Ich betreibe mehrere Server bei OVH in den Rechenzentren Limburg, Hilsboro (USA) und Gravelines (Frankreich). Auf dem Server in Limburg läuft Debian 13 mit WireGuard als VPN sowie IPSEC und StrongSwan Firewall-Regeln. Alle notwendigen Konfigurationen sind vorhanden.
Mein Plan sieht vor, mehrere Standorte zu vernetzen und diese mit jeweils einer internen IP aus dem Subnetz 10.8.0.0/24 zu verbinden. Die jeweiligen Opnsense-Firewalls sollen außerdem eine IP aus dem öffentlichen IPv4-Subnetz .224/28 erhalten. Es soll eine Site-to-Site-VPN-Verbindung eingerichtet werden, um einen sicheren Zugriff auf jede GUI und SSH-Verbindung von überall aus zu gewährleisten.
Ich hatte die Konfiguration auf der Opnsense-Firewall abgeschlossen und verschiedene MTU- und MSS-Clamp-Werte ausprobiert. Leider ist der Durchsatz unzureichend. Derzeit verfüge ich über eine 1 Gbit/s FTTH-Verbindung mit 500 Mbit/s Upload bei der Telekom mit PPPoE-Einwahl, VLAN-Tag 7 und einer festen öffentlichen IP im Dual-Stack-Verfahren. Als Modem wird das Glasfasermodem 2 mit einem 2,5 Gbit/s-Port verwendet. Die Aushandlung zwischen Opnsense und dem Modem erfolgt ebenfalls mit 2,5 Gbit/s im Full-Duplex-Modus.
Als Opnsense-Hardware verwende ich einen Mini-PC mit folgenden Spezifikationen:
- Prozessortyp: Celeron N150 Quad-Core
- Prozessorgeschwindigkeit: 3,6 GHz
- RAM: 8 GB DDR5 4800 MHz SODIMM
- 4 x i226V2.5GbE LAN-Ports
- 128 GB SSD
- Neueste Opnsense-Version
Ich nutze ein Multi-WAN/Failover-Setup mit WAN 1 FTTH (IGC0) über den ETH 0-Port zum Modem und ETH 3 als WAN 3 für Mobilfunk mit einem externen Router (Mikrotik Chateau 5G).
Die Einrichtung ist so konfiguriert, dass die GW-Gruppe Paketverluste und hohe Latenz überwacht. Sollte der FTTH-Anschluss aufgrund dieser Faktoren ausfallen, erfolgt ein Wechsel zum Mobilfunknetz.
Bei Nutzung des FTTH-Anschlusses beträgt die Geschwindigkeit mit WireGuard teilweise 2,5 bis 5 MBit/s im Downstream und teilweise 90 MBit/s im Upstream, obwohl der PC mit der Konfiguration, soweit ich mich nicht irre, 800 MBit/s und mehr erreichen sollte.
Bemerkenswert ist, dass bei Nutzung des Mobilfunk-Backups die volle Bandbreite von 80 MBit/s im Downstream erreicht wird, wenn die Verbindung über das WireGuard-VPN hergestellt ist.
Der VPN-Server im Rechenzentrum verfügt über ausreichende Ressourcen, um eine Bandbreite von 3 GBit/s sowohl im Upstream als auch im Downstream mit einer unmetered Flatrate zu verarbeiten. Ich habe alle möglichen Ursachen untersucht und kann mir nicht erklären, warum der Durchsatz beim FTTH-Anschluss so gering ist.