5
IPSEC oder OpenVPN über Vodafone bzw. ehemals Unitymedia - Datendurchsatz
Gutem Morgen zusammen,
ich hätte da mal eine Frage in die Runde. Hat jemand von Euch Erfahrungen mit VPN's über Unitymedia bzw. jetzt Vodafone? Wir haben einen Standort über diesen Anbieter angebunden, allerdings macht mir der Durchsatz im VPN etwas zu schaffen. Es besteht ein IPSEC Tunnel vom externen Standort zur Zentrale. In der Zentrale haben wir 600Mbit im Up und Download. Die Außenstelle hat theoretisch 1000Mbits im Download und 50 im Upload.
Ziehe ich vom externen Standort etwas aus der Zentrale, bekomme ich max. 3MB/s Durhsatz. (IPSEC) OpenVPN verhält sich ähnlich.
Mache ich am externen Standort einen Download aus dem Internet, bekomme ich ca. 80MB/s...... also die Bandbreite ist grundsätzlich vorhanden.
Nun der Test vom anderen externen Standort, identische Hardware, VPN terminiert in der Zentrale auf der Firewall. Getestet mit OpenVPN und IPSEC. Aaaaaaaber anderer Provider 100Mbit Download 10Mbit Upload. Daten aus der Zentrale durch den Tunnel übertragen. So ziemlich voller Durchsatz, abzüglich Overhead ,klar. Es gehen ca. 10,5Mb/s durch.
Nun von mir Zuhause getestet, ebenfalls Unity. -> Kein Durchsatz.
Ich habe jetzt extra nichts im Detail zur Hardware etc. geschrieben. Möchte nur Erfahrungen sammeln, ob jemand dieses Konstrukt in ähnlicher Weise hat und bestätigen kann.
Ich habe den Verdacht, Unity / Vodafone shaped da etwas…..
ich hätte da mal eine Frage in die Runde. Hat jemand von Euch Erfahrungen mit VPN's über Unitymedia bzw. jetzt Vodafone? Wir haben einen Standort über diesen Anbieter angebunden, allerdings macht mir der Durchsatz im VPN etwas zu schaffen. Es besteht ein IPSEC Tunnel vom externen Standort zur Zentrale. In der Zentrale haben wir 600Mbit im Up und Download. Die Außenstelle hat theoretisch 1000Mbits im Download und 50 im Upload.
Ziehe ich vom externen Standort etwas aus der Zentrale, bekomme ich max. 3MB/s Durhsatz. (IPSEC) OpenVPN verhält sich ähnlich.
Mache ich am externen Standort einen Download aus dem Internet, bekomme ich ca. 80MB/s...... also die Bandbreite ist grundsätzlich vorhanden.
Nun der Test vom anderen externen Standort, identische Hardware, VPN terminiert in der Zentrale auf der Firewall. Getestet mit OpenVPN und IPSEC. Aaaaaaaber anderer Provider 100Mbit Download 10Mbit Upload. Daten aus der Zentrale durch den Tunnel übertragen. So ziemlich voller Durchsatz, abzüglich Overhead ,klar. Es gehen ca. 10,5Mb/s durch.
Nun von mir Zuhause getestet, ebenfalls Unity. -> Kein Durchsatz.
Ich habe jetzt extra nichts im Detail zur Hardware etc. geschrieben. Möchte nur Erfahrungen sammeln, ob jemand dieses Konstrukt in ähnlicher Weise hat und bestätigen kann.
Ich habe den Verdacht, Unity / Vodafone shaped da etwas…..
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 607645
Url: https://administrator.de/contentid/607645
Ausgedruckt am: 22.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
dürfte wohl generell an diesen IP4overIPv6 Schweinereien von Vodaphone zu liegen... ich krieg mit einem Pulse Secure VPN Tunnel über eine 1000/50 Leitung auch nie mehr als 50 Mbit im Download hin. Ich dachte zunächst, daß unser VPN Server ein Throtteling hätte, oder daß die 200 Mbit brutto von meinem Powerlan der Flaschenhals wären. Aber dein Beitrag deutet eher darauf hin, daß es auf Transportebene ein IPSEC Problem gibt und ich hab diese mauen Datentransferraten auch wenn ich mein Dienstnotebook per Lan Kabel direkt ans Modem anschließe.
Dazu kommt noch daß bei Zielen außerhalb von Vodaphone entweder das Peering zu Fremdnetzen auf ca. 120 Mbit limitiert ist oder die CDN Server dahinter limitiert sind. Es ist mir noch nicht gelungen, von irgendeinem Downloadserver mit einer LAN-Anbindung mehr als 120 Mbit herunterzuladen. Dafür aber 8 parallele Downloads von verschiedenen Quellen mit 1 GBit, und halt Bittorrent, wenn ich zu einem Download mehr als 10 Seeds finde.
Dazu kommt noch daß bei Zielen außerhalb von Vodaphone entweder das Peering zu Fremdnetzen auf ca. 120 Mbit limitiert ist oder die CDN Server dahinter limitiert sind. Es ist mir noch nicht gelungen, von irgendeinem Downloadserver mit einer LAN-Anbindung mehr als 120 Mbit herunterzuladen. Dafür aber 8 parallele Downloads von verschiedenen Quellen mit 1 GBit, und halt Bittorrent, wenn ich zu einem Download mehr als 10 Seeds finde.
... ist das so etwas wie IPSsec LoadBalancing /priorisierung durch den ISP ? (2 Klassen netz etc)?..
(ich hatte versuchsweise ein UNITY VPN aufgesetzt vor vielen Monaten, das ging 1 A, aber Durchsatz etc habe ich nicht gemessen.. :/
(ich hatte versuchsweise ein UNITY VPN aufgesetzt vor vielen Monaten, das ging 1 A, aber Durchsatz etc habe ich nicht gemessen.. :/
Leider schreibst du rein gar nix zur verwendeten VPN Hardware. Sollte das eine billige Consumer Büchse wie die FritzBox sein darfst du dich natürlich über solcherlei Durchsatzraten nicht groß wundern wegen des dort verwendeten schwachbrüstigen SoC Chips.
Es hängt bekanntlich im entscheidenden Maße von der verwendeten Krypto Hardware des VPN Systems ab.
Manche Provider machen ebenso bei einfachen Consumer Anschlüssen ein Rate Limiting auf (aus ihrer Sicht) "Business Funktionen" wie VPN Nutzung auf den klassischen Ports. Ob Vodafone sowas macht werden sie dir aber vermutlich niemals sagen. Ist auch eher selten, denn mit OpenVPN und der Verlegung auf einen Ephemeral Port wie z.B. UDP 51194 z.B. statt des OpenVPN üblichen Ports UDP 1194 würde man sowas leicht aushebeln können.
Fragt sich also speziell auch bei OpenVPN mit welchem UDP Port du das gemessen hast ?!
Ein anderes typisches Problem ist das MTU Handling im Tunnel. Das betrifft insbesondere PPPoE sprich xDSL Anschlüsse da dort eine doppelte Encapsulation passiert. Viele einfache VPN Endgeräte machen kein richtiges MTU Path Discovery so das es zu einem MTU Mismatch und erheblichen Paket Drops mit Retransmissions im VPN Tunnel kommt, da diese Pakete in der Regel nicht fragmentiert werden können.
Das äußert sich dann immer in dem von dir beschrieben lahmar... Durchsatz. Leider auch dazu nix näheres in deiner Beschreibung.
Es hängt bekanntlich im entscheidenden Maße von der verwendeten Krypto Hardware des VPN Systems ab.
Manche Provider machen ebenso bei einfachen Consumer Anschlüssen ein Rate Limiting auf (aus ihrer Sicht) "Business Funktionen" wie VPN Nutzung auf den klassischen Ports. Ob Vodafone sowas macht werden sie dir aber vermutlich niemals sagen. Ist auch eher selten, denn mit OpenVPN und der Verlegung auf einen Ephemeral Port wie z.B. UDP 51194 z.B. statt des OpenVPN üblichen Ports UDP 1194 würde man sowas leicht aushebeln können.
Fragt sich also speziell auch bei OpenVPN mit welchem UDP Port du das gemessen hast ?!
Ein anderes typisches Problem ist das MTU Handling im Tunnel. Das betrifft insbesondere PPPoE sprich xDSL Anschlüsse da dort eine doppelte Encapsulation passiert. Viele einfache VPN Endgeräte machen kein richtiges MTU Path Discovery so das es zu einem MTU Mismatch und erheblichen Paket Drops mit Retransmissions im VPN Tunnel kommt, da diese Pakete in der Regel nicht fragmentiert werden können.
Das äußert sich dann immer in dem von dir beschrieben lahmar... Durchsatz. Leider auch dazu nix näheres in deiner Beschreibung.
Huuuuu Moin,
okay... dann schreibe ich kurz was zur Hardware
Also auf den Außenstellen steht je ein Mikrotik 1100AHx4 und in der Zentrale steht eine PFSense als fertig gekaufte Appliance von Netgate(XG-1537 1U). Ich hab den Tunnel natürlich so konfiguriert, dass die Hardware Crypto Engine benutzt wird. Entsprechend also auch die Proposals dazu passend konfiguriert.
In der Zentrale ist ein Telekom DE LAN IP Connect über LWL
Der Vodafone Anschluss ist ein Vodafone business mit festen IP's bzw. 30er Netz über Fritzbox 6591 (Die Kiste dient aber nur als Modem)
Ich habe in einem Forum gelesen, Vodafone macht DPI und filtert bzw. verlangsamt künstlich. Was ich bei einem Business Anschluss echt traurig fände
Guckst Du hier, bin ich gerade drauf gestoßen: https://www.ppt-user.de/unitymedia-blockiert-vpn-verbindungen/
okay... dann schreibe ich kurz was zur Hardware
Also auf den Außenstellen steht je ein Mikrotik 1100AHx4 und in der Zentrale steht eine PFSense als fertig gekaufte Appliance von Netgate(XG-1537 1U). Ich hab den Tunnel natürlich so konfiguriert, dass die Hardware Crypto Engine benutzt wird. Entsprechend also auch die Proposals dazu passend konfiguriert.
In der Zentrale ist ein Telekom DE LAN IP Connect über LWL
Der Vodafone Anschluss ist ein Vodafone business mit festen IP's bzw. 30er Netz über Fritzbox 6591 (Die Kiste dient aber nur als Modem)
Ich habe in einem Forum gelesen, Vodafone macht DPI und filtert bzw. verlangsamt künstlich. Was ich bei einem Business Anschluss echt traurig fände
Guckst Du hier, bin ich gerade drauf gestoßen: https://www.ppt-user.de/unitymedia-blockiert-vpn-verbindungen/
OK, die Hardware als Ursache scheidet dann de facto aus:
https://mikrotik.com/product/rb1100ahx4#fndtn-testresults
Auch im worst Case würde der MT noch 100 Mbit/s im Tunnel schaffen. Typisch macht er 800Mbit/s. Absolut kein Vergleich also zu den mickrigen 3 Mbit/s oben.
Die pfSense liegt auch auch 800 Mbit Niveau oder höher wenn AES NI in den Advanced Settings aktiviert wurde.
Hardware scheidet also de facto aus.
Bliebe dann nur MTU Problematik, die 6591 die ggf. doch kein Modem sondern Router ist oder Rate Limiting vom Provider. Der von dir zitierte URL lässt also Letzteres vermuten. Da solltet ihr einmal ein ernstes Gespäch mit eurem Provider suchen !
https://mikrotik.com/product/rb1100ahx4#fndtn-testresults
Auch im worst Case würde der MT noch 100 Mbit/s im Tunnel schaffen. Typisch macht er 800Mbit/s. Absolut kein Vergleich also zu den mickrigen 3 Mbit/s oben.
Die pfSense liegt auch auch 800 Mbit Niveau oder höher wenn AES NI in den Advanced Settings aktiviert wurde.
Hardware scheidet also de facto aus.
Bliebe dann nur MTU Problematik, die 6591 die ggf. doch kein Modem sondern Router ist oder Rate Limiting vom Provider. Der von dir zitierte URL lässt also Letzteres vermuten. Da solltet ihr einmal ein ernstes Gespäch mit eurem Provider suchen !
