OpenVPN-Host zu Netz Geschwindigkeiten

Das schwierige Thema VPN!
Post Reply
m86m
Posts: 132
Joined: September 15th, 2010, 2:47 pm

OpenVPN-Host zu Netz Geschwindigkeiten

Post by m86m » January 17th, 2019, 11:03 am

Hallo,

ich habe mehrere Surface mit OpenVPN Client an unser lokales Netz angebunden.

Beide Internetanschlüsse verfügen über 200MBits Up- und Download. Die Router und IPFIRE haben Gigabitports.

Leider sind die Zugriffe auf dem Dateiserver sehr langsam. Das Öffnen von normalen Excel und Word Dateien (wenige MB) dauer sehr lange. Kopieren zwischen Client und Server ebenfalls.

Gibt es im Forum Erfahrungen zu dem Thema?

Gruß Moritz

fredym
Posts: 531
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN-Host zu Netz Geschwindigkeiten

Post by fredym » January 17th, 2019, 4:25 pm

Hallo,
die Surfaces hängen auch an 200Mbits direkt ?

welchen Durchsatz hast du an den Gigabitports gemessen ? (alle)
welchen Durchsatz hst du zwischen deinen beiden Internetanschlüssen gemessen und wenn ja, mit welcher Paketgröße ?

"Wer" liefert dir deine Files und mit welcher packlen ?

Hm ja.. und du hast den VPN-Server natürlich für pacLen ohne overhead auch optimiert...

Fred

m86m
Posts: 132
Joined: September 15th, 2010, 2:47 pm

Re: OpenVPN-Host zu Netz Geschwindigkeiten

Post by m86m » July 23rd, 2019, 7:21 am

Hallo nochmal,

hat leider etwas länger gedauert und mein Einsatzgebiet hat sich leicht verändert. Ich habe mal weitergetestet.

Speedtest von PC1 und PC2 an beiden Seite misst einen Upload und Download von ca. 200MBit/s
IPerf PC1 zu Ipfire1 500MBit/s
IPerf PC2 zu Ipfire2 950MBit/s
PC1 zu PC2 über OpenVPN 17-18MBit/s

Ich hatte geplant eine NAS zu NAS Sicherung über OpenVPN zu machen aber mit 2MB/s dauert es zu lange...

Im Angang findet ihr die Einstellungen des OpenVPN.
Hm ja.. und du hast den VPN-Server natürlich für pacLen ohne overhead auch optimiert...
Kann ich das im ipfire einstellen? Ich habe die Standardeinstellungen nicht geändert.

Gruß,
Moritz
Attachments
Unbenannt.png

fredym
Posts: 531
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN-Host zu Netz Geschwindigkeiten

Post by fredym » July 23rd, 2019, 1:39 pm

Hallo,

Oha ..ohne Kompression...dadurch wirds nicht schneller !
Ansonsten: welche MTU verwendest du im Carriernetz?, passt die openVPN-MTU dazu ?
(oder hast du es so "klug" eingestellt daß für jedes IP Paket immer zwei übertragen werden müssen, da der Overhead nicht mehr reinpasst...)

Gigabit-Ports ... aber tun können sie es nicht ? ;-)
Angegebene "Meßwege" gehören ggfs. dazu ! (PS nach IPFire 1 bzw IPFire2).. wo gehst du da lang ..und wie kommst du in die Schachtel rein. Auch die Datenmenge/Paketgröße ... (Sprich: kann der zwischenpuffern und dir höhere Werte vorgaukeln)
Datenmengen, mit denen er 5..10 min zu tun hat machen Sinn.
Messen solltest du schon die Strecke direkt (nicht über Client-Umwege) zumal es das IPerf-Paket auch auf der IPFire gibt!
Ich würde auch eher auf TCP setzen - bei UDP merkst du absolut NIX von verlorengegangenen Paketen (instabile n-2-n Tunnel )
Auch wenn UDP theoretisch schneller ist, ist es in der Praxis öfter mal umgekehrt. Sobald dein Provider Pakete unterschiedlich routet, kannst du UDP "in die Tonne treten".

Was werkelt denn da drinnen ?
reichen CPU und RAM für den openVPN-Tunnel ?
Schlüssellänge ? -> so kurz wie möglich, openVPN wechselt eh "aller Nase lang" die Schlüssel.

Fred

m86m
Posts: 132
Joined: September 15th, 2010, 2:47 pm

Re: OpenVPN-Host zu Netz Geschwindigkeiten

Post by m86m » July 23rd, 2019, 3:05 pm

LZO Kompression und MTU auf 1374 sowie 1432 zu setzen hat nichts gebraucht.

Die Verschlüsselung herunter zusetzen auf AES 128bit und SHA1 160bit hat die Geschwindigkeit von 17-18 MBit/s auf 20-21 MBit/s erhöht.

Die CPU an unserem Hauptstandort ist bei 30% Last und der RAM ist zu 50% frei.
Intel(R) Atom(TM) CPU D2500 @ 1.86GHz GenuineIntel GNU/Linux / 4GB RAM

In der Außenstelle CPU Last= 2-4% / RAM 60% frei.
Intel(R) Atom(TM) CPU D2500 @ 1.86GHz GenuineIntel GNU/Linux / 4GB RAM
Attachments
Unbenannt.png

fredym
Posts: 531
Joined: November 14th, 2016, 2:45 pm

Re: OpenVPN-Host zu Netz Geschwindigkeiten

Post by fredym » July 25th, 2019, 8:28 am

m86m wrote:
July 23rd, 2019, 3:05 pm
LZO Kompression und MTU auf 1374 sowie 1432 zu setzen hat nichts gebraucht.

Die Verschlüsselung herunter zusetzen auf AES 128bit und SHA1 160bit hat die Geschwindigkeit von 17-18 MBit/s auf 20-21 MBit/s erhöht.

Die CPU an unserem Hauptstandort ist bei 30% Last und der RAM ist zu 50% frei.
Intel(R) Atom(TM) CPU D2500 @ 1.86GHz GenuineIntel GNU/Linux / 4GB RAM

In der Außenstelle CPU Last= 2-4% / RAM 60% frei.
Intel(R) Atom(TM) CPU D2500 @ 1.86GHz GenuineIntel GNU/Linux / 4GB RAM
Hallo,

SHA1 gilt als kompromittiert
Ansonsten - du hast deine MTU korrekt ermittelt ?
nochmal - UDP ... du bist dir 100% sicher daß dein Provider KEIN Multipathrouting macht :-)
muß man einfach mal mit dem langsameren TCP probieren, das gern auch mal schneller geht!

Tuning ist etwas "fummelig"... MTU soll so bemessen sein, daß die originalen Pakete in einem Stück übertragen werden (incl. VPN Overhead)
Ein Rolle spieölen auch bei der "Rohmessung" die Paketgrößen!


m86m wrote:
July 23rd, 2019, 7:21 am

Speedtest von PC1 und PC2 an beiden Seite misst einen Upload und Download von ca. 200MBit/s
IPerf PC1 zu Ipfire1 500MBit/s
IPerf PC2 zu Ipfire2 950MBit/s
PC1 zu PC2 über OpenVPN 17-18MBit/s
auf einer 200 MBits Leitung dann 500Mbits und 950 Mbits gemessen ... toll!

Ich denke mal irgendwas cacht dort fürchterlich und gaukelt dir was vor.

Wer viel mißt mißt viel Mist ... der Satz kommt nicht von ungefähr !
Bei trödeligen CPUs (ATOM) solltest du auch keine Wunder erwarten (ohne extra nachgesehen zu haben -> 1 Kern wird benutzt)

Auch als Test: man baue einen ssh-Tunnel zwischen (leistungsfähigeren)Endgeräten und messe dort mit IPerf

Alternativ - versuchs mal mit Virtualisiereung von entfernten PCs und guter komprimierter Übertagung (KVM)

Fred
ps: hab mich lange mit ähnlichen Problemen rumgeschlagen und am Ende eine Konfiguration gefunden - die "wahrscheinlich" war -> sprich: 20..30 % Verlust ist anzunehmen .

Post Reply