floekblog

Performanceprobleme bei virtualisierter Astaro Firewall

florian — Mon, 05 Mar 2012 18:17:01 +0000

Beim Einsatz der Astaro Security Gateway Virtual Appliance für VMware auf einem VMWare ESXi 5 Hypervisor sind eklatante Performanceprobleme aufgetreten. Die Latenz z.B. beim Aufruf von Webseiten war sehr hoch und alles gefühlt “langsam”. Laut Internet scheint das Problem primär bei der Kommunikation zu virtuellen Maschinen, die auf dem selben ESXi Host laufen, zu aufzutreten. Die Umstellung des Netzwerkkartentyps von “flexibel” auf “e1000” in VMWare behebt das Problem.

xVM finally dead :-(

florian — Tue, 17 Jan 2012 16:34:22 +0000

Leider scheint die Solaris Portierung von Xen nun endgültig rausgeflogen zu sein. Nach einem Upgrade von Solaris 11 Express auf Solaris 11 gibt es leider weder einen xend noch das Hypervisorfile xen.gz. Um das offizielle Statement hierzu zu finden musste man etwas suchen. Aus http://www.oracle.com/technetwork/systems/end-of-notices/eonsolaris11-392732.html:

xVM Hypervisor xVM hypervisor, the Oracle Solaris Xen-based hypervisor for x86 systems, has been removed. Oracle offers two x86-based hypervisor solutions for Oracle Solaris users: Oracle VM Server for x86 and Oracle VM VirtualBox. See http://www.oracle.com/virtualization

Schade

Change default browser on lion per script

florian — Tue, 20 Dec 2011 17:11:40 +0000

Ich verwende einen Browser @work und einen anderen @home. Mittels locationchanger (http://tech.inhelsinki.nl/locationchanger/) möchte ich diesen umschalten, was unter OS X nicht ohne weiteres möglich ist. Ein Wechsel von Firefox auf Safari ginge zwar z.B. so:

defaults write com.apple.LaunchServices LSHandlers "`defaults read com.apple.LaunchServices LSHandlers | sed -e 's/org.mozilla.firefox/com.apple.safari/'`"

Leider muss jedoch anschließend dem System mitgeteilt werden, dass sich hier etwas geändert hat. Hierzu habe ich nichts sinnvolles gefunden. Allerdings gibt es duti (http://duti.sourceforge.net/). Damit ist es ganz einfach:

Safari:

/usr/local/bin/duti -s com.apple.safari http /usr/local/bin/duti -s com.apple.safari https

Firefox:

/usr/local/bin/duti -s org.mozilla.firefox https /usr/local/bin/duti -s org.mozilla.firefox http

Xen + ZFS in a box performance

floek — Thu, 15 Sep 2011 07:11:53 +0000

Leider musste ich immer wieder feststellen, dass ZFS sehr (und ich meine sehr) Performance hungrig ist. Dies führt immer wieder dazu, dass die Performance der VMs die im xVM laufen beeinträchtigt wird. Workaround: PIN der Dom0 CPU auf einen Core und Nutzung der verbleibenden Cores für die VMs. Dies geht im laufenden Betrieb so:

xm vcpu-set Domain-0 1 # Nur eine vCPU für die Dom0 xm vcpu-pin Domain-0 0 0 # Diese eine vCPU soll nur auf Core 0 laufen xm vcpu-pin VM all 1-3 # Die vCPU(s) der VM sollen nur Cords 1-3 nutzen

Erfreulicherweise bekommt die libvirt dies auch gleich mit und fügt ein 1 in die XML Config mit ein.

Damit die Dom0 nach einem Reboot mit einer vCPU und nur auf Core 0 läuft müssen dem Hypervisor die Optionen dom0_vcpus_pin=true dom0_max_vcpus=1 mitgegeben werden.

ZFS root Dateisystem

floek — Tue, 26 Jul 2011 05:05:24 +0000

Leider musste ich diese Tage ein paar Einschränkungen des ZFS Pools mit dem root Dateisystem meines Servers feststellen. Aktuell verwende ich zwei gespiegelte Platten für diesen Pool. Erster Punkt: Schreiben ist aus unerfindlichen Gründen langsam. Mehr wie 2-3 MB/s gehen nicht. Daher war der Plan den Spiegel um zwei weitere Platten zu erweitern (Stripped Mirror). Anscheinend geht das aber nicht. Man kann den Root Pool nur zu einem dreifach Spiegel erweitern. Das Anhängen eines weiteren Mirrors aus zwei Platten wird nicht erlaubt und schlägt mit der Meldung
“cannot add to ‘rpool’: root pool can not have multiple vdevs or separate logs”
fehl. Somit macht es für mich keinen Sinn den Root Pool intensiver zu Nutzen. Man braucht immer einen zweiten Pool.

IPV6 VPN mit FritzBox nicht möglich

floek — Wed, 08 Dec 2010 16:23:17 +0000

Ein kurzer Test zeigt, dass der Aufbau eines VPN Tunnels zu einem IPV6 Endpunkt aktuell mit der FritzBox 7390 mit Firmware-Version 84.04.86 fehlschlägt. Die Angabe einer IPV6 Adresse unter remotehostname führt dazu, dass sich die VPN Konfig gar nicht erst importieren lässt. Ich habe daraufhin einen DNS Record erzeugt der nur einen AAAA Record besitzt. Die VPN Konfig lässt sich dann zwar importieren, aber ein Verbindungsaufbau des Tunnels schlägt mit der Meldung IKE-Error 0x202C "dns: host/domain not found" fehl. Sehr schade.

VPN Performance FritzBox 7390

floek — Thu, 11 Nov 2010 20:13:25 +0000

So, heute konnte ich endlich mal testen, was die FritzBox 7390 in Sachen IPSec so bringt. Ich habe mit verschiedenen Verschlüsselungsalgorithmen (AES128, AES256, 3DES) einen Tunnel zu einer Astaro an einem 100 MBit Port im Rechenzentrum aufgebaut. Man kann sagen, die Performance reicht für den Heimgebrauch. Maximal habe ich ca. 15MBit/s durch den IPSec Tunnel bekommen, wobei man sagen kann das die Leistung bei 3DES am schlechtesten war. Zum Vergleich mit meinem Alix Board unter PFSense schaffe ich mit AES128 locker 25MBit/s mehr gibt mein Internetanschluss aktuell nicht her.

IPv4 Countdown

floek — Mon, 01 Nov 2010 08:36:24 +0000

Zwischenzeitlich sollte es ja hinlänglich bekannt sein: IPv4 Adressen werden weniger und weniger. Da floek.net nun auch endlich per IPv6 erreichbar ist, habe ich nun auch ein paar Statistiken zu den verbleibenden IPv4 Adressen eingebaut. Rechts in der Seitenleiste gibt es nun den jeweils letzten Tweet von IPv4Countdown. Der Counter von INTEC bzw. Hurricane Electric war mir dann doch zu groß. Mal sehen ob wir nächstes Jahr tatsächlich keine v4 Adressen mehr haben.

floek.net goes IPv6

floek — Fri, 29 Oct 2010 10:47:57 +0000

floek.net ist ab sofort auch via IPv6 erreichbar:

~> dig +short AAAA www.floek.net floek.net. 2001:780:11c:1::17 ~> dig +short A www.floek.net floek.net. 213.95.21.82

Wenn es Probleme gibt, gebt mir bitte Bescheid.

Endian Firewall unterstützt Paravirtualisierung

floek — Thu, 02 Sep 2010 21:02:28 +0000

Die Endian Firewall unterstützt nun in der Version 2.4 von Haus aus den Betrieb in einer paravirtualisierten XEN Umgebung. Nach einem efw-update kann man ein smart install kernel-PAE machen und erhält einen Kernel, der mit dem XEN Hypervisor sprechen kann. Somit ist es nun ohne den Kernel von Neobiker möglich die Endian Firewall paravirtualisiert auf XEN laufen zu lassen.

Quelle: http://www.efw-forum.de/www/forum/viewtopic.php?f=45&t=676