Extem bessere Downloadgeschwindigkeiten über VPN vom Client als direkt über WLAN

[Loony]

Hallo zusammen!

Ich habe OPNsense schon eine ganze Weile laufen. Über das WLAN bekomme ich irgendwas von 50 bis 150 Mbps. (Generell schwankt die Leistung sehr, so dass ich keine konstanten Werte bekomme.) Nicht berauschend, aber noch meckert niemand. Wenn ich jedoch an meinem Laptop einen VPN aktiviere, dann bekomme ich sofort um die 400 Mbps oder mehr - im VLAN nicht ganz so viel.

Natürlich habe ich schon Google bemüht, aber die Lösungen, die ich gefunden habe, gingen immer darauf zurück, dass für die VLANs ein Network Interface konfiguriert werden muss, auch wenn die Daten nicht physisch darüber laufen. Das hatte ich aber bereits von Anfang an gemacht:

Interface  |  Device
heimnetz  -> icg1
vlanNIC    -> igc2

VLANs -> alle mit Parent igc2

Der Unterschied ist immer da, egal ob im Heimnetz oder im VLAN.

Ich weiß, dass Ihr meine Konfiguration nicht erraten könnt, habe aber auch keine Ahnung in welche Richtung ich suchen muss und damit auch nicht welche Einstellungen wichtig sind.

Hat jemand eine Idee?

[openMe]

Moin,

deine Netzwerkkonfiguration habe ich leider nicht ganz verstanden. Wie ich es verstanden habe:

1. du gehst über WIFI und die OPNsense ins Internet: NB -> WIFI -> OPNsense -> (Internet)
2. du hast auch eine VPN-Konfiguration, so dass: (NB -> VPN) -> WIFI -> OPNsense -> (Internet)

Das (Internet) besteht vermutlich aus: ISP Router/Modem -> Internet

Wie das VLAN da rein passt ist mir nicht klar. Aufgrund der Infos aus deinem Post, kann ich nur vermuten, dass sich die oben genannten Punkte 1 und 2 genau betrachtet so aufteilen:

1a. NB -> WIFI ohne VLAN Tag -> OPNsense -> (Internet)
1b. NB -> WIFI mit VLAN Tag -> OPNsense -> (Internet)

2a. (NB -> VPN) -> WIFI ohne VLAN Tag -> OPNsense -> (Internet)
2b. (NB -> VPN) -> WIFI mit VLAN -> OPNsense -> (Internet)

Wo und wie hast du denn das VLAN definiert? Zumindest auf der OPNsense scheinst du ja Interfaces in den VLANs angelegt zu haben ("VLANs -> alle mit Parent igc2") - mit IP-Adressen in verschiedenen Subnetzen oder...?

Aus meiner Sicht läuft dein VPN aber  - mit VLAN oder ohne - über den gleichen Weg, wie eine Verbindung ohne VPN.

Wer ist dein ISP und schwankt die Verbindung zu allen Zielpunkten? Oder nur zu ...? Versuche mal große internationale oder deutsche Firmen; z.B. ein Test-Download von Windows bei Microsoft oder ein Linux.

[Loony]

Vielen Dank für Deine Antwort.

Mein Netzwerk sieht im Prinzip so aus:

Vodafone Kabel Modem (im Bridge Modus) -> OPNsense -> Unifi Umgebung (Switche, APs)
OPNsense -> LAN (untagged) 192.168.1.0/24 -> eigene SSID auf den APs
                  -> Gäste VLAN 10.20.30.0/24 -> eigene SSID auf den APs
                  -> Büro VLAN 172.16.1.0/24 -> eigene SSID auf den APs

1. du gehst über WIFI und die OPNsense ins Internet: NB -> WIFI -> OPNsense -> (Internet)
2. du hast auch eine VPN-Konfiguration, so dass: (NB -> VPN) -> WIFI -> OPNsense -> (Internet)

Das ist richtig. Ich bin über das WLAN mit dem Internet verbunden (bei Dir #1). Die VPN Verbindung läuft genauso, direkt vom Laptop unter Umgehung von (fast) allem, was OPNsense macht - zumindest nach meinem Verständnis. Das System läuft aber nur mit wenigen % CPU Auslastung, daran kann es also nicht liegen. Deshalb glaube ich, dass es sich um einen Fehler in der Konfiguration handelt, weshalb die Verbindung so langsam läuft. Aber welcher?

[micneu]

Bitte mehr mehr Informationen zu deinem verwendeten Hardware, Hersteller/Model deines AP


Gesendet von iPhone mit Tapatalk Pro

[openMe]

Unifi Umgebung? Hast du ein USG im Einsatz oder wird dessen Rolle von der OPNsense übernommen (so klingt es bei dir)?

Mir ist nicht klar, wie eine auf dem Notebook konfigurierte VPN Verbindung (hat ja nichts mit dem OPNsense VPN Optionen zu tun), die über die auch ohne VPN genutzte WIFI Verbindung läuft, "unter Umgehung von (fast) allem, was OPNsense macht", funktionieren soll. M.E. ist die VPN Verbindung allem auf der OPNsense unterworfen, was für eine WIFI Verbindung ohne VPN auf der OPNsense konfiguriert ist.

Die OPNsense hat noch ein zusätzliches WAN Interface?
Die OPNsense hat IP Adressen in deinen VLANs, ist dort GW und die Routen stimmen?
Deine internen LANs / VLANs unterliegen alle den gleichen Regeln auf der OPNsense (LAN-Seite, If-Groups oder Aliases)?
Ist irgendwo IDS/IPS eingeschaltet?

Da Unifi-Umgebung: Die Netzwerke zu den WIFI SSIDs sind als VLAN only definiert?

[openMe]

Bitte mehr mehr Informationen zu deinem verwendeten Hardware, Hersteller/Model deines AP

Mmh, er schreibt Unifi. Ich vermute , dass es keine AP Modelle gibt, die mit einem VPN, welches der Client über die Verbindung legt, schneller sind als ohne, oder?

[Loony]

Hallo zusammen,

vielen Danl für Eure Fragen:

Bitte mehr mehr Informationen zu deinem verwendeten Hardware, Hersteller/Model deines AP

Alles hinter der OPNsense ist Unifi. Wenn Du detailierte Infos brauchst, gebe mir bitte einen Hinweis was genau und wofür, damit ich den Zusammenhang verstehen kann.

Hast du ein USG im Einsatz oder wird dessen Rolle von der OPNsense übernommen (so klingt es bei dir)?

Das ist richtig, ich habe keine USG im Einsatz.

Mir ist nicht klar, wie eine auf dem Notebook konfigurierte VPN Verbindung (hat ja nichts mit dem OPNsense VPN Optionen zu tun), die über die auch ohne VPN genutzte WIFI Verbindung läuft, "unter Umgehung von (fast) allem, was OPNsense macht", funktionieren soll. M.E. ist die VPN Verbindung allem auf der OPNsense unterworfen, was für eine WIFI Verbindung ohne VPN auf der OPNsense konfiguriert ist.

Ich verbinde mich mit meinem Laptop ganz normal über WLAN mit dem Internet. Dann aktiviere ich auf meinem Laptop die VPN Verbindung (NordVPN, Winscribe, Mullvad). Der Tunnel beginnt also auf meinem Laptop und umgeht somit OPNsense (teilweise, z.B. DNS, Firewall (teilweise!!), etc.). Deshalb vermute ich auch, das es an einer fehlerhaften Konfiguration von OPNsense liegt.

Die OPNsense hat noch ein zusätzliches WAN Interface?

Alle VLANs und das untagged LAN gehen über das gleiche WAN. Es gibt ein weiteres WAN Interface für den Fall einer Störung, das ist aber nicht aktiv.

Die OPNsense hat IP Adressen in deinen VLANs, ist dort GW und die Routen stimmen?

OPNsens ist jeweils Gateway mit der IP xxx.xxx.xxx.254. Würde das Netz/VLAN generell funktionieren wenn dem nicht so wäre?

Ist irgendwo IDS/IPS eingeschaltet?

IDS ist nicht aktiv, ich nutze allerdings CrowdSec.

Da Unifi-Umgebung: Die Netzwerke zu den WIFI SSIDs sind als VLAN only definiert?

Die Frage verstehe ich leider nicht. Wenn Du mir sags wo ich nachsehen muss tue ich das gerne.



Das Phänomen tritt aber nicht nur im VLANs auf, sondern auch im nicht getaggten LAN.

[openMe]

OK,

eine Deep Packt Inspection, wie ein IDS / IPS sie vornimmt, kann natürlich den Durchsatz nach unten ziehen. Insbesondere, wenn das keine echte Firewall-Hardware steht. Wobei: normalerweise bezieht sich das auf über das WAN hereinkommende Pakete, wie CrowdSec auch. Hier hätte ich auch an die Spezialisten übergeben, da ich selbst OPNsense erst ein paar Tage im Einsatz habe und nicht weiß, wie das eingebaute IPS/IDS - ich glaube Suricata - mit Verbindungen umgeht, wo es nicht reingucken kann. So eine Verbindung, wie dein VPN eben.

Die Frage nach dem USG, weil, je nach Modell, nicht übermäßig leistungsfähig und auch hier wieder der Hintergedanke an das noch weiter leistungsvermindernde IDS.

Aufgrund deiner Schilderungen gehe ich davon aus, dass deine VPN Verbindung auf dem Notebook in deiner WIFI-Verbindung "getunnelt" wird. Du hast da zwar eine VPN-IP-Adresse, die ist aber nur deinem Notebook bekannt. Der VPN-Client, z.B. NordVPN, schickt das Ganze eingekapselt über deine interne WIFI Verbindung, also über die interne IP, die du in deinem LAN hast. Damit kann das aber die OPNsense-Regeln für dein normales WIFI nicht umgehen, sondern unterliegt diesen ganz normal.

Mit dem weiteren WAN Interface meinte ich ein drittes Interface in der OPNsense. In deinem Eingangspost hattest du geschrieben

Interface  |  Device
heimnetz  -> icg1
vlanNIC    -> igc2

Da deine VLANs, sowie dein Heimnetz aber intern (LAN) sind, fehlt in der Liste dein OPNsense WAN Interface.

Unifi Networks
Unifi Controller -> Settings -> Networks -> Eins deiner VLAN Networks auswählen -> da müsste der Haken bei VLA-only Network gesetzt sein
Unter dem Setting WiFi müsste das Network als Network für ein WiFi-Network (SSID) gesetzt sein.

Sag bitte mal wer dein ISP ist und ob du die Geschwindigkeitsproblematik auch bei z.B. Microsoft Downloads hast.

[Loony]

Hallo zusammen!

eine Deep Packt Inspection, wie ein IDS / IPS sie vornimmt, kann natürlich den Durchsatz nach unten ziehen. Insbesondere, wenn das keine echte Firewall-Hardware steht. Wobei: normalerweise bezieht sich das auf über das WAN hereinkommende Pakete, wie CrowdSec auch. Hier hätte ich auch an die Spezialisten übergeben, da ich selbst OPNsense erst ein paar Tage im Einsatz habe und nicht weiß, wie das eingebaute IPS/IDS - ich glaube Suricata - mit Verbindungen umgeht, wo es nicht reingucken kann. So eine Verbindung, wie dein VPN eben.

Wie gesagt, ich habe keine IDS/IPS (Suricata) im Einsatz, nicht installiert, nicht aktiviert. Oder beziehst Du Dich auf CrowdSec?

Die Frage nach dem USG, weil, je nach Modell, nicht übermäßig leistungsfähig und auch hier wieder der Hintergedanke an das noch weiter leistungsvermindernde IDS.

OPNsense läuft auf Proxmox, der PC hat einen Intel N100 und I226-V NICs. Das sollte kein Problem, sein, außer OPNsense läuft nichts CPU-lastiges auf Promox. Die CPU Auslastung von OPNsense (4 Threads) ist in der Regel um die 5% mit gelegentlichen Peaks auf unter 25%.

Aufgrund deiner Schilderungen gehe ich davon aus, dass deine VPN Verbindung auf dem Notebook in deiner WIFI-Verbindung "getunnelt" wird. Du hast da zwar eine VPN-IP-Adresse, die ist aber nur deinem Notebook bekannt. Der VPN-Client, z.B. NordVPN, schickt das Ganze eingekapselt über deine interne WIFI Verbindung, also über die interne IP, die du in deinem LAN hast.

Das ist richtig.

Da deine VLANs, sowie dein Heimnetz aber intern (LAN) sind, fehlt in der Liste dein OPNsense WAN Interface.

Das ist richtig, ich habe nur die Intefaces aufgelistet, die für mein Problem relevant erscheinen. Das mindestens ein WAN Interface vorhanden sein muss hielt ich nicht für erwähnenswert, da ich ja beschieben habe das meine internetverbindung im Prinzip funktioniert.

Unifi Networks
Unifi Controller -> Settings -> Networks -> Eins deiner VLAN Networks auswählen -> da müsste der Haken bei VLAN-only Network gesetzt sein
Unter dem Setting WiFi müsste das Network als Network für ein WiFi-Network (SSID) gesetzt sein.

Ich verwende den Unifi Controller/UniFi Network Server 8.5.6, diese Punkte gibt es nicht unter  Settings -> Networks -> VLAN-Netzwerk. In Sachen VLAN kan nich nur die ID eingeben.

Sag bitte mal wer dein ISP ist und ob du die Geschwindigkeitsproblematik auch bei z.B. Microsoft Downloads hast.

Wie bereits gesagt habe ich Vodafone Kabel. Die Geschwindigkeiten sind immer im gleichen Rahmen, nur eben deutlich besser wenn direkt über VPN.

[openMe]

Stimmt, Vodafone hattest du ja schon gesagt.

Ich bin dann hier raus. Mir fällt nichts ein. Höchstens mal ein Test ohne OPNsense.

Bzgl. ISP: die Telekom hat z.B. Probleme mit Cloudflare. Da ist der Zugriff langsam. Wenn man über ein VPN auf Cloudflare zugreift, geht es wieder zügig.

Ich hoffe einer der Wissenden hier kann dir helfen.

[meyergru]

Also, wenn es wirklich so ist, dass die Verbindung vom Notebook, das immer über WLAN geht (so dass das keine Rolle spielen sollte, man sollte das aber sicherheitshalber mal per LAN überprüfen), plötzlich bei einer Verbindung, die zusätzlich durch ein VPN getunnelt wird, schneller (und nicht, wie erwartbar, langsamer) wird, dann würde ich blind darauf tippen, dass es sich um eine Verbindung per PPPoE, eventuell zusätzlich mit VLAN handelt.

Dann kann es sein, dass die MTU falsch gewählt wurde und bestimmte Gegenstellen (z.B. Netflix) gar nicht oder nur langsam angesprochen werden können, weil die Pakete erst durch Retries / Fragmentierung ihr Ziel erreichen.

Mit VPN geht es dann eventuell schneller, weil die VPN-Tools aufgrund der zu erwartenden weiteren Reduktion der möglichen Payload sicherheitshalber eine kleinere MTU setzen, die dann ohne Probleme durchgeht.

Testweise einfach mal auf dem WAN-Interface eine MTU von 1488 Bytes statt 1500 setzen und dann ohne VPN probieren.

Wenn das funktioniert, kann man die MTU eventuell vergrößern, indem man auf dem zugrundeliegenden physischen Interface eine höhere MTU (nämlich 1508 oder 1512) einstellt, wenn die eigene Hardware und der ISP das zulassen.

[JeGr]

Mmh, er schreibt Unifi. Ich vermute , dass es keine AP Modelle gibt, die mit einem VPN, welches der Client über die Verbindung legt, schneller sind als ohne, oder?

nö :) Der AP schiebt Daten an Switch und Sense, egal ob das UDP/TCP VPN Daten sind oder obs einfach normales HTTPS ist. Das ist ihm prinzipiell egal.

OPNsense läuft auf Proxmox

Also virtualisiert? Das ist ja dann nochmal ne andere Hausnummer.

Testweise einfach mal auf dem WAN-Interface eine MTU von 1488 Bytes statt 1500 setzen und dann ohne VPN probieren.

In der Richtung würde ich auch tippen. Da hier auch wieder mal Vodafail am Start ist, würde ich zudem prüfen, ob

a) ich CGN/DSlite habe - also habe ich eine echte IPv4 anliegen oder nur die Sparvariante
b) wie ist mein "Speedtest" überhaupt erreichbar/aufgerufen
c) habe ich IPv6 durchgehend aktiv

Wenn nämlich der Speedtest z.B. primär via IPv4 läuft, du das VPN aber via v6 aufmachst oder via v4 und die im Tunnel DualStack fahren, kann es sein, dass du einen wesentlich günstigeren/besseren Speedtest Knoten bekommst, der dann dank kleinerer MTU und Co vollen Speed bringt, während du ohne VPN dann mit IPv4 am Client auf CGNAT/DSlite und IPFT von Vodafail angewiesen bist (was miserabel performen kann und die MTU komplett versaut) und du noch dazu dank falscher Location Erkennung nen schlechteren Speedtest Node bekommst.

Und selbst beim exakt gleiche Speedtest Knoten kann es dann ein MTU/DualStack Problem sein, was via VPN besser performen könnte dank der kleineren MTU, was die meisten Provider eigentlich direkt vorab schon setzen. irgendwas zwischen 1280 und 1368 wird bei den meisten inzwischen grob runtergeschraubt. :)

Cheers