Zdravim, resim problem kdy mi turris omezi upload na 1-2mbit (linka da az 40 zkouseno kabelem naprimo i v bridge mode turrisu kdy mam jeden lan port prepojen bridge k wan)
Po factory resetu to neomezoval a po cca hodine opet zacal nemuzu prijit na to co to dela. Vypada to na formu nejake qos protoze pri speedtestu par vterin se nic nedeje a pak to vyskoci na tech 1-2mbit, download dela to same taky ze zacatku omezeno na 4-6mbit a pote vyskoci na 20 (mel by jit az 26-30mbit)
Ve foru se to parkrat uz resilo ale nebylo zadne reseni
Solved, po odinstalovani suricata problem zmizel…
Zvláštní, já teda nemám tak rychlou linku, obzvláště na straně uploadu ale suricata mi takové potíže nepůsobí.
Me to taky nedelalo az po poslednim updatu mi to zaclo delat tyhle kravoviny a to jenom na LAN, udelal jsem factory reset dohazel tam zpatky konfiguraci a hodku to slapalo a pak znova to takhle silene omezilo tak sem vyklikl suricatu je to to sledovani novych zarizeni v siti a prestalo to
z turris samby tahám 33MB/S (±310Mbit/s) po LAN která opouští port na turrisu jde do powerline (AV1200 TP-LINK) pak z druhý powerline do gigabitového switche kde naráží na virtual ethernet swtich a jde do windowsové mašiny. Takže u mně je úzké hrdlo na powerline. takže replikovat problém nemohu.
Mohu potvrdit, že s povoleným pakonem a surricatou je moje rychlost do/z Internetu značně omezená.
Zdravím,
Suricata na starých Turrisech by mohla teoreticky omezovat rychlost připojení v mnohonásobně vyšší rychlosti. Bavíme se o rychlosti 600 Mbps a vejš.
Jen pro upřesnění mohl byste mi, prosím, upřesnit Vaší rychlost, zda se jedná o MB/s nebo Mbps?
Jaké je vytížení Vašeho CPU? Rychlost jste měřil přes jaký server (Netmetr.cz,Speedtest.net)?
@Nones: O jak velké omezení se ve Vašem případě jedná?
Tady jsem to i nahral jak se to chova pri instalaci a odinstalaci, omezeni je znatelny hlavne na uploadu
@Pepe, posílám obrázky přímo ze Speedtestu … jeden důkaz je více než tisíc slov
-
s nainstalovanou Suricatou a Pakonem
-
po odinstalování Pakone a Suricaty
Jen pro úplnost dodám pár technických parametrů:
ISP: UPC … platím si rychlost 150/10 Mbit/s
Turris: 1.0
TurrisOS: 3.9.5
Dobře, díky. Zatím se mi to nedaří reprodukovat.
Podíváme se na to a dám vědět.
2 Likes
Můžeme Vás poprosit o zaslání výstupu z příkazu iptables -L suricata -nvx, který nebude hned po rebootu, ale bude tam nějaký provoz.
Toto je kratce po instalaci, poslu jeste treba po dni provozu
root@turris:~# iptables -L suricata -nvx
Chain suricata (3 references)
pkts bytes target prot opt in out source destination
60047 58857909 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 connmark match 0x1/0x1
73 42882 CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x1/0x1 CONNMARK or 0x1
117050 77612903 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x2/0x2
46503 7276908 NFQUEUE all -- br-lan * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
74864 73761278 NFQUEUE all -- * br-lan 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- br-guest_turris * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- * br-guest_turris 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
EDIT:
Staci to po 4h?
root@turris:~# iptables -L suricata -nvx
Chain suricata (3 references)
pkts bytes target prot opt in out source destination
4123677 4472387177 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 connmark match 0x1/0x1
4055 2592927 CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x1/0x1 CONNMARK or 0x1
2377869 756499502 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x2/0x2
1109011 133502780 NFQUEUE all -- br-lan * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
1296024 643275869 NFQUEUE all -- * br-lan 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- br-guest_turris * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- * br-guest_turris 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypassDíky.
Ten váš výstup vypadá zhruba tak jak bych očekával, ten hlavní trik který jsme použili aby Suricata nezpomalovala podle toho výpisu zjevně funguje (proto je zdaleka nejvíc bajtů u toho prvního RETURN pravidla - velkou část provozu Suricata ignoruje).
To zpomalení co popisujete je fakt extrémní, máme vyzkoušeno že suricata zvládne zhruba 150Mbps i když se žádné výkonostní triky nepoužijí (nebo by z nějakého důvodu nefungovaly). Zpomalení na jednotky Mbps nechápu. Běží Vám na routeru ještě něco, co by mohlo být náročné?
Nám se to u nedaří zreprodukovat, zkoušeli jsme to před chvílí se zapnutou suricatou jak na starém Turrisu tak na Omnii a rychlost to výrazně nesníží.
Ještě mě napadá jestli se to neprojevuje jen u některých služeb/protokolů, to jsme řešili celkem dlouho.
Můžete zkusit zkopírovat si výstup toho iptables -L suricata -nvx, spustit test rychlosti a potom udělat znovu iptables -L suricata -nvx a hodit mi to sem? Jde mi hlavně o ty countery u pravidel.
Když sleduji tarfic přes Turris pomocí netdata tak mi při zapnuté Suricata vyskakuje strašná chybovost paketů.
Edit: Tak na úspěšné “zavaření” suricata u mne stačí asi pět minut přetáčet fullhd video tam a zpátky přes minidlna.
root@turris:~# iptables -L suricata -nvx
Chain suricata (3 references)
pkts bytes target prot opt in out source destination
953740 2448600250 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 connmark match 0x1/0x1
85 122619 CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x1/0x1 CONNMARK or 0x1
190294 170286885 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x2/0x2
78456 4753753 NFQUEUE all -- br-lan * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
73001 177373754 NFQUEUE all -- * br-lan 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- br-guest_turris * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- * br-guest_turris 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypassPred a po, na turrisu mi bezi mysql nginx a php ale temer s zadnym vytizenim v dobe testu uptime ukazuje 19:28:00 up 7 days, 15:58, load average: 0.58, 0.39, 0.20. Ram vyuziva 229M vc. bufferu.
Jenom teda pri pohleud do htop suricata docela papa viz http://502.cz/scr/kitty_portable_2018-03-16_19-29-47.png
Mam Turrise 1.1
root@turris:~# iptables -L suricata -nvx
Chain suricata (3 references)
pkts bytes target prot opt in out source destination
63 57715 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 connmark match 0x1/0x1
2 1261 CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x1/0x1 CONNMARK or 0x1
5629 4729278 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x2/0x2
2610 141169 NFQUEUE all -- br-lan * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
3457 4840365 NFQUEUE all -- * br-lan 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- br-guest_turris * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- * br-guest_turris 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
root@turris:~# iptables -L suricata -nvx
Chain suricata (3 references)
pkts bytes target prot opt in out source destination
12069 11342218 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 connmark match 0x1/0x1
41 25327 CONNMARK all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x1/0x1 CONNMARK or 0x1
88880 77022567 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 mark match 0x2/0x2
39171 4817777 NFQUEUE all -- br-lan * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
56118 76242457 NFQUEUE all -- * br-lan 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- br-guest_turris * 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypass
0 0 NFQUEUE all -- * br-guest_turris 0.0.0.0/0 0.0.0.0/0 NFQUEUE num 10 bypassMůžu potvrdit že suricata je brzda a krám, po odinstalování mě koněčně chodí net na plno 300mbps . Před tím někde 100 někde 200, ale strašně pomalu se to rozjíždělo, teď to frčí plnej plyn hned.
1 Like
Má řešení výše uvedeného problému nějaký vývoj? Potvrzuji zpomaleni na cca 10 % původní rychlosti po instalaci Pakone na Turris 1.0. Pakon je velmi užitečný nástroj, ale to zpomalení je zásadní a znemožňuje produkční nasazení Pakone. Rád přispěji k řešením testováním nebo reportováním.
1 Like
Ahoj, mám problém s omezováním downloadu u Turris 1.1. Nejdřív jsem si to ověřoval u poskytovatele a tam je všechno v pořádku. Po připojení notebooku na přímo je to také OK.
Když připojím Turris, tak jede plnou rychlosti, která odpovídá to co mám mít (agegace…rychlost 50/10 Mb/s), ale po určité době (cca 30 minut) dojde k omezení rychlosti na zhruba 9,4Mb/s v downloadu.
Info z netmetr
Bez omezení
https://www.netmetr.cz/cs/detail.html?d1c6565f-c88a-4633-927e-ae1733bc01a4
S omezením
https://www.netmetr.cz/cs/detail.html?015cd360-7d47-4b68-8e2c-94e7473cce47
Potom stačí zadat přes konzoli # /etc/init.d/network restart a rychlost je zase na chvíli nahoře.
https://www.netmetr.cz/cs/detail.html?43cf431f-67e7-4d45-9d8f-4b25f589d3a0
Ještě jsem se zkusil pro zajímavost se vrátit pomocí schnapps na starší verzi 3.8.3 a tam připojení fungovalo bez problémů.
Prošel jsem všechny možná témata, nastaveni a odebral doporučované balíčky ale nic z toho nepomohlo.
https://www.turris.cz/forum/topic_show.pl%3Ftid=658.html
Jediné, co jsem ještě nedělal, tak to byl reset do továrního nastavení.
Můžete mi poradit, kde by mohl být problém? Jaká služba by to mohla způsobovat.
Díky