Ich glaube hier war die Formulierung etwas missverständlich.
Du meintest bestimmt, dass du OPNsense auf einem VPS installiert hast, korrekt?
Genau das meinte ich.
Ich glaube hier war die Formulierung etwas missverständlich.
Du meintest bestimmt, dass du OPNsense auf einem VPS installiert hast, korrekt?
Genau das meinte ich.
Okay, alles klar!
5. OPNsense läuft als VM auf einem VPS.
Das könnte man auch so interpretieren, dass du OPNsense noch mal als VM innerhalb des VPS installiert hast. Eine VM in der VM nutzt nested virtualization, deswegen kam hier glaube ich die Verwirrung auf :).
Ah, ok. Das hatte ich falsch verstanden.
Wie sieht denn die Netzwerkperformance zwischen Netcup OpenSense und Server aus und von der Netcup Opensense zu dir nach Hause? Am besten jeweils mit iperf messen.
Dann musst du herausfinden, welche Firewall und Routing Regeln die OpenSense aufsetzt. Macht sie NAT fürs VPN? Das braucht ja eigentlich nicht sein.
Hier mal der Test von Zuhause zur OPNsense per iperf:
Ähh, was sind diese Screenshots? Mit iperf hat das jedenfalls nichts zu tun. Außerdem sehe ich da wg0 in der Übersicht. Das ist falsch, es geht ja darum, die Geschwindigkeit ohne VPN festzustellen. Vor allem bei der Verbindung übers VLAN kann wg0 ja keine Rolle spielen. Außerdem sind die Ergebnisse exakt gleich. Irgendwas stimmt da nicht.
iperf auf der Konsole, am besten iperf3. Mit 10 parallelen TCP Streams, und natürlich separate Messungen in beide Richtungen. Davon dann bitte das Ergebnis als Text in CODE Tags hier reinkopieren.
Die Ergebnisse sind nicht gleich, nur "sehr ähnlich", aber um eine Kommastelle verrutscht! Bei der OPNSense kann das iperf Ergebnis abgelesen werden. Natürlich kann ich auch einen Screenshot von CMD der Gegenstelle jeweils machen oder den Text kopieren.
Die Verbindung im VLAN ist ja zehnfach so schnell.
Ich mache es aber im VLAN mal mit der LAN Schnittstelle und außerhalb mit der WAN Schnittstelle, korrekt? In beide Richtungen dann.
Hier wird es kurz beschrieben: https://www.reddit.com/r/opnse…opnsense_how_do_i_use_it/
Wer weiß, wie viel Overhead das erzeugt. Die Messwerte sind ja so oder so katastrophal, man sieht nicht mal, in welche Richtung nun gemessen wurde.
Also: Ab auf die Konsole mit SSH, und dann sauber mit zwei nativen iperf3 Instanzen messen. Kein OpenSense, kein graphischer Klim-Bim oder sonstwas. Alles andere ist ein Ratespiel, aber keine Messung.
Hier iperf von einem Server im VLAN im Client-Mode:
c:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 52245 -t 10streams
Connecting to host 192.168.133.1, port 52245
[ 4] local 192.168.133.5 port 61215 connected to 192.168.133.1 port 52245
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.01 sec 27.4 MBytes 228 Mbits/sec
[ 4] 1.01-2.00 sec 25.1 MBytes 213 Mbits/sec
[ 4] 2.00-3.00 sec 23.9 MBytes 200 Mbits/sec
[ 4] 3.00-4.00 sec 23.2 MBytes 195 Mbits/sec
[ 4] 4.00-5.00 sec 24.8 MBytes 208 Mbits/sec
[ 4] 5.00-6.00 sec 25.6 MBytes 215 Mbits/sec
[ 4] 6.00-7.00 sec 26.0 MBytes 218 Mbits/sec
[ 4] 7.00-8.00 sec 24.8 MBytes 208 Mbits/sec
[ 4] 8.00-9.00 sec 25.5 MBytes 213 Mbits/sec
[ 4] 9.00-10.00 sec 24.9 MBytes 209 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 251 MBytes 211 Mbits/sec sender
[ 4] 0.00-10.00 sec 251 MBytes 210 Mbits/sec receiver
iperf Done.
Alles anzeigen
Server mode:
c:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 18871 -t 10streams -R
Connecting to host 192.168.133.1, port 18871
Reverse mode, remote host 192.168.133.1 is sending
[ 4] local 192.168.133.5 port 61266 connected to 192.168.133.1 port 18871
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.01 sec 30.0 MBytes 250 Mbits/sec
[ 4] 1.01-2.01 sec 24.6 MBytes 206 Mbits/sec
[ 4] 2.01-3.01 sec 26.6 MBytes 223 Mbits/sec
[ 4] 3.01-4.01 sec 26.3 MBytes 221 Mbits/sec
[ 4] 4.01-5.01 sec 26.6 MBytes 223 Mbits/sec
[ 4] 5.01-6.00 sec 26.2 MBytes 221 Mbits/sec
[ 4] 6.00-7.00 sec 26.6 MBytes 223 Mbits/sec
[ 4] 7.00-8.01 sec 25.6 MBytes 213 Mbits/sec
[ 4] 8.01-9.01 sec 27.0 MBytes 226 Mbits/sec
[ 4] 9.01-10.01 sec 25.0 MBytes 210 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.01 sec 265 MBytes 222 Mbits/sec 352 sender
[ 4] 0.00-10.01 sec 265 MBytes 222 Mbits/sec receiver
iperf Done.
Alles anzeigen
Hier iperf von einem Client Zuhause im Client Mode:
c:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 48697 -t 10streams
Connecting to host 192.168.133.1, port 48697
[ 4] local 192.168.132.20 port 59393 connected to 192.168.133.1 port 48697
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 2.88 MBytes 24.1 Mbits/sec
[ 4] 1.00-2.01 sec 1.62 MBytes 13.5 Mbits/sec
[ 4] 2.01-3.02 sec 896 KBytes 7.32 Mbits/sec
[ 4] 3.02-4.00 sec 384 KBytes 3.19 Mbits/sec
[ 4] 4.00-5.01 sec 640 KBytes 5.21 Mbits/sec
[ 4] 5.01-6.01 sec 384 KBytes 3.14 Mbits/sec
[ 4] 6.01-7.00 sec 768 KBytes 6.33 Mbits/sec
[ 4] 7.00-8.00 sec 640 KBytes 5.26 Mbits/sec
[ 4] 8.00-9.01 sec 384 KBytes 3.13 Mbits/sec
[ 4] 9.01-10.01 sec 1.00 MBytes 8.39 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.01 sec 9.50 MBytes 7.96 Mbits/sec sender
[ 4] 0.00-10.01 sec 9.33 MBytes 7.82 Mbits/sec receiver
iperf Done.
Alles anzeigen
Server mode:
c:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 2575 -t 10streams -R
Connecting to host 192.168.133.1, port 2575
Reverse mode, remote host 192.168.133.1 is sending
[ 4] local 192.168.132.20 port 59483 connected to 192.168.133.1 port 2575
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 2.34 MBytes 19.6 Mbits/sec
[ 4] 1.00-2.01 sec 4.01 MBytes 33.5 Mbits/sec
[ 4] 2.01-3.00 sec 3.73 MBytes 31.3 Mbits/sec
[ 4] 3.00-4.00 sec 2.17 MBytes 18.3 Mbits/sec
[ 4] 4.00-5.01 sec 3.16 MBytes 26.3 Mbits/sec
[ 4] 5.01-6.01 sec 2.31 MBytes 19.3 Mbits/sec
[ 4] 6.01-7.00 sec 2.23 MBytes 18.9 Mbits/sec
[ 4] 7.00-8.00 sec 2.81 MBytes 23.6 Mbits/sec
[ 4] 8.00-9.00 sec 3.56 MBytes 29.9 Mbits/sec
[ 4] 9.00-10.00 sec 3.96 MBytes 33.2 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 30.5 MBytes 25.6 Mbits/sec 130 sender
[ 4] 0.00-10.00 sec 30.4 MBytes 25.5 Mbits/sec receiver
iperf Done.
Alles anzeigen
Wie man sieht, ist die Geschwindigkeit über den Tunnel bzw. über die OPNsense (ich kann es nur noch einmal sagen: Downloads vom Web zu den Maschinen bei Netcup haben eine ähnliche Geschwindigkeit) erheblich langsamer.
Hier iperf von einem Server im VLAN im Client-Mode:
Wie sieht denn das Ergebnis aus, wenn du die erste Messung (Hier iperf von einem Server im VLAN im Client-Mode:) noch mal wiederholst, aber den Server nicht direkt im VLAN angebunden hast, sondern er die Verbindung über VPN aufbaut und erst dann im VLAN ist?
Wie genau soll ich das machen? Dann müsste ich die erste Netzwerkkarte wieder aktivieren (Server per Internet erreichbar), die zweite deaktivieren und dann per OpenVPN den Server bei netcup zur OPNsense bei netcup verbinden?
Wie bekommt er dann die passende statische IP über die erste Netzwerkkarte, damit das alles überhaupt funktioniert?
Oder verstehe ich hier etwas falsch?
Wie genau soll ich das machen? Dann müsste ich die erste Netzwerkkarte wieder aktivieren (Server per Internet erreichbar), die zweite deaktivieren und dann per OpenVPN den Server bei netcup zur OPNsense bei netcup verbinden?
Ja, so würde ich es machen.
Wie bekommt er dann die passende statische IP über die erste Netzwerkkarte, damit das alles überhaupt funktioniert?
Du tust so, als wäre es dein Rechner von Zuhause und baust einfach stumpf eine VPN-Verbindung auf.
Ich gehe mal davon aus, dass dein VPN-Server diesem Rechner dann auch eine IP-Adresse aus dem VLAN per DHCP vergeben wird. Ansonsten mußt du es zu Testzwecken noch so konfigurieren.
Die IPs sind hier statisch vergeben. Außerdem ist doch die externe IP auf der primären Karte reserviert oder nicht? Die "LAN-IP" würde er ja über die zweite Karte bekommen.
Ich könnte eventuell die externe IP dieses Servers auf der OPNsense bei den Remote-Netzwerken ergänzen, so wie dort die IP-Range von Zuhause eingetragen ist? Dann müssten beide kommunizieren können?
Ich kenne deine Konfiguration nicht. Aber ich würde so tun, als wäre der Rechner ein Smartphone, mit dem du dich jetzt aus dem Mobilfunknetz mit dem VLAN über deinem VPN-Server verbinden würdest. Dazu braucht dein Rechner ja zuerst einmal nur eine öffentliche IP und einen VPN-Client, mit dem du dich dann an dem VPN-Server anmeldest und der VPN-Server dem Rechner dann per DHCP eine IP aus dem VLAN gibt.
Der Sinn und Zweck ist ja, zuerst einmal festzustellen, ob du innerhalb des öffentlichen Netcup-Netzwerks durch die Anbindugn über VPN auch diesen Bandbreiteneinbruch hast.
Erstmal ohne VPN ueber die externe IP
c:\iperf>iperf3.exe iperf -c extern -p 2210 -t 10streams
Connecting to host extern, port 2210
[ 4] local ...externeIPNetcupServer... port 63292 connected to ...externeIPOPNsenseNetcup... port 2210
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 57.8 MBytes 483 Mbits/sec
[ 4] 1.00-2.00 sec 43.4 MBytes 364 Mbits/sec
[ 4] 2.00-3.01 sec 49.8 MBytes 414 Mbits/sec
[ 4] 3.01-4.01 sec 42.5 MBytes 356 Mbits/sec
[ 4] 4.01-5.00 sec 43.8 MBytes 370 Mbits/sec
[ 4] 5.00-6.00 sec 44.9 MBytes 377 Mbits/sec
[ 4] 6.00-7.00 sec 57.0 MBytes 478 Mbits/sec
[ 4] 7.00-8.00 sec 48.4 MBytes 406 Mbits/sec
[ 4] 8.00-9.01 sec 48.1 MBytes 400 Mbits/sec
[ 4] 9.01-10.01 sec 57.6 MBytes 483 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.01 sec 493 MBytes 413 Mbits/sec sender
[ 4] 0.00-10.01 sec 493 MBytes 413 Mbits/sec receiver
iperf Done.
Alles anzeigen
Und hier mit
c:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 14902 -t 10streams
Connecting to host 192.168.133.1, port 14902
[ 4] local 10.212.0.6 port 49948 connected to 192.168.133.1 port 14902
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 19.6 MBytes 165 Mbits/sec
[ 4] 1.00-2.00 sec 17.6 MBytes 148 Mbits/sec
[ 4] 2.00-3.00 sec 14.6 MBytes 123 Mbits/sec
[ 4] 3.00-4.00 sec 18.2 MBytes 153 Mbits/sec
[ 4] 4.00-5.00 sec 21.2 MBytes 178 Mbits/sec
[ 4] 5.00-6.00 sec 21.1 MBytes 177 Mbits/sec
[ 4] 6.00-7.00 sec 20.5 MBytes 172 Mbits/sec
[ 4] 7.00-8.00 sec 20.2 MBytes 170 Mbits/sec
[ 4] 8.00-9.00 sec 20.6 MBytes 173 Mbits/sec
[ 4] 9.00-10.00 sec 19.9 MBytes 167 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 194 MBytes 162 Mbits/sec sender
[ 4] 0.00-10.00 sec 194 MBytes 162 Mbits/sec receiver
iperf Done.
Alles anzeigen
Problem mit der LAN-Schnittstelle oder den Firewallregeln hier?
Deine iperf Messungen sind alle unbrauchbar. Ich weiß nicht, was du mit diesem "-t 10streams" willst, aber das ist Unfug. Parallele Streams macht man mit "-P 10". Dazu bitte immer in beiden Richtungen messen (mit "-R" und ohne!).
Dazu hast du nicht - wie gefordert - gegen eine native Instanz auf dem Server getestet, sondern gegen irgendwas aus dem OpenSense Webinterface. Du hast wer-weiß-was gemessen, aber nicht die Netzwerkperformance.
Auch wichtig: Messe ohne VPN! Also auf die nativen IP-Adressen der Verbindungen. Von zu Hause aus auf die öffenltiche IP des Servers und vom VLAN Client auf die VLAN IP des Servers. Du machst die Messungen vom VLAN Client und von VPN Client auf die gleiche Ziel-IP. Das kann nicht richtig sein.
Was ist der VLAN Client für ein System? Ich beginne zu glauben, dass der eine entscheidende Rolle in den Performance Problemen spielt.
Die letzte Frage verstehe ich nicht. Ich habe innerhalb des VLAN doch überhaupt kein Performance-Problem. Wie kann es da an einem der Clients hier liegen?
Es handelt sich bei dem Client um einen Windows Server, wie man anhand der CMD Eingabe relativ gut erkennen kann.
Was meinst du mit nativer Instanz auf dem Server?
Wenn ich auf die öffentliche IP des Servers messe, kommt die OPNsense nicht ins Spiel. Soll dies dazu dienen auszuschließen, dass auch diese Verbindung Performance Probleme aufweist?
Also ich soll von einem Client Zuhause auf einen Server (über dessen öffentliche IP) bei netcup hinter der OPNsense messen, korrekt?
Die Aussagen/Herangehensweisen von euch beiden widersprechen sich.
Hier iperf von einem Server im VLAN im Client-Mode:
Und hier mit
Bei deiner letzten Messung kann man sehr schön die Bandbreitenabsenkung sehen. Denn in der Messung "Hier iperf von einem Server im VLAN im Client-Mode:" hattest du direkt im VLAN eine Bandbreite von ca. 228 Mbits/sec gemessen und jetzt über den VPN-Tunnel nur noch ca. 165 Mbits/sec, was dafür spricht, dass du innerhalb des Netcup-Netzwerks nicht wirklich einen Bandbreiteneinbruch hast. Denn die niedrigere Bandbreite von ca. 165 Mbits/sec kommt eher durch die Verschlüsselung des VPN-Tunnels.
Jetzt würde ich an deiner Stelle die Bandbreite zwischen dem VPN-Server und dem Rechner Zuhause erneut messen und mir die CPU-Auslastung des VPN-Servers und des Routers Zuhause bzw. des Geräts, über dem die VPN-Verbindung aufgebaut wird, genauer wehrend der Messung anschauen.