openvpn viel zu langsam

[mimugmail]

Bei ner alten C2558er Atom Hardware die einige Zeit schon aufm Buckel hat, hatten wir bei IPSec/OVPN S2S/OVPN RAS übrigens: ~350Mbps, ~225Mbps, ~150Mbps

Die alten CPUs sind teilweise auch schneller weil die keine Microcode Update haben.
Alter Xeon (7 Jahre alt) hatte in meinen Tests 1,3Gbit, ein neuer (2019, 3,5Ghz) nur 900Mbit.

[banym]

Hier ein paar Benchmarks mit der angegebenen Hardware auf plain FreeBSD.
Da ist auch der Ausblick auf Wireguard im Kernel enthalten. Ist momentan ja in Entwicklung und hier schon im Benchmark getestet worden.

[oekomat]

korrekt. Dass ich volle Werte nicht erreichen kann, ist richtig. nur, dass opnvpn jetzt wesentlich langsamer ist als der vorherige myfritz-Dienst. Nicht nur der myfritz-Dienst "sagt" es, sondern ich kann die Dateien sehr viel schneller herunterladen/streamen.

[micneu]

Ich hatte ja schonmal gefragt, bitte deine OpenVPN konfig als Bild posten.


Gesendet von iPad mit Tapatalk Pro

[oekomat]

Ich hatte ja schonmal gefragt, bitte deine OpenVPN konfig als Bild posten.


Gesendet von iPad mit Tapatalk Pro

Was denn für Bilder? kann die nicht fotografieren

[mimugmail]

Screenshot? Druck-Taste :)

[micneu]

oder es gibt nette tools die das machen können wie z.b. snagit (sehr mächtig)
sorry den kommentar musst du dir jetzt gefallen lassen, nicht wissen wie man ein bildschirmfoto macht aber eine OPNsense mit einem OpenVPN haben wollen *kopfschüttel*

[oekomat]

Screenshot? Druck-Taste :)

Ach Druck-Taste war es :-)

[oekomat]

oder es gibt nette tools die das machen können wie z.b. snagit (sehr mächtig)
sorry den kommentar musst du dir jetzt gefallen lassen, nicht wissen wie man ein bildschirmfoto macht aber eine OPNsense mit einem OpenVPN haben wollen *kopfschüttel*

Foto ist nicht gleich Screenshot. Mein Fotoapparat macht Fotos :-)

[mimugmail]

Interface : LAN : MSS auf 1300

[JeGr]

Interface : LAN : MSS auf 1300

Da bin ich neugierig: Warum auf dem LAN oder verstehe ich dich falsch? Ich möchte ja im Normalfall meine interne Intra-VLAN Performance nicht droppen deshalb :)

[oekomat]

Interface : LAN : MSS auf 1300

Hatte MSS auf 1300 versucht, lief nicht besser

[mimugmail]

Interface : LAN : MSS auf 1300

Da bin ich neugierig: Warum auf dem LAN oder verstehe ich dich falsch? Ich möchte ja im Normalfall meine interne Intra-VLAN Performance nicht droppen deshalb :)

Um Fragmentierung auszuschließen, ansonsten müsste er im VPN ne scrubbing rule machen, willst du das remote erklären? ;)

[micneu]

korrekt. Dass ich volle Werte nicht erreichen kann, ist richtig. nur, dass opnvpn jetzt wesentlich langsamer ist als der vorherige myfritz-Dienst. Nicht nur der myfritz-Dienst "sagt" es, sondern ich kann die Dateien sehr viel schneller herunterladen/streamen.

die fritzbox setzt ipsec für das vpn ein, kein openvpn

[micneu]

Kann da Mimugmail nur beipflichten mit ein paar Details:

Mein Kollege hat damals eine Kiste mit Atom C3558 getestet -> OepnVPN RAS mit ~250Mbps, Wireguard ~300Mbps, OVPN Site2Site je nach Setting im Schnitt ~400Mbps und IPsec bei ~550Mbps

Jeweils mit Server davor und dahinter mit IPerf Messung durch den Tunnel. Ja ist schon ein ganzes Weilchen her, inzwischen könnte Wireguard vllt. ein wenig besser laufen, aber da es immer noch im Userland rumschwappt halte ich das für unklar, ob das so viel ausmacht. Bevor das nicht wie IPsec im Kernelspace läuft halte ich technisch gesehen irgendwelche Werte die abgehoben über OVPN stehen wenn die CPU nicht ausgelatscht ist für übertrieben.

Bei ner alten C2558er Atom Hardware die einige Zeit schon aufm Buckel hat, hatten wir bei IPSec/OVPN S2S/OVPN RAS übrigens: ~350Mbps, ~225Mbps, ~150Mbps

Da ist wie gesagt einiges an Konfiguration mit drin. Was wähle ich bei IPsec/OVPN an Ciphern aus, kann die HW das beschleunigen etc. etc.

Aber nochmal, wenn der i3 AES-NI hat und das ordentlich auch in der OPNsense auftaucht, dass ers kann und es genutzt wird (und es eingeschaltet ist!), dann sieht man auch nen ordentlichen Spring. Vor allem zwischen CBC Ciphern und GCM hatten wir da deutliche Unterschiede (~200 vs ~550 bei IPsec bspw. sprechen deutliche Worte :) ).

Daher sage ich: nicht vorschnell urteilen, da brauchen wir mehr Details woran es hapert. :)

leider finde ich noch keine motherboards/rechner mit der CPU Intel Atom® Processor C3558R
https://ark.intel.com/content/www/de/de/ark/products/204841/intel-atom-processor-c3558r-8m-cache-2-40-ghz.html
@JeGR du hast doch einen guten draht zu Lanner, können die nicht was nettes bauen?