openvpn viel zu langsam

[oekomat]

Guten Tag,

ich teste die opnsense gerade noch aus, um zu entscheiden, ob ich diese wirklich verwenden möchte. Momenten hänge ich beim openvpn. Diesen habe ich konfiguriert wie hier https://www.youtube.com/watch?v=KVlVhilrFUc
Funktioniert auch alles, bekomme die Verbindung. Aber die Verbindung mit 1,6kBit ist natürlich nicht wirklich vorhanden. an der Verschlüsselung sollte es nicht liegen. Hat jmd eine Idee oder das gleiche Problem gehabt?

[oekomat]

noch zur Ergänzung:
- opnsense hängt als Exposed host hinter eine Fritzbox
- aktuellste Version der opnsense
- opnsense läuft auf eine core i3-6100 2.3Ghz mit 8GB DDR4

[Patrick M. Hausen]

Klingt nach einem Problem mit der MTU. Benutzt Du TCP oder UDP für Dein OpenVPN?

[oekomat]

Klingt nach einem Problem mit der MTU. Benutzt Du TCP oder UDP für Dein OpenVPN?

Ich benutze UDP.

[micneu]

kannst du trotzdem mal ein paar mehr infos zu deiner hardware und deiner internet leitung angeben.
- hersteller und model deiner hardware
- chip deiner netzwerkschnittstellen (hoffe kein realtek)
- bilder deiner konfig

[mimugmail]

Klingt nach einem Problem mit der MTU. Benutzt Du TCP oder UDP für Dein OpenVPN?

Ich benutze UDP.

Dann probier mal TCP :)

[oekomat]

kannst du trotzdem mal ein paar mehr infos zu deiner hardware und deiner internet leitung angeben.
- hersteller und model deiner hardware
- chip deiner netzwerkschnittstellen (hoffe kein realtek)
- bilder deiner konfig

- Ich habe einen 100Mbit 1&1 Anschluss

-Hardware: NRG Systems IPU661 System Intel Core i3-6100U 2,3 GHz Skylake-U Dual Core mitHyperthreading, 3M Cache, Intel HD Graphics 520, 6xInteli211AT Gigabit LAN, DDR4 SO-DIMM PC4-19200 (2400 MHz) 8 GByte

- davor hab ich eine Fritzbox 7490 als exposed Host - die nächsten Tag kommt ein vigor165

Ich hab auf der Fritz mal den Port 1194 für den exposed Host freigegeben, jetzt komm ich mit 7-15 Mbit per opnvpn auf mein Lan

Sollte das nicht dennoch mehr sein?
Umstellung auf TCP brachte eher Verschlechterung

[lfirewall1243]

kannst du trotzdem mal ein paar mehr infos zu deiner hardware und deiner internet leitung angeben.
- hersteller und model deiner hardware
- chip deiner netzwerkschnittstellen (hoffe kein realtek)
- bilder deiner konfig

- Ich habe einen 100Mbit 1&1 Anschluss

-Hardware: NRG Systems IPU661 System Intel Core i3-6100U 2,3 GHz Skylake-U Dual Core mitHyperthreading, 3M Cache, Intel HD Graphics 520, 6xInteli211AT Gigabit LAN, DDR4 SO-DIMM PC4-19200 (2400 MHz) 8 GByte

- davor hab ich eine Fritzbox 7490 als exposed Host - die nächsten Tag kommt ein vigor165

Ich hab auf der Fritz mal den Port 1194 für den exposed Host freigegeben, jetzt komm ich mit 7-15 Mbit per opnvpn auf mein Lan

Sollte das nicht dennoch mehr sein?
Umstellung auf TCP brachte eher Verschlechterung

Nein passt auch zu meinen Werten. OpenVPN nutzt nur 1 Core, also hat 2,3 Ghz zu Verfügung, war bei mir ziemlich genau so und ich hatte ähnliche Werte.

[oekomat]

Nein passt auch zu meinen Werten. OpenVPN nutzt nur 1 Core, also hat 2,3 Ghz zu Verfügung, war bei mir ziemlich genau so und ich hatte ähnliche Werte.

Hast du es dabei belassen? Oder VPN umgestellt?

[JeGr]

> Nein passt auch zu meinen Werten. OpenVPN nutzt nur 1 Core, also hat 2,3 Ghz zu Verfügung, war bei mir ziemlich genau so und ich hatte ähnliche Werte.

Prinzipiell richtig, aber wenn dieser eine Core nicht ausgelastet ist, ist trotzdem noch Luft nach oben drin. SingleCore muss kein limitierender Faktor sein wenn er noch nicht glühend auf 100% hängt. Dazu kann man auch einfach mal eine große Testdatei (vllt. ein kleines ISO o.ä.) übertragen und dann mal sehen, wie schnell das geht und wie (mit top bspw.) die CPU auf der Sense dazu steht.

Ich für meinen Teil würde bei einem i3 mit 2,3GHz eigentlich mehr erwarten, es kommt aber natürlich auf die Richtung an. In dem Fall natürlich nur eingehend, wo die 100Mbps auch greifen (gesetzt den Fall die kommen überhaupt sauber an).

> Ich hab auf der Fritz mal den Port 1194 für den exposed Host freigegeben, jetzt komm ich mit 7-15 Mbit per opnvpn auf mein Lan

Wo siehst du die 7-15 Mbit? Sind es auch wirklich M-BIT oder vllt MByte? Und in welche Richtung?

[oekomat]

Wo siehst du die 7-15 Mbit? Sind es auch wirklich M-BIT oder vllt MByte? Und in welche Richtung?

Mbit - ganz sicher. Richtung nach außen - Hab mit dem Handy eine Datei von meinem NAS im Netzwerk heruntergeladen. Die Geschwindigkeit zeigt die App (openvpn for android) an und das NAS. Wie gesagt, per myfritz-Dienst liegen die Werte bei mind. 40Mbit.
Der Test etwas hochzuladen läuft mit ca. 3Mbit.

[JeGr]

Moment, du rufst eine Datei vom NAS ab? Dann ist doch logisch dass das "langsam" ist. Du benutzt dann nicht die 100Mbps DOWNstream ZU dir rein, sondern nutzt deinen Upstream der entsprechend wesentlich kleiner ist. Da müssen dann ganz andere Maßstäbe ran. MyFritz "sagt" 40 weil dein Anschluß 40 ist? Oder meinst du du überträgst mit irgendeinem Fritz Gedöns dann 40 Mbps?

Auf jeden Fall werden da keine 100 bei rumkommen können, sondern wohl (maximal) 40. Und 40 sollten einen i3 eigentlich nicht mal im Ansatz zum Schwitzen bringen auch nicht bei OpenVPN. Da kommt es dann im nächsten Step wohl auch drauf an, wie das VPN konfiguriert wurde, mit welchen Werten etc. und dann kann man an MTU und Co ggf. noch drehen. Aber bei einem Einwahl VPN mit AES-GCM sollte da schon wesentlich mehr drin sein.

[lfirewall1243]

Habe nochmal nachgeschaut.

Hatte ein 1,9 Ghz Core. Kame damit aber trotz einiger config anpassungen nicht über 20 Mbit.

Jetzt mit Wireguard schaffe ich locker die 300-400Mbit

[mimugmail]

Also mit dem Atom kommt man schon auf 150Mbit, die APU's mit mini CPU ebenfalls.
20Mbit ist dann Fehler in Konfig und/oder Umgebung und wenn die Umstellung auf TCP die Sache verschlechtert liegt das ebenfalls an der Umgebung, vmtl. fragmentierte Pakete.

[JeGr]

Kann da Mimugmail nur beipflichten mit ein paar Details:

Mein Kollege hat damals eine Kiste mit Atom C3558 getestet -> OepnVPN RAS mit ~250Mbps, Wireguard ~300Mbps, OVPN Site2Site je nach Setting im Schnitt ~400Mbps und IPsec bei ~550Mbps

Jeweils mit Server davor und dahinter mit IPerf Messung durch den Tunnel. Ja ist schon ein ganzes Weilchen her, inzwischen könnte Wireguard vllt. ein wenig besser laufen, aber da es immer noch im Userland rumschwappt halte ich das für unklar, ob das so viel ausmacht. Bevor das nicht wie IPsec im Kernelspace läuft halte ich technisch gesehen irgendwelche Werte die abgehoben über OVPN stehen wenn die CPU nicht ausgelatscht ist für übertrieben.

Bei ner alten C2558er Atom Hardware die einige Zeit schon aufm Buckel hat, hatten wir bei IPSec/OVPN S2S/OVPN RAS übrigens: ~350Mbps, ~225Mbps, ~150Mbps

Da ist wie gesagt einiges an Konfiguration mit drin. Was wähle ich bei IPsec/OVPN an Ciphern aus, kann die HW das beschleunigen etc. etc.

Aber nochmal, wenn der i3 AES-NI hat und das ordentlich auch in der OPNsense auftaucht, dass ers kann und es genutzt wird (und es eingeschaltet ist!), dann sieht man auch nen ordentlichen Spring. Vor allem zwischen CBC Ciphern und GCM hatten wir da deutliche Unterschiede (~200 vs ~550 bei IPsec bspw. sprechen deutliche Worte :) ).

Daher sage ich: nicht vorschnell urteilen, da brauchen wir mehr Details woran es hapert. :)