marco-83
Goto Top

IPSEC oder OpenVPN über Vodafone bzw. ehemals Unitymedia - Datendurchsatz

Gutem Morgen zusammen,

ich hätte da mal eine Frage in die Runde. Hat jemand von Euch Erfahrungen mit VPN's über Unitymedia bzw. jetzt Vodafone? Wir haben einen Standort über diesen Anbieter angebunden, allerdings macht mir der Durchsatz im VPN etwas zu schaffen. Es besteht ein IPSEC Tunnel vom externen Standort zur Zentrale. In der Zentrale haben wir 600Mbit im Up und Download. Die Außenstelle hat theoretisch 1000Mbits im Download und 50 im Upload.

Ziehe ich vom externen Standort etwas aus der Zentrale, bekomme ich max. 3MB/s Durhsatz. (IPSEC) OpenVPN verhält sich ähnlich.

Mache ich am externen Standort einen Download aus dem Internet, bekomme ich ca. 80MB/s...... also die Bandbreite ist grundsätzlich vorhanden.

Nun der Test vom anderen externen Standort, identische Hardware, VPN terminiert in der Zentrale auf der Firewall. Getestet mit OpenVPN und IPSEC. Aaaaaaaber anderer Provider 100Mbit Download 10Mbit Upload. Daten aus der Zentrale durch den Tunnel übertragen. So ziemlich voller Durchsatz, abzüglich Overhead ,klar. Es gehen ca. 10,5Mb/s durch.

Nun von mir Zuhause getestet, ebenfalls Unity. -> Kein Durchsatz. face-confused

Ich habe jetzt extra nichts im Detail zur Hardware etc. geschrieben. Möchte nur Erfahrungen sammeln, ob jemand dieses Konstrukt in ähnlicher Weise hat und bestätigen kann.

Ich habe den Verdacht, Unity / Vodafone shaped da etwas…..

Content-ID: 607645

Url: https://administrator.de/forum/ipsec-oder-openvpn-ueber-vodafone-bzw-ehemals-unitymedia-datendurchsatz-607645.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 25.09.2020 um 14:06:20 Uhr
Goto Top
dürfte wohl generell an diesen IP4overIPv6 Schweinereien von Vodaphone zu liegen... ich krieg mit einem Pulse Secure VPN Tunnel über eine 1000/50 Leitung auch nie mehr als 50 Mbit im Download hin. Ich dachte zunächst, daß unser VPN Server ein Throtteling hätte, oder daß die 200 Mbit brutto von meinem Powerlan der Flaschenhals wären. Aber dein Beitrag deutet eher darauf hin, daß es auf Transportebene ein IPSEC Problem gibt und ich hab diese mauen Datentransferraten auch wenn ich mein Dienstnotebook per Lan Kabel direkt ans Modem anschließe.

Dazu kommt noch daß bei Zielen außerhalb von Vodaphone entweder das Peering zu Fremdnetzen auf ca. 120 Mbit limitiert ist oder die CDN Server dahinter limitiert sind. Es ist mir noch nicht gelungen, von irgendeinem Downloadserver mit einer LAN-Anbindung mehr als 120 Mbit herunterzuladen. Dafür aber 8 parallele Downloads von verschiedenen Quellen mit 1 GBit, und halt Bittorrent, wenn ich zu einem Download mehr als 10 Seeds finde.
daswinimram
daswinimram 25.09.2020 um 14:29:32 Uhr
Goto Top
... ist das so etwas wie IPSsec LoadBalancing /priorisierung durch den ISP ? (2 Klassen netz etc)?..
(ich hatte versuchsweise ein UNITY VPN aufgesetzt vor vielen Monaten, das ging 1 A, aber Durchsatz etc habe ich nicht gemessen.. :/
aqui
aqui 25.09.2020 aktualisiert um 16:08:31 Uhr
Goto Top
Leider schreibst du rein gar nix zur verwendeten VPN Hardware. Sollte das eine billige Consumer Büchse wie die FritzBox sein darfst du dich natürlich über solcherlei Durchsatzraten nicht groß wundern wegen des dort verwendeten schwachbrüstigen SoC Chips.
Es hängt bekanntlich im entscheidenden Maße von der verwendeten Krypto Hardware des VPN Systems ab.

Manche Provider machen ebenso bei einfachen Consumer Anschlüssen ein Rate Limiting auf (aus ihrer Sicht) "Business Funktionen" wie VPN Nutzung auf den klassischen Ports. Ob Vodafone sowas macht werden sie dir aber vermutlich niemals sagen. Ist auch eher selten, denn mit OpenVPN und der Verlegung auf einen Ephemeral Port wie z.B. UDP 51194 z.B. statt des OpenVPN üblichen Ports UDP 1194 würde man sowas leicht aushebeln können.
Fragt sich also speziell auch bei OpenVPN mit welchem UDP Port du das gemessen hast ?!

Ein anderes typisches Problem ist das MTU Handling im Tunnel. Das betrifft insbesondere PPPoE sprich xDSL Anschlüsse da dort eine doppelte Encapsulation passiert. Viele einfache VPN Endgeräte machen kein richtiges MTU Path Discovery so das es zu einem MTU Mismatch und erheblichen Paket Drops mit Retransmissions im VPN Tunnel kommt, da diese Pakete in der Regel nicht fragmentiert werden können.
Das äußert sich dann immer in dem von dir beschrieben lahmar... Durchsatz. Leider auch dazu nix näheres in deiner Beschreibung.
Marco-83
Marco-83 26.09.2020 um 12:38:25 Uhr
Goto Top
Huuuuu Moin,

okay... dann schreibe ich kurz was zur Hardware face-wink

Also auf den Außenstellen steht je ein Mikrotik 1100AHx4 und in der Zentrale steht eine PFSense als fertig gekaufte Appliance von Netgate(XG-1537 1U). Ich hab den Tunnel natürlich so konfiguriert, dass die Hardware Crypto Engine benutzt wird. Entsprechend also auch die Proposals dazu passend konfiguriert.

In der Zentrale ist ein Telekom DE LAN IP Connect über LWL

Der Vodafone Anschluss ist ein Vodafone business mit festen IP's bzw. 30er Netz über Fritzbox 6591 (Die Kiste dient aber nur als Modem)

Ich habe in einem Forum gelesen, Vodafone macht DPI und filtert bzw. verlangsamt künstlich. Was ich bei einem Business Anschluss echt traurig fände

Guckst Du hier, bin ich gerade drauf gestoßen: https://www.ppt-user.de/unitymedia-blockiert-vpn-verbindungen/
aqui
aqui 26.09.2020 um 12:50:09 Uhr
Goto Top
OK, die Hardware als Ursache scheidet dann de facto aus:
https://mikrotik.com/product/rb1100ahx4#fndtn-testresults
Auch im worst Case würde der MT noch 100 Mbit/s im Tunnel schaffen. Typisch macht er 800Mbit/s. Absolut kein Vergleich also zu den mickrigen 3 Mbit/s oben.
Die pfSense liegt auch auch 800 Mbit Niveau oder höher wenn AES NI in den Advanced Settings aktiviert wurde.
Hardware scheidet also de facto aus.
Bliebe dann nur MTU Problematik, die 6591 die ggf. doch kein Modem sondern Router ist oder Rate Limiting vom Provider. Der von dir zitierte URL lässt also Letzteres vermuten. Da solltet ihr einmal ein ernstes Gespäch mit eurem Provider suchen !