Salut à tous,
 
J'aimerai un avis sur la bande passante que j'obtiens en passant à travers OpnSense, afin de savoir si c'est logique avec la configuration matérielle mise en place, ou bien s'il y aurait un problème de configuration d'OpnSense.
 
La FreeBox a été passée en mode Bridge, sur laquelle est connectée en Gigabit le firewall OpnSense (WAN) qui possède la config suivante : MSI MS-9A68 / i3-3120M / 8G de RAM / 2 x Intel i210 / 120Go ssd.
Derrière ce firewall, sur le second port Gigabit (LAN), il y un switch Gigabit qui permet de distribuer le réseau aux différents équipements.
 
Lorsque je lance un test de download depuis la Freebox (sur le port WAN du firewall), je n'obtiens "que" 400-450 Mbit/s (55-50 Mo/s) sur la partie LAN avec les CPU qui sont à moins de 5% d'utilisation pendant le test.
 
En mode "Standard" (Freebox en mode routeur, sans Firewall, sur réseau Gigabit), le download est de l'ordre de 900 Mbit/s (110 - 105 Mo/s).
 
Merci

Tu as quoi d'activé comme services sur ton opnsense ?
 
Mais perso, avec une box qotom i7-4600u (4GB / 32 GB ssd) ou IDS/IPS sont activés j'ai le max de ma fivre (livebox avec opnsense en dmz, 940Mbps/600Mps - 940 car flux tv prio).
 
Donc possible que ce soit ton hw mais étonnant si tes cores restes à 5%, la vitesse de DL/UL influe beaucoup sur mon utilisation CPU pour ma part ca monte à ~45% sur du speedtest.

Merci pour ta réponse.
 
Je n'ai pas grand chose d'activés au niveau des services.
 

 
J'ai installé le paquet wget afin de faire un test direct freebox <> OpnSense : mais là pour le coup, le débit est assez faible (23 Mo/s sur /dev/null), et le CPU monte a plus de 30%.
 
Je me dis que le hw est peut-être trop ancien, et que le bus interne "bride" les débits entre contrôleurs réseaux....

oui peut-être bien, car niveau services effectivement tu n'as pas grand chose

Après tu as le routing d'activé, tu en as vraiment besoin ?

Effectivement, il y a le Routing qui tourne, mais je ne sais pas à quoi il correspond concrètement comme fonction dans OpnSense.
 
De plus, je n'ai pas la main pour le stopper, et il n'y a aucune "Route" de configurer manuellement. Il y a 2 règles de NAT de paramétrées, d'où la possible présence de ce service.

D'autres idées à tout hasard ?

Pose éventuellement la question sur les forums officiels.
J'ai les mêmes perfs que toi sur une FTTH 500/200 de SFR bridgée sur un routeur OPNSense (Celeron J4125, 8Go de RAM), avec Sensei/Zenarmor activé sur le LAN, Suricata sur le WAN, trois tunnels OpenVPN (deux clients, un serveur) et le CPU se touche la nouille durant les tests.
 
Par contre, j'ai déjà eu des comportements étranges avec des Livebox, bon, il n'y a pas de bridge tu me diras, mais je ne dépassais pas les 150/200Mb/s avec un routeur pfSense derrière, alors qu'en direct on avait bien du Gb. Et que sur une autre connexion ou en bench en local, le pf envoyait bien du Gb. En changeant la LB, on a retrouvé le débit max.

C'était la prochaine étape : poser la question sur les forums OPNSense, mais visiblement ça parle beaucoup de "grosses" config sur la partie International, et la partie FR semble à l'abandon...
 
Ta réponse m'apporte un élément de réflexion : Est-ce que le débit est le même, si la FreeBox est en mode Routeur ? Le problème viendrait peut-être de la Freebox en mode Bridge, qui aurait le débit limité pour une raison inconnue.
 
Je vais faire quelques tests dans ce sens là....
 
Merci

Le verdict est tombé : c'est le mode Bridge de la Freebox qui pose problème. Avec la freebox en mode routeur, la petite config matérielle qui sert de firewall sous OPNSense laisse bien passer les 980 Mbit/s entre la Freebox et un PC raccordé derrière.
 
Du coup, on peut se poser la question suivante :
 
- Est-ce que c'est la Freebox en mode Bridge qui bride le débit ou bien le firewall, qui doit en plus stopper les flux non désirés sur son Interface WAN (en mode Bridge, cette interface a une IP Publique) ?
 
Pour répondre à cette question, on va devoir attendre que la fibre arrive à la maison.
 
Merci pour vos réponses et votre aide.

Si tu as la possibilité d'utiliser un autre équipement que la Freeboite (SFP dans un convertisseur optique ou dans la cage SFP d'un switch), tu devrais pouvoir bypass complètement la Freeboite en configurant le bon VLAN sur le WAN de ton OPNSense (et éventuellement en spoofant la m@c de la Freeboite, je ne sais pas comment fonctionne Free là-dessus, juste qu'ils font du DHCP).
Mais si la conso CPU de ton routeur ne monte pas non plus beaucoup en faisant le test derrière la Freeboite en mode routeur, AMHA c'est plus une limitation de celle-ci en bridge, parce bloquer les quelques paquets indésirables qui arrivent, c'est pas un gros boulot pour un CPU...

Avec la Freebox en mode routeur et les 980 Mbit/s qui passaient dans le firewall, le CPU de ce dernier n'était presque pas sollicité, c'est ce qui me rassurait.
 
Je vais aller faire un tour sur Fibre.info, il y a quelques infos sympas au sujet de la Freebox. De toute façon, elle ne pourra pas être remplacée pour le moment : Madame adore enregistrée ses émissions TV, pour les regarder plus tard en pouvant la pub. Il n'y a que la Freebox Revolution qui fait ça de mémoire, la Pop enregistre dans le Cloud.

Ah, alors tu as peut-être la possibilité "d'inverser" l'installation, comme chez Orange, en mettant ton routeur en front, et avec les bons VLAN, conserver la Freeboite derrière pour ses capacités téléphoniques et vidéo. Justement, sur lafibre.info, ils sont au taquet là-dessus

Pour le moment je ne peux pas, car je suis encore en ADSL. Mais le jour où la fibre va arriver (ca ne serait tarder...), on va y réfléchir sérieusement.