schlechter Downloadspeed, erwartbarer Uploadspeed

[sternchen45]

Hallo,
ich habe eine S2S mittels Wireguard gebaut und bin der mehr oder weniger offiziellen Anleitung gefolgt. Die funktioniert auch. Aber noch nicht vollständig so, wie ich es gerne hätte. Ich erreiche alle Hosts auf allen Seiten des Tunnels.

Schaubild
LAN Proxmox-> Linux-Bridge-> OPNSense-VM WG-Tunnel->
Internet-> <
Hosting>Proxmox-OPNSense VM WG-Tunnel-> Linux-Bridge-> diverse Proxmox-VMs

Ziel war es vor allem, ein Plex in der Familie verfügbar zu machen. Leider klappen nur 720P zuverlässig. Also dachte ich, ich überprüfe das mittels iperf3 und habe da aber blöde Resultate herausbekommen (um die 11Mb/s). Dann dachte ich, wer weiß, was da schiefläuft, teste doch end-to-end mittels sftp. Meine Internetleitung zuhause ist 600/200 FTTH (Fritzbox). Beim Transfer vom LAN zur gehosteten Windows-VM erreiche ich 20MB/s, alles gut.
Aber andere Richtung zum LAN zuhause nur 2,7MB/s. Die OPNSenses haben dieselben Einstellungen. MSS Clamping ist wie in der Anleitung gesetzt und soweit ich im Capture gesehen habe sind die Längen der aufgezeichneten Pakete auch ungefähr in dem Range (MTU habe ich auf 1380, MSS Clamping auf 1340, versuchsweise auf 1320 (ohne Verbesserung), gesetzt. Quelle der Übertragung ist ein Mac (der sich im WAN der ersten OPNSense versteckt). IPv4+6 ICMP ist erlaubt. CPU-Auslastung scheint nicht hoch zu sein.

Hat jemand eine Ahnung, was da schieflaufen könnte und was ich versuchen könnte? Vielen Dank

[meyergru]

Hast Du die OpnSense VMs so aufgesetzt? Insbesondere, die Hinweise zur Network "Hardware" beachtet? Für Wireguard sollte man die CPU auf "Host" setzen, damit die Beschleunigung genutzt werden kann.

600/200 hört sich nach M-Net an. Die nutzen PPPoE über VLAN, dort bietet sich dies an (funktioniert dort auch!), um den MTU-Problemen weitgehend aus dem Weg zu geben (natürlich hat Wireguard nochmals Overhead).

[sternchen45]

alles richtig! :) Ich hatte Deine Posts schon gefunden gehabt und zur Einrichtung benutzt. Dass M-Net PPPoE over VLAN nutzt wusste ich nicht, allerdings ist das WAN-Interface der lokalen OPNSense hinter einer Fritzbox mit ONT, die sich darüber schon kümmern sollte.
Was sollte ich denn da als "WAN"-MTU setzen - standardmäßig sehe ich 1500 und da das "WAN" hier eigentlich LAN ist, sollte das auch so passen oder?

[meyergru]

Du machst Dir das Leben aber echt kompliziert, oder? Wieso die Fritzbox vor der OpnSense?

Ich weiß nicht, wie die Fritzbox die PPPoE-MTU von maximal 1492 (bzw. 1488) Bytes handhabt, vermutlich aber, indem sie selbst MSS-Clamping macht. Wie also Deine WAN-Pakete dann wirklich fragmentiert werden und wie das auf den Turnaround-ACK wirkt: keine Ahnung. Ich kann mir aber vorstellen, dass das zu Totzeiten führt, wenn jedes Paket erst zerlegt und dann wieder zusammengeführt werden muss.

Das heißt doch dann aber auch, dass Deine OpnSense gar kein PPPoE macht? Oder nutzt Du die Fritzbox nur als Bridge? Das wäre Verschwendung, da reicht doch ein Huawei-ONT, der braucht auch noch weniger Strom.

[sternchen45]

da hast Du absolut Recht, aber es ist ein gewachsenes System :) - und ich wollte mir halt nicht verbauen, den ganzen Homelab-Kram ausschalten und immer noch surfen zu können. Das Netz und doppelter Boden...

Ich hätte auch nichts gesagt sondern leise in mich hineingeflucht, wenn der Upload langsam gewesen wäre. Aber es ist ja der Download.

[meyergru]

Kann ich verstehen. Tipp: Verkauf die Fritzbox (die Glasfasermodelle sind ja teuer) und stell Dir ein Huawei-ONT und eine kleine Barebone-OpnSense hin, gibt es ab 200€, nimm aber eine mit Intel-NICs. Und wenn Du eine Fritzbox nur für Telefonie und/oder WLAN brauchst, nimm eine gebrauchte 7530, die bekommt man billig gebraucht (oder ein Freund hat noch eine rumliegen).

[sternchen45]

ich habe so ein Teil mit N5105 und i226V schon beschafft vor zwei Jahren - die CPU ist natürlich wieder ins Klo gegriffen und nichts gegen Deinen N100, aber sie sollte zumindest für lokales Routing sowie bei  Wireguard für die 200Mb/s Upload reichen. Bin mir aber noch nicht sicher, wie ich mein Netzwerk strukturieren soll (bin ja froh, dass es im Augenblick läuft).

[meyergru]

Die CPU reicht locker, das sind nur 30% Unterschied. In ersten Schritt kannst Du ja die neue Kombo OpnSense/Huawei ONT direkt als Ersatz für die Fritzbox und die OpnSense VM hernehmen. Oder zuerst mal einfach die virtuelle OpnSense durch die Hardware ersetzen.