Tipps für schnellere OpenVPN-Verbindung?

[chemlud]

Was ist den die "Standardmethode" den Durchsatz des Tunnels zu messen? Also wie bringst du Last auf die Leitung?

[Marcel_75]

Ich teste so etwas eigentlich immer mittels iperf (iperf 3.6), da viele Online-Tests ja doch eher ungenau sind …

speedof.me und der Zack-Speedtest von AVM liefern meiner Erfahrung nach noch die verlässlichsten Ergebnisse.

Sollte ich es nicht per iperf testen? Gibt es etwas Besseres?

[Marcel_75]

Ok, der Thread kann wahrscheinlich als 'gelöst' markiert werden:

Bin gerade an einem Glasfaseranschluss (per Ethernet), die Werte sind jetzt denke ich so wie sie sein sollten:

Code: [Select]

Mac:~ user1$ iperf3 -c 192.168.1.199 -w 2m
Connecting to host 192.168.1.199, port 5201
[  5] local 10.23.8.2 port 56942 connected to 192.168.1.199 port 5201
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  2.64 MBytes  22.2 Mbits/sec                 
[  5]   1.00-2.00   sec  1.16 MBytes  9.69 Mbits/sec                 
[  5]   2.00-3.00   sec  1.01 MBytes  8.47 Mbits/sec                 
[  5]   3.00-4.00   sec  1015 KBytes  8.30 Mbits/sec                 
[  5]   4.00-5.00   sec  1.01 MBytes  8.46 Mbits/sec                 
[  5]   5.00-6.00   sec  1.01 MBytes  8.50 Mbits/sec                 
[  5]   6.00-7.00   sec  1.03 MBytes  8.61 Mbits/sec                 
[  5]   7.00-8.00   sec  1.02 MBytes  8.58 Mbits/sec                 
[  5]   8.00-9.00   sec  1.01 MBytes  8.49 Mbits/sec                 
[  5]   9.00-10.00  sec  1.02 MBytes  8.57 Mbits/sec                 
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.00  sec  11.9 MBytes  9.99 Mbits/sec                  sender
[  5]   0.00-10.21  sec  9.92 MBytes  8.15 Mbits/sec                  receiver
Das sieht nun so aus, wie ich es erwartet hätte. 

Also kann man festhalten: Per LTE-Hotspot gern testen, ob die Verbindung überhaupt zustande kommt – Geschwindigkeitstests sollte man über LTE aber eher nicht machen … 

Ich muss dazu sagen, dass ich die Buffer-Werte und auch den MTU-Wert noch etwas angepasst habe (interne Tests brachten mich zu dem Schluss, dass diese Werte zumindest bei meinem Anschluss die besten Praxiswerte liefern).

Code: [Select]

sndbuf 44000
rcvbuf 44000
push "sndbuf 44000"
push "rcvbuf 44000"
link-mtu 1360

Komprimierung habe ich deaktiviert, cipher ist AES-128-CBC, auth SHA1. Und statt des UDP-Standardports 1194 benutze ich aktuell UDP Port 43210. Wobei der Port wahrscheinlich keinen Unterschied macht (wollte da nur prüfen, ob mein ISP eventuell Traffic-Shaping oder so etwas auf dem Standard-OpenVPN-Port macht).

Aus sicherheitstechnischer Sicht sollte das ja wahrscheinlich auch wumpe sein, ob ich nun wieder zurück auf Standard-UDP-Port 1194 gehe oder es bei UDP-Port 43210 belasse, oder?

In jedem Fall wie immer vielen Dank Euch allen für die tolle Unterstützung.

[Reiter der OPNsense]

Code: [Select]

sndbuf 44000
rcvbuf 44000
push "sndbuf 44000"
push "rcvbuf 44000"
link-mtu 1360Bremst meine Verbindung aus. Wie ermittelt man hier die besten Werte?

Komprimierung habe ich deaktiviert, cipher ist AES-128-CBC, auth SHA1.

Bringt das bei dir einen Geschwindigkeitsvorteil? Bei mir nicht. Darum lasse ich hier lieber die stärkere Cipher drin.

Und statt des UDP-Standardports 1194 benutze ich aktuell UDP Port 43210. Wobei der Port wahrscheinlich keinen Unterschied macht (wollte da nur prüfen, ob mein ISP eventuell Traffic-Shaping oder so etwas auf dem Standard-OpenVPN-Port macht).

Auf die Übertragungsrate hat das keinen Einfluss. Aber allenfalls bist du froh, wenn die bösen Jungs deinen VPN-Server nicht gleich bei jedem Routineportscann finden.

[micneu]

@Reiter hier ich habe mal von 2 Systemen die mögliche Bandbreite getestet
Client: macOS 10.14.3, Server: Ubuntu Server 18.04
OHNE VPN
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  7]   0.00-10.00  sec  1.16 GBytes  1000 Mbits/sec  0.000 ms  0/863260 (0%)  sender            MacBook Pro 2018 ETH
[  7]   0.00-10.00  sec   905 MBytes   759 Mbits/sec  0.084 ms  204636/859694 (24%)  receiver      Lanner NCA-1010B

mit OpenVPN AES256, iperf3 -c 10.0.0.1 -u -b 1G
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-10.00  sec  1.16 GBytes  1000 Mbits/sec  0.000 ms  0/928670 (0%)  sender            MacBook Pro 2018 ETH
[  5]   0.00-10.00  sec   200 MBytes   168 Mbits/sec  0.050 ms  772531/928670 (83%)  receiver      Lanner NCA-1010B

Client: macOS 10.14.3, Server: Debian 9
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-10.00  sec  1.16 GBytes  1000 Mbits/sec  0.000 ms  0/863223 (0%)  sender            MacBook Pro 2018 ETH
[  5]   0.00-10.00  sec  1.11 GBytes   956 Mbits/sec  0.007 ms  35627/861265 (4.1%)  receiver      Eglobal Intel Core i3-7100U

mit OpenVPN AES256, iperf3 -c 10.0.0.1 -u -b 1G
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-10.00  sec  1.16 GBytes   996 Mbits/sec  0.000 ms  0/925423 (0%)  sender            MacBook Pro 2018 ETH
[  5]   0.00-10.00  sec   346 MBytes   290 Mbits/sec  0.021 ms  653771/923376 (71%)  receiver      Eglobal Intel Core i3-7100U

[Reiter der OPNsense]

Vielen Dank für die Messungen, micneu!

Der Intel Atom E3815 (TDP 5W) aus dem Jahr 2013 schafft 168 Mbits/sec? Das finde ich ganz ordentlich.

Und mit einer Core i3-7100U bekommt man Gigabit speed. Ist aber mit einer Verlustleistung von 15W ein kleiner Stromfresser. 

Die APU2 verbraucht ca. 6-10W (komplett, nicht nur CPU).

[JeGr]

> Also kann man festhalten: Per LTE-Hotspot gern testen, ob die Verbindung überhaupt zustande kommt – Geschwindigkeitstests sollte man über LTE aber eher nicht machen … 

Wie ich oben schon angemerkt hatte, BTW Ich hätte LTE zum Speedtest wirklich nicht getraut

@Atom CPU: Es gibt ja nicht "DIE" Atom CPU, aber die SOCs wie der E3000er oder eben die Netzwerk SOCs wie der C2000er oder jetzt Denverton C3000er sind durchaus flott dabei. Unsere letzten Tests waren bei einem

4-Kern C2558er (scope7 7525): IPSEC ~ 350Mbps bei AES-GCM, OpenVPN ~230Mbps bei Tunnel mit GCM, Einwahl und CBC bei rund 160Mbps was immer noch flott ist.
4-Kern C3558er (scope7 1510): IPSEC ~ 550Mbps bei GCM, OVPN bei 280-380 Mbps bei Einwahl bzw. CBC und Tunnel bei ~460Mbps.

Mehr als 200 bzw. knapp 500Mbps encrypted zu schieben finde ich da bei der Leistung bei ~8-10W völlig angemessen

Bezüglich sowas hier:

> Komprimierung habe ich deaktiviert, cipher ist AES-128-CBC, auth SHA1.

Sollten wirklich alle inzwischen die aktuellen Mindestgrößen von Cipher und Security aktivieren. Dazu gehört auch, kein SHA-1 mehr zu nutzen und entsprechend höhere/hohe DH Werte oder besser gleich elliptische Kurven zu nutzen wie sec256r1, sec384r1 oder die Brainpool Kurven 256r1, 384r1 oder 512r1. RSA < 2048 geht genausowenig wie SHA1 nicht mehr.

Wenn die Hardware recht leistungsarm ist, sollte man zumindest die Suite-B 128 Ciphersuite nutzen, bei modernerer Hardware ist die Suite-B-256 empfohlen.