Ich würde einfach gerne, bevor ich einen (für mich) nicht ganz so kleinen Aufwand betreibe, sicherstellen, dass ich nicht unnötige Dinge mache. Dazu benötige ich evtl. etwas Zeit und Ruhe. Wie du bemerkt haben dürftest, bewege ich mich weitestgehend auf Neuland. Daher bitte ich um etwas Nachsicht.
Beiträge von Antijurist
-
-
Was ist denn "p -10"? Liest du die Beiträge, die man dir schreibt? Das stand nirgendwo drin. Linux Kommandos ruft man selten auf, indem man einfach Klartext-Worte in die Befehlsoptionen schreibt.
Ich habe mich lediglich vertippt. Ich meinte "-p 10".
-
Ich verstehe leider nicht, was genau du damit meinst.
Hier noch eine Messung (jaja, ich weiß, kein natives iperf):
Code
Alles anzeigenc:\iperf>iperf3.exe iperf -c ÖffentlicheIP -p 4546 Connecting to host ÖffentlicheIPNetcupOPNsense, port 4546 [ 4] local 192.168.132.20 port 62003 connected to XY port 4546 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.01 sec 1.75 MBytes 14.5 Mbits/sec [ 4] 1.01-2.01 sec 1.38 MBytes 11.5 Mbits/sec [ 4] 2.01-3.01 sec 1.88 MBytes 15.7 Mbits/sec [ 4] 3.01-4.01 sec 1.12 MBytes 9.45 Mbits/sec [ 4] 4.01-5.01 sec 896 KBytes 7.31 Mbits/sec [ 4] 5.01-6.01 sec 1.25 MBytes 10.6 Mbits/sec [ 4] 6.01-7.01 sec 1.75 MBytes 14.6 Mbits/sec [ 4] 7.01-8.01 sec 1.00 MBytes 8.35 Mbits/sec [ 4] 8.01-9.01 sec 1.75 MBytes 14.7 Mbits/sec [ 4] 9.01-10.00 sec 1.12 MBytes 9.52 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-10.00 sec 13.9 MBytes 11.6 Mbits/sec sender [ 4] 0.00-10.00 sec 13.7 MBytes 11.5 Mbits/sec receiver iperf Done. c:\iperf>iperf3.exe iperf -c XY -p 46626 -R Connecting to host ÖffentlicheIP, port 46626 Reverse mode, remote host ÖffentlicheIP is sending [ 4] local 192.168.132.20 port 62006 connected to ÖffentlicheIP port 46626 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.00 sec 5.87 MBytes 49.2 Mbits/sec [ 4] 1.00-2.00 sec 7.42 MBytes 62.1 Mbits/sec [ 4] 2.00-3.00 sec 7.69 MBytes 64.8 Mbits/sec [ 4] 3.00-4.01 sec 7.53 MBytes 62.6 Mbits/sec [ 4] 4.01-5.00 sec 7.16 MBytes 60.5 Mbits/sec [ 4] 5.00-6.00 sec 7.02 MBytes 59.0 Mbits/sec [ 4] 6.00-7.00 sec 4.94 MBytes 41.3 Mbits/sec [ 4] 7.00-8.00 sec 7.29 MBytes 61.2 Mbits/sec [ 4] 8.00-9.00 sec 6.98 MBytes 58.6 Mbits/sec [ 4] 9.00-10.00 sec 6.79 MBytes 57.0 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-10.00 sec 68.9 MBytes 57.8 Mbits/sec 1 sender [ 4] 0.00-10.00 sec 68.9 MBytes 57.8 Mbits/sec receiver iperf Done.
-
Ich muss mir also über die Konsole iperf installieren? Das ist damit gemeint? Das über das Webinterface installierte Plugin ist nicht ausreichend?
So wird mir jeweils ein Port zugeteilt. Mit "p -10" komme ich daher aktuell nicht weiter.
-
Erst einmal zur Auslastung während iperf vom Client Zuhause zur LAN-Schnittstelle der Netcup OPNsense: ca. 30-40 % Auslastung.
Auslastung auf der OPNsense Zuhause: ca. 10-20 %
Ich habe kein Gigabit-VLAN, ich habe eine externe Gigabit-Anbindung. VLAN ist 250 MBit/s, also m.E. i.O.
-
Bevor ich das mache: Ich habe es wahrscheinlich schon fünf Mal gesagt, aber selbst ein Download auf eine Maschine bei Netcup ist entsprechend langsam. Damit kann es aus meiner Sicht nicht am VPN Server Zuhause liegen.
Liege ich da falsch?
-
Die letzte Frage verstehe ich nicht. Ich habe innerhalb des VLAN doch überhaupt kein Performance-Problem. Wie kann es da an einem der Clients hier liegen?
Es handelt sich bei dem Client um einen Windows Server, wie man anhand der CMD Eingabe relativ gut erkennen kann.
Was meinst du mit nativer Instanz auf dem Server?
Wenn ich auf die öffentliche IP des Servers messe, kommt die OPNsense nicht ins Spiel. Soll dies dazu dienen auszuschließen, dass auch diese Verbindung Performance Probleme aufweist?
Also ich soll von einem Client Zuhause auf einen Server (über dessen öffentliche IP) bei netcup hinter der OPNsense messen, korrekt?
Die Aussagen/Herangehensweisen von euch beiden widersprechen sich.
-
Und hier mit
Code
Alles anzeigenc:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 14902 -t 10streams Connecting to host 192.168.133.1, port 14902 [ 4] local 10.212.0.6 port 49948 connected to 192.168.133.1 port 14902 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.00 sec 19.6 MBytes 165 Mbits/sec [ 4] 1.00-2.00 sec 17.6 MBytes 148 Mbits/sec [ 4] 2.00-3.00 sec 14.6 MBytes 123 Mbits/sec [ 4] 3.00-4.00 sec 18.2 MBytes 153 Mbits/sec [ 4] 4.00-5.00 sec 21.2 MBytes 178 Mbits/sec [ 4] 5.00-6.00 sec 21.1 MBytes 177 Mbits/sec [ 4] 6.00-7.00 sec 20.5 MBytes 172 Mbits/sec [ 4] 7.00-8.00 sec 20.2 MBytes 170 Mbits/sec [ 4] 8.00-9.00 sec 20.6 MBytes 173 Mbits/sec [ 4] 9.00-10.00 sec 19.9 MBytes 167 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-10.00 sec 194 MBytes 162 Mbits/sec sender [ 4] 0.00-10.00 sec 194 MBytes 162 Mbits/sec receiver iperf Done.
Problem mit der LAN-Schnittstelle oder den Firewallregeln hier?
-
Erstmal ohne VPN ueber die externe IP
Code
Alles anzeigenc:\iperf>iperf3.exe iperf -c extern -p 2210 -t 10streams Connecting to host extern, port 2210 [ 4] local ...externeIPNetcupServer... port 63292 connected to ...externeIPOPNsenseNetcup... port 2210 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.00 sec 57.8 MBytes 483 Mbits/sec [ 4] 1.00-2.00 sec 43.4 MBytes 364 Mbits/sec [ 4] 2.00-3.01 sec 49.8 MBytes 414 Mbits/sec [ 4] 3.01-4.01 sec 42.5 MBytes 356 Mbits/sec [ 4] 4.01-5.00 sec 43.8 MBytes 370 Mbits/sec [ 4] 5.00-6.00 sec 44.9 MBytes 377 Mbits/sec [ 4] 6.00-7.00 sec 57.0 MBytes 478 Mbits/sec [ 4] 7.00-8.00 sec 48.4 MBytes 406 Mbits/sec [ 4] 8.00-9.01 sec 48.1 MBytes 400 Mbits/sec [ 4] 9.01-10.01 sec 57.6 MBytes 483 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-10.01 sec 493 MBytes 413 Mbits/sec sender [ 4] 0.00-10.01 sec 493 MBytes 413 Mbits/sec receiver iperf Done.
-
Die IPs sind hier statisch vergeben. Außerdem ist doch die externe IP auf der primären Karte reserviert oder nicht? Die "LAN-IP" würde er ja über die zweite Karte bekommen.
Ich könnte eventuell die externe IP dieses Servers auf der OPNsense bei den Remote-Netzwerken ergänzen, so wie dort die IP-Range von Zuhause eingetragen ist? Dann müssten beide kommunizieren können?
-
Wie genau soll ich das machen? Dann müsste ich die erste Netzwerkkarte wieder aktivieren (Server per Internet erreichbar), die zweite deaktivieren und dann per OpenVPN den Server bei netcup zur OPNsense bei netcup verbinden?
Wie bekommt er dann die passende statische IP über die erste Netzwerkkarte, damit das alles überhaupt funktioniert?
Oder verstehe ich hier etwas falsch?
-
Hier iperf von einem Server im VLAN im Client-Mode:
Code
Alles anzeigenc:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 52245 -t 10streams Connecting to host 192.168.133.1, port 52245 [ 4] local 192.168.133.5 port 61215 connected to 192.168.133.1 port 52245 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.01 sec 27.4 MBytes 228 Mbits/sec [ 4] 1.01-2.00 sec 25.1 MBytes 213 Mbits/sec [ 4] 2.00-3.00 sec 23.9 MBytes 200 Mbits/sec [ 4] 3.00-4.00 sec 23.2 MBytes 195 Mbits/sec [ 4] 4.00-5.00 sec 24.8 MBytes 208 Mbits/sec [ 4] 5.00-6.00 sec 25.6 MBytes 215 Mbits/sec [ 4] 6.00-7.00 sec 26.0 MBytes 218 Mbits/sec [ 4] 7.00-8.00 sec 24.8 MBytes 208 Mbits/sec [ 4] 8.00-9.00 sec 25.5 MBytes 213 Mbits/sec [ 4] 9.00-10.00 sec 24.9 MBytes 209 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-10.00 sec 251 MBytes 211 Mbits/sec sender [ 4] 0.00-10.00 sec 251 MBytes 210 Mbits/sec receiver iperf Done.
Server mode:
Code
Alles anzeigenc:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 18871 -t 10streams -R Connecting to host 192.168.133.1, port 18871 Reverse mode, remote host 192.168.133.1 is sending [ 4] local 192.168.133.5 port 61266 connected to 192.168.133.1 port 18871 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.01 sec 30.0 MBytes 250 Mbits/sec [ 4] 1.01-2.01 sec 24.6 MBytes 206 Mbits/sec [ 4] 2.01-3.01 sec 26.6 MBytes 223 Mbits/sec [ 4] 3.01-4.01 sec 26.3 MBytes 221 Mbits/sec [ 4] 4.01-5.01 sec 26.6 MBytes 223 Mbits/sec [ 4] 5.01-6.00 sec 26.2 MBytes 221 Mbits/sec [ 4] 6.00-7.00 sec 26.6 MBytes 223 Mbits/sec [ 4] 7.00-8.01 sec 25.6 MBytes 213 Mbits/sec [ 4] 8.01-9.01 sec 27.0 MBytes 226 Mbits/sec [ 4] 9.01-10.01 sec 25.0 MBytes 210 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-10.01 sec 265 MBytes 222 Mbits/sec 352 sender [ 4] 0.00-10.01 sec 265 MBytes 222 Mbits/sec receiver iperf Done.
Hier iperf von einem Client Zuhause im Client Mode:
Code
Alles anzeigenc:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 48697 -t 10streams Connecting to host 192.168.133.1, port 48697 [ 4] local 192.168.132.20 port 59393 connected to 192.168.133.1 port 48697 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.00 sec 2.88 MBytes 24.1 Mbits/sec [ 4] 1.00-2.01 sec 1.62 MBytes 13.5 Mbits/sec [ 4] 2.01-3.02 sec 896 KBytes 7.32 Mbits/sec [ 4] 3.02-4.00 sec 384 KBytes 3.19 Mbits/sec [ 4] 4.00-5.01 sec 640 KBytes 5.21 Mbits/sec [ 4] 5.01-6.01 sec 384 KBytes 3.14 Mbits/sec [ 4] 6.01-7.00 sec 768 KBytes 6.33 Mbits/sec [ 4] 7.00-8.00 sec 640 KBytes 5.26 Mbits/sec [ 4] 8.00-9.01 sec 384 KBytes 3.13 Mbits/sec [ 4] 9.01-10.01 sec 1.00 MBytes 8.39 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-10.01 sec 9.50 MBytes 7.96 Mbits/sec sender [ 4] 0.00-10.01 sec 9.33 MBytes 7.82 Mbits/sec receiver iperf Done.
Server mode:
Code
Alles anzeigenc:\iperf>iperf3.exe iperf -c 192.168.133.1 -p 2575 -t 10streams -R Connecting to host 192.168.133.1, port 2575 Reverse mode, remote host 192.168.133.1 is sending [ 4] local 192.168.132.20 port 59483 connected to 192.168.133.1 port 2575 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.00 sec 2.34 MBytes 19.6 Mbits/sec [ 4] 1.00-2.01 sec 4.01 MBytes 33.5 Mbits/sec [ 4] 2.01-3.00 sec 3.73 MBytes 31.3 Mbits/sec [ 4] 3.00-4.00 sec 2.17 MBytes 18.3 Mbits/sec [ 4] 4.00-5.01 sec 3.16 MBytes 26.3 Mbits/sec [ 4] 5.01-6.01 sec 2.31 MBytes 19.3 Mbits/sec [ 4] 6.01-7.00 sec 2.23 MBytes 18.9 Mbits/sec [ 4] 7.00-8.00 sec 2.81 MBytes 23.6 Mbits/sec [ 4] 8.00-9.00 sec 3.56 MBytes 29.9 Mbits/sec [ 4] 9.00-10.00 sec 3.96 MBytes 33.2 Mbits/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth Retr [ 4] 0.00-10.00 sec 30.5 MBytes 25.6 Mbits/sec 130 sender [ 4] 0.00-10.00 sec 30.4 MBytes 25.5 Mbits/sec receiver iperf Done.
Wie man sieht, ist die Geschwindigkeit über den Tunnel bzw. über die OPNsense (ich kann es nur noch einmal sagen: Downloads vom Web zu den Maschinen bei Netcup haben eine ähnliche Geschwindigkeit) erheblich langsamer.
-
Hier wird es kurz beschrieben: https://www.reddit.com/r/opnse…opnsense_how_do_i_use_it/
-
Die Ergebnisse sind nicht gleich, nur "sehr ähnlich", aber um eine Kommastelle verrutscht! Bei der OPNSense kann das iperf Ergebnis abgelesen werden. Natürlich kann ich auch einen Screenshot von CMD der Gegenstelle jeweils machen oder den Text kopieren.
Die Verbindung im VLAN ist ja zehnfach so schnell.
Ich mache es aber im VLAN mal mit der LAN Schnittstelle und außerhalb mit der WAN Schnittstelle, korrekt? In beide Richtungen dann.
-
-
Hier mal der Test von Zuhause zur OPNsense per iperf:
-
Ich glaube hier war die Formulierung etwas missverständlich.
Du meintest bestimmt, dass du OPNsense auf einem VPS installiert hast, korrekt?
Genau das meinte ich.
-
Bei Netcup sind doch alles auf KVM basierende VMs? Ich habe hier doch keine dedizierte Maschine. OpnSense wird als eigene DIstribution bzw. fertige Installation angeboten, wenn ich mich richtig entsinne. Es handelt sich nicht um Nested Virtualization.
Was das Thema Routing betrifft: Ich habe hier nichts weiter gemacht, als OPNsense zu konfigurieren (Schnittstellen, Firewall, Wireguard, OpenVPN). Ich habe selbst keine bestimmten Filter angelegt oder dergleichen.
Hilft das weiter?
Die OPNsense ist als Gateway auf den anderen Servern bei Netcup eingetragen, auf der zweiten Netzwerkkarte (VLAN), die erste Netzwerkkarte ist deaktiviert.
-
Na dann fange ich 'mal an:
Homwer: Die Severlast ist kein Thema, wie ich in meine Anfangspost schrieb. Hieran kann es nicht liegen. Diese bewegt sich im unteren Drittel oder Viertel. Über 60-80 MBit/s wäre ich ja schon froh.
1. Woher weiß ich, ob ich die userspace oder die kernel Version bzw. wo kann ich dies ersehen?
2. Was genau meinst du mit Routing ins VLAN? Ich schrieb ja, dass die Perfomance-Probleme auch bei einem einfachen Download auf einem Server hinter der OPNsense bei Netcup bestehen. Inwiefern spielt hier Routing eine Rolle? Ich verstehe leider nicht, was genau du meinst. Sofern wir vom Routing vom VPN-Netz ins VLAN reden, werden die Routen durch Eintragung des entfernten Netzwerks doch automatisch von der OPNsense gesetzt? Das klappt ja auch problemlos.
3. Auslastung s.o., mit top -c während des Kopiervorgangs geprüft.
4. Schnelligkeit der Internetverbindung: Habe ich doch angegeben. Oder was meinst du?
5. OPNsense läuft als VM auf einem VPS.
Noch einmal: Die Performance-Probleme bestehen nicht nur im VPN, sondern generell, sobald Traffic über die OPNsense läuft.
-
Die Diskussion ist ja schon sehr lebhaft. Das freut mich.
Ich kann mich aus Zeitgründen leider nur sporadisch mit der Sache befassen, ich denke aber, dass es weder ein VPN/Wireguard-Problem noch ein Problem meines heimischen Anschlusses ist.
Diese These stütze ich auf folgende Beobachtungen:
- Der Download einer Datei vom Netcup-Server hinter der OPNSense (während ich über OpenVPN - habe ich als Access Server auch auf der OPNSense - verbunden bin) in einem öffentlichen WLAN mit entsprechend guter Bandbreite liefert ähnliche Ergebnisse,
- Der Download einer Datei aus dem Web (H...r-Testdatei) direkt auf den Server per RDP liefert ähnliche Ergebnisse.
- Das Kopieren von Dateien innerhalb des VLANs, also ohne Umweg über die OPNSense, liefert bessere Ergebnisse.
Da ich zweiten Fall VPN keine Rolle spielt, aber die OPNSense als Tor zur Außenwelt fungiert (primäre NIC auf den anderen Servern deaktiviert), müsste es nach meinem Verständnis an generellen Einstellungen oder Problemen dort liegen. Ergibt diese Annahme Sinn? Dann könnten wir uns bei der Problemsuche hierauf beschränken.