Langsame Geschwindigkeit Site-to-Site-VPN OPNsense (Wireguard)

  • Guten Abend,


    der Titel beschreibt das Problem bereits.


    Ich habe eine VPN Site-to-Site-Verbindung zwischen meinem heimischen Netzwerk und dem Netcup VLAN (100 Mbit/s). An beiden Enden fungiert jeweils eine OPNsense VM and Endpunkt. Das funktioniert grundsätzlich auch prima. Nur lässt die Geschwindigkeit stark zu wünschen übrig. Wenn ich Dateien kopiere, bekomme ich idR weniger als 5-6 MB/s, also ca. 25-30 Mbit/s, wobei dies stark schwankt und kurzzeitig auch bis ca. 1 MB/s runtergeht. Ähnliche Werte bekomme ich auch, wenn ich über iperf die OPNsense (Netcup-Seite) von Zuhause aus anspreche.


    Zuhause habe ich 1 Gbit/s DL und 50 Mbit/s UL. Wenn ich nun eine Datei von Netcup nach Hause kopiere, wäre das nach meinem Verständnis ein Download. Die niedrigste Rate wäre dann das VLAN mit 100 Mbit/s. Dann wäre ich bei 70-80 % Geschwindigkeitsverlust. Selbst wenn die 50 Mbit/s der limitierende Faktor wären, wären es etwa 50 % Verlust. Das kann wohl kaum ein gewöhnliches Verhalten sein. In die andere Richtung ist die Geschwindigkeit aber ähnlich. Sie ist insgesamt recht wenig konstant - graphisch eine Berg- und Talfahrt.


    Ich habe schon ein paar Dinge ohne Erfolg probiert und möchte eigentlich nicht weiter im Dunkeln herumtappen. Auch möchte ich ungerne für 6 Monate ein schnelleres VLAN bestellen, nur um dann zu merken, dass dies hiermit nichts zu tun hat. Daher möchte ich gerne fragen, ob es ggf. Netcup-spezifische Erfahrungen dieses Szenarios gibt.


    Was ich ausschließen kann, ist jedenfalls die CPU auf beiden Seiten. Die ist maximal bei 25-30 %, eher weniger.


    Was ich zumindest versucht habe:


    - hw.ibrs_disable under System->Settings-> Optimierungen auf "1"

    - Schnittstellen->Einstellungen: CRC, TSO and LRO deaktiviert

    - MTU auf 1400 oder 1300 auf Wireguard-Schnittstelle


    Ich habe hier im Forum gelesen, dass man das Parent-Interface in der OPNsense aktivieren soll. Was genau das bedeuten soll, ist mir aber nicht klar.


    Ggf. auch noch wichtig: Zuhause bin ich über Vodafone Kabel, d.h. wohl DS Lite, angebunden. Dies kann wohl auch eine Rolle spielen.


    Ich weiß mittlerweile, dass es hier leider hunderte Gründe geben kann. Jede Hilfe ist willkommen.

  • Nur kurz zum Vlan wenn ich mich nicht täusche kannst du, dass ganz normal innerhalb von 14Tagen widerrufen.

    (Ausser es handelt sich um Business Account)

  • Das müsste eigentlich so sein. Ich sehe auch keinen Ausschluss des Widerrufsrechts. Interessant ist aber, dass es keine Widerrufsbelehrung gibt und auch nirgends ein Hinweis existiert.


    Ich habe es jetzt einfach mal auf den nächsthöheren Tarif upgegradet. Allerdings hat das scheinbar nichts gebracht. Oder muss ich hier erst einmal die VMs neu starten oder dergleichen?

  • Wenn es sich um das VLAN Produkt handelt, mit dem man auch die vServer bei NC verbinden kann, dann musst du das im Server Control Panel erst einstellen. Ich hab mal vom VLAN Free auf das VLAN 1 GBps geupgradet und dafür ein neues VLAN im Control Panel angezeigt bekommen. Das muss dann entsprechend auch auf dem NC vServer eingebunden und eingerichtet werden.

  • Wie sieht deiner Serverlast aus?
    Mein VPS Karneval schafft durch ein Wireguard auch nur 60-80 Mbit.
    Wurde mir einem Upgrade auf eine neue Version besser und durch spielen an der MTU auch.

    Evt. ist bei dir die CPU der limitierende faktor? Ach wenn ich nichts von Verschlüsselung lese.

  • Ohne weitere Informationen zum Aufbau des Netzes werden wir nicht helfen können. Erste Frage: Nutzt du die Kernel-Version von Wireguard oder die Userspace Version? Wie ist das Routing ins VLAN realisiert? NAT? Vollwertig? Wie ist die Auslastung des Netcup Rechners? Wie schnell ist die Internetverbindung zwischen deinem Heimnetz und dem Netcup Rechner? Wie ist OpenSense in deinem Netcup Rechner realisiert? EIn Conttainer?


    Ich erreiche mit einem RS 2000 locker 100 MBit/s über Wireguard ins VLAN des RS. Wiregaurd läuft native im Kernel-Modus auf dem RS und kein NAT Routing zwischen den Instanzen (VLAN IPs sind im Allowed Net).

  • Habe das Problem auch mit Kabel und 500er Leitung. Nutze ebenfalls opnsense und wireguard.

    Habe mal einen Test zwischen netcup und dem roten H gemacht, gab volle Geschwindigkeit.

    Zu mir ins Büro über Kabel dann wieder lahm, zu beiden Providern.

    Ich bin kein Netzwerkprofi, aber es könnte an UDP und Traffic Shaping seitens des Providers liegen. Die Kabelmodems kommunizieren intern über UDP Layer 3. Damit die Verwaltung des Netzwerks sichergestellt bleibt, gibt es meistens eine Drosselung der eingehenden Daten.


    Dazu gibt es einen interessanten Artikel

    https://vpntester.org/blog/internet-drosselung-bei-vodafon-kabel-fuer-vpn-services-umgehen/


    Ich persönlich habe mich damit abgefunden.

  • Dazu gibt es einen interessanten Artikel

    https://vpntester.org/blog/int…uer-vpn-services-umgehen/

    Ich hab selten einen Artikel gelesen, in dem so viele grundlegende Fehler drin sind, wie der. Beispiel:

    Zitat
    OpenVPN UDP Daten sind Layer3 basiert und da dies für die Verwaltung des Netzwerkes selbst relevant ist, werden die Rückdaten von OpenVPN meistens bewusst gedrosselt um übermässige Nutzung die die Verwaltung des DOCSIS Netzwerkes beeinflussen würde zu vermeiden.OpenVPN TCP Daten sind Layer2 basiert und entsprechen damit meistens einer anderen Übermittlungsmethodik im Netzwerk. In vielen Fällen ist daher OpenVPN mit TCP schneller als über UDP.

    UDP und TCP arbeiten beide auf Layer 4. Bei TCP können sich die Congestion Control der Payload und der Übertragungsebene ins Gehege kommen und sich gegenseitig beeinflussen: Das ist keinesfalls bedingungslos zu empfehlen.

    Zitat

    Mit OpenVPN sind üblicherweise nie mehr als 350MB/s nutzbar, nur in Ausnahmen auch bis zu 400MB/s, was an der Architektur des Protokolles „OpenVPN“ selbst liegt.

    Bei der Aussage kann man echt nur weglaufen. Ob und wie schnell OpenVPN nutzbar ist, hängt von vielen Faktoren ab, vor allem aber von der Rechenleistung der Endpunkte und der Geschwindigkeit der Übertragungsstrecke. Auf 2.5 GBIt/s Verbindungen lassen sich mehr als 350 oder 400 MBIt/s erreichen, auch mit OpenVPN.


    Ich bin kein Netzwerkprofi, aber es könnte an UDP und Traffic Shaping seitens des Providers liegen. Die Kabelmodems kommunizieren intern über UDP Layer 3. Damit die Verwaltung des Netzwerks sichergestellt bleibt, gibt es meistens eine Drosselung der eingehenden Daten.

    Davon höre ich zum ersten Mal. Ich kann es allerdings auch nicht vollständig ausschließen. Fakt ist jedenfalls, dass der Zusammenhang in dem Artikel vollkommen falsch dargestellt wird: Das ist einfach nur Bullshit. Wenn die Ursache für langsame VPN Verbindungen wirklich in der Signalisierung der Kabelmodems liegt, dann müssten die anderen Dienste wie TCP ja auch betroffen sein. Oder warum sollte man nur UDP ausbremsen, wenn jede TCP Verbindung die Modem-Signalisierung dann ausbremst? Das macht ja gar keinen Sinn. Außerdem zeigen seine Messungen über VPN gut 100 MBit/s auf einer 1 GBIt/s Verbindung: Wenn 90% der Leitung für Signalisierung draufgehen, dann geht aber irgendwas schief ...


    Ganz ehrlich: Der Artikel ist vollkommen substanzlos. Das ist in dieser Form einfach nur Quatsch. Ich könnte zig weitere Argumente finden, wo Dinge in diesem Artikel einfach nachweislich falsch beschrieben werden. Deshalb glaube ich auch nicht an einen Einfluss der Signalisierung auf die UDP Datenraten. Jedenfalls nicht in der Größenordnung.

  • Zwischen den Rechenzentren ist es schnell. Zu meiner Wohnung in Spanien (Glasfaser) ist es schnell. Nur im Büro oder zuhause in D (beides Kabel) ist es langsam. Egal ob Provider- oder eigenes Kabelmodem.

    Außer die MTU zu verändern kann ich ja wenig machen. Hat leider nichts gebracht.

  • Nur im Büro oder zuhause in D (beides Kabel) ist es langsam. Egal ob Provider- oder eigenes Kabelmodem.

    Ich will gar nicht ausschließen, dass es im Kabel-Internet ein Problem gibt. Aber so, wie es im Artikel beschrieben wurde, ist es einfach nur grober Unfug. Da müsste man sich genauer ansehen, was schief geht.


    Außer die MTU zu verändern kann ich ja wenig machen. Hat leider nichts gebracht.

    Das sehe ich komplett anders. Bei Wireguard ist die Einflussnahme zwar begrenzter, dennoch gibt es auch da Ansätze abseits der MTU. Bei OpenVPN sind die Konfigurationsmöglichkeiten schier unendlich - allein die Kombinationen aus den verschiedenen Algorithmen, Topologien und Transportprotokollen erlauben tausende Konfigurationen mit Einfluss auf die Performance.

  • Dazu gibt es einen interessanten Artikel

    https://vpntester.org/blog/int…uer-vpn-services-umgehen/

    Ich hab jetzt gerade noch mal in einer freien Minute in den Artikel geschaut: Der meint gar nicht VPN im eigentlichen Sinne. Der redet von NordVPN und diesen komischen Proxy-Alternativen und ähnlichen Bauernfängern. Wenn es da Probleme im Kabelnetz gibt, dann hat das Millionen Gründe, aber mit Sicherheit nicht irgendwelche Signalisierungsdaten zwischen den Kabelmodems.


    Je mehr ich davon lese, desto mehr regt der mich auf:

    Zitat

    IPsec/IKEv2 wird wie SSL Datenverbindungen (Webseiten gehandhabt. Da aber auch Downloads eine hohe Datenlast erzeugen können, werden diese Daten üblicherweise bis zu einem erlaubten reservierten Maximum durchgelassen. Daher sind Beschränkungen meistens nur dann vorhanden, wenn zu viele Teilnehmer dieses Protokoll parallel verwenden oder zur selben Zeit auch Streaming von Netflix oder anderen Portalen verwenden.

    Damit haben OpenVPN Nutzer gewonnen. Denn OpenVPN macht nichts anderes, als eine SSL Verbindung aufzubauen und darüber den Traffic zu tunneln. Demnach müsste VPN im Kabelnetz von allen Diensten am besten funktionieren. =O


    Ich könnte jetzt noch seine Beispielrechnung auseinandernehmen, die mit den 50 TV Programmen und den Management Daten usw, aber ich lasse es lieber, im Sinne meiner Gesundheit.


    Vergiss alles, was du je aus diesem Artikel mitgenommen hast. Wer auch immer das geschrieben hat: Er hatte wirklich überhaupt keine Ahnung. Aber wirklich so überhaupt nicht.

  • aus Erfahrung: es gibt bei Kabel Deutschland / Vodafone Kabel seit jeher Geschwindigkeitsprobleme mit UDP VPNs

    Das mag ja sein, das bestreite ich ja auch gar nicht. Man müsste halt schauen, woran es genau liegt.


    Die Frage ist: Ist das wirklich ein VPN im eigentlichen Sinne, oder so ein Dienst wie NordVPN. Wenn es um NordVPN etc. geht, dann kommen halt Peering Effekte zum tragen. Ich hab gestern mal gegoogelt, und konnte keine Belege oder Threads finden, die von einem generischen Problem bei Wireguard oder OpenVPN berichteten. Von NordVPN und Konsorten allerdings viele.Für mich sieht das im Moment so aus, als ob man da mal wieder klassisch am Problem vorbei diskutiert.

  • Die Diskussion ist ja schon sehr lebhaft. Das freut mich.


    Ich kann mich aus Zeitgründen leider nur sporadisch mit der Sache befassen, ich denke aber, dass es weder ein VPN/Wireguard-Problem noch ein Problem meines heimischen Anschlusses ist.


    Diese These stütze ich auf folgende Beobachtungen:


    - Der Download einer Datei vom Netcup-Server hinter der OPNSense (während ich über OpenVPN - habe ich als Access Server auch auf der OPNSense - verbunden bin) in einem öffentlichen WLAN mit entsprechend guter Bandbreite liefert ähnliche Ergebnisse,

    - Der Download einer Datei aus dem Web (H...r-Testdatei) direkt auf den Server per RDP liefert ähnliche Ergebnisse.

    - Das Kopieren von Dateien innerhalb des VLANs, also ohne Umweg über die OPNSense, liefert bessere Ergebnisse.


    Da ich zweiten Fall VPN keine Rolle spielt, aber die OPNSense als Tor zur Außenwelt fungiert (primäre NIC auf den anderen Servern deaktiviert), müsste es nach meinem Verständnis an generellen Einstellungen oder Problemen dort liegen. Ergibt diese Annahme Sinn? Dann könnten wir uns bei der Problemsuche hierauf beschränken.

  • Na dann fange ich 'mal an:


    Homwer: Die Severlast ist kein Thema, wie ich in meine Anfangspost schrieb. Hieran kann es nicht liegen. Diese bewegt sich im unteren Drittel oder Viertel. Über 60-80 MBit/s wäre ich ja schon froh.


    frank_m:


    1. Woher weiß ich, ob ich die userspace oder die kernel Version bzw. wo kann ich dies ersehen?

    2. Was genau meinst du mit Routing ins VLAN? Ich schrieb ja, dass die Perfomance-Probleme auch bei einem einfachen Download auf einem Server hinter der OPNsense bei Netcup bestehen. Inwiefern spielt hier Routing eine Rolle? Ich verstehe leider nicht, was genau du meinst. Sofern wir vom Routing vom VPN-Netz ins VLAN reden, werden die Routen durch Eintragung des entfernten Netzwerks doch automatisch von der OPNsense gesetzt? Das klappt ja auch problemlos.

    3. Auslastung s.o., mit top -c während des Kopiervorgangs geprüft.

    4. Schnelligkeit der Internetverbindung: Habe ich doch angegeben. Oder was meinst du?

    5. OPNsense läuft als VM auf einem VPS.


    Noch einmal: Die Performance-Probleme bestehen nicht nur im VPN, sondern generell, sobald Traffic über die OPNsense läuft.

  • 1. Woher weiß ich, ob ich die userspace oder die kernel Version bzw. wo kann ich dies ersehen?

    Du hast es ja mal installiert und musstest dich dabei entscheiden. Das heißt, du solltest es am besten wissen.


    Was genau meinst du mit Routing ins VLAN?

    Machst du NAT Routing? Oder vollwertig? Oder bridged du die Interfaces vielleicht? Sind Filter aktiv, z.B. IP-Blacklisten und wie sind die realisiert? Halt alles rund um IP-Forwarding, IP-Tables, EP-Tables und nftables, was du so eingestellt hast. Da musst du dir ja Gedanken drüber gemacht haben, um zum einen deinen Server zu schützen und zum anderen den Zugriff auf den Windows Server zu realisieren. Unten schreibst du was von VM. Bei VMs hast du ja virtuelle Netzwerke im Host und zur VM, und das VLAN ist ja eine Netzwerkkarte auf dem Host. D.h., dein Routing muss vom Host durch die VM zum VLAN realisiert werden. Wie genau hast du das gemacht?


    5. OPNsense läuft als VM auf einem VPS.

    Als VM? Was kommt als Hypervisor zum Einsatz? Viele VMs lassen sich ja nicht einrichten aufgrund der fehlenden nested virtualization bei Netcup. Das kostet natürlich auch Performance.


    Wenn ich mal mein Bauchgefühl rauslassen darf: Du hast das Routing Setup durch die VM verdaddelt. Dazu passt auch, dass die Performance einbricht, sobald die OpenSense im Spiel ist.

  • Bei Netcup sind doch alles auf KVM basierende VMs? Ich habe hier doch keine dedizierte Maschine. OpnSense wird als eigene DIstribution bzw. fertige Installation angeboten, wenn ich mich richtig entsinne. Es handelt sich nicht um Nested Virtualization.


    Was das Thema Routing betrifft: Ich habe hier nichts weiter gemacht, als OPNsense zu konfigurieren (Schnittstellen, Firewall, Wireguard, OpenVPN). Ich habe selbst keine bestimmten Filter angelegt oder dergleichen.


    Hilft das weiter?


    pasted-from-clipboard.png


    Die OPNsense ist als Gateway auf den anderen Servern bei Netcup eingetragen, auf der zweiten Netzwerkkarte (VLAN), die erste Netzwerkkarte ist deaktiviert.

  • Bei Netcup sind doch alles auf KVM basierende VMs? OpnSense wird als eigene DIstribution bzw. fertige Installation angeboten, wenn ich mich richtig entsinne.

    Ich glaube hier war die Formulierung etwas missverständlich.


    Du meintest bestimmt, dass du OPNsense auf einem VPS installiert hast, korrekt?