Wireguard MTU

Hille · 1. Dezember 2023

Es geht um das leidige Thema Wireguard MTU. Ich habe hier sehr langsame und teilweise recht schwankende Werte. Die erstmal die Konfig:

Code

Server
------
[Interface]
Address = 10.0.0.1/24
Address = 2a03:4000:xx:xx::1/72
MTU = 1390
SaveConfig = true
ListenPort = 51820
FwMark = 0xca6c
PrivateKey = xxx


[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.0.0.6/32, 2a03:4000:xx:xx::6/128
Endpoint = 80.123.456.78

Alles anzeigen

Code

Client
------
[Interface]
PrivateKey = xxx
Address = 10.0.0.6/32
MTU = 1350


[Peer]
PublicKey = xxx
PresharedKey = xxx
AllowedIPs = 10.0.0.0/24, 172.16.0.0/24
Endpoint = 193.123.345.78:51820
PersistentKeepalive = 25

Alles anzeigen

Der Client hängt an einem Telekom DSL (500Mbit Download, 100Mbit Upload). Folgende Ergebnis bekomme ich per iperf:

Code

iperf3 -c 10.0.0.6
Connecting to host 10.0.0.6, port 5201
[  5] local 10.0.0.1 port 32852 connected to 10.0.0.6 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  3.18 MBytes  26.7 Mbits/sec   18   11.4 KBytes
[  5]   1.00-2.00   sec   951 KBytes  7.79 Mbits/sec    9   12.7 KBytes
[  5]   2.00-3.00   sec   951 KBytes  7.79 Mbits/sec   12   19.0 KBytes
[  5]   3.00-4.00   sec  1.55 MBytes  13.0 Mbits/sec    8   12.7 KBytes
[  5]   4.00-5.00   sec   634 KBytes  5.19 Mbits/sec   13   12.7 KBytes
[  5]   5.00-6.00   sec   634 KBytes  5.19 Mbits/sec    9   22.8 KBytes
[  5]   6.00-7.00   sec  1.24 MBytes  10.4 Mbits/sec    9   17.7 KBytes
[  5]   7.00-8.00   sec  1.24 MBytes  10.4 Mbits/sec    8   22.8 KBytes
[  5]   8.00-9.00   sec  1.24 MBytes  10.4 Mbits/sec    6   30.4 KBytes
[  5]   9.00-10.00  sec  1.86 MBytes  15.6 Mbits/sec    7   13.9 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  13.4 MBytes  11.2 Mbits/sec   99             sender
[  5]   0.00-10.02  sec  12.6 MBytes  10.6 Mbits/sec                  receiver

Alles anzeigen

Code

iperf3 -c 10.0.0.6 -R
Connecting to host 10.0.0.6, port 5201
Reverse mode, remote host 10.0.0.6 is sending
[  5] local 10.0.0.1 port 54046 connected to 10.0.0.6 port 5201
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  10.6 MBytes  89.0 Mbits/sec
[  5]   1.00-2.00   sec  9.82 MBytes  82.3 Mbits/sec
[  5]   2.00-3.00   sec  9.65 MBytes  81.0 Mbits/sec
[  5]   3.00-4.00   sec  8.19 MBytes  68.7 Mbits/sec
[  5]   4.00-5.00   sec  5.74 MBytes  48.2 Mbits/sec
[  5]   5.00-6.00   sec  3.42 MBytes  28.7 Mbits/sec
[  5]   6.00-7.00   sec  4.75 MBytes  39.9 Mbits/sec
[  5]   7.00-8.00   sec  6.29 MBytes  52.8 Mbits/sec
[  5]   8.00-9.00   sec  6.59 MBytes  55.3 Mbits/sec
[  5]   9.00-10.00  sec  3.73 MBytes  31.3 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.02  sec  70.3 MBytes  58.9 Mbits/sec   43             sender
[  5]   0.00-10.00  sec  68.8 MBytes  57.7 Mbits/sec                  receiver

Alles anzeigen

Ich habe mich so langsam an die "passenden" MTU Werte herangetastet.

Laut Rechnung wären ja die optimalen Werte:

Server: 1500 - 20 Bytes (IPv4) - 8 Byte (UDP) - 32Byte (WG) = 1440

Client: 1492 - 20 Bytes (IPv4) - 8 Byte (UDP) - 32Byte (WG) = 1432

Mit dieser Kombination funktioniert es ebenfalls nicht zufriedenstellend. Welche Möglichkeiten gäbe es noch?

frank_m · 1. Dezember 2023

Zitat von Hille

Server: 1500 - 20 Bytes (IPv4) - 8 Byte (UDP) - 32Byte (WG) = 1440

Client: 1492 - 20 Bytes (IPv4) - 8 Byte (UDP) - 32Byte (WG) = 1432

Sind in den 32 Byte schon die zusätzlichen IP Header drin? IP und UDP muss man ja doppelt übertragen. Und bei IPv6 werden die Header entsprechend größer.

Den Speedtest hast du auf dem Client gestartet? Was passiert bei mehreren parallelen Verbindungen?

Hille · 1. Dezember 2023

den Header habe ich unter IPv4 (20Byte) hinzugerechnet. Ein weitere Header wäre mir nicht bekannt. Ja, bei IPv6 wäre der Header 40Byte.

Den Test habe ich vom Server aus gestartet. Vom Client aus sind die Werte ähnlich. Mehrere parallele Verbindungen müsste ich noch testen. Vermutlich werden die Werte aber nicht besser

frank_m · 1. Dezember 2023

Zitat von Hille

Den Test habe ich vom Server aus gestartet. Vom Client aus sind die Werte ähnlich.

Was heißt "ähnlich"? Der gezeigte Test hat langsamen Upload und schnellen Download. D.h., der Server sendet langsam, der Client schnell. Ist das noch genau so, wenn der Client den Test startet? Oder ist es dann anders herum? Der Sender hat die "Arbeit" mit der Verschlüsselung, der Empfänger muss nur entschlüsseln. Die entsprechenden Wireguard Kernel Module sind auf beiden Seiten aktiv?

Zitat von Hille

Mehrere parallele Verbindungen müsste ich noch testen. Vermutlich werden die Werte aber nicht besser

Dann lass dich überraschen. Ich könnte mir durchaus vorstellen, dass das signifikant Einfluss hat.

Mach parallel mal einen iperf3 UDP Test zwischen beiden Systemen ohne VPN Tunnel. Ich hab schon Anbindungen gesehen, da gab es unerklärliche Paketverluste bei UDP Verbindungen.

eripek · 1. Dezember 2023

Zitat von frank_m

Sind in den 32 Byte schon die zusätzlichen IP Header drin? IP und UDP muss man ja doppelt übertragen. Und bei IPv6 werden die Header entsprechend größer.

Den Speedtest hast du auf dem Client gestartet? Was passiert bei mehreren parallelen Verbindungen?

Ich habe wireguard etwas aus den Augen verloren. Geht es hier immer noch um UDP mit nicht-hardwareunterstützem ChaCha20Poly1305?

marcquark · 1. Dezember 2023

Wenn musst du die MTU auf beiden Seiten auf den kleinsten gemeinsamen Nenner setzen, da du ja in beide Richtungen die Pakete nicht größer machen kannst, als die "dünnste" Stelle zulässt. Wenn der Server ohne PPPoE 8 Byte mehr in den Tunnel stopfen kann als der Client, kommt es beim Client im besten Fall ja dann trotzdem fragmentiert an, aber wahrscheinlich eher einfach gar nicht. Somit hast du Packetloss oder Out-Of-Order Packets in den Tunnel eingebaut, was dann bspw. TCP wieder kompensieren muss. Pendelt sich irgendwann ein, ist aber schlechter, als die MTU einfach sicherheitshalber etwas (oder auch deutlich) kleiner zu wählen als das theoretische Optimum und das Problem so zu vermeiden. Ich hab als Erfahrungswert mittlerweile 1200 lieben gelernt...

/e: bei iperf ohne parallele Verbindungen dürfte die Latenz auch eine große Rolle spielen, daher schließe ich mich der Empfehlung das mal zu testen an.

Ich würde an deiner Stelle auch mal statt iperf etwas praxisnähere Tests fahren. Zieh z.B. mal auf dem Server einen kleinen Webserver hoch, schreib aus /dev/urandom ein GB oder so in ein File, und ruf das vom Client ab.

frank_m · 1. Dezember 2023

Ja, meines Wissens nach schon.

eripek · 1. Dezember 2023

man pMTUd

https://en.wikipedia.org/wiki/Path_MTU_Discovery

Das Ungute an manuell gesetzter MTU ist, dass das Verhältnis von Nutzdaten zu Overhead sich dadurch nicht gerade verbessert.

bjo · 1. Dezember 2023

Zitat

Der Client hängt an einem Telekom DSL (500Mbit Download, 100Mbit Upload).

Was soll das denn sein? Dachte DSL kann max 250/40.

marcquark · 1. Dezember 2023

Zitat von eripek

man pMTUd

https://en.wikipedia.org/wiki/Path_MTU_Discovery

Das Ungute an manuell gesetzter MTU ist, dass das Verhältnis von Nutzdaten zu Overhead sich dadurch nicht gerade verbessert.

Die hat aber bei VPNs so ihre Probleme. Das Overlay kann ggf. gar nicht mitbekommen, wenn im Underlay fragmentiert wird, wenn die Implementierung da nicht einiges tut.

Im Prinzip muss die VPN Implementierung irgendwelche Annahmen über die Topologie des Underlays treffen um innerhalb des Tunnels PMTUD irgendwie zu ermöglichen, oder selbst ständig eine PMTUD zwischen den Endpunkten machen um dann die MTU des Tunnelinterface dynamisch anzupassen.

Theoretisch geht da einiges, meine persönliche Erfahrung, egal ob mit StrongSwan IPSec, OpenVPN oder Wireguard ist: Wenn es irgendeine dieser Implementierungen überhaupt macht, dann funktioniert es jedenfalls nicht.

Hille · 1. Dezember 2023

Danke erstmal für die Hinweise, ich werde das morgen mal testen

Zitat von bjo

Was soll das denn sein? Dachte DSL kann max 250/40.

Sorry, Glasfaser. Habe das erst seit einer Woche 😅

eripek · 2. Dezember 2023

Zitat von marcquark

Die hat aber bei VPNs so ihre Probleme. Das Overlay kann ggf. gar nicht mitbekommen, wenn im Underlay fragmentiert wird, wenn die Implementierung da nicht einiges tut.

Im Prinzip muss die VPN Implementierung irgendwelche Annahmen über die Topologie des Underlays treffen um innerhalb des Tunnels PMTUD irgendwie zu ermöglichen, oder selbst ständig eine PMTUD zwischen den Endpunkten machen um dann die MTU des Tunnelinterface dynamisch anzupassen.

Theoretisch geht da einiges, meine persönliche Erfahrung, egal ob mit StrongSwan IPSec, OpenVPN oder Wireguard ist: Wenn es irgendeine dieser Implementierungen überhaupt macht, dann funktioniert es jedenfalls nicht.

Bei OpenVPN kann man zumindest den Parameter fragment auf MTU auf 20-8-4 setzen (minus 4 für etwaige compression header).
Was wireguard anbelangt - wird die interface MTU automatisch gesetzt oder muss ich die angeben?

PMTUd funktioniert in der Regel nur dann nicht, wenn einer der Endpunkte kein IMCP spricht, weil es entweder geblockt oder gar nicht geroutet wird (etwa CGNAT und vergleichbare Situationen).

Hille · 8. Dezember 2023

ich habe in den letzten Tage mich mal ausführlich mit dem Thema befasst, viel gelesen und auch viel getestet. Eine saubere Lösung habe ich leider nicht gefunden. Ich habe mich mit einem befreundeten Admin auch mal unterhalten, der mir die Wireguard Probleme bestätigt hat. Das interessante ist halt, dass der Tunnel zu unbestimmten Zeiten recht stabil läuft, dann aber halt wieder auch nicht. Hier mal meine Ergebnisse. Zur Ergänzung, Wireguard Server RS1000, Wireguard Client Raspi4. MTU auf beiden Systemen 1400

Code

iperf3 -c 10.0.0.1 -R
Connecting to host 10.0.0.1, port 5201
Reverse mode, remote host 10.0.0.1 is sending
[  5] local 10.0.0.6 port 37322 connected to 10.0.0.1 port 5201
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  54.1 MBytes   454 Mbits/sec
[  5]   1.00-2.00   sec  60.3 MBytes   506 Mbits/sec
[  5]   2.00-3.00   sec  58.7 MBytes   493 Mbits/sec
[  5]   3.00-4.00   sec  60.3 MBytes   506 Mbits/sec
[  5]   4.00-5.00   sec  60.3 MBytes   506 Mbits/sec
[  5]   5.00-6.00   sec  60.3 MBytes   506 Mbits/sec
[  5]   6.00-7.00   sec  60.3 MBytes   506 Mbits/sec
[  5]   7.00-8.00   sec  60.3 MBytes   506 Mbits/sec
[  5]   8.00-9.00   sec  60.3 MBytes   506 Mbits/sec
[  5]   9.00-10.00  sec  60.3 MBytes   506 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.04  sec   599 MBytes   501 Mbits/sec    0             sender
[  5]   0.00-10.00  sec   596 MBytes   500 Mbits/sec                  receiver

Alles anzeigen

Diese Test liefen über mehrere Stunden stabil.

Hier nun mit 4 Streams

Code

iperf3 -c 10.0.0.6 --parallel 4
Connecting to host 10.0.0.6, port 5201
[  5] local 10.0.0.1 port 42616 connected to 10.0.0.6 port 5201
[  7] local 10.0.0.1 port 42618 connected to 10.0.0.6 port 5201
[  9] local 10.0.0.1 port 42620 connected to 10.0.0.6 port 5201
[ 11] local 10.0.0.1 port 42634 connected to 10.0.0.6 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  10.5 MBytes  88.2 Mbits/sec    0    791 KBytes
[  7]   0.00-1.00   sec  16.2 MBytes   136 Mbits/sec    0   1.22 MBytes
[  9]   0.00-1.00   sec  18.0 MBytes   151 Mbits/sec    0   1.38 MBytes
[ 11]   0.00-1.00   sec  21.2 MBytes   178 Mbits/sec    0   1.73 MBytes
[SUM]   0.00-1.00   sec  65.9 MBytes   552 Mbits/sec    0
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   1.00-2.00   sec  10.2 MBytes  85.2 Mbits/sec    0   1.22 MBytes
[  7]   1.00-2.00   sec  15.0 MBytes   126 Mbits/sec    0   1.92 MBytes
[  9]   1.00-2.00   sec  16.2 MBytes   136 Mbits/sec    3   1.98 MBytes
[ 11]   1.00-2.00   sec  20.0 MBytes   168 Mbits/sec    0   2.68 MBytes
[SUM]   1.00-2.00   sec  61.4 MBytes   515 Mbits/sec    3
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   2.00-3.00   sec  11.2 MBytes  94.4 Mbits/sec   63   1012 KBytes
[  7]   2.00-3.00   sec  15.0 MBytes   126 Mbits/sec   77   1.54 MBytes
[  9]   2.00-3.00   sec  13.8 MBytes   115 Mbits/sec   88   1.47 MBytes
[ 11]   2.00-3.00   sec  21.2 MBytes   178 Mbits/sec   84   2.18 MBytes
[SUM]   2.00-3.00   sec  61.2 MBytes   514 Mbits/sec  312
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   3.00-4.00   sec  8.75 MBytes  73.4 Mbits/sec    0   1.09 MBytes
[  7]   3.00-4.00   sec  15.0 MBytes   126 Mbits/sec    0   1.68 MBytes
[  9]   3.00-4.00   sec  15.0 MBytes   126 Mbits/sec    0   1.61 MBytes
[ 11]   3.00-4.00   sec  20.0 MBytes   168 Mbits/sec    0   2.36 MBytes
[SUM]   3.00-4.00   sec  58.8 MBytes   493 Mbits/sec    0
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   4.00-5.00   sec  10.0 MBytes  83.9 Mbits/sec    0   1.17 MBytes
[  7]   4.00-5.00   sec  15.0 MBytes   126 Mbits/sec    0   1.80 MBytes
[  9]   4.00-5.00   sec  13.8 MBytes   115 Mbits/sec    0   1.72 MBytes
[ 11]   4.00-5.00   sec  21.2 MBytes   178 Mbits/sec    0   2.51 MBytes
[SUM]   4.00-5.00   sec  60.0 MBytes   503 Mbits/sec    0
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   5.00-6.00   sec  10.0 MBytes  83.9 Mbits/sec    0   1.23 MBytes
[  7]   5.00-6.00   sec  15.0 MBytes   126 Mbits/sec    0   1.89 MBytes
[  9]   5.00-6.00   sec  15.0 MBytes   126 Mbits/sec    0   1.81 MBytes
[ 11]   5.00-6.00   sec  21.2 MBytes   178 Mbits/sec    0   2.63 MBytes
[SUM]   5.00-6.00   sec  61.2 MBytes   514 Mbits/sec    0
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   6.00-7.00   sec  10.0 MBytes  83.9 Mbits/sec    0   1.27 MBytes
[  7]   6.00-7.00   sec  15.0 MBytes   126 Mbits/sec    0   1.95 MBytes
[  9]   6.00-7.00   sec  15.0 MBytes   126 Mbits/sec    0   1.87 MBytes
[ 11]   6.00-7.00   sec  20.0 MBytes   168 Mbits/sec    0   2.73 MBytes
[SUM]   6.00-7.00   sec  60.0 MBytes   503 Mbits/sec    0
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   7.00-8.00   sec  12.5 MBytes   105 Mbits/sec    0   1.30 MBytes
[  7]   7.00-8.00   sec  15.0 MBytes   126 Mbits/sec    8   1.43 MBytes
[  9]   7.00-8.00   sec  13.8 MBytes   115 Mbits/sec    8   1.38 MBytes
[ 11]   7.00-8.00   sec  20.0 MBytes   168 Mbits/sec   34   1.99 MBytes
[SUM]   7.00-8.00   sec  61.2 MBytes   514 Mbits/sec   50
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   8.00-9.00   sec  12.5 MBytes   105 Mbits/sec    0   1.31 MBytes
[  7]   8.00-9.00   sec  13.8 MBytes   115 Mbits/sec    0   1.51 MBytes
[  9]   8.00-9.00   sec  13.8 MBytes   115 Mbits/sec    0   1.45 MBytes
[ 11]   8.00-9.00   sec  20.0 MBytes   168 Mbits/sec    0   2.10 MBytes
[SUM]   8.00-9.00   sec  60.0 MBytes   503 Mbits/sec    0
- - - - - - - - - - - - - - - - - - - - - - - - -
[  5]   9.00-10.00  sec  12.5 MBytes   105 Mbits/sec    0   1.32 MBytes
[  7]   9.00-10.00  sec  15.0 MBytes   126 Mbits/sec    0   1.57 MBytes
[  9]   9.00-10.00  sec  13.8 MBytes   115 Mbits/sec    0   1.51 MBytes
[ 11]   9.00-10.00  sec  18.8 MBytes   157 Mbits/sec    0   2.18 MBytes
[SUM]   9.00-10.00  sec  60.0 MBytes   503 Mbits/sec    0
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   108 MBytes  90.7 Mbits/sec   63             sender
[  5]   0.00-10.11  sec   107 MBytes  88.4 Mbits/sec                  receiver
[  7]   0.00-10.00  sec   150 MBytes   126 Mbits/sec   85             sender
[  7]   0.00-10.11  sec   148 MBytes   123 Mbits/sec                  receiver
[  9]   0.00-10.00  sec   148 MBytes   124 Mbits/sec   99             sender
[  9]   0.00-10.11  sec   146 MBytes   121 Mbits/sec                  receiver
[ 11]   0.00-10.00  sec   204 MBytes   171 Mbits/sec  118             sender
[ 11]   0.00-10.11  sec   203 MBytes   169 Mbits/sec                  receiver
[SUM]   0.00-10.00  sec   610 MBytes   511 Mbits/sec  365             sender
[SUM]   0.00-10.11  sec   604 MBytes   501 Mbits/sec                  receiver

Retr = Retransmitted TCP packets

Alles anzeigen

Ebenfalls stabiles Ergebnis. Hier ein Test von heute morgen

Code

iperf3 -c 10.0.0.1 -R
Connecting to host 10.0.0.1, port 5201
Reverse mode, remote host 10.0.0.1 is sending
[  5] local 10.0.0.6 port 51696 connected to 10.0.0.1 port 5201
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec   442 KBytes  3.62 Mbits/sec
[  5]   1.00-2.00   sec   190 KBytes  1.55 Mbits/sec
[  5]   2.00-3.00   sec   225 KBytes  1.84 Mbits/sec
[  5]   3.00-4.00   sec   274 KBytes  2.24 Mbits/sec
[  5]   4.00-5.00   sec   392 KBytes  3.21 Mbits/sec
[  5]   5.00-6.00   sec   566 KBytes  4.64 Mbits/sec
[  5]   6.00-7.00   sec   509 KBytes  4.17 Mbits/sec
[  5]   7.00-8.00   sec   375 KBytes  3.07 Mbits/sec
[  5]   8.00-9.00   sec   280 KBytes  2.30 Mbits/sec
[  5]   9.00-10.00  sec   205 KBytes  1.68 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.04  sec  3.50 MBytes  2.92 Mbits/sec  125             sender
[  5]   0.00-10.00  sec  3.38 MBytes  2.83 Mbits/sec                  receiver

iperf Done.
root@mx0:~# iperf3 -c 10.0.0.1
Connecting to host 10.0.0.1, port 5201
[  5] local 10.0.0.6 port 58870 connected to 10.0.0.1 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  6.04 MBytes  50.7 Mbits/sec   11   36.9 KBytes
[  5]   1.00-2.00   sec  1.11 MBytes  9.31 Mbits/sec   13   19.7 KBytes
[  5]   2.00-3.00   sec  1.48 MBytes  12.4 Mbits/sec    6   21.1 KBytes
[  5]   3.00-4.00   sec  1.85 MBytes  15.5 Mbits/sec    5   43.4 KBytes
[  5]   4.00-5.00   sec  1.85 MBytes  15.5 Mbits/sec   10   34.2 KBytes
[  5]   5.00-6.00   sec  3.33 MBytes  28.0 Mbits/sec    4   54.0 KBytes
[  5]   6.00-7.00   sec  2.65 MBytes  22.3 Mbits/sec   14   23.7 KBytes
[  5]   7.00-8.00   sec  2.59 MBytes  21.7 Mbits/sec    7   51.3 KBytes
[  5]   8.00-9.00   sec  2.22 MBytes  18.6 Mbits/sec    9   26.3 KBytes
[  5]   9.00-10.00  sec  1.85 MBytes  15.5 Mbits/sec    5   32.9 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  25.0 MBytes  21.0 Mbits/sec   84             sender
[  5]   0.00-10.04  sec  24.1 MBytes  20.2 Mbits/sec                  receiver

Alles anzeigen

Hier fällt auf, dass der Retr (Retransmitted TCP packets) Wert relativ hoch ist.

Mich würde auch mal interessieren, ob es User gibt, bei denen Wireguard auf Dauer stabil läuft.

frank_m · 8. Dezember 2023

Zitat von Hille

Hier ein Test von heute morgen

Da wäre natürlich der Test mit den parallelen Verbindungen wichtig gewesen. Wenn alles klappt, ist es easy, aber wenn es Probleme gibt, dann wird es interessant.

Zitat von Hille

Hier fällt auf, dass der Retr (Retransmitted TCP packets) Wert relativ hoch ist.

Das deutet auf Paketverluste hin, weshalb ich oben schon geschrieben habe, mal einen UDP Test zwischen Server und Client ohne Wireguard zu machen.

Ich habe eine Wireguard Verbindung zwischen einem Raspi4 und einem RS2000 laufen, über eine Deutsche Glasfaser Verbindung mit 400/200 MBit/s. Keinerlei Probleme, die Verbindung ist über Monate stabil. Ich habe teilweise Uptimes von über 40 Tagen am Stück, bevor dann wieder irgendein Software Update einen Reboot erfordert. Kein Problem.

Hille · 8. Dezember 2023

UDP Test werde ich nachher mal starten. Kannste mal per iperf ein paar Werte schicken?

frank_m · 8. Dezember 2023

Man muss iperf3 mit "-u" starten und eine Bandbreite angeben, da iperf sonst nur mit 1 MBit/s arbeitet. Bei der Bandbreite muss man sich rantasten an die Bandbreite, die problemlos geht. Das sollte recht nah an der maximalen Bandbreite des Anschlusses sein. Wenn es schon bei deutlich niedrigeren Bandbreiten zu regelmäßigen Paketverlusten kommt, ist das ein Problem. Noch viel schwieriger wird, herauszufinden, wo die Pakete auf dem Weg zwischen Quelle und Ziel verloren gehen. Und um es deutlich zu sagen: Eine Lösung für so ein Problem hab ich noch nie gesehen. Wenn man feststellt, dass man es hat, kann man eigentlich nur drumzu arbeiten.

Hille · 8. Dezember 2023

UDP Test:

vom Wireguard Server zum lokalen Telekom Glasfaser

Code

mtr -u -s 1000 -r -c 200 80.0.0.0
Start: 2023-12-08T09:32:41+0100
HOST: gw0                         Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 193.30.0.0                 7.0%   200    0.7   2.9   0.4  61.9   8.5
  2.|-- ae3-4019.bbr02.anx84.nue.  7.0%   200    0.7   3.0   0.6  22.7   4.6
  3.|-- ae0-0.bbr01.anx84.nue.de.  6.0%   200    5.2  10.7   4.2  30.1   5.1
  4.|-- ae2-0.bbr02.anx25.fra.de.  5.5%   200    6.0  12.7   4.1  59.5   8.5
  5.|-- 80.156.161.185             8.5%   200    7.5  26.5   4.4 307.9  55.3
  6.|-- l-ea5-i.L.DE.NET.DTAG.DE  11.5%   200   13.0  15.5   9.9  35.8   4.8
  7.|-- 62.156.246.129             7.0%   200  120.3  17.0   9.4 120.3  11.0
  8.|-- 80.0.0.0                   6.5%   200   15.9  19.0  13.5  36.1   4.8

Alles anzeigen

vom Wireguard Client (lokaler Telekom Anschluss) zum Wireguard Server

Code

mtr -u -s 1000 -r -c 200 193.30.0.0
Start: 2023-12-08T09:32:42+0100
HOST: mx0                         Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- gw0                        0.0%   200    0.8   0.7   0.2   1.5   0.2
  2.|-- 62.156.244.24              0.0%   200    5.7   6.8   4.5  68.0   6.1
  3.|-- 62.156.246.130             0.0%   200    5.7   6.2   4.9  31.2   2.3
  4.|-- f-ed11-i.F.DE.NET.DTAG.DE  0.0%   200   10.2  10.9   9.5  48.4   3.6
  5.|-- 80.156.161.186             0.0%   200   10.8  11.7   9.9  44.7   3.3
  6.|-- ae1-0.bbr01.anx84.nue.de.  0.0%   200   14.0  14.8  13.4  34.5   2.6
  7.|-- netcup-gw.bbr01.anx84.nue  0.0%   200   13.9  16.3  12.9  78.3   9.8
  8.|-- ???                       100.0   200    0.0   0.0   0.0   0.0   0.0

Alles anzeigen

Hier auch nochmal ein Test zu google vom Wireguard Server

Code

mtr -u -s 1000 -r -c 200 8.8.8.8
Start: 2023-12-08T09:42:43+0100
HOST: gw0                         Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- 193.30.0.0                 4.5%   200    0.6   2.1   0.3  65.1   6.5
  2.|-- ae3-4019.bbr02.anx84.nue.  1.5%   200    0.7   2.3   0.6  46.6   4.7
  3.|-- ae0-0.bbr01.anx84.nue.de.  0.5%   200    4.3   5.1   3.9  32.3   3.2
  4.|-- ae2-0.bbr02.anx25.fra.de.  2.5%   200    4.0   4.7   3.8  26.5   2.6
  5.|-- 209.85.149.86              2.5%   200    5.0   5.9   4.5  27.6   2.3
  6.|-- ???                       100.0   200    0.0   0.0   0.0   0.0   0.0
  7.|-- dns.google                94.0%   200    3.8   3.9   3.7   4.2   0.1

Sehe ich das richtig, dass die Paketverluste bei Netcup liegen?

Hille · 8. Dezember 2023

Hier nochmal iperf udp

Code

iperf3 --udp -c 10.0.0.1 -b 100M
Connecting to host 10.0.0.1, port 5201
[  5] local 10.0.0.6 port 35094 connected to 10.0.0.1 port 5201
[ ID] Interval           Transfer     Bitrate         Total Datagrams
[  5]   0.00-1.00   sec  11.9 MBytes  99.9 Mbits/sec  9267
[  5]   1.00-2.00   sec  11.9 MBytes   100 Mbits/sec  9273
[  5]   2.00-3.00   sec  11.9 MBytes   100 Mbits/sec  9273
[  5]   3.00-4.00   sec  11.9 MBytes   100 Mbits/sec  9273
[  5]   4.00-5.00   sec  11.9 MBytes   100 Mbits/sec  9273
[  5]   5.00-6.00   sec  11.9 MBytes   100 Mbits/sec  9273
[  5]   6.00-7.00   sec  11.9 MBytes   100 Mbits/sec  9273
[  5]   7.00-8.00   sec  11.9 MBytes   100 Mbits/sec  9273
[  5]   8.00-9.00   sec  11.9 MBytes   100 Mbits/sec  9273
[  5]   9.00-10.00  sec  11.9 MBytes   100 Mbits/sec  9272
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-10.00  sec   119 MBytes   100 Mbits/sec  0.000 ms  0/92723 (0%)  sender
[  5]   0.00-10.05  sec   119 MBytes  99.5 Mbits/sec  0.099 ms  0/92723 (0%)  receiver



iperf3 --udp -c 10.0.0.1 -b 200M
Connecting to host 10.0.0.1, port 5201
[  5] local 10.0.0.6 port 59427 connected to 10.0.0.1 port 5201
[ ID] Interval           Transfer     Bitrate         Total Datagrams
[  5]   0.00-1.00   sec  23.8 MBytes   200 Mbits/sec  18535
[  5]   1.00-2.00   sec  23.8 MBytes   200 Mbits/sec  18546
[  5]   2.00-3.00   sec  23.8 MBytes   200 Mbits/sec  18550
[  5]   3.00-4.00   sec  23.8 MBytes   200 Mbits/sec  18543
[  5]   4.00-5.00   sec  23.8 MBytes   200 Mbits/sec  18547
[  5]   5.00-6.00   sec  23.8 MBytes   200 Mbits/sec  18546
[  5]   6.00-7.00   sec  23.8 MBytes   200 Mbits/sec  18547
[  5]   7.00-8.00   sec  23.8 MBytes   200 Mbits/sec  18546
[  5]   8.00-9.00   sec  23.8 MBytes   200 Mbits/sec  18546
[  5]   9.00-10.00  sec  23.8 MBytes   200 Mbits/sec  18547
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-10.00  sec   238 MBytes   200 Mbits/sec  0.000 ms  0/185453 (0%)  sender
[  5]   0.00-10.06  sec   137 MBytes   115 Mbits/sec  0.046 ms  78539/185433 (42%)  receiver

Alles anzeigen

frank_m · 8. Dezember 2023

Zitat von Hille

Sehe ich das richtig, dass die Paketverluste bei Netcup liegen?

Sie können auch auf deinem Server liegen. Aber ja, sie sind von Anfang an im Trace, allerdings nur in Upstream Richtung.

Zitat von Hille

Hier nochmal iperf udp

Da sieht man deutlich eine Begrenzung auf 100 MBit/s im Stream. Aber ansonsten sieht es gut aus.

Hille · 8. Dezember 2023

Ok, dann werde ich mal den Netcup Support anschreiben. Eventuell gibt es eine Lösung. Danke erstmal für deine Hilfe