OpenVPN hohe Latenz, timeouts und VoIP Unterbrüche nach 2.5.1 upgrade
-
Hallo Leute
Vielleicht kann mir jemand von Euch helfen.
Vor zwei Wochen haben wir das major Release upgrade auf die Version 2.5.1 eingespielt. Vorher haben wir 2.4.4 verwendet. Seit dem haben wir keine stabile OpenVPN Verbindung mehr.
Es kommt zu unregelmässigen Unterbrüchen während der VoIP Verbindung, die bis zu 3 Sekunden andauern. Gleichzeitig kann man während eines endlos ping des VPN Client zum VoIP Server eine hohe Latenz (3000ms) bis hin zu einem timeout messen.Ein downgrade zur vorher verwendeten Version behebt das Problem.
Ein Test mit einer veränderten Hardwareappliance, die wesentlich mehr Leistung hat, führt zu den selben Unterbrüchen jedoch mit niedrigerer Latenz. (um die 1500ms)Wir hatten noch nie Probleme dieser Art und es wurden nach dem Release Upgrade keine Einstellungen verändert. Der OpenVPN Server wurde mit dem pfSense Releasewechsel von 2.4.6 auf 2.5.1 updated. Dort sind sicher einige grössere Veränderungen zu finden aber ich konnte damit den Fehler bisher nicht ausmachen. Eventuell hat es mit der compression zu tun.
Unsere Installation läuft auf einer PCengines apu3b4 (3 i211AT LAN / AMD GX-412TC CPU / 4 GB DRAM).
Das hier ist unsere config:
Vielen Dank für Eure Unterstützung. Weiss grad nicht mehr weiter.
Dennis -
@dennis_w Vielleicht nach dem Update mal die Kompression ausmachen. Im Client nur noch "compress" als keyword und die Clients auch auf 2.5.x updaten?
-
@jegr
Danke für den Tip. Clients sind alle auf der neuesten Version.Ich habe zwei weitere Tunnel aufgebaut. Einen identisch zum alten aber ohne asymetrische Kompression und den zweiten mit UDP, auch ohne Kompression und mit 1MB buffersize und UDP fast I/O.
Der Test mit jeweils 5 Usern in den neuen Tunneln läuft. Sieht ganz gut aus bisher. Habe aber bei den endlospings auch in den neuen Tunneln schon 1500ms Latenz gesehen. Doch viel seltener. -
@dennis_w kann ich hier leider nirgends sehen od. nachvollziehen. OVPN Tunnel stehen und sind schnell/latenzarm wie vorher. Vor allem nichts im 4stelligen oder 3stelligen Bereich.
-
@jegr
Muss ich noch verifizieren aber es sieht so aus, als ob das Problem bei mir erst auftritt, wenn mehrere Clients gleichzeitig im Tunnel sind. Heute mit vier Usern im neuen Testtunnel ohne compression keine Latenzen und dann mit 7 hier und da einige 4stellige; aber weniger als im alten Tunnel.
Ich hab heute die Hälfte der User configs auf den neuen Tunnel umgestellt. Bin gespannt was morgen rauskommt.Wie viele Clients hast Du denn in Deinem OVPN Tunnel? Und läuft der mit UDP oder TCP?
-
@dennis_w
Ich habe letzte Woche mit einem ähnlichen Problem gekämpft. Sehr bescheidene VPN Raten (Download Raten am Client 2-5Mbit) und gleichzeitig sehr hoher Ping von 300-2000ms wenn die Leitung beansprucht wurde. Nachdem ich extrem viel an der Config geschraubt hatte (andere cipher, Kompression an/aus, sndbuf, rcvbuf) und nichts davon irgendeinen spürbaren Unterschied brachte, hatte ich den Intel Treiber auf dem Notebook aktualisiert und siehe da, alles wieder normal. Durchsatz i.O., Pings i.O.. Muss sicherlich nicht dein Problem sein, aber manchmal sind es die wildesten Ursachen.
Problem ist mir übrigens auch erst mit der 2.5.1/2.5.0 aufgefallen.
Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh -
@m0nji said in OpenVPN hohe Latenz, timeouts und VoIP Unterbrüche nach 2.5.1 upgrade:
@dennis_w
Ich habe letzte Woche mit einem ähnlichen Problem gekämpft. Sehr bescheidene VPN Raten (Download Raten am Client 2-5Mbit) und gleichzeitig sehr hoher Ping von 300-2000ms wenn die Leitung beansprucht wurde. Nachdem ich extrem viel an der Config geschraubt hatte (andere cipher, Kompression an/aus, sndbuf, rcvbuf) und nichts davon irgendeinen spürbaren Unterschied brachte, hatte ich den Intel Treiber auf dem Notebook aktualisiert und siehe da, alles wieder normal. Durchsatz i.O., Pings i.O.. Muss sicherlich nicht dein Problem sein, aber manchmal sind es die wildesten Ursachen.
Problem ist mir übrigens auch erst mit der 2.5.1/2.5.0 aufgefallen.Oh super, danke für den Bericht, das ist enorm hilfreich im Hinterkopf zu behalten! Gerade wo viele Business User via VPN mit Intel Treibern unterwegs sind!
-
This post is deleted! -
@m0nji
Danke für den Input. Ich werde mal die Inteltreiber von denen die ich greifen kann aktualisieren. Mein eigener auf meinem Gerät lässt sich gar nicht soweit updaten. Da ist bei 12.10.29.0 Schluss. Dazu kommt, dass viele mit WLAN drin sind. -
@dennis_w said in OpenVPN hohe Latenz, timeouts und VoIP Unterbrüche nach 2.5.1 upgrade:
@m0nji
Danke für den Input. Ich werde mal die Inteltreiber von denen die ich greifen kann aktualisieren. Mein eigener auf meinem Gerät lässt sich gar nicht soweit updaten. Da ist bei 12.10.29.0 Schluss. Dazu kommt, dass viele mit WLAN drin sind.Joa aber nen OpenVPN Tunnel zu bewerten wenn der Roadwarrior ein (schlechtes/unkontrollierbares) WLAN hat ist auch schwierig. Da sehe ich im ersten Moment dann das Problem primär nicht am Tunnelende :)
-
Ist Zustand ist nun, dass je mehr Clients im Tunnel sind desto eher kommen die Latenzen. Die Latenzen sind 3-4stellige Millisekunden und tauchen recht sporadisch auf. Kann mal 5 Minuten gut laufen dann kommt mal eine in dem einen Tunnel, dann mal paar im anderen. Nie direkt aufeinanderfolgende Pings und auch keine erkennbare Abhängigkeit zwischen den Tunneln.
Kompression, UDP, TCP, Bandbreitenauslastung zu Stoss- oder Randzeiten haben keinen Einfluss den ich unterscheiden könnte.Hab schon überlegt mir ne netgate Firewall mit TAC pro zu kaufen damit ich den Fall bei denen platzieren kann.
-
da geb ich Dir Recht aber es sind nur die Hälfte der User im WLAN. Und ich selbst bin mit 500/150 auf 1Gbit von Zuhause unterwegs und habe die Probleme ja auch. Hat definitiv nichts mit WLAN zu tun.
-
@dennis_w said in OpenVPN hohe Latenz, timeouts und VoIP Unterbrüche nach 2.5.1 upgrade:
Hab schon überlegt mir ne netgate Firewall mit TAC pro zu kaufen damit ich den Fall bei denen platzieren kann.
Support kannst du auch kaufen, wenn es White Label Hardware ist. Wir fragen ggf. ja auch als Dienstleister mal bei denen nach, wenn wir gar nichts mehr wissen. Aber vorher schauen wir uns genauso wie deren Support (nur eben nicht auf Englisch) das System erstmal an ob man das irgendwo festmachen kann oder sonstwas sieht.
Aber es muss nicht Netgate HW sein :)
