Langsame Geschwindigkeit Site-to-Site-VPN OPNsense (Wireguard)

    Ah, ok. Das hatte ich falsch verstanden.


    Wie sieht denn die Netzwerkperformance zwischen Netcup OpenSense und Server aus und von der Netcup Opensense zu dir nach Hause? Am besten jeweils mit iperf messen.


    Dann musst du herausfinden, welche Firewall und Routing Regeln die OpenSense aufsetzt. Macht sie NAT fürs VPN? Das braucht ja eigentlich nicht sein.

    Ähh, was sind diese Screenshots? Mit iperf hat das jedenfalls nichts zu tun. Außerdem sehe ich da wg0 in der Übersicht. Das ist falsch, es geht ja darum, die Geschwindigkeit ohne VPN festzustellen. Vor allem bei der Verbindung übers VLAN kann wg0 ja keine Rolle spielen. Außerdem sind die Ergebnisse exakt gleich. Irgendwas stimmt da nicht.


    iperf auf der Konsole, am besten iperf3. Mit 10 parallelen TCP Streams, und natürlich separate Messungen in beide Richtungen. Davon dann bitte das Ergebnis als Text in CODE Tags hier reinkopieren.

    Die Ergebnisse sind nicht gleich, nur "sehr ähnlich", aber um eine Kommastelle verrutscht! Bei der OPNSense kann das iperf Ergebnis abgelesen werden. Natürlich kann ich auch einen Screenshot von CMD der Gegenstelle jeweils machen oder den Text kopieren.


    Die Verbindung im VLAN ist ja zehnfach so schnell.


    Ich mache es aber im VLAN mal mit der LAN Schnittstelle und außerhalb mit der WAN Schnittstelle, korrekt? In beide Richtungen dann.

    Wer weiß, wie viel Overhead das erzeugt. Die Messwerte sind ja so oder so katastrophal, man sieht nicht mal, in welche Richtung nun gemessen wurde.


    Also: Ab auf die Konsole mit SSH, und dann sauber mit zwei nativen iperf3 Instanzen messen. Kein OpenSense, kein graphischer Klim-Bim oder sonstwas. Alles andere ist ein Ratespiel, aber keine Messung.

    Hier iperf von einem Server im VLAN im Client-Mode:


    Server mode:


    Hier iperf von einem Client Zuhause im Client Mode:

    Server mode:


    Wie man sieht, ist die Geschwindigkeit über den Tunnel bzw. über die OPNsense (ich kann es nur noch einmal sagen: Downloads vom Web zu den Maschinen bei Netcup haben eine ähnliche Geschwindigkeit) erheblich langsamer.

    Zitat von Antijurist

    Hier iperf von einem Server im VLAN im Client-Mode:

    Wie sieht denn das Ergebnis aus, wenn du die erste Messung (Hier iperf von einem Server im VLAN im Client-Mode:) noch mal wiederholst, aber den Server nicht direkt im VLAN angebunden hast, sondern er die Verbindung über VPN aufbaut und erst dann im VLAN ist?

    Wie genau soll ich das machen? Dann müsste ich die erste Netzwerkkarte wieder aktivieren (Server per Internet erreichbar), die zweite deaktivieren und dann per OpenVPN den Server bei netcup zur OPNsense bei netcup verbinden?


    Wie bekommt er dann die passende statische IP über die erste Netzwerkkarte, damit das alles überhaupt funktioniert?


    Oder verstehe ich hier etwas falsch?

    Zitat von Antijurist

    Wie genau soll ich das machen? Dann müsste ich die erste Netzwerkkarte wieder aktivieren (Server per Internet erreichbar), die zweite deaktivieren und dann per OpenVPN den Server bei netcup zur OPNsense bei netcup verbinden?

    Ja, so würde ich es machen.


    Zitat von Antijurist

    Wie bekommt er dann die passende statische IP über die erste Netzwerkkarte, damit das alles überhaupt funktioniert?

    Du tust so, als wäre es dein Rechner von Zuhause und baust einfach stumpf eine VPN-Verbindung auf.

    Ich gehe mal davon aus, dass dein VPN-Server diesem Rechner dann auch eine IP-Adresse aus dem VLAN per DHCP vergeben wird. Ansonsten mußt du es zu Testzwecken noch so konfigurieren.

    Die IPs sind hier statisch vergeben. Außerdem ist doch die externe IP auf der primären Karte reserviert oder nicht? Die "LAN-IP" würde er ja über die zweite Karte bekommen.


    Ich könnte eventuell die externe IP dieses Servers auf der OPNsense bei den Remote-Netzwerken ergänzen, so wie dort die IP-Range von Zuhause eingetragen ist? Dann müssten beide kommunizieren können?

    Ich kenne deine Konfiguration nicht. Aber ich würde so tun, als wäre der Rechner ein Smartphone, mit dem du dich jetzt aus dem Mobilfunknetz mit dem VLAN über deinem VPN-Server verbinden würdest. Dazu braucht dein Rechner ja zuerst einmal nur eine öffentliche IP und einen VPN-Client, mit dem du dich dann an dem VPN-Server anmeldest und der VPN-Server dem Rechner dann per DHCP eine IP aus dem VLAN gibt.


    Der Sinn und Zweck ist ja, zuerst einmal festzustellen, ob du innerhalb des öffentlichen Netcup-Netzwerks durch die Anbindugn über VPN auch diesen Bandbreiteneinbruch hast.

    Erstmal ohne VPN ueber die externe IP


    Und hier mit


    Problem mit der LAN-Schnittstelle oder den Firewallregeln hier?

    Deine iperf Messungen sind alle unbrauchbar. Ich weiß nicht, was du mit diesem "-t 10streams" willst, aber das ist Unfug. Parallele Streams macht man mit "-P 10". Dazu bitte immer in beiden Richtungen messen (mit "-R" und ohne!).


    Dazu hast du nicht - wie gefordert - gegen eine native Instanz auf dem Server getestet, sondern gegen irgendwas aus dem OpenSense Webinterface. Du hast wer-weiß-was gemessen, aber nicht die Netzwerkperformance.


    Auch wichtig: Messe ohne VPN! Also auf die nativen IP-Adressen der Verbindungen. Von zu Hause aus auf die öffenltiche IP des Servers und vom VLAN Client auf die VLAN IP des Servers. Du machst die Messungen vom VLAN Client und von VPN Client auf die gleiche Ziel-IP. Das kann nicht richtig sein.


    Was ist der VLAN Client für ein System? Ich beginne zu glauben, dass der eine entscheidende Rolle in den Performance Problemen spielt.

    Die letzte Frage verstehe ich nicht. Ich habe innerhalb des VLAN doch überhaupt kein Performance-Problem. Wie kann es da an einem der Clients hier liegen?


    Es handelt sich bei dem Client um einen Windows Server, wie man anhand der CMD Eingabe relativ gut erkennen kann.


    Was meinst du mit nativer Instanz auf dem Server?


    Wenn ich auf die öffentliche IP des Servers messe, kommt die OPNsense nicht ins Spiel. Soll dies dazu dienen auszuschließen, dass auch diese Verbindung Performance Probleme aufweist?


    Also ich soll von einem Client Zuhause auf einen Server (über dessen öffentliche IP) bei netcup hinter der OPNsense messen, korrekt?


    Die Aussagen/Herangehensweisen von euch beiden widersprechen sich.

    Zitat von Antijurist

    Hier iperf von einem Server im VLAN im Client-Mode:

    Zitat von Antijurist

    Und hier mit

    Bei deiner letzten Messung kann man sehr schön die Bandbreitenabsenkung sehen. Denn in der Messung "Hier iperf von einem Server im VLAN im Client-Mode:" hattest du direkt im VLAN eine Bandbreite von ca. 228 Mbits/sec gemessen und jetzt über den VPN-Tunnel nur noch ca. 165 Mbits/sec, was dafür spricht, dass du innerhalb des Netcup-Netzwerks nicht wirklich einen Bandbreiteneinbruch hast. Denn die niedrigere Bandbreite von ca. 165 Mbits/sec kommt eher durch die Verschlüsselung des VPN-Tunnels.


    Jetzt würde ich an deiner Stelle die Bandbreite zwischen dem VPN-Server und dem Rechner Zuhause erneut messen und mir die CPU-Auslastung des VPN-Servers und des Routers Zuhause bzw. des Geräts, über dem die VPN-Verbindung aufgebaut wird, genauer wehrend der Messung anschauen.