• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

OpenVPN Site-to-Site langsam im Upstream

Diskutiere OpenVPN Site-to-Site langsam im Upstream im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon bei Unitymedia; Hallo! Auch ich bin in der glücklichen Situation Eltern zu haben die ihre neue Technik lieben, aber hin und wieder "ein kleines Problem" damit...

rv112

Beiträge
4.416
Reaktionen
204
Hallo!

Auch ich bin in der glücklichen Situation Eltern zu haben die ihre neue Technik lieben, aber hin und wieder "ein kleines Problem" damit haben :) Um hier mal eine unkomplizierte Lösung zu finden, habe ich nun eine dauerhafte Site-to-Site VPN aufgebaut.

Das Setup ist recht simpel, beide Netze sind nativ mit IPv4 angebunden. Bei meinen Eltern läuft ein 1&1 VDSL 50/10 Anschluss.

(Meine) pfSense - Modem - - - Internet - - - Fritzbox 7490 - (Eltern) pfSense.

Warum macht man sowas? Ja, weil die Fritzbox neben einer monatlichen Gebühr, auch DECT und Wifi zur Verfügung stellt. Längerfristig wird das alles ersetzt, aber die aktuelle Situation ist nun eben die. Die pfSense meiner Eltern hängt nur mit ihrem WAN Port an der Fritzbox und wird statisch mit der 192.168.178.100 mit Daten versorgt. Genauer wird dort nur der OpenVPN Port weitergeleitet. Die pfSense baut den Tunnel zu mir auf und routet alles mit Ziel zu meinem Netz hindurch. In der Fritzbox ist dazu natürlich eine statische Route hinterlegt. Soweit, so normal. Es funktioniert alles.

ABER:

Der Upload zu meinen Eltern ist quälend langsam und inkonsistent. Meist erreiche ich nur zwischen 5-10 MBit/s. Natürlich habe ich das Setup zuvor hier lokal getestet. Die schwächere pfSense meiner Eltern machte hier 80 MBit/s netto TCP. TCP wie UDP bringen hier keinen Unterschied, auch ob AES128 oder AES256, ob SHA256 oder SHA512. Egal ob MSS Clamping, ob MTU Reduzierung (man klammert sich ja an allem fest). Es ändert nichts daran, der Upstream ist langsam ins 1&1 Netz. Umgekehrt ist der Download vom 1&1 Netz zu mir "voll" da (mehr als 10 MBit/s schafft der Anschluss nicht). Ebenfalls ist er sehr konstant.

Das ganze sieht dann so aus:

Unbenannt.JPG

Interessant ist nun, knallt man mehrere parallele Streams rein, steigt die Bandbreite ein wenig:

Unbenannt2.JPG

Kann das jemand bestätigen? Betrifft es vielleicht nur das Routing ins 1&1 Netz? Mittels iPhone und Vodafone Netz, verbinde ich mich via IPsec. Hier sind die 50 MBit/s Upload relativ konstant da.
 
__QT__

__QT__

Beiträge
634
Reaktionen
119
Magst Du vielleicht testweise auch mal mit Wireguard VPN gegen testen? Würde mich in dem Szenario von der Performance mal interessieren, wie es sich hier schlägt.

Hab vor paar Wochen selbst von OpenVPN auf WIreguard umgestellt, insbesondere da mir unterwegs immer wieder die Enigma2 Video Streams ins Stocken kamen: https://www.unitymediaforum.de/threads/39183/post-457271
 

rv112

Beiträge
4.416
Reaktionen
204
Soweit ich weiß, gibt es Wireguard noch nicht als offizielle Package. Mit Experimenten bin ich daher immer vorsichtig. Dazu ist mir die Stabilität des Anschlusses zu wichtig. Falls sich hier etwas ergibt, teste ich natürlich gerne!
 

rv112

Beiträge
4.416
Reaktionen
204
Heute läuft der Tunnel im Upstream noch schlechter. Der Downstream ist unverändert unproblematisch:

Unbenannt.JPG
 

rv112

Beiträge
4.416
Reaktionen
204
Was sagt mir das?

Unbenannt.JPG

Ich habe nun mal mittels Ping und Size eine optimale MTU von 1470 ermittelt. Trage ich das mittels "link-mtu 1470" bei Server und Client ein, erhalte ich ganz kurz mehr Speed, bis es wieder einbricht:

Unbenannt4.JPG
 

Crazyhorse

Beiträge
13
Reaktionen
4
Wie sehen die Modemwerte aus, passen die oder gehen hier viel Daten drauf?

Denn nach dem Mitschnitt, schaut es so aus, als wenn einiges 2 mal übertragen werden muss.
Dann spielt natürlich die Latzen mit rein und die fehlende HW Crypto der APU1 auf der einen Seite (Habe deinen Thread im Netgate Forum gefunden).

Ggf. hast ja einen echt schlechten OFDM aufgeschaltet bekommen und da gehen dann weit mehr als 10% der Packete drauf und müssen neu übertragen werden.

Wie das bei der 7490 ist weiß ich nicht, aber die 6490, konnte ich immer wieder mal abschießen, wenn zu viele Clients hier Anfragen durch gejagt habe. Die machte bei 2-3k Session einfach den Deckel zu und war weg. Aber da ist auch der gute Intel Puma 6 drin.

Habe hier mit einem IKEv2 zu meinen Eltern, seit ich auf beiden Seiten eine Netgate Appliance rennen habe, den volle Upload im Tunnel.
Mit der 6490, die Anfangs über IKEv1 Angebunden war, wars echt grausam, meist 5-6Mbit, max 10.

Ggf. läuft ja ein IPsec Tunnel deutlich besser, willst nicht mal zum Vergleich so einen aufsetzen, ist ja schnell erledigt, denn OpenVPN ist ja generell ein wenig langsamer und so könntest du die alte Hardware ggf. ein wenig entlasten.
 

rv112

Beiträge
4.416
Reaktionen
204
Ich vermag es die Leitung eigentlich auszuschließen, da sie ohne VPN sauber läuft. Die Modemwerte sind gut und auch der SNR im Upstream liegt bei 27-29 dB und daher QAM64. Das Problem betrifft aber nur den Upstream, also sobald Daten in den Tunnel übertragen werden. Umgekehrt, läuft es sauber und es treten auch nicht diese Duplication und Retransmission Pakete auf. Ich wundere mich jedoch, wieso in einem UDP Tunnel kein einziges UDP Paket vorkommt, sondern alles TCP ist.

IPsec habe ich noch auf der Liste, finde ich aber nicht ganz so elegant, da ich hiermit kein eigenes Interface mehr habe.
 
Andreas1969

Andreas1969

Beiträge
17.037
Reaktionen
289
Das Problem betrifft aber nur den Upstream, also sobald Daten in den Tunnel übertragen werden. Umgekehrt, läuft es sauber und es treten auch nicht diese Duplication und Retransmission Pakete auf. Ich wundere mich jedoch, wieso in einem UDP Tunnel kein einziges UDP Paket vorkommt, sondern alles TCP ist.
Inwieweit beeinflussen die zugeteilten Zeitschlitze im US die Übertragenen Daten?
 

rv112

Beiträge
4.416
Reaktionen
204
Was genau meinst Du? Bezogen auf OpenVPN? Ich weiß es nicht. Ich weiß nur, dass mein Upstream momentan stabil da ist.

Ich habe nun mal eine MTU von 1300 vorgegeben für den Tunnel. Sowie die Send und Receivebuffer auf 0 fixiert. Damit erreiche ich das:

Unbenannt.JPG

Dort wo der Einbruch kommt auf 9,44 MBit/s, war wieder das hier zu sehen, zuvor überhaupt keine Auffälligkeiten:

Unbenannt2.JPG
 

rv112

Beiträge
4.416
Reaktionen
204
So, ich habe wohl nun das Problem mit der Vodafoneleitung herausgefunden. OpenVPN nutzt wenn keine Buffer gesetzt werden, die Standardgröße des OS (welche ist das bei FreeBSD?). Wie dem auch sei, habe ich sie nun mittels sndbuf 0 und rcvbuf 0 auf 0 gesetzt. Hier war der Durchsatz schon besser. Eine MTU von 1400 und MSS von 1360 brachten nun den Durchbruch:

Unbenannt.JPG

Es treten keine Retrans oder Dup Pakete mehr auf :cool: Mit 5 gleichzeitigen Streams, komme ich auch auf die 50 MBit/s brutto:

Unbenannt2.JPG
 
Zuletzt bearbeitet:

Mechman

Beiträge
17
Reaktionen
1
Ich hatte ein ganz ähnliches Problem. Limit lag so bei 20-30 Mbit/s statt die 50 auszunutzen. Das ist allerdings eine Verbindung innerhalb des Unitymedia-Netzes.

Ursache scheint eine Kombination aus RTT und CPU Geschwindigkeit zu sein, OpenVPN ist nicht gerade effizient. Lokal lassen sich deutlich höhere Geschwindigkeiten erreichen. Auf der schwächeren Client-Seite hat "UDP Fast I/O" aktivieren und "Send/Receive Buffer" auf 2 Mib setzen geholfen, um die Leitung ausnutzen zu können. Änderungen an Verschlüsselung etc. hatten keine Auswirkungen.

Der Tunnel läuft auf UDP. MTU hatte ich nicht angepasst oder nach Retransmits gesehen.
 

rv112

Beiträge
4.416
Reaktionen
204
Mit 2 MB Puffer, erzielte ich schlechte Ergebnisse. Vielleicht liegt es auch daran, dass meine Gegenstelle eine PPPoE Leitung ist.
 

sch4kal

Beiträge
984
Reaktionen
43
Du könntest eigentlich auch eine höhere MTU nehmen, durch PPPoE fehlen dir auf DSL Seite ja eig. nur 8 Byte, also 1492er MTU bzw. 1452 Byte MSS.
 

rv112

Beiträge
4.416
Reaktionen
204
Das stimmt. Aktuell habe ich noch die safetey first Konfiguration :)
 
Thema:

OpenVPN Site-to-Site langsam im Upstream

OpenVPN Site-to-Site langsam im Upstream - Ähnliche Themen

  • Sperrt UM den OpenVPN Port?

    Sperrt UM den OpenVPN Port?: Hey, wollte nur kurz wissen, ob UM zufällig den Port 1194 von OpenVPN blockt? 80,443 etc wird aufgemacht, OpenVPN geht nicht ..
  • OpenVPN WLAN Router hinter TC7200 - Anleitung

    OpenVPN WLAN Router hinter TC7200 - Anleitung: Hallo zusammen, ich habe seit längeren einen Anschuß bei UnityMedia. OpenVPN lief auch problemlos bis zur Umstellung von 32MBit auf 50Mbit. Da...
  • OpenVPN Problem

    OpenVPN Problem: Hallo, Ich hab leichte Probleme mit OpenVPN. Am iPhone alles eingerichtet läuft perfekt im T-Mobile Netz, geh ich aber in das FritzBox Wlan...
  • Technicolor und OpenVPN

    Technicolor und OpenVPN: Hallo zusammen, ich habe seit einigen Tagen einen neuen 2play Anschluss und eine wunderbare TC Box. Bisher hatte ich einen UM Anschluss mit einer...
  • pfSense OpenVPN mit IPv4

    pfSense OpenVPN mit IPv4: Hallo, habe einen ESXi-Server mit virtualisierter pfSense aufgesetzt. Über die pfSense (Firewall/Router-Betriebssystem) möchte ich nun einen...
  • Ähnliche Themen
  • Sperrt UM den OpenVPN Port?

    Sperrt UM den OpenVPN Port?: Hey, wollte nur kurz wissen, ob UM zufällig den Port 1194 von OpenVPN blockt? 80,443 etc wird aufgemacht, OpenVPN geht nicht ..
  • OpenVPN WLAN Router hinter TC7200 - Anleitung

    OpenVPN WLAN Router hinter TC7200 - Anleitung: Hallo zusammen, ich habe seit längeren einen Anschuß bei UnityMedia. OpenVPN lief auch problemlos bis zur Umstellung von 32MBit auf 50Mbit. Da...
  • OpenVPN Problem

    OpenVPN Problem: Hallo, Ich hab leichte Probleme mit OpenVPN. Am iPhone alles eingerichtet läuft perfekt im T-Mobile Netz, geh ich aber in das FritzBox Wlan...
  • Technicolor und OpenVPN

    Technicolor und OpenVPN: Hallo zusammen, ich habe seit einigen Tagen einen neuen 2play Anschluss und eine wunderbare TC Box. Bisher hatte ich einen UM Anschluss mit einer...
  • pfSense OpenVPN mit IPv4

    pfSense OpenVPN mit IPv4: Hallo, habe einen ESXi-Server mit virtualisierter pfSense aufgesetzt. Über die pfSense (Firewall/Router-Betriebssystem) möchte ich nun einen...