VPN / Wireguard - Internetspeed

KrisAusEU · 17. Juni 2022

Nabend zusammen,

ich habe mir heute ein VPN eingerichtet, um zukünftig auch von unterwegs in mein kleines Heimnetz zu kommen. Sind nur 2 PCs, 1 Drucker und drei RPi4, also überschaubar. die kennen sich jetzt unter 10.7.0.x

Ich habs zuerst mit OpenVPN versucht, aber das lief nicht ganz rund. Webseiten wurden nur zur Hälfte geladen usw. Nutze jetzt Wireguard, bis jetzt alles gut.

Aber mal zur eigentlichen Frage: Normal habe ich hier ca. 120 MBit/s Internet, über VPN noch ca. 50.. Stört mich im Prinzip nicht, aber interessiert mich trotzdem.. Ich denke, wegen der Verschlüsselung? Nur dann verstehe ich nicht, dass sich die 8 Kerne des Servers auch bei Speedtests bei 2-3% Auslastung langweilen und auch meine Rechner zuhause ganz entspannt sind. Und an den 2,5 GBit bei netcup wird es ja auch nicht liegen.

Und wegen dem Drucker (der natürlich von sich aus kein Wireguard kann) - ich hätte noch einen RPi2B hier.. da CUPS drauf und davor?

Gruß, Kris

Virinum · 17. Juni 2022

Zum Geschwindigkeitsproblem kann ich nicht so viel sagen. Bei mir kommen über WireGuard von meinen eigentlich 100 MBit/s 98 an. Da kann ich mich nicht beklagen.

Hast du mal mehrere Speedtests bzw. verschiedene Speedtest-Server probiert?

Oder mal komplett ohne WireGuard einen Speedtest von deinem netcup-Server gemacht?

Bezüglich des Druckers – mein Setup zu Hause sieht so aus, dass ein RPi Verbindungen zu meinen Servern aufbaut und in der Fritzbox eine Route eingetragen ist, die das WireGuard-Subnetz an den RPi leitet.

Bei diesem habe ich natürlich IP-Fowarding aktiviert und die WireGuard-Config auf dem RPi sieht so aus:

Code

PostUp = iptables -A FORWARD -i eth0 -j ACCEPT
PostUp = iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PostUp = ip6tables -A FORWARD -i eth0 -j ACCEPT
PostUp = ip6tables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
PreDown = iptables -D FORWARD -i eth0 -j ACCEPT
PreDown = iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE
PreDown = ip6tables -D FORWARD -i eth0 -j ACCEPT
PreDown = ip6tables -t nat -D POSTROUTING -o wg0 -j MASQUERADE

Auf den Servern steht bei AllowedIPs mein Heim-Subnetz.

KrisAusEU · 17. Juni 2022

die 120 bzw. 50 MBit sind die meiner Zuhause-Internetverbindung.. Speedtests mache ich immer mehrfach - fast.com , wieistmeineip und speedtest.net

Die Speedtests vom netcup-RS sind immer so zwischen 2 und 2,4 GBits

Zuhause im Router brauche ich nichts eintragen, mangels öffentlicher IP - aber durch das VPN ist ja jetzt die IP meines Netcup-Servers die öffentliche, intern ist es dann 10.7.0.xx - sollte doch klappen?!

femur · 17. Juni 2022

Der Wireguard-Tunnel zwischen einem RPi 2B und dem Server hier bei Netcup erreicht 89.5 Mbits/s, gemessen mit iperf3. Die CPU-Auslastung steigt allerdings alleine durch den Benchmark auf 47% an.

KrisAusEU · 17. Juni 2022

Mal in beide Richtungen..

Code

Server listening on 5201
-----------------------------------------------------------
Accepted connection from 10.7.0.2, port 52595
[  5] local 10.7.0.1 port 5201 connected to 10.7.0.2 port 52596
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  1.01 MBytes  8.45 Mbits/sec
[  5]   1.00-2.00   sec  1.23 MBytes  10.3 Mbits/sec
[  5]   2.00-3.00   sec  1.10 MBytes  9.25 Mbits/sec
[  5]   3.00-4.00   sec  1.08 MBytes  9.03 Mbits/sec
[  5]   4.00-5.00   sec   977 KBytes  8.00 Mbits/sec
[  5]   5.00-6.00   sec  1.10 MBytes  9.21 Mbits/sec
[  5]   6.00-7.00   sec  1.14 MBytes  9.53 Mbits/sec
[  5]   7.00-8.00   sec  1.13 MBytes  9.45 Mbits/sec
[  5]   8.00-9.00   sec  1002 KBytes  8.21 Mbits/sec
[  5]   9.00-10.00  sec   977 KBytes  8.00 Mbits/sec
[  5]  10.00-10.21  sec   213 KBytes  8.37 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.21  sec  10.9 MBytes  8.94 Mbits/sec                  receiver
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
^Ciperf3: interrupt - the server has terminated
Connecting to host 10.7.0.2, port 5201
[  5] local 10.7.0.1 port 45810 connected to 10.7.0.2 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  4.17 MBytes  35.0 Mbits/sec    0    346 KBytes
[  5]   1.00-2.00   sec  3.86 MBytes  32.4 Mbits/sec    0    346 KBytes
[  5]   2.00-3.00   sec  3.62 MBytes  30.3 Mbits/sec    0    346 KBytes
[  5]   3.00-4.00   sec  3.92 MBytes  32.9 Mbits/sec   31    242 KBytes
[  5]   4.00-5.00   sec  4.29 MBytes  36.0 Mbits/sec    0    242 KBytes
[  5]   5.00-6.00   sec  3.43 MBytes  28.8 Mbits/sec    0    242 KBytes
[  5]   6.00-7.00   sec  3.74 MBytes  31.4 Mbits/sec    0    242 KBytes
[  5]   7.00-8.00   sec  3.07 MBytes  25.7 Mbits/sec    0    242 KBytes
[  5]   8.00-9.00   sec  3.92 MBytes  32.9 Mbits/sec    0    242 KBytes
[  5]   9.00-10.00  sec  4.29 MBytes  36.0 Mbits/sec    0    242 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  38.3 MBytes  32.1 Mbits/sec   31             sender
[  5]   0.00-10.00  sec  37.5 MBytes  31.5 Mbits/sec                  receiver

Alles anzeigen

Virinum · 17. Juni 2022

Zitat von KrisAusEU

die 120 bzw. 50 MBit sind die meiner Zuhause-Internetverbindung.. Speedtests mache ich immer mehrfach - fast.com , wieistmeineip und speedtest.net

Aber hast du mal die Verbindung von Zuhause <-> netcup-Server ohne WireGuard gemessen?

Zitat von KrisAusEU

Zuhause im Router brauche ich nichts eintragen, mangels öffentlicher IP

Das hat nichts mit öffentlicher IP zu tun. In meinem Setup ging’s darum, dass jedes Gerät in meinem Heimnetz mit dem WireGuard-Netzwerk kommunizieren kann.

Da meine Fritzbox eh der Default-Gateway von jedem Gerät in meinem Heimnetz ist, routet die Fritzbox Pakete für das WireGuard-Subnetz an den RPi, der dann den zentralen Gateway zum WireGuard-Netz darstellt.

KrisAusEU · 17. Juni 2022

Zitat von Virinum

Aber hast du mal die Verbindung von Zuhause <-> netcup-Server ohne WireGuard gemessen?

geht ja nicht, nur in eine Richtung.. mangels IP.. jetzt grade:

Code

Server listening on 5201
-----------------------------------------------------------
Accepted connection from 109.42.177.56, port 20205
[  5] local xx.xxx.166.111 port 5201 connected to 109.42.177.56 port 4505
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec  1.00 MBytes  8.39 Mbits/sec
[  5]   1.00-2.00   sec  1.05 MBytes  8.78 Mbits/sec
[  5]   2.00-3.00   sec  1.09 MBytes  9.14 Mbits/sec
[  5]   3.00-4.00   sec  1.11 MBytes  9.32 Mbits/sec
[  5]   4.00-5.00   sec  1015 KBytes  8.32 Mbits/sec
[  5]   5.00-6.00   sec   913 KBytes  7.48 Mbits/sec
[  5]   6.00-7.00   sec   983 KBytes  8.05 Mbits/sec
[  5]   7.00-8.00   sec   943 KBytes  7.72 Mbits/sec
[  5]   8.00-9.00   sec   957 KBytes  7.84 Mbits/sec
[  5]   9.00-10.00  sec   984 KBytes  8.06 Mbits/sec
[  5]  10.00-10.24  sec   218 KBytes  7.39 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.24  sec  10.1 MBytes  8.29 Mbits/sec                  receiver
-----------------------------------------------------------
Server listening on 5201
-----------------------------------------------------------
^Ciperf3: interrupt - the server has terminated

Alles anzeigen

femur · 17. Juni 2022

Für die andere Richtung kannst du das Flag -R nutzen:

Code

iperf3 -c ziel.host -R -P 3

Außerdem könntest du auch mit mehreren Verbindungen gleichzeitig testen, manchmal bringt das was. Dazu ist der Parameter -P da.

KrisAusEU · 17. Juni 2022

Danke, wieder was gelernt.

Dann liegt es doch an meiner LTE-Verbindung. Der Speed schwankt halt je nach Tageszeit sehr, zum Glück nie unter 40-50 MBits.. grad nochmal iperf3 mit und ohne Wireguard gemacht. beide Test um die 50 MBits rum.