Neuer Provider - Zywall 110 extrem langsam

[MarroniJohny]

Hi

Sorry für den @OT, aber ich dachte, hier kann mir sicher jemand Auskunft geben:

Ich habe nun eine (theoretische) 10 Gbit/s FTTH Leitung. Am Start ist aber nur 1 Gbit/s Hardware. Sprich am Fibre Router vom Provider hängt als exposed Host eine Zywall 110, dort die DMZ direkt als physisches Ethernet Interface sowie drei VLAN getagt über ein Kabel auf den Switch.

Ich hatte schon vorher Probleme, wenn ich vom napp-it am management VLAN was ins normale VLAN geschubst hatte, das ging immer nur so mit 300 Mbit/s. Nun habe ich aber gesehen, dass es mit dem Durchsatz WAN/LAN, WAN/DMZ auch einen massiven Einbruch gibt. Hinter dem Switch ist es noch schlimmer als direkt an der Zywall (gemessen auf der DMZ direkt am ESXi).

Auf der Zywall laufen kein IDS, SPI, Virenscanner oder sowas. Das Ding spielt nur Router. Allerdings hängen da jene MACS dran, aber die sind zum grossen Teil deaktiviert in den Gästen. Die Firewall sollte sonst um die 1500 Mbit/s Durchsatz schaffen. Die Zywall ist auch hardwaremässig nicht im Ansatz ausgelastet.

So sieht es direkt am Fibre Router aus, das wäre auch hinter der Zywall angestrebt:

Auf der DMZ direkt an der Zywall:

Und hinter dem Switch am Desktop:

Hat wer grad einen Plan, was das sein könnte? Den neuen Provider schliesse ich aus, die Messungen sind absolut reproduzierbar. Ist das irgend ein QOS Problem auf der Zywall, weil ich da halt schon einen höheren 2 stelligen Betrag an DHCP Zuordnungen habe? Was jetzt gerade am laufen ist, wäre aber überschaubar. Es ist für mich auch nicht ersichtlich, wieso im Upload das Problem scheinbar grösser ist als im Download. Das sollte ja für die Zywall keinen Unterschied machen?

Danke!

[~thc]

"Extrem langsam" ist scheinbar ein Begriff, den man in einem weiten Bereich interpretieren kann.

Kannst du mal als Vergleich einen realen Up- und Download (HTTPS, FTPS etc.) zu einem Host durchführen, der am besten bei deinem
Provider steht?

[MarroniJohny]

Hey ~thc. Danke.

Hmm, habe mal Linux runter geladen aus der Schweiz, da komme ich auf 60-80 MB/s, also im grünen Bereich. Upload teste ich heute Abend mal mit dem Kumpel, der hat eine Gbit Leitung. Allerdings läd er da per VPN runter, das ist also nicht wirklich repräsentativ.

Ich habe jetzt auch mal alles ausgesteckt an der Zywall, und den Laptop als einziges dort eingestöpselt. Upload bleibt bescheiden. Es liegt also definitiv an der Zywall. Direkt am Fibrerouter ist alles erste Sahne.

Bei der Zywall kann ich bei den Ethernet Ports ingress und egress Bandbreite angeben. Das ist wie folgt konfiguriert:

ZywallPortConfiguration.PNG (9.96 KiB) 5147 mal betrachtet

Das wäre ja richtig so, oder?

Ich vermute, dass da doch irgend eine Firewall Funktion a la DPI oder IDS aktiv ist. Wobei die CPU langweilt sich. Ferner habe ich auch gar nicht die UTM Firmware drauf, das ist die normale VPN Version. VPN laufen keine direkt auf die Zywall, das mach ich auf den beiden Servern. Neueste Firmware habe ich mittlerweile auch rauf geladen, hat nichts gebracht. Wie gesagt, der Firewalldurchsatz wird mit 1.5 Gbit/s beworben. Das müsste ja für beide Richtungen gelten, nehm ich an?

Die Zywall ersetzen würde ich auch ungerne, weil da bin ich mittlerweile recht fit im Umgang mit. Zumindest komme ich besser klar als mit xsense oder Sophos. Mit der Endian kenne ich mich recht gut aus, aber die bietet mir zu wenig Funktionen und nutzt meiner Meinung nach die Hardware nicht optimal aus. Ausserdem habe ich gar nicht das Kleingeld, um mir jetzt noch eine neue Appliance zuzulegen. Da habe ich noch ganz andere Baustellen.

[~thc]

Ja, die Zahlen sollten stimmen. Diese Bandbreitenangabe wird fürs "load balancing" und Bandbreitenmanagement genutzt:
https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=012679&lang=EN

Hast du in dieser Richtung etwas konfiguriert?

[MarroniJohny]

Nein, gar nicht. Aber ich habe auf dem Desktop mal die Testapp aktualisiert, und mittlerweile auch so um die 250-270 Mbit/s im Upload. Das ist schon viel besser. Also wie oben abgebildet auf der DMZ.

Wenn ich mal die Muse habe, speichere ich die Settings von der Zywall und setze sie zurück. Sind halt seit Jahren verbastelt die Settings, vielleicht liegt es ja an irgend einer Einstellung.

[Dayworker]

Ich habe keine Ahnung von FTTH, aber bist du dir mit der MTU von 1500 sicher? Bei 10GE fährt man meines Wissens Jumbo-Frames mit 9000er Load und auch nur damit kann man die Leitung wirklich ausnutzen.

Ich kann das nicht einordnen, ob es überhaupt Relevanz hat. Aber schaue ich mir https://www.zyxel.com/de/de/products_services/Business-Firewall-ZyWALL-110-310-1100/comparison an, gibt es dort die Angaben:

SPI firewall throughput(Mbps)*2 --- 1,600
*2 Maximum throughput based on RFC 2544 (1,518-byte UDP packets).

VPN throughput (Mbps)*3 --- 400
*3 VPN throughput measured based on RFC 2544 (1,424-byte UDP packets).

[MarroniJohny]

MTU und Jumbo Frames, alles schon gehört, aber kein Plan und noch nie was verändert da. Ich habe zum Modem (Zywall WAN seitig) und zu den Clients halt je eine 1 Gbit/s Verbindung. Wo würde sich das denn anbieten, mit den Jumbo Frames? Auf allen Interfaces der Zywall? Und was bringt es denn genau? Wäre schön, wenn ich grosse .zip Dateien zügig versenden könnte, ausserdem wird wohl bald mal ein Hosting Panel dran hängen. Aber schon ausgelegt, um Dateien versenden zu können. Ausserdem halt noch die Spili Server. Die machen nicht viel Traffic, aber da ist halt gute Latenz gefragt.

Ich habe es jetzt mal mit 1440p Streaming versucht. Das ging vorher nicht mit Cable und 30 Mbit/s Upstream. Also Verbesserung ist schon ma da.

[MarroniJohny]

Ah das ist wohl sehr von den Einstellungen der Messapplikation abhängig. Mit https und 4 Kanälen gibs halt nur 250Mbit/s in beide Richtungen, mit http und jeweils 8 Kanälen gehts dann Richtung >500 Mbit/s.

[MarroniJohny]

So, ich habe mal mit einem netten Supportarbeiter von der Zyxel Vertretung Schweiz telefoniert und nachgefragt. Er meinte das sei normal, dass die Zywall 110 mit TCP nicht ganz ein Gbit/s Durchsatz macht, ich müsste da auf eine 310er gehen. Die 1.5 Gbit/s Durchsatz beziehen sich auf UDP, wie der Dayworker wohl schon vermutet hat. Ich hatte seinen Post diesbezüglich nicht wirklich verstanden. Ich wusste nicht, dass das einen Unterschied macht.

Ich kriege im Schnitt so 800 down 500 up, das reicht ja eigentlich auch, wenn wir ehrlich sind.

[MarroniJohny]

Hi

Ich habe jetzt eine 2TB SM883 an napp-it. Neu gabs noch ein Hosting Panel (Plesk). Nun was soll ich sagen: haha, geil!

Über https mit 3-4 TCP Streams komme ich jetzt locker auf 800-900 Mbit/s im upstream über die zywall, das ist so das, was ich sehen wollte. Und nebenbei laufen noch Backups sowie meine Spili Server. Auch wenn ich mit nem Gamelauncher was runter ziehe auf den Desktop, geht das ähnlich zügig voran, das wird dann aber UDP sein.

Läuft alles fluffig, und das auf einem Sechskerner. Unglaublich eigentlich. Wie @thc schon vermutet hat, ist in der Realität mehr raus zu holen als der Speedtest her gibt.

Was ist so an einer 10 Gbit/s Leitung die sich 64 Nutzer teilen so normale Nutzung nach Fair use Policy? Ich habe halt eine Seite am laufen, die so um die 3-5 TB Upload macht pro Monat. Beim Provider nachfragen möchte ich nicht unbedingt. Auf seinem Web schweigt er sich aus zu Server Diensten über Fibre. Da gehts mehr um Sachen wie Videoüberwachung an LTE und sonstige Dinge die mich nicht betreffen. Steht halt ganz klar Privatanschluss mit normaler Nutzung. Wenn die nen 10 Gbit/s Anschluss teilen für 64 Leute, ist der dann symmetrisch im Headend? Weil dann dürfte es kein Problem sein, im Normalfall lädt da vielleicht mal einer, zwei herunter bei mir, also so um die 50 MB/s höchstens. Im Normalfall, wenn wer was läd mit 1-10 Mbit/s. Und die meisten User am Anschluss vom Provider dürften ja den Downstream benutzen. ddos Schutz habe ich auch auf der betreffenden Domain, das hängt hinter Cloudflare.