Eine Randbemerkung: Mehr als 50 MBit/s kannst du mit dem Setup eh nicht erreichen (weil ansonsten die 100/100 vom Server nicht ausreichen - immerhin muss er ja erst die Daten runterladen, dann verpacken und anschließend neu senden).

Und das Problem dürfte wahrscheinlich am Produkt aus Fenstergröße des VPNs und der Round-Trip-Time liegen. Wenn nämlich der Puffer für das VPN zu klein ist, dann verweigert das VPN die Annahme weiterer Daten vom Sender, bis der Empfang der vorherigen Daten vom Empfänger bestätigt wurde. Bei OpenVPN kann man die Puffergröße über die Parameter "sndbuf" und "rcvbuf" beeinflussen - in der Standardeinstellung ist da bei knapp 5..10 MBit/s Schluss - wenn man damit "rumspielt" und die Paramter sinnig anpasst, klappen auch Werte weit jenseits der 100 MBit/s.

Und natürlich muss das VPN-Gateway auch die Rechenpower und die Anbindung aufbingen können.

Ich habe jetzt mal ein wenig rumgespielt.

Mein aktuelles Setup sieht folgendermaßen aus:

l2tp/ipsec Server liegt auf einer Unifi USG (dient als Gateway) -> Fritzbox 6490 (Exposed Host ist die USG eingetragen) -> www

An den MTU Werten habe ich auch schon rumgespielt. Kaum/Keine merkbaren Verbesserungen.

Sobald ich mich von ausen einwähle: Gleiches Shema nur eben Rückwärts.

Damit erreiche ich ca 5-7mbit down und das gleiche beim up.

Meine realen Internet Werte von der 200/50 Leitung ist 200/40-50.

Wenn ich jetzt das Wlan (5Ghz) an der Fritzbox einschalte, mich mit dem ipad verbinde und als vpn Server das Gateway der Unifi USG eintrage, erreiche ich 40mbit down und 15mbit up.

Das würde bedeuten, dass mein Setup soweit i.O. ist. Aber sobald ich mich mit der 100/100 (Real:80/70) Leitung in mein VPN einwähle ist bei max 5-7mbit Schluss. 

Der Fritzbox sollte es doch egal sein, was am WAN ankommt. Die schiebt die Pakete einfach nur weiter Richtung USG Gateway zum VPN Server.

Könnt es evtl am doppelten NAT liegen? Würde es mehr Sinn machen, wenn ich ein Kabelmodem bridge und die USG direkt an das Internet hänge?

Ja, das ist schon im Gange. Die HomeBox ist gekündigt.

Habe mir nun einmal einen OpenVPN Server eingerichtet mit den entsprechenden Buffer Parameter.

Wenn ich vor der Unifi USG (hinter der der VPN Server ist) bin, also in dem Netz der FritzBox, bekomme ich im Download ~160Mbit und 20Mbit im Upload. Folglich bedeutet dies, dass die USG als l2tp/ipsec Server nur 40Mbit Download kann. 

Werde es heute noch mit der 100/100 Leitung und OpenVPN testen.

Also meine Erfahrungen sind da ganz eindeutig. JA, Vodafone beeinflusst den Traffic welcher außerhalb des Schemas ist und dazu zählt dann auch leider der UDP-Verkehr vom IPSEC.

Wir haben 3x Telekom 100/100 MBit Fiber (Geschäftskunden-Anschluss für 700 EUR im Monat Netto). GRE-Tunnel liefert super Werte, abzüglich der MTU-Verkleinerung und des dadurch entstehendne Overheads kommen noch gute 92 MBit in beide Richtungen drüber.

Für IPSEC nutzen wir Hardware mit Encryption Accelleration. Auch hier bekommen wir gute 85 MBit drüber. Durch die Verschlüsslung wird anscheinend der Payload um 10% vergrößert.

Jetzt aber zum interessanten Teil:

Nicht überall haben wir 100/100 von Telekom. Also bedienen wir uns der Leitung von Vodafone Kabel Deutschland. Am Standort haben wir uns für die 500/50 MBit Version entschieden als Business-Variante mit fester und statischer IPv4-Adresse.

Kabelmodem befand sich im BRIDGE-Mode, wir haben die statische IP also auf unserem Router. Exakt wie zuvor haben wir die Leitung entsprechend eingerichtet indem wir nur die LOCAL-IP-ADDRESS geändert haben und auf der Gegenseite die REMOTE-IP-ADDRESS.

Erster Test: < 30 MBit bei GRE

Zweiter Test: < 8 MBit bei IPSEC

Wir halten fest: Wir haben die selbe Hardware verwendet, haben sie von einem 100/100 Fiber-Anschluss der Telekom an ETHER1 abgeschlossen und mit dem Kabelmodem auf ETHER1 wieder verbunden. Wir haben die Konfiguration nur an den IP-Adressen angefasst und das Ergebnis war massiv schlecht!

Jetzt kommt noch das Perfide mit dazu:

Bei unserem GRE-Tunnel wanderte die RTT auf 500-900ms, sobald wir Daten auf der Leitung übertragen haben. Bei IP-SEC blieb die RTT stabil.

Fazit:

Vodafone Kabel Deutschland hat seine Finger im Spiel was die Service-Qualtität unterschiedlicher Protokolle zu tun hat. Es sieht ganz nach dem Fall einer DPI aus, denn auch wenn wir den Port auf 443 stellten (UDPLite) oder auf Port 53 (DNS) war es nicht möglich, aus der Leitung mehr raus zu holen.

Gegentest:

Wir hatten auf unserem Server einen HTTP-Server laufen. Dort haben wir eine 1 Gigabyte große Datei platziert. Wir ladeten die Datei ohne VPN herunter. Ergebnis: 100 MBit/s. Die Leitung ist also frei. Wir konnten unseren Server, welcher an der Telekom-Leitung hing voll auslasten. Sobald wir die VPN aktivierten (egal ob GRE oder IPSEC) schwand die Geschwindigkeit auf ein Minimum.

Kabelmodem vom Fehler ausschließen:

Wir haben das Glück, dass wir Bekannte haben, die für einen ISP arbeiten und dort Zugang zu EuroDOCSIS 3.0 CMTSen haben. Wir nahmen unser CBN Modem mit, schlossen dies an das CMTS an und führten Tests durch. Die gänzliche Bandbreite war verfügbar, wie auch am Glasfaser-Anschluss der Telekom. Wir konnten bis auf die höhere Latenz für die Modulariation des DOCSIS-Signal (8ms) keine Mängel finden.

Ergo:

Vodafone Kabel Deutschland beschneidet Dienste.

IMHO.