OpenVPN Geschwindigkeit sehr langsam

Started by beli3ver, July 14, 2020, 12:14:16 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 14, 2020, 12:14:16 PM
Guten Tag,

Aktuell haben wir im unserem Netzwerk folgenden Aufbau:

Internet —> Telekom Modem (LanCom Ports werden durchgereicht) —> OPNsense Firewall (Thomas Krenn LES compact 4L)

Auf der FW läuft ein OpenVPN Server.

Code Select

dev ovpns2
verb 1
dev-type tun
tun-ipv6
dev-node /dev/tun2
writepid /var/run/openvpn_server2.pid
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-128-CBC
auth SHA1
up /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup
down /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown
multihome
client-disconnect "/usr/local/etc/inc/plugins.inc.d/openvpn/attributes.sh server2"
tls-server
server 10.30.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/2
username-as-common-name
auth-user-pass-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify user 'Local Database' 'false' 'server2'" via-env
tls-verify "/usr/local/etc/inc/plugins.inc.d/openvpn/ovpn_auth_verify tls 'LK-WPH-OpenVPN' 1"
lport 51820
management /var/etc/openvpn/server2.sock unix
push "route 192.168.10.0 255.255.255.0"
ca /var/etc/openvpn/server2.ca
cert /var/etc/openvpn/server2.cert
key /var/etc/openvpn/server2.key
dh /usr/local/etc/dh-parameters.1024.sample
tls-auth /var/etc/openvpn/server2.tls-auth 0
tun-mtu 1500
mssfix 1400
sndbuf 2000000
rcvbuf 2000000


Aktuell laufen wir auf folgendes Problem auf.
Der Standort ist mit einer 50 Mbit DSL Leitung angebunden. Getestet durch einen Techniker, dieser hat auch bestätigt, dass diese Geschwindigkeit am Modem ankommt und der LanCom diese auch ins Netzwerk weiterreicht.

Wenn wir jetzt jedoch von einem Windows Client eine VPN-Verbindung aufbauen

Code Select

dev tun
persist-tun
persist-key
cipher AES-128-CBC
auth SHA1
client
resolv-retry infinite
remote xxx.dyndns.org 51820 udp4
lport 0
verify-x509-name "C=DE, ST=BW, L=Wolpertshausen, O=LK, emailAddress=monitoring@example.de, CN=LK-WPH-OpenVPN" subject
remote-cert-tls server
auth-user-pass
tun-mtu 1500
mssfix 1400
sndbuf 2000000
rcvbuf 2000000
<ca>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----
</key>
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</tls-auth>
key-direction 1



und dann ein Netzlaufwerk einbinden (wird durch eine Synology bereitgestellt) und dann hier eine 25 MB PDF Datei auf den Desktop kopieren, dauert dieser Vorgang fast eine Minute und der Datendurchsatz beläuft sich auf 350 Kbits.
Das führt dazu, das ein produktives Arbeiten nicht möglich ist.

Der Windows Client steht in einem Homeoffice auch mit einer 50 MBit DSL Leitung.
July 14, 2020, 01:37:06 PM #1
Stell mal in Interfaces : LAN : MSS den Wert testweise auf 1300
July 14, 2020, 01:39:35 PM #2
kannst du mir mal die genaue produkt bezeichnung von dem modem LanCom Ports nennen, habe da nichts zu gefunden. zu deiner Firewall, die CPU ist ja nicht gerade potent (OpenVPN nutz nur 1 Core).
mit meinem Core i3 und i7 Systemen kann ich meine leitung voll nutzen (Verschlüsselt AES256) du hast sogar nur AES128. wie ist die cpu auslastung deiner firewall am server standort, bei nutzung der vpn?
und ich habe mehr fragen:
woher hast du die info diese werte zu setzen (in meiner config sind die nicht, deshalb frage ich)?
Code Select

sndbuf 2000000
rcvbuf 2000000

nach welcher anleitung hast du den openvpn server aufgesetzt?
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
July 14, 2020, 01:42:49 PM #3
Wird bei dir Wahrscheinlich CPU Thema sein wie @micneu schon sagt.

Alternativ kannst du das ganze mal per WireGuard testen. Bin da auch drauf umgestiegen
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
July 14, 2020, 01:46:15 PM #4
Guten Tag.

Also ich habe es auch schon mit Wireguard versucht, genau das gleiche Ergebnis. Auch sehr langsame Verbindung.
Die Werte habe ich aus dem OpenVPN Forum, wo einige ähnliche Fälle berichtet haben.

Die Auslastung CPU ist bei 35 bis 40 % also eigentlich nicht wirklich hoch.
Als ich jetzt den MSS Wert auf der Schnittstelle auf 1300 gesetzt habe, ging im ganzen Netzwerk nichts mehr.
July 14, 2020, 01:50:19 PM #5
nimm mal bitte die anleitung von thomas-krenn, die ist sehr gut und beschreibt das vorgehen auf der OPNsense.
alte konfig wegwerfen und nochmal von vorne.

Leider hast du meine frage zu deinem modem nicht beantwortet.
kannst dich auch per PM bei mir melden.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
July 14, 2020, 02:19:42 PM #6
Also ich habe jetzt IPSec, Wireguard und OpenVPN getestet. Jedesmal mit allen Anleitungen. Ob von Thomas Krenn oder die direkt aus dem OPNsense Wiki immer dasselbe.
Wir haben immer das gleich Verhalten, im Downloadbereich nur 355kbits.
Nicht mehr und nicht weniger.

Es ist ein R884VA von Lancom.
July 14, 2020, 02:50:19 PM #7 Last Edit: July 14, 2020, 03:00:39 PM by micneu
Nochmal zu dem Modem, ist da die Aktuellste Firmware drauf, welches model bitte genau?
Hast du mal eine andere Firewall Hardware getestet die Potenter ist (die konfig kannst du exporzieren und wieder importieren)? wenn du in HH bist kann ich dir mein Core i3 System leihen.

Wenn immer nur ein Down/Upload von ca. 300kbit/s sind. liegt es warscheinlich:
- an deiner firewall hardware?
oder
- modem?

das sind die Komponenten die sich nicht ändern.
bei einer DTAG Leitung 50/10 hast du maximal 1MByte/s

PS: mein angebot steht, melde dich per PM bei mir, dann schauen wir mal zusammen.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
July 14, 2020, 03:19:02 PM #8
Quote from: beli3ver on July 14, 2020, 01:46:15 PM
Als ich jetzt den MSS Wert auf der Schnittstelle auf 1300 gesetzt habe, ging im ganzen Netzwerk nichts mehr.

Dann hat die Hardware ein Problem oder die OPNsense verkonfiguriert.
Da wird höchstens mal das Interface resettet, mehr passiert da aber nicht.
July 14, 2020, 06:22:30 PM #9 Last Edit: July 14, 2020, 06:27:44 PM by lewald
Moin,

mal ein paar Ideen von mir.

Schau mal unter Schnitstellen-> Einstellungen
Da habe ich die ersten vier Option auf deaktiviert- Auch die VLanFilterung

Dann habe ich in der OpenVPN Einstellung unter Erweitert das drinnen

link-mtu 1492;
sndbuf 1048576;
rcvbuf 1048576;
Das ist bei mir auf beiden Seiten drinn.

Ich habe hier einen Intel(R) Celeron(R) CPU G1620 @ 2.70GHz (2 cores) als schwächtes Glied in der VPN Strecke.

Da schaffe ich mit ganz kleiner Verschlüsselungsstufe zwischen 3-4 MB/sec stabil über die Strecke.

Hauptschnittstelle im Büro mit 250/50 zu Hause 225/25

Ps: Ich hatte auch mal WireGuard probiert. Das war aber nur halb so schnell. Dafür ist meine schwache Maschine einfach zu schwach.

July 14, 2020, 07:32:40 PM #10
Also mit den Einstellungen lande ich nur bei 180 KB/s.
Also deutlich schlechter
July 14, 2020, 09:27:31 PM #11
LES4 schafft *mindestens* 100Mbit Durchsatz
Print
Go Up Pages1
User actions