

Ein Blick auf das Hostsystem hat mir verraten, dass die physischen Netzwerk Interfaces und die Bridges keine Fehler aufgezeichnet haben. Das Problem liegt also nicht am Hostsystem oder an der Verkabelung bzw. mein Netzwerk Equipment.

Die pfSense Firewall läuft mit e1000 emulierten virtuellen Netzwerkkarten. Ich hatte diese in Verdacht, da ich bei allen anderen Servern virtio als Treiber benutzt wird. Ich habe die Firewall dann umgebaut auf virtio Treiber.

Zusammenbruch meines Routings

Nach der Umstellung ging nichts mehr. Zuerst dachte ich mir, dass es ein Problem mit einer Regel gibt. Ich habe alles durchgeschaut und keinen Fehler gefunden. Selbst als ich Traffic Filtering in pfSense ausgeschaltet habe ging es nicht.

Ich war in der Lage ICMP Echo Requests an IP Adressen über NICs hinweg abzusetzen und habe auch ICMP Echo Replys erhalten. Bei allen anderen Protokollen schlug ein Verbindungsaufbau fehl. Ein Trace auf der Firewall zeigte dann folgendes Bild:

Das TCP SYN Paket ging raus, der Server antwortete mit einem ACK. Dieses ACK blieb dann bei em1 hängen. Darafhin hat mein Laptop ein Retransmission des SYN Pakets geschickt, während der Server gleichzeitig mit dem ACK Paket ein Retransmission versuchte.

Die Lösung des Problems ist eine Einstellung in pfSense. Diese heißt „Hardware Checksum Offloading“ und muss aktiviert sein, damit die Kommunikation reibungslos funktioniert. Diese Einstellung findet man unter System -> Advanced -> Networking -> Network Interfaces.

Nach einem Neustart der Firewall läuft der Traffic wieder ungehindert. Seit gestern habe ich dieses Setup im Einsatz und keine Network Errors mehr gesehen.


Du hast einen Kommentar, einen Wunsch oder eine Verbesserung? Schreib mir doch eine E-Mail! Die Infos dazu stehen hier.

🖇️ = Link zu anderer Webseite
🔐 = Webseite nutzt HTTPS (verschlüsselter Transportweg) Zurück