OPNsense Forum
International Forums => German - Deutsch => Topic started by: superwinni2 on November 07, 2019, 04:15:51 pm
-
Hallo zusammen
ich muss mich leider nochmals an euch wenden, da ich über OpenVPN irgendwie kaum Leistung hin bekomme.
Habe hier eine extrem starke OPNsense Hardware... 12 Cores / 32 GB Ram / 500 GB SSD Storage.
Internettechnisch habe ich eine synchrone 100 MBit/s Leitung. Die 100 MBit/s liegen auch immer an.
Die FW hängt direkt am Internet.
Installiert ist aktuell noch 19.7.4_1 wird aber in den nächsten Tagen geupdatet.
Ich schaffe es nicht, mehr als ~18 MBit/s über VPN zu bekommen.
Testweise habe ich eine IPSec Verbindung aufgebaut, hier kam ich zu dem gleichen Ergebniss.
Egal wie schwach (oder stark) ich die Verschlüsselung auswähle, es wird nicht mehr.
Habe nun beispielsweise einen VPN Test Server erstellet.
Mit einem Debian 10.1 Client möchte ich diesen erreichen.
Der Debian Client sollte mit 4 Kernen und 4 GB RAM ebenfalls genug Leistung besitzen. (Oder?)
Einstellungen von meinem Server: (wenn etwas nicht erwähnt ist, ist es entweder nicht ausfüllt bzw. nicht angehakt)
Description: VPN-Test
Server Mode: Remote Access (SSL/TLS)
Protocol: UDP
Device Mode: tun
Interface: WAN
Local Port: 7223
TLS Authentication: angehakt (Schlüssel ist ebenfalls ein zufallsgenerierter drin)
Peer Certificate Authority: Opensense-RootCA
Peer Certificate Revocation List: OPNsense-RootCA-CRL
Server Certificate: OPNsense-VPN-Server-Cert
DH Parameters Length: 1024bit
Encryption algorithm: AES-128-CBC (128 bit key, 128 bit block)
Auth Digest Algorithm: SHA1 (160-bit)
Hardware Crypto: No hardware Crypto Acceleration
Certifiacate Depth: One (Client + Server)
IPv4 Tunnel Network: 10.100.136.0/29
IPv4 Local Network: 10.100.100.0/24
Compression Enabled with Adaptive Compression
Disable IPv6: gesetzt
Dynamic IP: gesetzt
Address Pool: gesetzt
Verbository: 3 (recommended)
Hat hier noch bitte jemand nen Tipp für mich wie ich am besten den Fehler suche?
Habe ebenfalls in den Advanced einstellungen mit
tun-mtu 1500
mssfix 1400
sndbuf 393216
rcvbuf 393216 oder ähnlichem rumgespielt...
Leider ist auch hier der Erfolg ausgeblieben.
Danke schonmals für eure Hilfe
Gruß
-
moin, ich habe gerade mal ein test bei mir gemacht
iPad über LTE OpenVPN ziel ist eine Docker Container mit einem HTML Speedtest.
Ich habe mal 3 Der test Dokumentiert
mein OpenVPN läuft auf einer echten Hardware (nicht Virtualisiert)
System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel
Gesendet von iPad mit Tapatalk Pro
-
ich habe noch meine Konfig angehängt, meine Aktuelle FW Hardware ist System 3
-
Hi micneu
also meine FW läuft ebenfalls "auf dem Blech" und nicht virtualisiert.
Im großen und ganzen sieht deine Config nicht anderst aus wie bei mir.
(Wobei ich denke, das bei deinem privat Anschluss noch eine Fritzbox oder ähnliches sitzt, welche bei mir nicht existiert.)
35 Download und 35 Upload ist ja schon fast das doppelte von meiner Leistung... .Daher frage ich mich was genau bei mir schief läuft und vor allem was ich wie besser machen kann.
Ich bin ebenfalls kurz davor am überlegen mir mal nen Linux Rechner mit OpenVPN aufzusetzen und diesen parallel zur Firewall ans Internet zu hängen und dann nochmals zu testen.
Habe hier jedoch vermutlich nur einen DualCore oder vielleicht auch einen älteren i5 Prozessor verfügbar. Sollte meiner Meinung nach jedoch für den Test ausreichen.
Vielleicht auch alles nochmals via IPSec. Wie bereits geschrieben habe ich hier ebenfalls nur ca. 20 MBit/s erreicht.
Coole Idee mit dem Selbstgehostetem HTML Speedtest. Werde solch etwas auf jeden Fall auch einrichten. Bin bisher nur auf die Idee gekommen via iPerf3 zu messen.
Grüße
-
Hallo, hatte das gleiche Problem, es gibt auch einen alten Beitrag von mir dazu.
bei mir löst diese Einstellung unter den Client spezifischen Einstellungen das Problem.
(Unter Erweiterte Einstellungen)
sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"
-
Hi cbesener
habe ich ebenfalls probiert.
Steht auch oben im Anfangspost. Habe ebenfalsl probiert die Buffer auf Clientseite "anzupassen" (entweder über push oder hart codiert in der config drin)
-
(Wobei ich denke, das bei deinem privat Anschluss noch eine Fritzbox oder ähnliches sitzt, welche bei mir nicht existiert.)
ich habe nur ein Modem von draytek
Gesendet von iPhone mit Tapatalk Pro
-
Wie hoch ist denn die CPU-Auslastung für den openvpn Prozess während einem Speedtest?
Openvpn läuft m.W.n. single-threaded, dafür bringen viele Cores dann also nicht viel.
Kann der Prozessor AES-NI?
Schon mal ganz ohne Encryption probiert?
-
Hi Bonkerton
ja AES-NI ist unterstützt.
Also der CPU ist nen Xeon E-2136 mit einem Grundtakt von 3.3 GHz. Denke dies reicht ebenfalls und ich muss kein 5 GHz i9 kaufen >.<
Auf der FW liegt der Prozess OpenVPN während des Testes bei ~3-5% (raw CPU) manchmal sind es auch mal kurz 7-9%.
Auf dem Client (Debian 10.1 mit Dualcore@2.3 GHz) liegt die Auslastung ebenfalls bei ca. 10-15 %.
Ohne Encryption habe ich eben auch mal gestetet:
Ebenfalls nur ~20 MBit/s
Der openvpn Prozess sorgt dann ebenfalls wieder für ca ~3-5 % Auslastung.
Habe ebenfalls mal die Verschlüsselung stärker eingestellt:
4096 bit Diffie Hellman
AES256-CBC
SHA512
Hier bekomme ich durchschnittlich 24 MBit/s hin. (500 Sekunden Testmessung)
-
Ich denke wenn wir Winnis Ausgangspost lesen müssen wir nicht bei OVPN rumsuchen:
> Testweise habe ich eine IPSec Verbindung aufgebaut, hier kam ich zu dem gleichen Ergebniss.
Solange du bei IPSEC die gleichen Werte hast, brauchen wir nicht weitermachen. IPSEC ist klassisch bei AES-GCM Verbindungsaufbau (das vorausgesetzt) schon einiges schneller als OVPN mit "nur" CBC konfiguriert (außer man nutzt GCM mit Zertifikaten und Site2Site). Daher würde ich sagen du wirst vielleicht von irgendwas vornedran ODER von irgendwas was auf deiner Hardware schief läuft limitiert?
Aber solang IPSEC Performance nicht essentiell besser wird, wirst du IMHO auch OVPN nicht schneller bekommen. Würde mich zumindest sehr wundern.
Grüße Jens
-
Zusätzlich würde ich bitten nochmal einen anderen Test für die Bandbreitenbestimmung zu machen.
Nicht, dass dein Endpunkt mit dem Speedtest das eigentliche Problem ist.
Mach doch mal auf ein anderes System SCP/FTP und ähnliches zum Vergleich.
Zusätzlich bitte auch nochmal überprüfen das alle Switches und Komponenten hinter der Firewall zu seinem Testserver entsprechend Performance liefern.
Ich teste meistens gegen einen Linux Server und kopiere in ein TMPFS Verzeichnis um Dinge wie Raid-Controller oder Storage auszuschließen. TMPFS legt die Datei im Server in den Memory und schreibst nicht auf die Platte.
VG,
Dominik