• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

OpenVPN Site-to-Site langsam im Upstream

Diskutiere OpenVPN Site-to-Site langsam im Upstream im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon; Hallo! Auch ich bin in der glücklichen Situation Eltern zu haben die ihre neue Technik lieben, aber hin und wieder "ein kleines Problem" damit...

rv112

Beiträge
4.949
Punkte Reaktionen
357
Hallo!

Auch ich bin in der glücklichen Situation Eltern zu haben die ihre neue Technik lieben, aber hin und wieder "ein kleines Problem" damit haben :) Um hier mal eine unkomplizierte Lösung zu finden, habe ich nun eine dauerhafte Site-to-Site VPN aufgebaut.

Das Setup ist recht simpel, beide Netze sind nativ mit IPv4 angebunden. Bei meinen Eltern läuft ein 1&1 VDSL 50/10 Anschluss.

(Meine) pfSense - Modem - - - Internet - - - Fritzbox 7490 - (Eltern) pfSense.

Warum macht man sowas? Ja, weil die Fritzbox neben einer monatlichen Gebühr, auch DECT und Wifi zur Verfügung stellt. Längerfristig wird das alles ersetzt, aber die aktuelle Situation ist nun eben die. Die pfSense meiner Eltern hängt nur mit ihrem WAN Port an der Fritzbox und wird statisch mit der 192.168.178.100 mit Daten versorgt. Genauer wird dort nur der OpenVPN Port weitergeleitet. Die pfSense baut den Tunnel zu mir auf und routet alles mit Ziel zu meinem Netz hindurch. In der Fritzbox ist dazu natürlich eine statische Route hinterlegt. Soweit, so normal. Es funktioniert alles.

ABER:

Der Upload zu meinen Eltern ist quälend langsam und inkonsistent. Meist erreiche ich nur zwischen 5-10 MBit/s. Natürlich habe ich das Setup zuvor hier lokal getestet. Die schwächere pfSense meiner Eltern machte hier 80 MBit/s netto TCP. TCP wie UDP bringen hier keinen Unterschied, auch ob AES128 oder AES256, ob SHA256 oder SHA512. Egal ob MSS Clamping, ob MTU Reduzierung (man klammert sich ja an allem fest). Es ändert nichts daran, der Upstream ist langsam ins 1&1 Netz. Umgekehrt ist der Download vom 1&1 Netz zu mir "voll" da (mehr als 10 MBit/s schafft der Anschluss nicht). Ebenfalls ist er sehr konstant.

Das ganze sieht dann so aus:

Unbenannt.JPG

Interessant ist nun, knallt man mehrere parallele Streams rein, steigt die Bandbreite ein wenig:

Unbenannt2.JPG

Kann das jemand bestätigen? Betrifft es vielleicht nur das Routing ins 1&1 Netz? Mittels iPhone und Vodafone Netz, verbinde ich mich via IPsec. Hier sind die 50 MBit/s Upload relativ konstant da.
 
__QT__

__QT__

Beiträge
1.339
Punkte Reaktionen
311
Magst Du vielleicht testweise auch mal mit Wireguard VPN gegen testen? Würde mich in dem Szenario von der Performance mal interessieren, wie es sich hier schlägt.

Hab vor paar Wochen selbst von OpenVPN auf WIreguard umgestellt, insbesondere da mir unterwegs immer wieder die Enigma2 Video Streams ins Stocken kamen: https://www.unitymediaforum.de/threads/39183/post-457271
 

rv112

Beiträge
4.949
Punkte Reaktionen
357
Soweit ich weiß, gibt es Wireguard noch nicht als offizielle Package. Mit Experimenten bin ich daher immer vorsichtig. Dazu ist mir die Stabilität des Anschlusses zu wichtig. Falls sich hier etwas ergibt, teste ich natürlich gerne!
 

rv112

Beiträge
4.949
Punkte Reaktionen
357
Heute läuft der Tunnel im Upstream noch schlechter. Der Downstream ist unverändert unproblematisch:

Unbenannt.JPG
 

rv112

Beiträge
4.949
Punkte Reaktionen
357
Was sagt mir das?

Unbenannt.JPG

Ich habe nun mal mittels Ping und Size eine optimale MTU von 1470 ermittelt. Trage ich das mittels "link-mtu 1470" bei Server und Client ein, erhalte ich ganz kurz mehr Speed, bis es wieder einbricht:

Unbenannt4.JPG
 

Crazyhorse

Beiträge
56
Punkte Reaktionen
7
Wie sehen die Modemwerte aus, passen die oder gehen hier viel Daten drauf?

Denn nach dem Mitschnitt, schaut es so aus, als wenn einiges 2 mal übertragen werden muss.
Dann spielt natürlich die Latzen mit rein und die fehlende HW Crypto der APU1 auf der einen Seite (Habe deinen Thread im Netgate Forum gefunden).

Ggf. hast ja einen echt schlechten OFDM aufgeschaltet bekommen und da gehen dann weit mehr als 10% der Packete drauf und müssen neu übertragen werden.

Wie das bei der 7490 ist weiß ich nicht, aber die 6490, konnte ich immer wieder mal abschießen, wenn zu viele Clients hier Anfragen durch gejagt habe. Die machte bei 2-3k Session einfach den Deckel zu und war weg. Aber da ist auch der gute Intel Puma 6 drin.

Habe hier mit einem IKEv2 zu meinen Eltern, seit ich auf beiden Seiten eine Netgate Appliance rennen habe, den volle Upload im Tunnel.
Mit der 6490, die Anfangs über IKEv1 Angebunden war, wars echt grausam, meist 5-6Mbit, max 10.

Ggf. läuft ja ein IPsec Tunnel deutlich besser, willst nicht mal zum Vergleich so einen aufsetzen, ist ja schnell erledigt, denn OpenVPN ist ja generell ein wenig langsamer und so könntest du die alte Hardware ggf. ein wenig entlasten.
 

rv112

Beiträge
4.949
Punkte Reaktionen
357
Ich vermag es die Leitung eigentlich auszuschließen, da sie ohne VPN sauber läuft. Die Modemwerte sind gut und auch der SNR im Upstream liegt bei 27-29 dB und daher QAM64. Das Problem betrifft aber nur den Upstream, also sobald Daten in den Tunnel übertragen werden. Umgekehrt, läuft es sauber und es treten auch nicht diese Duplication und Retransmission Pakete auf. Ich wundere mich jedoch, wieso in einem UDP Tunnel kein einziges UDP Paket vorkommt, sondern alles TCP ist.

IPsec habe ich noch auf der Liste, finde ich aber nicht ganz so elegant, da ich hiermit kein eigenes Interface mehr habe.
 
Andreas1969

Andreas1969

Beiträge
17.417
Punkte Reaktionen
386
Ort
Unitymedia NRW
Das Problem betrifft aber nur den Upstream, also sobald Daten in den Tunnel übertragen werden. Umgekehrt, läuft es sauber und es treten auch nicht diese Duplication und Retransmission Pakete auf. Ich wundere mich jedoch, wieso in einem UDP Tunnel kein einziges UDP Paket vorkommt, sondern alles TCP ist.
Inwieweit beeinflussen die zugeteilten Zeitschlitze im US die Übertragenen Daten?
 

rv112

Beiträge
4.949
Punkte Reaktionen
357
Was genau meinst Du? Bezogen auf OpenVPN? Ich weiß es nicht. Ich weiß nur, dass mein Upstream momentan stabil da ist.

Ich habe nun mal eine MTU von 1300 vorgegeben für den Tunnel. Sowie die Send und Receivebuffer auf 0 fixiert. Damit erreiche ich das:

Unbenannt.JPG

Dort wo der Einbruch kommt auf 9,44 MBit/s, war wieder das hier zu sehen, zuvor überhaupt keine Auffälligkeiten:

Unbenannt2.JPG
 

rv112

Beiträge
4.949
Punkte Reaktionen
357
So, ich habe wohl nun das Problem mit der Vodafoneleitung herausgefunden. OpenVPN nutzt wenn keine Buffer gesetzt werden, die Standardgröße des OS (welche ist das bei FreeBSD?). Wie dem auch sei, habe ich sie nun mittels sndbuf 0 und rcvbuf 0 auf 0 gesetzt. Hier war der Durchsatz schon besser. Eine MTU von 1400 und MSS von 1360 brachten nun den Durchbruch:

Unbenannt.JPG

Es treten keine Retrans oder Dup Pakete mehr auf :cool: Mit 5 gleichzeitigen Streams, komme ich auch auf die 50 MBit/s brutto:

Unbenannt2.JPG
 
Zuletzt bearbeitet:

Mechman

Beiträge
35
Punkte Reaktionen
8
Ich hatte ein ganz ähnliches Problem. Limit lag so bei 20-30 Mbit/s statt die 50 auszunutzen. Das ist allerdings eine Verbindung innerhalb des Unitymedia-Netzes.

Ursache scheint eine Kombination aus RTT und CPU Geschwindigkeit zu sein, OpenVPN ist nicht gerade effizient. Lokal lassen sich deutlich höhere Geschwindigkeiten erreichen. Auf der schwächeren Client-Seite hat "UDP Fast I/O" aktivieren und "Send/Receive Buffer" auf 2 Mib setzen geholfen, um die Leitung ausnutzen zu können. Änderungen an Verschlüsselung etc. hatten keine Auswirkungen.

Der Tunnel läuft auf UDP. MTU hatte ich nicht angepasst oder nach Retransmits gesehen.
 

rv112

Beiträge
4.949
Punkte Reaktionen
357
Mit 2 MB Puffer, erzielte ich schlechte Ergebnisse. Vielleicht liegt es auch daran, dass meine Gegenstelle eine PPPoE Leitung ist.
 

sch4kal

Beiträge
1.061
Punkte Reaktionen
58
Du könntest eigentlich auch eine höhere MTU nehmen, durch PPPoE fehlen dir auf DSL Seite ja eig. nur 8 Byte, also 1492er MTU bzw. 1452 Byte MSS.
 

rv112

Beiträge
4.949
Punkte Reaktionen
357
Das stimmt. Aktuell habe ich noch die safetey first Konfiguration :)
 
Thema:

OpenVPN Site-to-Site langsam im Upstream

OpenVPN Site-to-Site langsam im Upstream - Ähnliche Themen

Upload dauernd unter 5 MBit/s (Fritzbox 6591 Cable, Tarif 1000 MBit/s downstream mit 50 MBit/s upstream): Hi Leute, bin echt frustiert und hoffe ihr könnt mir weiterhelfen. Ich bin aus Baden-Württemberg Raum Stuttgart, Kreis Esslingen und langjähriger...
Zugriff auf Heimnetzwerk extrem langsam: Hallo zusammen, bin langsam echt verzweifelt und hoffe das Ihr mir hier weiterhelfen könnt. Ich habe daheim folgendes Setup: 400Mbit/20Mbit...
Störung im Vodafone-Netz oder Hausgemacht? Seit Änderung meines privaten IP-Adressbereichs nur noch 300 Mbit/s statt 500 Mbit/s: Hallo, folgendes Problem habe ich aktuell. Vorgeschichte: Mein Heimnetz lief bis Anfang des Monats noch im IP-Adressbereich 192.168.0.1 -...
Site-to-Site-VPN mit FB 6490 funktioniert nicht richtig: Hallo zusammen! Ich habe ein kurioses Problem. Hier die Ausgangslage: 2 Unitymedia Business Anschlüsse, Office Internet&Phone 200/20 Beide haben...
Speed Problem mit VPN (Technologie sogut wie egal): Hallo Zusammen, eines vorab, ja ich habe die Suchfunktion verwendet und bin bis 10 Seiten zurückgegangen -> ohne Erfolg. Vielleicht ist mein...
Oben