Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN MTU über Ethernet und Internet

    Deutsch
    4
    10
    859
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tpf
      last edited by tpf

      Servus,
      habe heute etwas rumprobiert. Zwei pfS mittels Ethernet verbunden. Ohne weitere Konfig läuft OpenVPN AES-256-GCM mit rund 300 MBit iperf3. Drehe ich die MTU auf 3000 - 30.000, kann ich bereits mit einem Stream iperf3 2.5 GBit auslasten. Da war ich doch sehr begeistert.

      Wie ist das aber übers Internet. Angenommen es besteht ein synchroner 500/500 oder 1000 / 1000 MBit Anschluss. Kann man da ähnlich hohe MTU und Geschwindigkeit bis zur Bandbreitengrenze fahren?

      Grüße

      10 years pfSense! 2006 - 2016

      micneuM 1 Reply Last reply Reply Quote 0
      • micneuM
        micneu @tpf
        last edited by micneu

        @tpf ich denke du müsstet eher einen IMIX test machen, der währe aussage kräftiger, an was für einer leitung willst du das denn betreiben/erreichen. eine MTU von 3000 am WAN, kann mir nicht vorstellen das es funktioniert?

        Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
        Hardware: Netgate 6100
        ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

        1 Reply Last reply Reply Quote 0
        • T
          tpf
          last edited by

          Servus,
          natürlich wäre IMIX aussagekräftiger. OpenVPN von 0,3 auf 2,5 GBit zu bekommen, ist aber Aussage genug, um danach zu fragen ;-)

          Mir ist auch nicht ganz klar, was die TUN-MTU macht. Man ändert ja nicht die MTU des Interfaces, sondern es ist eine Einstellung für den OpenVPN Server bzw. Client.

          Ich habe leider keinen so breitbandigen Anschluss zum testen. Sonst hätte ich es einfach gemacht ;-)

          10 years pfSense! 2006 - 2016

          micneuM 1 Reply Last reply Reply Quote 0
          • micneuM
            micneu @tpf
            last edited by

            @tpf bitte mal hersteller/model der hardware mit der du das getestet hast. bisher habe ich meine hardware im reallife voll aus nutzen können und da ist noch luft nach oben (meine hardware würde mehr schaffen)

            Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
            Hardware: Netgate 6100
            ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

            1 Reply Last reply Reply Quote 0
            • T
              tpf
              last edited by

              @micneu J4125 (4x2GHz+Turbo ein Kern 2,7) mit Intel I225 GBit.

              Folgende Werte erreiche ich mit der Hardware:
              IPSec: 850 MBit AES_GCM_16 (256) PRF_HMAC_SHA2_512 CURVE_25519
              Wireguard: 920MBit
              OpenVPN: 300 MBit mit AES128GCM und AES256GCM

              Es fällt ganz klar auf, dass OpenVPN nur auf einem Kern läuft, wohingegen IPSec und Wireguard die CPU insgesamt auslasten. Ich habe an allen möglichen Faktoren rumgedreht und bekomme, mit Ausnahme der TUN-MTU, nicht mehr als 300 MBit zustande. Klar, die CPU ist auch kein Renner. Auf einem i3, i5 oder Xeon sieht die Welt garantiert anders aus.

              10 years pfSense! 2006 - 2016

              micneuM 1 Reply Last reply Reply Quote 0
              • micneuM
                micneu @tpf
                last edited by

                @tpf genau, wenn du dir meine kiste im ark anschaust, die rennt schon ganz gut

                Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
                Hardware: Netgate 6100
                ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

                1 Reply Last reply Reply Quote 0
                • N
                  NOCling
                  last edited by

                  Die MTU im WAN mit VPN ist im Tunnel irgendwo bei 1320-1400 angesiedelt.

                  Dann kommt noch die WAN Latenz oben drauf und dann leidet die Bandbreite je nach Anwendung.
                  Ist diese WAN Optimiert geht es mit Line Speed durch, ist sie das nicht, wie SMB, dann geht es bei 30-50ms auf 10MBit/s runter.

                  Netgate 6100 & Netgate 2100

                  JeGrJ 1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator @NOCling
                    last edited by

                    @nocling said in OpenVPN MTU über Ethernet und Internet:

                    Die MTU im WAN mit VPN ist im Tunnel irgendwo bei 1320-1400 angesiedelt.

                    Das ist aber nicht das, was die tun-mtu triggert. Bei einigen älteren Tests habe ich da dokumentierte Sachen gesehen mit tun-mtu auf 9000 o.ä., was die VPN Performance verbessert hat. Warum genau ist mir da auch noch schleierhaft, meine Idee war, dass damit nur die MTU im Tunnel selbst verändert wird und man quasi jumbo frames im Tunnel fährt, was natürlich bei iperf und großen Dateien am Stück durchaus die Performance hochschraubt. Übers WAN ins Internet wird das dann wahrscheinlich weniger werden, trotzdem gabs da schon Berichte, dass es in Einzelfällen hilft - allerdings bekommt man damit nicht magisch dann plötzlich 2.5Gbps auf schwacher CPU hin :)

                    @tpf said in OpenVPN MTU über Ethernet und Internet:

                    habe heute etwas rumprobiert. Zwei pfS mittels Ethernet verbunden. Ohne weitere Konfig läuft OpenVPN AES-256-GCM mit rund 300 MBit iperf3. Drehe ich die MTU auf 3000 - 30.000, kann ich bereits mit einem Stream iperf3 2.5 GBit auslasten. Da war ich doch sehr begeistert.

                    Waren die zwei Testkisten auch J4xxx CPUs oder hat sich das virtuell mit höheren CPUs abgespielt?

                    Ansonsten werden wir im Januar mit nächstem Release sehr sicher auch OpenVPN 2.6 (in irgendeiner Form) auf der Sense sehen (da für den neuen OVPN Modus notwendig) und damit wird man dann durchaus auch schon einiges an Performance sehen können.

                    Cheers

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    T 1 Reply Last reply Reply Quote 0
                    • T
                      tpf @JeGr
                      last edited by tpf

                      @jegr
                      Servus,
                      die Installationen liefen nativ auf dem Blech. J4125

                      Aber es ist wie es ist: mit hoher TUN-MTU volle 2,5 GBit über OpenVPN Irrtum ausgeschlossen :D

                      Ich muss zusehen, dass ich irgendwo einen so breitbandigen Anschluss finde und teste das dann übers Internet.

                      Grüße

                      10 years pfSense! 2006 - 2016

                      1 Reply Last reply Reply Quote 0
                      • N
                        NOCling
                        last edited by

                        Ist klar, weil Crypto pro Paket läuft und damit pps den Durchsatz bestimmt.
                        100k mit 64byte sind halt ein Unterschied zu 100k mit 9000byte.

                        Wird aber im WAN über x Router und dann nich CGNAT mit DSL nicht klappen.

                        Netgate 6100 & Netgate 2100

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.