abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
Aktuelle Eilmeldungen

TV: Kabelfernsehen wird Mietersache. Jetzt handeln!
Deine Störung ist nicht dabei? Dann nutz unseren Störungsfinder!

1

Frage

2

Antwort

3

Lösung

OpenVPN Site-to-Site langsam im Upstream
rv112
Datenguru
Datenguru

Hallo!

Auch ich bin in der glücklichen Situation Eltern zu haben die ihre neue Technik lieben, aber hin und wieder "ein kleines Problem" damit haben 🙂 Um hier mal eine unkomplizierte Lösung zu finden, habe ich nun eine dauerhafte Site-to-Site VPN aufgebaut.

Das Setup ist recht simpel, beide Netze sind nativ mit IPv4 angebunden. Bei meinen Eltern läuft ein 1&1 VDSL 50/10 Anschluss.

(Meine) pfSense - Modem - - - Internet - - - Fritzbox 7490 - (Eltern) pfSense.

Warum macht man sowas? Ja, weil die Fritzbox neben einer monatlichen Gebühr, auch DECT und Wifi zur Verfügung stellt. Längerfristig wird das alles ersetzt, aber die aktuelle Situation ist nun eben die. Die pfSense meiner Eltern hängt nur mit ihrem WAN Port an der Fritzbox und wird statisch mit der 192.168.178.100 mit Daten versorgt. Genauer wird dort nur der OpenVPN Port weitergeleitet. Die pfSense baut den Tunnel zu mir auf und routet alles mit Ziel zu meinem Netz hindurch. In der Fritzbox ist dazu natürlich eine statische Route hinterlegt. Soweit, so normal. Es funktioniert alles.

ABER:

Der Upload zu meinen Eltern ist quälend langsam und inkonsistent. Meist erreiche ich nur zwischen 5-10 MBit/s. Natürlich habe ich das Setup zuvor hier lokal getestet. Die schwächere pfSense meiner Eltern machte hier 80 MBit/s netto TCP. TCP wie UDP bringen hier keinen Unterschied, auch ob AES128 oder AES256, ob SHA256 oder SHA512. Egal ob MSS Clamping, ob MTU Reduzierung (man klammert sich ja an allem fest). Es ändert nichts daran, der Upstream ist langsam ins 1&1 Netz. Umgekehrt ist der Download vom 1&1 Netz zu mir "voll" da (mehr als 10 MBit/s schafft der Anschluss nicht). Ebenfalls ist er sehr konstant.

Das ganze sieht dann so aus:

Unbenannt.JPG



Interessant ist nun, knallt man mehrere parallele Streams rein, steigt die Bandbreite ein wenig:

Unbenannt2.JPG



Kann das jemand bestätigen? Betrifft es vielleicht nur das Routing ins 1&1 Netz? Mittels iPhone und Vodafone Netz, verbinde ich mich via IPsec. Hier sind die 50 MBit/s Upload relativ konstant da.

3 Antworten 3
reneromann
SuperUser
SuperUser

Hast du mal die Puffergrößen angepasst? Also

sndbuf <Wert in Byte>

rcvbuf <Wert in Byte>

in der OpenVPN-Konfiguration auf Server und Client entsprechend der Leitung angepasst und gesetzt?

Ohne passende Werte wirst du kaum mehr als 5..10 MBit/s im Durchsatz erzielen - schlichtweg weil die Standard-Buffer zu klein sind.

 

Hintergrund: Eben jene Puffer werden verwendet, um im Zweifel bei fehlender Paketbestätigung die Daten nochmal übertragen zu können. Wenn aber die Multiplikation aus der Roundtriptime (Ping) mit der zu erzielenden Bandbreite größer als die Standardpuffer sind, dann sendet OpenVPN den kompletten Pufferinhalt und wartet mit den nächsten Daten solange, bis dieser Pufferinhalt bestätigt wurde. Währenddessen gehen dann keine Daten über die Leitung.

 

Nur um da mal eine Vorstellung über die notwendigen Puffergrößen zu bekommen:

50 ms Ping und 10 MBit/s => 0,5 MBit Puffer (=> 64 kB Puffer reichen aus).

Bei 100 ms Ping und 50 MBit/s im Upload hingegen sind das dann aber schon 5 MBit (=> 640 kB Puffer). Wenn du auf Nummer Sicher gehen willst und der VPN-Server sowie der VPN-Client genug Speicher haben, würde ich den Geräten eher in der Größenordnung von 4..16 MB an Puffer geben, gerade um auch mal Ping-Spikes ausgleichen zu können.

Ich habe hiermit schon hantiert, ja. Aber ohne Erfolg. Hast Du einen Tipp, welche Werte ich nutzen sollte? Ich verstehe nicht, wieso im Download kein Problem besteht, sondern lediglich der Upload über den Tunnel Probleme macht.

Ich meine auch mit 1-2 MB schon getestet zu haben, ohne großen Erfolg. Ich werde es später noch mal testen.

 

Was ist von UDP Fast-IO zu halten? Gefühlt läuft es damit schlechter, daher habe ich es aktuell inaktiv. Ebenso kein MSS gesetzt. Hier noch ein Tipp?

 

PS: über die VDSL Leitung von o2 flutscht es wunderbar, es liegt also definitiv an der Vodafoneleitung.

Heute läuft der Tunnel im Upload noch schlechter. Umgekehrt nach wie vor stabil besser:

 

Unbenannt.JPG