OPNsense Forum

Hallo,
ich habe eine Protectli VP2420 mit OPNsense 24.7.9_1, die an einem 100/50 Vodafone Anschluß hängt und eine IPsec Verbindung zur Hetzner Cloud aufbaut. Bei Hetzner nimmt ebenfalls eine OPNsense in der selben Version die Verbindung an (Cloudserver 4x Xeon Core mit 8GB Ram). Funktioniert alles soweit.
Wenn ich allerdings von einem smb share Daten von Hetzner kopiere, bekomme ich einen max Download von 50Mbit.
Ich habe dann mal mit verschiedenen Einstellungen auf der Protectli (OPNsense) rumgespielt.
Hardware CRC, TSO, LRO disabled und VLAN Hardware filtering enabled (4 Vlans sind auf der Protectli aktiv). Mit diesen Einstellungen ist der Download fast stabil bei ca. 50 Mbit/s.
dmesg | fgrep -i aesni
ergibt auf der Protectli:
aesni0: <AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS,SHA1,SHA256>

IPsec wird mit folgender Verschlüsselung auf der OPNsense zu Hetzner aufgebaut:
XX.XX.XX.41[4500]   XXX.X.XXX.106[45119]   esp-udp   c3c4ae43   aes-cbc   hmac-sha2-256

also auch eine Verschlüsselung die von dem J6412 Prozessor unterstütz wird. Also sollte aesni voll unterstützt werden, das ja im kernel integriert ist und in der OPNsense keine weiteren Einstellungen benötigt (Cryptography settings -> Hardware acceleration -> none). Ich hatte aber die Settings auch schon auf qat gesetzt. das ergabe aber keine Änderung im Download.

Gibt es noch eine Möglichkeit an der IPsec-Performance zu drehen?

Grüße
Markus

Ich kann dir nur empfehlen NICHT cbc zu verwenden, gcm ist die bessere Wahl


Gesendet von iPhone mit Tapatalk Pro

Hallo micneu,

ich habe mittlerweile verschiedene Verschlüsselungen ausprobiert:
aes256gcm16-sha256-modp2048[DH14]
aes128gcm16-sha256-modp2048[DH14]

Es ändert sich nichts am Durchsatz. Bleibt bei max 50-60Mbit/s im Download.
Also gehe ich mal davon aus, daß es nichts mit der Verschlüsselung zu tun hat. Der Prozessor hat eine Max. Auslastung von 30%. Geht aber auch zurück auf 2-5%.
Daran kann es auch nicht liegen.

Hat noch jemand eine Idee??

Grüße
Markus

Hast du mal den Durchsatz durch das VPN mit iperf3 getestet? SMB über eine WAN-Strecke wird die Bandbreite kaum vollständig ausnutzen können.

Quote from: Lochkartenknipser on December 10, 2024, 03:26:11 PMWenn ich allerdings von einem smb share Daten von Hetzner kopiere, bekomme ich einen max Download von 50Mbit.

Das könnte an allem möglichen liegen, angefangen von "MTU nicht gut/optimal" über Drosselung, Peering etc.

Ich würde spaßeshalber - da du auf beiden Seiten ja volle Kontrolle hast - das ganze mal mit OVPN (mit DCO) oder Wireguard durchspielen. OpenVPN hätte den Vorteil, dass man auch mal die Verbindung via TCP testen kann. Ja das hat normalerweise Overhead, auf manchen Strecken läuft es aber eben seltsamerweise doch besser durch als UDP. Und evtl. liegt es auch an der Hetzner Seite?

Cheers