Opnsense / Wireguard

Started by lukafu, August 20, 2025, 11:42:19 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 20, 2025, 11:42:19 AM
Hallo,

leider habe ich bis jetzt nicht wirklich eine Antwort gefunden, vielleicht kann mir jemand hier im Forum helfen.
Im Moment läuft eine virtuelle Maschine mit der Opnsense in einem Rechenzentrum.
Die Firewall wird hauptsächlich benutzt für Wireguard bereitzustellen.
Es gibt ein Paar Blocklisten und verschiedene Regeln um die Cloud hinter der Firewall abzusichern. In der Cloud wird über RDP auf verschiedene Server vebunden
der Datentransfer bleibt meist gering.

Die VM hat einen "AMD EPYC-Milan Processor (2 Kerne, 4 Threads) und 8GB RAM ist mit 2Gbit/s extern und 6Gbit/s intern" angebunden.
Bis jetzt gibt es ca. 80 VPN User. Geplant sind bis zu 500 User die über Opnsense Wireguard benutzen. Hat jemand schon Erfahrung gesammelt wie die Hardware angepasst werden muss oder ist die aktuelle Hardware ausreichend ?

danke
August 20, 2025, 11:48:23 AM #1
Die Geschwindigkeit von Wireguard ist vom schnellsten Boost eines einzelnen CPU Kerns abhängig und kann maximal so 800-1200 Mbit/s insgesamt erreichen.

Insgesamt heißt alle Verbindungen teilen sich dieses Limit.

Falls mehr benötigt wird sollte auf IPsec gesetzt werden.

Oder in mehrere Wireguard Server Instanzen aufteilen, z.B mehrere Opnsense VMs auf einem Host.
Hardware:
DEC740
August 20, 2025, 12:15:32 PM #2
Hallo,

also könnte man es ungefähr so berechnen

Beispiel:

1 User x 2Mbit/s  = 2Mbit/s 
400 User x 2Mbit/s = 800Mbit/s

Also jetzt nur mal so grob.. es werden wahrscheinlich nicht immer alle 400 User online sein und diese 2Mbit nutzen.





 
August 20, 2025, 12:20:10 PM #3
Wenn du "Garantierte Bandbreite pro User" berechnen willst dann ja, würde dann aber auch mit Traffic Shaper arbeiten und die maximal mögliche Übertragungsgeschwindigkeit die ein User per Burst machen kann reduzieren.
Hardware:
DEC740
August 28, 2025, 08:30:41 AM #4
Hallo,

@Monviech

könntest du dir das mal anschauen ich hoffe der Shaper ist richtig hinterlegt.

Pipe:
Bandbreite:             100
Bandbreitenmetrik:  Mbit/s
Maske:                   (keine)
Aktiviere CoDel:      JA
PIE aktivieren:        NEIN
Beschreibung:         rdp_pipe


Queues:
Pipe:                     rdp_pipe
Gewichtung:          100
Maske:                  (keine)
Aktiviere CoDel:     Nein
PIE aktivieren:       Nein
Beschreibung:        rdp_pipe


Regeln:
Sequenz:                   1
Schnittstelle:             WIREGUARD_VPN
Protokoll:                  tcp
Quelle:                     10.0.0.0/24
Quelle invertieren:     NEIN
Quellport:                 any
Ziel:                         any
Ziel invertieren:         NEIN
Dst-port:                   3389
Ziel:                          rdp_pipe
Beschreibung:            rdp_pipe

danke.


August 28, 2025, 11:06:10 AM #5
Ich bin nicht ganz so fit im shaper aber hier ist ein gutes beispiel:

https://docs.opnsense.org/manual/how-tos/shaper_limit_per_user.html
Hardware:
DEC740
Print
Go Up Pages1
User actions