IPSEC oder OpenVPN über Vodafone bzw. ehemals Unitymedia - Datendurchsatz
Gutem Morgen zusammen,
ich hätte da mal eine Frage in die Runde. Hat jemand von Euch Erfahrungen mit VPN's über Unitymedia bzw. jetzt Vodafone? Wir haben einen Standort über diesen Anbieter angebunden, allerdings macht mir der Durchsatz im VPN etwas zu schaffen. Es besteht ein IPSEC Tunnel vom externen Standort zur Zentrale. In der Zentrale haben wir 600Mbit im Up und Download. Die Außenstelle hat theoretisch 1000Mbits im Download und 50 im Upload.
Ziehe ich vom externen Standort etwas aus der Zentrale, bekomme ich max. 3MB/s Durhsatz. (IPSEC) OpenVPN verhält sich ähnlich.
Mache ich am externen Standort einen Download aus dem Internet, bekomme ich ca. 80MB/s...... also die Bandbreite ist grundsätzlich vorhanden.
Nun der Test vom anderen externen Standort, identische Hardware, VPN terminiert in der Zentrale auf der Firewall. Getestet mit OpenVPN und IPSEC. Aaaaaaaber anderer Provider 100Mbit Download 10Mbit Upload. Daten aus der Zentrale durch den Tunnel übertragen. So ziemlich voller Durchsatz, abzüglich Overhead ,klar. Es gehen ca. 10,5Mb/s durch.
Nun von mir Zuhause getestet, ebenfalls Unity. -> Kein Durchsatz.
Ich habe jetzt extra nichts im Detail zur Hardware etc. geschrieben. Möchte nur Erfahrungen sammeln, ob jemand dieses Konstrukt in ähnlicher Weise hat und bestätigen kann.
Ich habe den Verdacht, Unity / Vodafone shaped da etwas…..
ich hätte da mal eine Frage in die Runde. Hat jemand von Euch Erfahrungen mit VPN's über Unitymedia bzw. jetzt Vodafone? Wir haben einen Standort über diesen Anbieter angebunden, allerdings macht mir der Durchsatz im VPN etwas zu schaffen. Es besteht ein IPSEC Tunnel vom externen Standort zur Zentrale. In der Zentrale haben wir 600Mbit im Up und Download. Die Außenstelle hat theoretisch 1000Mbits im Download und 50 im Upload.
Ziehe ich vom externen Standort etwas aus der Zentrale, bekomme ich max. 3MB/s Durhsatz. (IPSEC) OpenVPN verhält sich ähnlich.
Mache ich am externen Standort einen Download aus dem Internet, bekomme ich ca. 80MB/s...... also die Bandbreite ist grundsätzlich vorhanden.
Nun der Test vom anderen externen Standort, identische Hardware, VPN terminiert in der Zentrale auf der Firewall. Getestet mit OpenVPN und IPSEC. Aaaaaaaber anderer Provider 100Mbit Download 10Mbit Upload. Daten aus der Zentrale durch den Tunnel übertragen. So ziemlich voller Durchsatz, abzüglich Overhead ,klar. Es gehen ca. 10,5Mb/s durch.
Nun von mir Zuhause getestet, ebenfalls Unity. -> Kein Durchsatz.
Ich habe jetzt extra nichts im Detail zur Hardware etc. geschrieben. Möchte nur Erfahrungen sammeln, ob jemand dieses Konstrukt in ähnlicher Weise hat und bestätigen kann.
Ich habe den Verdacht, Unity / Vodafone shaped da etwas…..
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 607645
Url: https://administrator.de/forum/ipsec-oder-openvpn-ueber-vodafone-bzw-ehemals-unitymedia-datendurchsatz-607645.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
5 Kommentare
Neuester Kommentar
dürfte wohl generell an diesen IP4overIPv6 Schweinereien von Vodaphone zu liegen... ich krieg mit einem Pulse Secure VPN Tunnel über eine 1000/50 Leitung auch nie mehr als 50 Mbit im Download hin. Ich dachte zunächst, daß unser VPN Server ein Throtteling hätte, oder daß die 200 Mbit brutto von meinem Powerlan der Flaschenhals wären. Aber dein Beitrag deutet eher darauf hin, daß es auf Transportebene ein IPSEC Problem gibt und ich hab diese mauen Datentransferraten auch wenn ich mein Dienstnotebook per Lan Kabel direkt ans Modem anschließe.
Dazu kommt noch daß bei Zielen außerhalb von Vodaphone entweder das Peering zu Fremdnetzen auf ca. 120 Mbit limitiert ist oder die CDN Server dahinter limitiert sind. Es ist mir noch nicht gelungen, von irgendeinem Downloadserver mit einer LAN-Anbindung mehr als 120 Mbit herunterzuladen. Dafür aber 8 parallele Downloads von verschiedenen Quellen mit 1 GBit, und halt Bittorrent, wenn ich zu einem Download mehr als 10 Seeds finde.
Dazu kommt noch daß bei Zielen außerhalb von Vodaphone entweder das Peering zu Fremdnetzen auf ca. 120 Mbit limitiert ist oder die CDN Server dahinter limitiert sind. Es ist mir noch nicht gelungen, von irgendeinem Downloadserver mit einer LAN-Anbindung mehr als 120 Mbit herunterzuladen. Dafür aber 8 parallele Downloads von verschiedenen Quellen mit 1 GBit, und halt Bittorrent, wenn ich zu einem Download mehr als 10 Seeds finde.
Leider schreibst du rein gar nix zur verwendeten VPN Hardware. Sollte das eine billige Consumer Büchse wie die FritzBox sein darfst du dich natürlich über solcherlei Durchsatzraten nicht groß wundern wegen des dort verwendeten schwachbrüstigen SoC Chips.
Es hängt bekanntlich im entscheidenden Maße von der verwendeten Krypto Hardware des VPN Systems ab.
Manche Provider machen ebenso bei einfachen Consumer Anschlüssen ein Rate Limiting auf (aus ihrer Sicht) "Business Funktionen" wie VPN Nutzung auf den klassischen Ports. Ob Vodafone sowas macht werden sie dir aber vermutlich niemals sagen. Ist auch eher selten, denn mit OpenVPN und der Verlegung auf einen Ephemeral Port wie z.B. UDP 51194 z.B. statt des OpenVPN üblichen Ports UDP 1194 würde man sowas leicht aushebeln können.
Fragt sich also speziell auch bei OpenVPN mit welchem UDP Port du das gemessen hast ?!
Ein anderes typisches Problem ist das MTU Handling im Tunnel. Das betrifft insbesondere PPPoE sprich xDSL Anschlüsse da dort eine doppelte Encapsulation passiert. Viele einfache VPN Endgeräte machen kein richtiges MTU Path Discovery so das es zu einem MTU Mismatch und erheblichen Paket Drops mit Retransmissions im VPN Tunnel kommt, da diese Pakete in der Regel nicht fragmentiert werden können.
Das äußert sich dann immer in dem von dir beschrieben lahmar... Durchsatz. Leider auch dazu nix näheres in deiner Beschreibung.
Es hängt bekanntlich im entscheidenden Maße von der verwendeten Krypto Hardware des VPN Systems ab.
Manche Provider machen ebenso bei einfachen Consumer Anschlüssen ein Rate Limiting auf (aus ihrer Sicht) "Business Funktionen" wie VPN Nutzung auf den klassischen Ports. Ob Vodafone sowas macht werden sie dir aber vermutlich niemals sagen. Ist auch eher selten, denn mit OpenVPN und der Verlegung auf einen Ephemeral Port wie z.B. UDP 51194 z.B. statt des OpenVPN üblichen Ports UDP 1194 würde man sowas leicht aushebeln können.
Fragt sich also speziell auch bei OpenVPN mit welchem UDP Port du das gemessen hast ?!
Ein anderes typisches Problem ist das MTU Handling im Tunnel. Das betrifft insbesondere PPPoE sprich xDSL Anschlüsse da dort eine doppelte Encapsulation passiert. Viele einfache VPN Endgeräte machen kein richtiges MTU Path Discovery so das es zu einem MTU Mismatch und erheblichen Paket Drops mit Retransmissions im VPN Tunnel kommt, da diese Pakete in der Regel nicht fragmentiert werden können.
Das äußert sich dann immer in dem von dir beschrieben lahmar... Durchsatz. Leider auch dazu nix näheres in deiner Beschreibung.
OK, die Hardware als Ursache scheidet dann de facto aus:
https://mikrotik.com/product/rb1100ahx4#fndtn-testresults
Auch im worst Case würde der MT noch 100 Mbit/s im Tunnel schaffen. Typisch macht er 800Mbit/s. Absolut kein Vergleich also zu den mickrigen 3 Mbit/s oben.
Die pfSense liegt auch auch 800 Mbit Niveau oder höher wenn AES NI in den Advanced Settings aktiviert wurde.
Hardware scheidet also de facto aus.
Bliebe dann nur MTU Problematik, die 6591 die ggf. doch kein Modem sondern Router ist oder Rate Limiting vom Provider. Der von dir zitierte URL lässt also Letzteres vermuten. Da solltet ihr einmal ein ernstes Gespäch mit eurem Provider suchen !
https://mikrotik.com/product/rb1100ahx4#fndtn-testresults
Auch im worst Case würde der MT noch 100 Mbit/s im Tunnel schaffen. Typisch macht er 800Mbit/s. Absolut kein Vergleich also zu den mickrigen 3 Mbit/s oben.
Die pfSense liegt auch auch 800 Mbit Niveau oder höher wenn AES NI in den Advanced Settings aktiviert wurde.
Hardware scheidet also de facto aus.
Bliebe dann nur MTU Problematik, die 6591 die ggf. doch kein Modem sondern Router ist oder Rate Limiting vom Provider. Der von dir zitierte URL lässt also Letzteres vermuten. Da solltet ihr einmal ein ernstes Gespäch mit eurem Provider suchen !