Problemas com PFsense,depois de determinada quantidade de usuários, o server fica lento.

gabrieletec
(usa FreeBSD)

Enviado em 15/06/2018 - 11:31h

Olá pessoal, estou precisando de uma forcinha.
Bom, trabalho em uma escola publica onde instalei um servidor pfsense, a partir dele eu gerencio o DHCP, O Captive portal(com o freeradius) e o básico para funcionar a rede. Meu único problema é que quando checa aos 120 usuários, a rede começa a ficar muito mais lenta, e difícil de se autenticar, o range de ip vai de 10.10.0.10 até 10.10.7.254 com a mascara de rede 255.255.248. não sei se o problema é configuração...
infraestrutura:
1-servidor Pfsense instalado em um PC.
2- swith gigabit da tp-link que leva a rede até os APs
3 - 4 APs da intelbras modelo AP360 que suporta aproximadamente 100 usuários SIMULTÂNEOS

Alguma sugestão ou solução, estarei muito grato.

renelouco
(usa Ubuntu)

Enviado em 15/06/2018 - 12:20h

viva , pfsense não tem problema de numero usuarios, qual é a configuração do Hardware onde roda o Pfsense?? posta ai.

gabrieletec
(usa FreeBSD)

Enviado em 15/06/2018 - 12:43h

Estou usando um computador da HP Compaq 8200, Processador i5- 4°geração com 4gb de Ram DRR3. a Lan está configurada na Onboard do PC que é gigabit,e a Wan está em uma Realtek Offboard que também é gigabit. Gostaria que a rede pudesse gerenciar em torno de 350 pessoas somultaneas, pois são 4 APs que suporta até 100 usuários. Como é uma escola, tenho muitos aluno que precisam dessa conexão para estudo.
Os APs estão em modo Bridge, ou seja, ele está distribuindo o IP do servidor para os dispositivos, tendo o trabalho apenas de replicar a rede.

telbatista
(usa Slackware)

Enviado em 15/06/2018 - 15:42h

Pouca memória amigo. Pode colocar 8GB ou + para segurar a quantidade de usuários na sua rede.

pbonfanti
(usa Debian)

Enviado em 15/06/2018 - 19:12h

Acompanha o consumo de memória do servidor à medida que os usuários vão conectando assim vc confirma se está sobrando ou faltando memória.
Eu nunca trabalhei com o PFSENSE, só com o squid mesmo, e que me causou realmente lentidão do servidor, foram softwares que tentam se atualizar conectando na internet a cada segundo, e jamais param, certos adware fazem isso, às vezes plugins de navegador, ja cheguei a desligar a maquina de um usuário, porque quando ele conectava parava tudo (minha rede tem um pouco mais de 200 usuários). Depois formatei ela pra ter certeza, como você citou uma escola , eu não descartaria virus em alguma(s) máquina(s) causando uma demanda muito anormal.
Outra coisa prejudicial é um servidor dns pouco confiável, o do provedor que eu contratava era uma coisa, então eu usava o do google.
Verifica os dois logs do squid, o access.log e o cache.log , alguns dos dois pode te apontar alguma anomalia.
Vale a pena ter o calamaris instalado em um cliente linux, ele gera uma estatística detalhada do access.log e facilita vc quantificar as informações do log, assim vc vai ter uma idéia clara de como as sua mudanças de configuração estão afetando o desempenho, quem abre mais conexões, quem consome mais banda, etc.
Em uma maquina com apenas o calamaris instalado e uma cópia do seu access.log vc gera relatório de texto com todos os detalhes:

cat access.log | calamaris -a  > relatorio-calamaris.txt 

Por outro lado se vc quiser fazer uma versão gráfica, vc pode instalar as bibliotecas necessárias em um servidor web e ter graficos de barra:
https://topnetworkguide.com/calamaris-an-external-logfile-analyzer-for-squid-proxies/

Infelizmente eu não achei um site em português que mostre exatamente o que o calamaris faz, esse é o mais ilustrado.
Existem algumas questões de desempenho interessantes na documentação oficial do squid também, alguns padrões de acl são mais rápidos e outros mais lentos, eles estão listados em:
https://wiki.squid-cache.org/SquidFaq/SquidAcl#Fast_and_Slow_ACLs
Por exemplo software legalizado ou livre, ex: firefox que atualiza pela internet , eu libero a conexão para o dominio de update pra dstdomain (que é fast acl) em vez de usar dst (slow acl) , antes da minha configuração de proxy_auth, se eu não fizer isso tem software que tenta conectar sozinho na internet, e o servidor recusa porque o software não se autentica, o mesmo ocorre com trojans, e você vai detectar isso através de uma quantidade muito alta de conexões com o código TCP_DENIED/407 no log do squid.

Como eu já disse não uso o pfsense, mas espero ter trazido alguma informação útil.

gabrieletec
(usa FreeBSD)

Enviado em 20/06/2018 - 07:20h

Obrigado pela resposta, andei pesquisando nos fóruns sobre esse problema com o pfsense, outras pessoas ainda sim não conseguiram resolver, pelos meus testes, depois que chega a um numero próximo de 120 usuários conectados ao captive portal (que está vinculado com o freeradius), outras mais pessoas não conseguem logar, ou ao menos entrar na rede, o que para mim é estranho, pois cada AP que tenho aqui, segundo as especificações do fabricante, suporta até 100 usuários simultâneos.

Os problemas relatados em outros fóruns são ao mesma coisa, depois de determinado numero de usuários, a rede começa aficar instável. Seria pelo fato do Roteador AP estar em modo bridge? teria alguma forma de um roteador distribuir a rede do meu pfsense sem ser o modo bridge?

ederlap82
(usa Ubuntu)

Enviado em 31/08/2018 - 09:30h

Ola!
Se vocês estiver usando Squid, nas configurações do Squid Proxy Server na aba General, procure pela opção "Resolve "DNS IPv4 First", marque a opção "Enable this to force DNS IPv4 lookup first.".
Por default o Pfsese tenta resolver o dns ipv6 primeiro quando esta opção não está ativa, geralmente isso provoca muita lentidão em sites https.
Outro caso pode ocorrer quando o pfsense esta configurado para filtro de paginas https, o pfsense tem que fazer a intermediação entre o usuário e o site, isso demanda uma grande carga de processamento. Quando você perceber lentidão, verifique a carga de processamento no dashboard do pfsense. Se possível mantenha uma quantidade razoável de cache no pfsense para otimizar o uso de sua banda e acelerar a navegação de seus usuários.
Espero ter ajudado!