Guten Tag,
ich teste die opnsense gerade noch aus, um zu entscheiden, ob ich diese wirklich verwenden möchte. Momenten hänge ich beim openvpn. Diesen habe ich konfiguriert wie hier https://www.youtube.com/watch?v=KVlVhilrFUc (https://www.youtube.com/watch?v=KVlVhilrFUc)
Funktioniert auch alles, bekomme die Verbindung. Aber die Verbindung mit 1,6kBit ist natürlich nicht wirklich vorhanden. an der Verschlüsselung sollte es nicht liegen. Hat jmd eine Idee oder das gleiche Problem gehabt?
noch zur Ergänzung:
- opnsense hängt als Exposed host hinter eine Fritzbox
- aktuellste Version der opnsense
- opnsense läuft auf eine core i3-6100 2.3Ghz mit 8GB DDR4
Klingt nach einem Problem mit der MTU. Benutzt Du TCP oder UDP für Dein OpenVPN?
Quote from: pmhausen on September 06, 2020, 12:04:22 PM
Klingt nach einem Problem mit der MTU. Benutzt Du TCP oder UDP für Dein OpenVPN?
Ich benutze UDP.
kannst du trotzdem mal ein paar mehr infos zu deiner hardware und deiner internet leitung angeben.
- hersteller und model deiner hardware
- chip deiner netzwerkschnittstellen (hoffe kein realtek)
- bilder deiner konfig
Quote from: oekomat on September 06, 2020, 12:48:08 PM
Quote from: pmhausen on September 06, 2020, 12:04:22 PM
Klingt nach einem Problem mit der MTU. Benutzt Du TCP oder UDP für Dein OpenVPN?
Ich benutze UDP.
Dann probier mal TCP :)
Quote from: micneu on September 06, 2020, 08:58:31 PM
kannst du trotzdem mal ein paar mehr infos zu deiner hardware und deiner internet leitung angeben.
- hersteller und model deiner hardware
- chip deiner netzwerkschnittstellen (hoffe kein realtek)
- bilder deiner konfig
- Ich habe einen 100Mbit 1&1 Anschluss
-Hardware: NRG Systems IPU661 System Intel Core i3-6100U 2,3 GHz Skylake-U Dual Core mitHyperthreading, 3M Cache, Intel HD Graphics 520, 6xInteli211AT Gigabit LAN, DDR4 SO-DIMM PC4-19200 (2400 MHz) 8 GByte
- davor hab ich eine Fritzbox 7490 als exposed Host - die nächsten Tag kommt ein vigor165
Ich hab auf der Fritz mal den Port 1194 für den exposed Host freigegeben, jetzt komm ich mit 7-15 Mbit per opnvpn auf mein Lan
Sollte das nicht dennoch mehr sein?
Umstellung auf TCP brachte eher Verschlechterung
Quote from: oekomat on September 09, 2020, 09:54:30 AM
Quote from: micneu on September 06, 2020, 08:58:31 PM
kannst du trotzdem mal ein paar mehr infos zu deiner hardware und deiner internet leitung angeben.
- hersteller und model deiner hardware
- chip deiner netzwerkschnittstellen (hoffe kein realtek)
- bilder deiner konfig
- Ich habe einen 100Mbit 1&1 Anschluss
-Hardware: NRG Systems IPU661 System Intel Core i3-6100U 2,3 GHz Skylake-U Dual Core mitHyperthreading, 3M Cache, Intel HD Graphics 520, 6xInteli211AT Gigabit LAN, DDR4 SO-DIMM PC4-19200 (2400 MHz) 8 GByte
- davor hab ich eine Fritzbox 7490 als exposed Host - die nächsten Tag kommt ein vigor165
Ich hab auf der Fritz mal den Port 1194 für den exposed Host freigegeben, jetzt komm ich mit 7-15 Mbit per opnvpn auf mein Lan
Sollte das nicht dennoch mehr sein?
Umstellung auf TCP brachte eher Verschlechterung
Nein passt auch zu meinen Werten. OpenVPN nutzt nur 1 Core, also hat 2,3 Ghz zu Verfügung, war bei mir ziemlich genau so und ich hatte ähnliche Werte.
Quote from: lfirewall1243 on September 09, 2020, 09:58:32 AM
Nein passt auch zu meinen Werten. OpenVPN nutzt nur 1 Core, also hat 2,3 Ghz zu Verfügung, war bei mir ziemlich genau so und ich hatte ähnliche Werte.
Hast du es dabei belassen? Oder VPN umgestellt?
> Nein passt auch zu meinen Werten. OpenVPN nutzt nur 1 Core, also hat 2,3 Ghz zu Verfügung, war bei mir ziemlich genau so und ich hatte ähnliche Werte.
Prinzipiell richtig, aber wenn dieser eine Core nicht ausgelastet ist, ist trotzdem noch Luft nach oben drin. SingleCore muss kein limitierender Faktor sein wenn er noch nicht glühend auf 100% hängt. Dazu kann man auch einfach mal eine große Testdatei (vllt. ein kleines ISO o.ä.) übertragen und dann mal sehen, wie schnell das geht und wie (mit top bspw.) die CPU auf der Sense dazu steht.
Ich für meinen Teil würde bei einem i3 mit 2,3GHz eigentlich mehr erwarten, es kommt aber natürlich auf die Richtung an. In dem Fall natürlich nur eingehend, wo die 100Mbps auch greifen (gesetzt den Fall die kommen überhaupt sauber an).
> Ich hab auf der Fritz mal den Port 1194 für den exposed Host freigegeben, jetzt komm ich mit 7-15 Mbit per opnvpn auf mein Lan
Wo siehst du die 7-15 Mbit? Sind es auch wirklich M-BIT oder vllt MByte? Und in welche Richtung?
Quote from: JeGr on September 09, 2020, 11:10:31 AM
Wo siehst du die 7-15 Mbit? Sind es auch wirklich M-BIT oder vllt MByte? Und in welche Richtung?
Mbit - ganz sicher. Richtung nach außen - Hab mit dem Handy eine Datei von meinem NAS im Netzwerk heruntergeladen. Die Geschwindigkeit zeigt die App (openvpn for android) an und das NAS. Wie gesagt, per myfritz-Dienst liegen die Werte bei mind. 40Mbit.
Der Test etwas hochzuladen läuft mit ca. 3Mbit.
Moment, du rufst eine Datei vom NAS ab? Dann ist doch logisch dass das "langsam" ist. Du benutzt dann nicht die 100Mbps DOWNstream ZU dir rein, sondern nutzt deinen Upstream der entsprechend wesentlich kleiner ist. Da müssen dann ganz andere Maßstäbe ran. MyFritz "sagt" 40 weil dein Anschluß 40 ist? Oder meinst du du überträgst mit irgendeinem Fritz Gedöns dann 40 Mbps?
Auf jeden Fall werden da keine 100 bei rumkommen können, sondern wohl (maximal) 40. Und 40 sollten einen i3 eigentlich nicht mal im Ansatz zum Schwitzen bringen auch nicht bei OpenVPN. Da kommt es dann im nächsten Step wohl auch drauf an, wie das VPN konfiguriert wurde, mit welchen Werten etc. und dann kann man an MTU und Co ggf. noch drehen. Aber bei einem Einwahl VPN mit AES-GCM sollte da schon wesentlich mehr drin sein.
Habe nochmal nachgeschaut.
Hatte ein 1,9 Ghz Core. Kame damit aber trotz einiger config anpassungen nicht über 20 Mbit.
Jetzt mit Wireguard schaffe ich locker die 300-400Mbit
Also mit dem Atom kommt man schon auf 150Mbit, die APU's mit mini CPU ebenfalls.
20Mbit ist dann Fehler in Konfig und/oder Umgebung und wenn die Umstellung auf TCP die Sache verschlechtert liegt das ebenfalls an der Umgebung, vmtl. fragmentierte Pakete.
Kann da Mimugmail nur beipflichten mit ein paar Details:
Mein Kollege hat damals eine Kiste mit Atom C3558 getestet -> OepnVPN RAS mit ~250Mbps, Wireguard ~300Mbps, OVPN Site2Site je nach Setting im Schnitt ~400Mbps und IPsec bei ~550Mbps
Jeweils mit Server davor und dahinter mit IPerf Messung durch den Tunnel. Ja ist schon ein ganzes Weilchen her, inzwischen könnte Wireguard vllt. ein wenig besser laufen, aber da es immer noch im Userland rumschwappt halte ich das für unklar, ob das so viel ausmacht. Bevor das nicht wie IPsec im Kernelspace läuft halte ich technisch gesehen irgendwelche Werte die abgehoben über OVPN stehen wenn die CPU nicht ausgelatscht ist für übertrieben.
Bei ner alten C2558er Atom Hardware die einige Zeit schon aufm Buckel hat, hatten wir bei IPSec/OVPN S2S/OVPN RAS übrigens: ~350Mbps, ~225Mbps, ~150Mbps
Da ist wie gesagt einiges an Konfiguration mit drin. Was wähle ich bei IPsec/OVPN an Ciphern aus, kann die HW das beschleunigen etc. etc.
Aber nochmal, wenn der i3 AES-NI hat und das ordentlich auch in der OPNsense auftaucht, dass ers kann und es genutzt wird (und es eingeschaltet ist!), dann sieht man auch nen ordentlichen Spring. Vor allem zwischen CBC Ciphern und GCM hatten wir da deutliche Unterschiede (~200 vs ~550 bei IPsec bspw. sprechen deutliche Worte :) ).
Daher sage ich: nicht vorschnell urteilen, da brauchen wir mehr Details woran es hapert. :)
Quote from: JeGr on September 09, 2020, 12:14:13 PM
Bei ner alten C2558er Atom Hardware die einige Zeit schon aufm Buckel hat, hatten wir bei IPSec/OVPN S2S/OVPN RAS übrigens: ~350Mbps, ~225Mbps, ~150Mbps
Die alten CPUs sind teilweise auch schneller weil die keine Microcode Update haben.
Alter Xeon (7 Jahre alt) hatte in meinen Tests 1,3Gbit, ein neuer (2019, 3,5Ghz) nur 900Mbit.
Hier ein paar Benchmarks mit der angegebenen Hardware auf plain FreeBSD.
Da ist auch der Ausblick auf Wireguard im Kernel enthalten. Ist momentan ja in Entwicklung und hier schon im Benchmark getestet worden.
(https://pbs.twimg.com/media/EhE71iIWkAczwWB?format=png&name=medium)
korrekt. Dass ich volle Werte nicht erreichen kann, ist richtig. nur, dass opnvpn jetzt wesentlich langsamer ist als der vorherige myfritz-Dienst. Nicht nur der myfritz-Dienst "sagt" es, sondern ich kann die Dateien sehr viel schneller herunterladen/streamen.
Ich hatte ja schonmal gefragt, bitte deine OpenVPN konfig als Bild posten.
Gesendet von iPad mit Tapatalk Pro
Quote from: micneu on September 09, 2020, 01:59:21 PM
Ich hatte ja schonmal gefragt, bitte deine OpenVPN konfig als Bild posten.
Gesendet von iPad mit Tapatalk Pro
Was denn für Bilder? kann die nicht fotografieren
Screenshot? Druck-Taste :)
oder es gibt nette tools die das machen können wie z.b. snagit (sehr mächtig)
sorry den kommentar musst du dir jetzt gefallen lassen, nicht wissen wie man ein bildschirmfoto macht aber eine OPNsense mit einem OpenVPN haben wollen *kopfschüttel*
Quote from: micneu on September 09, 2020, 02:09:49 PM
oder es gibt nette tools die das machen können wie z.b. snagit (sehr mächtig)
sorry den kommentar musst du dir jetzt gefallen lassen, nicht wissen wie man ein bildschirmfoto macht aber eine OPNsense mit einem OpenVPN haben wollen *kopfschüttel*
Foto ist nicht gleich Screenshot. Mein Fotoapparat macht Fotos :-)
Interface : LAN : MSS auf 1300
Quote from: mimugmail on September 09, 2020, 02:30:36 PM
Interface : LAN : MSS auf 1300
Da bin ich neugierig: Warum auf dem LAN oder verstehe ich dich falsch? Ich möchte ja im Normalfall meine interne Intra-VLAN Performance nicht droppen deshalb :)
Quote from: mimugmail on September 09, 2020, 02:30:36 PM
Interface : LAN : MSS auf 1300
Hatte MSS auf 1300 versucht, lief nicht besser
Quote from: JeGr on September 09, 2020, 04:38:19 PM
Quote from: mimugmail on September 09, 2020, 02:30:36 PM
Interface : LAN : MSS auf 1300
Da bin ich neugierig: Warum auf dem LAN oder verstehe ich dich falsch? Ich möchte ja im Normalfall meine interne Intra-VLAN Performance nicht droppen deshalb :)
Um Fragmentierung auszuschließen, ansonsten müsste er im VPN ne scrubbing rule machen, willst du das remote erklären? ;)
Quote from: oekomat on September 09, 2020, 01:27:16 PM
korrekt. Dass ich volle Werte nicht erreichen kann, ist richtig. nur, dass opnvpn jetzt wesentlich langsamer ist als der vorherige myfritz-Dienst. Nicht nur der myfritz-Dienst "sagt" es, sondern ich kann die Dateien sehr viel schneller herunterladen/streamen.
die fritzbox setzt ipsec für das vpn ein, kein openvpn
Quote from: JeGr on September 09, 2020, 12:14:13 PM
Kann da Mimugmail nur beipflichten mit ein paar Details:
Mein Kollege hat damals eine Kiste mit Atom C3558 getestet -> OepnVPN RAS mit ~250Mbps, Wireguard ~300Mbps, OVPN Site2Site je nach Setting im Schnitt ~400Mbps und IPsec bei ~550Mbps
Jeweils mit Server davor und dahinter mit IPerf Messung durch den Tunnel. Ja ist schon ein ganzes Weilchen her, inzwischen könnte Wireguard vllt. ein wenig besser laufen, aber da es immer noch im Userland rumschwappt halte ich das für unklar, ob das so viel ausmacht. Bevor das nicht wie IPsec im Kernelspace läuft halte ich technisch gesehen irgendwelche Werte die abgehoben über OVPN stehen wenn die CPU nicht ausgelatscht ist für übertrieben.
Bei ner alten C2558er Atom Hardware die einige Zeit schon aufm Buckel hat, hatten wir bei IPSec/OVPN S2S/OVPN RAS übrigens: ~350Mbps, ~225Mbps, ~150Mbps
Da ist wie gesagt einiges an Konfiguration mit drin. Was wähle ich bei IPsec/OVPN an Ciphern aus, kann die HW das beschleunigen etc. etc.
Aber nochmal, wenn der i3 AES-NI hat und das ordentlich auch in der OPNsense auftaucht, dass ers kann und es genutzt wird (und es eingeschaltet ist!), dann sieht man auch nen ordentlichen Spring. Vor allem zwischen CBC Ciphern und GCM hatten wir da deutliche Unterschiede (~200 vs ~550 bei IPsec bspw. sprechen deutliche Worte :) ).
Daher sage ich: nicht vorschnell urteilen, da brauchen wir mehr Details woran es hapert. :)
leider finde ich noch keine motherboards/rechner mit der CPU Intel Atom® Processor C3558R
https://ark.intel.com/content/www/de/de/ark/products/204841/intel-atom-processor-c3558r-8m-cache-2-40-ghz.html
@JeGR du hast doch einen guten draht zu Lanner, können die nicht was nettes bauen?
Ruf einfach bei Landitec / scope7 an, die sagen dir dann ob da was geht oder nicht.
Hö? Was findet ihr nicht? Und warum 3558R? Der 3558 ist doch völlig ausreichend, nur weil es nen neue Zwischenschritt gibt, muss der ja nicht gleich verbaut werden ;)
Ich hab da auch keinen direkten Draht zu Lanner ;) sondern zu Landitec und den Scope7 Jungs, das ist richtig. Und da sind auch einige sehr nette neue Sachen in Planung. Aber wenn du C3558 haben willst -> Desktop wäre scope7-1510, Rackmount wäre scope7-7907 dein Freund. C3000er Atom mit 6-8 Interfaces und jeder Menge Dampf. Gibbet alles schon :)
Und C3000er Atom Boards zum Selberbauen da gibts m.W. MiniITX/MicroATX Boards von Supermicro und Co schon genug. Vielleicht kein nagelneuer 3558R (warum auch, der kam ja gerade erst raus und Intel hat gerade nicht die tollste Lieferkette) aber alle anderen. Und da C3000er Atom mind. 7-10 Jahre Industrial Support haben seh ich in den Specs nicht gerade einen Grund für den neuen 3558R - verglichen mit dem 2558er seh ich da nur ein bisschen mehr Kerntakt das wars.
@micneu Aber wenn du neue Hardware sehen willst, dann warte vllt. unser erstes Usergroup Meet ab, bis zum Zweiten habe ich evtl. sogar tatsächlich ein Spielzeug zum Vorstellen, was in der Mache ist. ;)
Grüße :)