Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN Speed APU1D4, IPsec u. OpenVPN

    Scheduled Pinned Locked Moved Deutsch
    28 Posts 7 Posters 3.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mrsunfire
      last edited by

      Interessant ist auch, dass die andere Richtung, also von der APU1D4 zu meiner pfSense die Geschwindigkeit konstant da ist (10 MBit/s). Es betrifft also nur meine Richtung. Jemand eine Erklärung dafür?

      Netgate 6100 MAX

      JeGrJ 1 Reply Last reply Reply Quote 0
      • G
        Gladius
        last edited by

        Wozu ich nichts sagen kann ist die Nutzung von pfSense hinter einer Fritte. Diese Konfiguration wäre NICHT meine erste Wahl. Die Meinungen dazu im Forum sind allerdings nicht eindeutig.

        Wie ist denn die APu1D4 bzgl. OpenVPN ausgelastet? Nach meiner Meinung sollte der Kern für OpenVPN nicht am Anschlag laufen. Das kann man leicht überprüfen. Bringt OpenVPN über UDP bessere Werte?

        LG

        DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

        1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator @mrsunfire
          last edited by JeGr

          @mrsunfire said in VPN Speed APU1D4, IPsec u. OpenVPN:

          Interessant ist auch, dass die andere Richtung, also von der APU1D4 zu meiner pfSense die Geschwindigkeit konstant da ist (10 MBit/s). Es betrifft also nur meine Richtung. Jemand eine Erklärung dafür?

          Ja du sprichst mit der Steinalt Hardware AES-256-CBC. CBC ist eh schon belastender für jede Berechnung in Crpyto und dann noch 256 auf alter Hardware die KEINE AES-NI Crypto hat. Also keinerlei Beschleunigung, alles in CPU. Also kommt es komplett drauf an, was die CPU wegverpackt bekommt und was sie sonst noch zu tun hat. Alte Hardware schafft eben leider keine tolle Performance. Dass der OP ~60Mbps drüber bekommen hat, ist ohne Zusatz der Info WAS, WO und welcher Einstellungen und was sonst noch läuft leider wenig aussagekräftig, genausowenig wie deine Konfig bekannt ist :)
          Läuft ja nicht nur OpenVPN und sonst nix auf der Box ;)

          Und ja, während der Übertragung kann man mit nem Top o.ä. auf der Büchse durchaus mal schauen ob die am Limit klebt was den CPU Kern angeht.

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 0
          • M
            mrsunfire
            last edited by

            Ich hatte hier im LAN auch locker 60-80 MBit/s durchbekommen. Das Teil macht schließlich gar nichts, nicht mal Firewall. Der Download vom Tunnel ist flott, nur der Upload in den Tunnel ist so unfassbar schwergängig.
            Liegt es nun an der Box, oder an der Config, oder am ISP?

            Netgate 6100 MAX

            1 Reply Last reply Reply Quote 0
            • W
              wkn
              last edited by

              Es liegt wohl auch am Provider und welchen Download/Upload die Leitung so kann.

              Telekom z.B. 100/40 im VDSL und 250/40 im SVDSL, aber halt immer nur max 40Mbit im Upload, DSL ist leider in allen normalen Angeboten immer sehr asymetrisch hin zum Download und nicht zum Upload.

              1 Reply Last reply Reply Quote 0
              • M
                mrsunfire
                last edited by mrsunfire

                Ich möchte von Vodafone mit 50 MBit/s Upload auf einen VDSL Anschluss mit 50 MBit/s Download übertragne. Hier kommen nun nur noch 3-6 MBit/s durch heute. Umgekehrt gehen die 10 MBit/s durch, was der VDSL im Upload kann.

                Unbenannt.JPG

                Ich habe nun auch mal Server und Client getauscht, sprich bei mir (Vodafone) den Server gestartet und die VDSL ist der Client. Exakt selbes Ergebnis. Von mir zum Client lahm, umgekehrt "flott".

                Netgate 6100 MAX

                1 Reply Last reply Reply Quote 0
                • M
                  mrsunfire
                  last edited by

                  Ich habe nun mal eine Verbindung von einem anderen ISP aus aufgebaut und komme so auf 38 MBit/s netto, ohne groß optimiert zu haben. Ebenfalls mit AES256 und SHA512. Es liegt also an der Vodafoneleitung.

                  Hat hier jemand einen Tipp?

                  Netgate 6100 MAX

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    Nein, außer ein Ticket aufzumachen und dran zu bleiben. Als ich weiter oben schon gelesen hatte Vodafone Kabel wollte ich das schon schreiben.

                    Es ist aktuell einfach "normal" auch wenns miserabel ist. Alle ISPs machen Überbuchung und die Kabel trifft es jetzt am meisten wenn viel zu Hause hocken. Dass immer noch viele Homeoffice machen, sehe ich an meinem Kabelverteiler. Letzte 2 Wochen im Logging sieht man gut ab 8:00 wird die Leitung und Bandbreite schlechter oder schwankender. Vor 8h Speedtest -> 50 Up kein Thema. Ab 8h testen -> ~35, ab 9h ~20 ab 10h spätestens nur noch ~6-12.
                    Downstream sind die Kapazitäten wohl da, Upstream ist hart überbucht. Da hilft es auch nichts, wenn das Kabel mit ~54Mbps Up synchronisiert, wenn es eben einfach nicht durch den Verteiler durchkommt weil zu viel dran hängt.

                    Wird übrigens meist ab 22-23h abends erst wieder besser, dann sieht man die Kurve hart wieder abfallen und die Werte schnellen hoch. Da ich sowas am Kabel aber schonmal auch als Routing Fehler hatte der nach 2-3 Wochen dann behoben wurde (tatsächlich sehbar), würde ich einfach immer wieder Ticket aufmachen mit Problem. Vorher Speedtests machen die zeigen, dass der Upstream nicht ankommt. Gerade bei den 500/50er Tarifen ist die Toleranz m.W. bei ~20%. Schlechter als 38-40Mbps darf es dann nicht sein (im Zweifel in den Vertrag schauen, da stehen die Toleranzen drin). Speedtests helfen aber zu belegen zu verschiedenen Zeiten, dass nicht das ankommt was bezahlt wird und das bitte gefixt gehört.

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • M
                      mrsunfire
                      last edited by mrsunfire

                      Es ist kein Auslastungsproblem des Segments. Der Upstream ist ohne VPN voll da (52 MBits netto). Auch der Downstream ist lediglich von 19-22 Uhr mit mehr als 1 GBit/s ausgelastet. Mein Segment hat dabei eine Kapazität von 2,1 GBit/s.
                      Es liegt an Vodafone, irgendwas wird gedrosselt.

                      Ich habe mal den Tunneltraffic mitgeschnitten. Was sagt mir/euch das?

                      Unbenannt.JPG

                      Wenn ich die DSL Leitung nutze, sieht das so aus:

                      Unbenannt2.JPG

                      In regelmäßigen Abständen, kommt dann mal so ein Schwung mit durch, aber dort bleibt der Speed konstant:

                      Unbenannt3.JPG

                      Netgate 6100 MAX

                      1 Reply Last reply Reply Quote 0
                      • M
                        mrsunfire
                        last edited by

                        Achja, der Tunnel ist UDP. Warum sehe ich hier aber nur TCP Traffic?

                        Netgate 6100 MAX

                        G 1 Reply Last reply Reply Quote 0
                        • N
                          NOCling
                          last edited by

                          Laut deinen Einstellungen ist der auf der APU1D4 Tunnel TCP only angelegt.

                          Netgate 6100 & Netgate 2100

                          1 Reply Last reply Reply Quote 0
                          • G
                            Gladius @mrsunfire
                            last edited by

                            @mrsunfire said in VPN Speed APU1D4, IPsec u. OpenVPN:

                            Achja, der Tunnel ist UDP.

                            Die OpenVPN Konfiguration ist aber wie oben zu sehen TCP oder ist das jetzt anders? OpenVPN über UDP würde ich mal probieren. Keine Ahnung ob das zielführend ist.

                            LG

                            DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

                            1 Reply Last reply Reply Quote 0
                            • M
                              mrsunfire
                              last edited by mrsunfire

                              Beide Tunnelseiten sind UDP4. Ich hatte nur zwischenzeitlich in meiner Verzweiflung auch TCP probiert, darum ist es oben anders! Aktuell ist es immer UDP, aber Wireshark zeigt mit TCP im Tunnel. Plus eben diese Meldungen, die nur im Upstream (also das was mein Problem ist) so auftreten! Auch im Downstream kommen sie so nicht und der flutscht ja.

                              APU:

                              apu.JPG

                              Bei mir:

                              pf.JPG

                              Hier auch noch mal ein Test von eben um andere Probleme auszuschließen:

                              Bild Text

                              Netgate 6100 MAX

                              1 Reply Last reply Reply Quote 0
                              • M
                                mrsunfire
                                last edited by

                                Erfolg! Bei Vodafone Kabel, muss man wohl die Senden und Empfangenpuffer fest auf 0 setzen. Das brachte den Erfolg dass fast keine Retransmission oder Duplicated TCP Pakete mehr zurück kamen. Dann noch etwas an der MTU und MSS gespielt und die Leitung läuft, zumindest bis die CPU auf der APU an 50% anschlägt.

                                Unbenannt.JPG

                                Ich habe im Server und Client nun das eingetragen:

                                link-mtu 1400
                                mssfix 1360
                                sndbuf 0
                                rcvbuf 0

                                Mit 5 gleichzeitigen Verbindungen in iPerf3, erreiche ich nun auch die 50 MBit/s (brutto)!

                                Unbenannt2.JPG

                                Netgate 6100 MAX

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.