Unitymedia UM FB 6490 und MyFritz VPN langsam

[Andreas1969]

Wenn du die 20 Mbit fast komplett ausreizen möchtest, kommst du um ein externes Gerät (welches einen VPN Server zur Verfügung stellt) nicht drumherum.

Mit der Fritzbox 7580 kann man die 20 Mbit komplett ausreizen. Ich habe da schon mehrere größere Dateien von zu Hause über die VPN Verbindung gezogen.
Das läuft absolut stabil.
Die knapp 20 MBIT liefen über 1 Stunde konstant durch ohne irgendwelche Einbrüche.

Gruß Andreas

 

[un1que]

Mag ja sein, aber ich denke mal, dass in dem Fall eine 7580 einfach Overkill wäre. Denn die würde ja sonst einfach nur hinter der 6490 im Client Modus hängen und einen VPN Server zur Verfügung stellen. Aber alleine dafür knapp 300€ ausgeben? Man bekommt es halt auch mit günstigeren Lösungen hin

 

[sam187]

Danke für eure prompten Rückmeldungen.

Hardwareunterschiede zwischen 6490/7490 hatte ich auch schon im Verdacht. Auch wenn ich die USB3 Ports an der 7490 nicht genutzt habe, da die 6490 'nur' USB2 hat muss es offensichtlich Unterschiede geben...

Eine 7580 als Ersatz habe ich schon ausgeschlossen. Wenn dann würde ich auf eine zukünftige, vergleichbare, Kabelvariante warten um die 6490 per Routerfreiheit/Miete zu ersetzen. Dann wäre auch das UM Firmware bzw. Update Thema vom Tisch.

Wird aber eher auf folgende Kombination hinauslaufen:
- UM 6490 als Kabelmodem / DECT Basis & SIP Telefonie / Gast WiFi
- pfSense auf AMD APU als Router / VPN Server (macht 70-80MBit IPSec) hinter der UM 6490 als exposed host
- Ubiquity AC Pro für internes WiFi

Wird zwar auch nicht günstiger als eine zukünftige 7580 in der Kabelvariante, aber deutlich flexibler und man(n) kann mehr spielen ;-)

Inzwischen wäre mir ein einfaches Kabelmodem fast wieder am liebsten, denn das "exposed host" setup... naja.

Bekommen die 6490 an den Business Tarifen eigentlich eine andere Firmware bzw. Optionen freigeschaltet? (Thema mehrere public IPs, richtige DMZ/bridge Modus?)

Grüße, Sascha

 

[un1que]

Wird aber eher auf folgende Kombination hinauslaufen:
- UM 6490 als Kabelmodem / DECT Basis & SIP Telefonie / Gast WiFi
- pfSense auf AMD APU als Router / VPN Server (macht 70-80MBit IPSec) hinter der UM 6490 als exposed host
- Ubiquity AC Pro für internes WiFi

Sehr gute Wahl!
Habe mich seit Anfang des Jahres für die gleiche Kombi entschieden (pfSense + UniFi AP) und bereue es keine Sekunde. Nur würde ich dir empfehlen auf OpenVPN umzusteigen (klappt auch mit iOS bestens, v.a. kann das Gerät automatisch die Verbindung herstellen lassen), Gründe:
-kann man besser und einfacher einrichten und ist flexibler,
-Ressourcenschonender,
-ist schneller was die Verbindungsherstellung angeht und stabiler.

Gast-WLAN kannst du auch auf dem UniFi AP einrichten - dort hast du viel mehr Möglichkeiten als in der FritzBox.

Inzwischen wäre mir ein einfaches Kabelmodem fast wieder am liebsten, denn das "exposed host" setup... naja.

Jep, das ist das eigentliche Problem. Die pfSense weiß damit aber umzugehen. Der schlimmste Nachteil für mich sind die leicht angestiegene Latenzen ggü. einem hinter-Modem-Betrieb um ca. 4ms.
Ich hoffe aber, dass sich bald auf dem Markt etwas in die richtige Richtung tut.

Bekommen die 6490 an den Business Tarifen eigentlich eine andere Firmware bzw. Optionen freigeschaltet? (Thema mehrere public IPs, richtige DMZ/bridge Modus?)

Nein, nur eine andere Config. Wenn du auf Bridge umstellst, dann brauchst du eigentlich keine Features der FB (da du ja keinen Zugriff aus dem Heimnetz mehr hättest).

 

[HotFire]

VPN IPSec sehr träge

<r>Erst hatte ich ja eine Drosselung seitens Unitymedia auf Protokollebene im Verdacht, das UM eine DPI (Tiefe Paket Schnüffelei) betreibt ist laut BEREC Schriftverkehr bereits sehr wahrscheinlich (und was liegt da näher als Bremsen anstelle von Netz-Ausbau ?) - aber es erschliesst sich trotzdem nicht so vollends. <br/>
<br/>
Nach diversen Mitschnitten haben wir keinerlei Hinweise auf Manipulation seitens UM am Network Layer (OSI 3) nachweisen können, ein Bekannter aus dem 2nd Level Support bestätigte mir auch, das ZUR ZEIT seitens UM nichts in der Richtung Kastriert wird. 100 % sicher kann man sich aber trotzdem nicht sein, da das bestimmt nicht groß propagiert würde.<br/>
<br/>
Merkwürdig ist, das es im Unitymedia Netz besser läuft als Netzübergreifend aber noch weit weg von schnell, so das ich mal davon ausgehe, dass das Peering einen gewissen negativen Effekt auf den IPsec Durchsatz bewirkt. <br/>
<br/>
Was jedoch die Geschwindigkeit noch weiter erhöht, ist die Tatsache, das ich Daten hinter der FB 6490 (z.B. von meinem NAS) recht zügig via IPSec durch die Box verschlüsselt bekomme, wenn ich mit Server und Client im UM Netz bin.<br/>
<br/>
Jetzt wurde mir von AVM bestätigt, dass die FB 6490 z.Zt. ein Problem hat: "Das Problem ist bekannt und wird in einem kommendem Update gelöst, dann sollte auch die VPN-Geschwindigkeit größer werden".<br/>
<br/>
Auch hat man sich im 2nd Level Support viel Arbeit gemacht und auch nach diversen Rücksprachen mit der Entwicklung eine Info gegeben, das die Box recht schwach ist, keine Hardwarebeschleunigung nutzt und somit kommen wir auch zu zwei weiteren Erscheinungen: Sehr langsame Benutzeroberfläche und Hitzeentwicklung dank sehr hoher Prozessorlast - war das bei den ersten FRITZ OS auch so ???<br/>
<br/>
OK, das die BOX lahm ist, wusste ich natürlich selber und an meinem 450 MBit/s IPv4 (kein DS lite/kein Business) Anschluss kommt die Echt an die Grenzen und je nach Route dank multilateralen Peering von UM in Fremdnetzte komme ich (ZEITWEISE, NICHT IMMER) auch nicht auf meine 400 Mbit/s sondern irgendwo um die 200 Mbit/s. Die 440 MBit/s schaffe ich nur UM Intern und nach VDF/KD, je nach Uhrzeit auch schon mal Richtung DTAG.<br/>
<br/>
<br/>
<br/>
EINE MÖGLICH VPN LÖSUNG:<br/>
<br/>
L2TP/IPsec geht mit über 90 % (also unter 10% Overhead) durch die FirtzBox, mir ist natürlich klar, dass das für die meisten genau so wenig eine Option ist wie <COLOR color="#0000FF"><s></s>Andreas1969<e></e></COLOR> Variante mit der FB 7580, vor allem weil es je nach Zugriffswunsch ins Heimnetzwerk nicht mal erben realisiert werden kann.<br/>
<br/>
<br/>
<br/>
BEI MIR NICHTS GEBRACHT:<br/>
<br/>
Experimente an den KEY´s und MTU (1400-1500).<br/>
<br/>
<br/>
<br/>
<COLOR color="#FF0000"><s></s>FRAGEN DIE EVTL. HIER BEANTWORTET WERDEN KÖNNEN:<br/>
<br/>
1.) ist die FB 6490 mit Business Config schneller ?<br/>
<br/>
2.) ist eine FREIE FB 6490 schneller ?<br/>
<br/>
3.) WIE SCHNELL geht eine externes CISCO IPSec (Software, NAS, Raspberry etc.) durchs UM Netz bei FB 6490 ???<br/>
<br/>
4.) Gibt es UM Privatkunden die eine FB 6490 mit IPSec (on the Box) deutlich schneller als 1 MBit/s schaffen ?<e></e></COLOR><br/>
<br/>
<br/>
Die Äußerungen, dass die Fritz Boxen IPSec allgemein nur bis um die 5 Mbit/s schaffen ist Quatsch - ich habe an 3490, 5490, 7390, 7490, 7580 und einer 6360 IPSec mit (8,5 Mbit/s) bzw. (17 Mbit/s) laufen - je 15% Overhead fehlen.</r>

 

[sam187]

Hi Mark,

erst mal Danke für deine "kleine Recherche", scheinst ja einiges an Zeit in das Thema investiert zu haben. Antworten auf deine Fragen kann ich leider nicht geben, sondern lediglich bestätigen was auch du beobachtet hast (1MBit IPsec Durchsatz, langsames Webinterface im Vergleich zu älteren Boxen, ...).

Bin gespannt ob das nächste UM Firmware Update für die 6490 (wann auch immer es kommt) wirklich etwas bringt. Bin inzwischen wie weiter oben angekündigt auf das pfSense / exposed host setup hinter der UM 6490 umgestiegen, OpenVPN für meine mobilen Clients (endlich Durchsatz). Hab aber immer noch aus Bequemlichkeit einen IPsec Tunnel von meiner UM 6490 zu einer 7390 meiner Eltern laufen (NAS zu NAS backup). Wenn die nächste Firmware nicht wirklich etwas bringt muss ich den Tunnel wohl doch mal auf die pfSense migrieren...

Grüße, Sascha

 

[HotFire]

Re: VPN IPSec sehr träge

<r>Bei mir spielt auch der Stromverbrauch ne Rolle und ich will NAS nur laufen haben, wenn ich es benötige. Um das via WOL zu wecken bin ich vorher auf meinen IPSec FB 6490 Tunnel angewiesen, da mir alle anderen Möglichkeiten zu anfällig sind.<br/>
<br/>
Dann nutze ich im Urlaub auch gerne das VPN über die eh laufende Fritzbox (Stromverbrauch) um im Hotel WLAN nicht alles im Klartext übertragen zu müssen.<br/>
<br/>

<QUOTE author="HotFire"><s>

</s>Erst hatte ich ja eine Drosselung seitens Unitymedia auf Protokollebene im Verdacht, das UM eine DPI (Tiefe Paket Schnüffelei) betreibt ist laut BEREC Schriftverkehr bereits sehr wahrscheinlich (und was liegt da näher als Bremsen anstelle von Netz-Ausbau ?) - aber es erschliesst sich trotzdem nicht so vollends. <br/>
<br/>
Nach diversen Mitschnitten haben wir keinerlei Hinweise auf Manipulation seitens UM am Network Layer (OSI 3) nachweisen können, ein Bekannter aus dem 2nd Level Support bestätigte mir auch, das ZUR ZEIT seitens UM nichts in der Richtung Kastriert wird. 100 % sicher kann man sich aber trotzdem nicht sein, da das bestimmt nicht groß propagiert würde.<br/>
<br/>
Merkwürdig ist, das es im Unitymedia Netz besser läuft als Netzübergreifend aber noch weit weg von schnell, so das ich mal davon ausgehe, dass das Peering einen gewissen negativen Effekt auf den IPsec Durchsatz bewirkt. <br/>
<br/>
Was jedoch die Geschwindigkeit noch weiter erhöht, ist die Tatsache, das ich Daten hinter der FB 6490 (z.B. von meinem NAS) recht zügig via IPSec durch die Box verschlüsselt bekomme, wenn ich mit Server und Client im UM Netz bin.<br/>
<br/>
Jetzt wurde mir von AVM bestätigt, dass die FB 6490 z.Zt. ein Problem hat: "Das Problem ist bekannt und wird in einem kommendem Update gelöst, dann sollte auch die VPN-Geschwindigkeit größer werden".<br/>
<br/>
Auch hat man sich im 2nd Level Support viel Arbeit gemacht und auch nach diversen Rücksprachen mit der Entwicklung eine Info gegeben, das die Box recht schwach ist, keine Hardwarebeschleunigung nutzt und somit kommen wir auch zu zwei weiteren Erscheinungen: Sehr langsame Benutzeroberfläche und Hitzeentwicklung dank sehr hoher Prozessorlast - war das bei den ersten FRITZ OS auch so ???<br/>
<br/>
OK, das die BOX lahm ist, wusste ich natürlich selber und an meinem 450 MBit/s IPv4 (kein DS lite/kein Business) Anschluss kommt die Echt an die Grenzen und je nach Route dank multilateralen Peering von UM in Fremdnetzte komme ich (ZEITWEISE, NICHT IMMER) auch nicht auf meine 400 Mbit/s sondern irgendwo um die 200 Mbit/s. Die 440 MBit/s schaffe ich nur UM Intern und nach VDF/KD, je nach Uhrzeit auch schon mal Richtung DTAG.<br/>
<br/>
<br/>
<br/>
EINE MÖGLICH VPN LÖSUNG:<br/>
<br/>
L2TP/IPsec geht mit über 90 % (also unter 10% Overhead) durch die FirtzBox, mir ist natürlich klar, dass das für die meisten genau so wenig eine Option ist wie <COLOR color="#0000FF"><s></s>Andreas1969<e></e></COLOR> Variante mit der FB 7580, vor allem weil es je nach Zugriffswunsch ins Heimnetzwerk nicht mal erben realisiert werden kann.<br/>
<br/>
<br/>
<br/>
BEI MIR NICHTS GEBRACHT:<br/>
<br/>
Experimente an den KEY´s und MTU (1400-1500).<br/>
<br/>
<br/>
<br/>
<COLOR color="#FF0000"><s></s>FRAGEN DIE EVTL. HIER BEANTWORTET WERDEN KÖNNEN:<br/>
<br/>
1.) ist die FB 6490 mit Business Config schneller ?<br/>
<br/>
2.) ist eine FREIE FB 6490 schneller ?<br/>
<br/>
3.) WIE SCHNELL geht eine externes CISCO IPSec (Software, NAS, Raspberry etc.) durchs UM Netz bei FB 6490 ???<br/>
<br/>
4.) Gibt es UM Privatkunden die eine FB 6490 mit IPSec (on the Box) deutlich schneller als 1 MBit/s schaffen ?<e></e></COLOR><br/>
<br/>
<br/>
Die Äußerungen, dass die Fritz Boxen IPSec allgemein nur bis um die 5 Mbit/s schaffen ist Quatsch - ich habe an 3490, 5490, 7390, 7490, 7580 und einer 6360 IPSec mit (8,5 Mbit/s) bzw. (17 Mbit/s) laufen - je 15% Overhead fehlen.<e>

</e></QUOTE></r>