Tipps für schnellere OpenVPN-Verbindung?

chemlud · March 06, 2019, 10:16:35 PM

Was ist den die "Standardmethode" den Durchsatz des Tunnels zu messen? Also wie bringst du Last auf die Leitung?

Marcel_75 · March 07, 2019, 09:05:06 AM

Ich teste so etwas eigentlich immer mittels iperf (iperf 3.6), da viele Online-Tests ja doch eher ungenau sind ...

speedof.me und der Zack-Speedtest von AVM liefern meiner Erfahrung nach noch die verlässlichsten Ergebnisse.

Sollte ich es nicht per iperf testen? Gibt es etwas Besseres?

Marcel_75 · March 07, 2019, 10:21:26 AM

Ok, der Thread kann wahrscheinlich als 'gelöst' markiert werden:

Bin gerade an einem Glasfaseranschluss (per Ethernet), die Werte sind jetzt denke ich so wie sie sein sollten:

Code Select

Mac:~ user1$ iperf3 -c 192.168.1.199 -w 2m
Connecting to host 192.168.1.199, port 5201
[  5] local 10.23.8.2 port 56942 connected to 192.168.1.199 port 5201
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  2.64 MBytes  22.2 Mbits/sec                  
[  5]   1.00-2.00   sec  1.16 MBytes  9.69 Mbits/sec                  
[  5]   2.00-3.00   sec  1.01 MBytes  8.47 Mbits/sec                  
[  5]   3.00-4.00   sec  1015 KBytes  8.30 Mbits/sec                  
[  5]   4.00-5.00   sec  1.01 MBytes  8.46 Mbits/sec                  
[  5]   5.00-6.00   sec  1.01 MBytes  8.50 Mbits/sec                  
[  5]   6.00-7.00   sec  1.03 MBytes  8.61 Mbits/sec                  
[  5]   7.00-8.00   sec  1.02 MBytes  8.58 Mbits/sec                  
[  5]   8.00-9.00   sec  1.01 MBytes  8.49 Mbits/sec                  
[  5]   9.00-10.00  sec  1.02 MBytes  8.57 Mbits/sec                  
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.00  sec  11.9 MBytes  9.99 Mbits/sec                  sender
[  5]   0.00-10.21  sec  9.92 MBytes  8.15 Mbits/sec                  receiver

Das sieht nun so aus, wie ich es erwartet hätte. :)

Also kann man festhalten: Per LTE-Hotspot gern testen, ob die Verbindung überhaupt zustande kommt – Geschwindigkeitstests sollte man über LTE aber eher nicht machen ... ;)

Ich muss dazu sagen, dass ich die Buffer-Werte und auch den MTU-Wert noch etwas angepasst habe (interne Tests brachten mich zu dem Schluss, dass diese Werte zumindest bei meinem Anschluss die besten Praxiswerte liefern).

Code Select


sndbuf 44000
rcvbuf 44000
push "sndbuf 44000"
push "rcvbuf 44000"
link-mtu 1360

Komprimierung habe ich deaktiviert, cipher ist AES-128-CBC, auth SHA1. Und statt des UDP-Standardports 1194 benutze ich aktuell UDP Port 43210. Wobei der Port wahrscheinlich keinen Unterschied macht (wollte da nur prüfen, ob mein ISP eventuell Traffic-Shaping oder so etwas auf dem Standard-OpenVPN-Port macht).

Aus sicherheitstechnischer Sicht sollte das ja wahrscheinlich auch wumpe sein, ob ich nun wieder zurück auf Standard-UDP-Port 1194 gehe oder es bei UDP-Port 43210 belasse, oder?

In jedem Fall wie immer vielen Dank Euch allen für die tolle Unterstützung.

Reiter der OPNsense · March 07, 2019, 10:51:15 AM

Code Select

sndbuf 44000
rcvbuf 44000
push "sndbuf 44000"
push "rcvbuf 44000"
link-mtu 1360

Bremst meine Verbindung aus. Wie ermittelt man hier die besten Werte?

QuoteKomprimierung habe ich deaktiviert, cipher ist AES-128-CBC, auth SHA1.

Bringt das bei dir einen Geschwindigkeitsvorteil? Bei mir nicht. Darum lasse ich hier lieber die stärkere Cipher drin.

QuoteUnd statt des UDP-Standardports 1194 benutze ich aktuell UDP Port 43210. Wobei der Port wahrscheinlich keinen Unterschied macht (wollte da nur prüfen, ob mein ISP eventuell Traffic-Shaping oder so etwas auf dem Standard-OpenVPN-Port macht).

Auf die Übertragungsrate hat das keinen Einfluss. Aber allenfalls bist du froh, wenn die bösen Jungs deinen VPN-Server nicht gleich bei jedem Routineportscann finden.

micneu · March 08, 2019, 04:00:26 PM

@Reiter hier ich habe mal von 2 Systemen die mögliche Bandbreite getestet
Client: macOS 10.14.3, Server: Ubuntu Server 18.04
OHNE VPN
[ ID] Interval Transfer Bitrate Jitter Lost/Total Datagrams
[ 7] 0.00-10.00 sec 1.16 GBytes 1000 Mbits/sec 0.000 ms 0/863260 (0%) sender            MacBook Pro 2018 ETH
[ 7] 0.00-10.00 sec 905 MBytes 759 Mbits/sec 0.084 ms 204636/859694 (24%) receiver      Lanner NCA-1010B

mit OpenVPN AES256, iperf3 -c 10.0.0.1 -u -b 1G
[ ID] Interval Transfer Bitrate Jitter Lost/Total Datagrams
[ 5] 0.00-10.00 sec 1.16 GBytes 1000 Mbits/sec 0.000 ms 0/928670 (0%) sender            MacBook Pro 2018 ETH
[ 5] 0.00-10.00 sec 200 MBytes 168 Mbits/sec 0.050 ms 772531/928670 (83%) receiver      Lanner NCA-1010B

Client: macOS 10.14.3, Server: Debian 9
[ ID] Interval Transfer Bitrate Jitter Lost/Total Datagrams
[ 5] 0.00-10.00 sec 1.16 GBytes 1000 Mbits/sec 0.000 ms 0/863223 (0%) sender            MacBook Pro 2018 ETH
[ 5] 0.00-10.00 sec 1.11 GBytes 956 Mbits/sec 0.007 ms 35627/861265 (4.1%) receiver      Eglobal Intel Core i3-7100U

mit OpenVPN AES256, iperf3 -c 10.0.0.1 -u -b 1G
[ ID] Interval Transfer Bitrate Jitter Lost/Total Datagrams
[ 5] 0.00-10.00 sec 1.16 GBytes 996 Mbits/sec 0.000 ms 0/925423 (0%) sender            MacBook Pro 2018 ETH
[ 5] 0.00-10.00 sec 346 MBytes 290 Mbits/sec 0.021 ms 653771/923376 (71%) receiver      Eglobal Intel Core i3-7100U

Reiter der OPNsense · March 09, 2019, 10:29:08 AM

Vielen Dank für die Messungen, micneu!

Der Intel Atom E3815 (TDP 5W) aus dem Jahr 2013 schafft 168 Mbits/sec? Das finde ich ganz ordentlich.

Und mit einer Core i3-7100U bekommt man Gigabit speed. Ist aber mit einer Verlustleistung von 15W ein kleiner Stromfresser. :)

Die APU2 verbraucht ca. 6-10W (komplett, nicht nur CPU).

JeGr · March 12, 2019, 12:43:28 PM

> Also kann man festhalten: Per LTE-Hotspot gern testen, ob die Verbindung überhaupt zustande kommt – Geschwindigkeitstests sollte man über LTE aber eher nicht machen ... ;)

Wie ich oben schon angemerkt hatte, BTW :P Ich hätte LTE zum Speedtest wirklich nicht getraut :)

@Atom CPU: Es gibt ja nicht "DIE" Atom CPU, aber die SOCs wie der E3000er oder eben die Netzwerk SOCs wie der C2000er oder jetzt Denverton C3000er sind durchaus flott dabei. Unsere letzten Tests waren bei einem

4-Kern C2558er (scope7 7525): IPSEC ~ 350Mbps bei AES-GCM, OpenVPN ~230Mbps bei Tunnel mit GCM, Einwahl und CBC bei rund 160Mbps was immer noch flott ist.
4-Kern C3558er (scope7 1510): IPSEC ~ 550Mbps bei GCM, OVPN bei 280-380 Mbps bei Einwahl bzw. CBC und Tunnel bei ~460Mbps.

Mehr als 200 bzw. knapp 500Mbps encrypted zu schieben finde ich da bei der Leistung bei ~8-10W völlig angemessen :)

Bezüglich sowas hier:

> Komprimierung habe ich deaktiviert, cipher ist AES-128-CBC, auth SHA1.

Sollten wirklich alle inzwischen die aktuellen Mindestgrößen von Cipher und Security aktivieren. Dazu gehört auch, kein SHA-1 mehr zu nutzen und entsprechend höhere/hohe DH Werte oder besser gleich elliptische Kurven zu nutzen wie sec256r1, sec384r1 oder die Brainpool Kurven 256r1, 384r1 oder 512r1. RSA < 2048 geht genausowenig wie SHA1 nicht mehr.

Wenn die Hardware recht leistungsarm ist, sollte man zumindest die Suite-B 128 Ciphersuite nutzen, bei modernerer Hardware ist die Suite-B-256 empfohlen.

Tipps für schnellere OpenVPN-Verbindung?

chemlud

March 06, 2019, 10:16:35 PM #15

Marcel_75

March 07, 2019, 09:05:06 AM #16

Marcel_75

March 07, 2019, 10:21:26 AM #17 Last Edit: March 07, 2019, 10:23:16 AM by Marcel_75

Reiter der OPNsense

March 07, 2019, 10:51:15 AM #18

micneu

March 08, 2019, 04:00:26 PM #19

Reiter der OPNsense

March 09, 2019, 10:29:08 AM #20

JeGr

March 12, 2019, 12:43:28 PM #21