gelöst OpenVPN Verbindung einseitig langsam

Mitglied: alan82

alan82 (Level 1) - Jetzt verbinden

07.05.2020, aktualisiert 17:06 Uhr, 477 Aufrufe, 3 Kommentare

Hallo zusammen,

ich habe diesen Monat meine Fritzbox ausgemustert und gegen eine OPNsense ersetzt. Diese läuft derzeit auf einem Linux Mint 19.3 System 24/7 in einer VM von Virtual Box. Bisher super zufrieden.

Als weitere Ausbaustufe habe ich nun einen zusätzliche Standort via OpenVPN versucht mit anzubinden; und hier hapert es nun etwas. Während der Upload von einer Seite mit ca. 1Mbps zufriedenstellend läuft kommt in der umgekehrten Richtgung nur ca. 0,2Mbps zustande. Knobel hier schon eine Weile herum und vielleicht hat von euch einer noch einen guten Denkanstoss für mich parat.

Nachfolgend mein derzeitiger Aufbau:

unbenannt - Klicke auf das Bild, um es zu vergrößern

Ziel:
Laptop A soll auf das NAS zugreifen (Upload läuft mit ca. 1Mbps = OK)
Laptop B soll auf den Linux Samba Server zugreifen (upload läuft mit ca. 0,2Mbps = zu langsam)

Was habe ich bisher untersucht:
1) Portweiterleitung 1194 auf OPNsense bzw Fritzbox = dürften OK sein da ich beidseitig die Geräte LaptopA->NAS & LaptopB->Linux via Ping erreiche.
2) Online DSL Speedtest auf beiden Seiten -> Upload gemäß Spezifikation DSL50/10 = OK
3) Verschlüsselung kurzzeitig von SHA512/AES-256-CBC auf SHA256/AES-128-CBC reduziert = keine Verbesserung
4) Das NAS ist eine DS114 und nicht die Leistungsstärkste -> zeitweise gegen DS418play getauscht = keine Verbesserung
5) MTU Standardwert 1500 via Ping überprüft und für OK befunden = gleichzeitiges absenken auf beiden Seiten brachte auch keine Verbesserung
6) es ist kein Traffic Shaper in der OPNsense hinterlegt
7) bei jedem Test immer Firewall Scheunentor der OPNsense weit aufgemacht

Statische Route Fritzbox:
10.10.10.0/24 Gateway 192.168.1.25
10.10.90.0/24 Gateway 192.168.1.25

Möglicher Wackelkandidat: OPVN Routing

OVPN war bisher nicht mein Spezialgebiet daher habe ich unter Zuhilfenahme von
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...
https://openvpn.net/community-resources/how-to/#start
unter anderem nachfolgende Routen gesetzt:

Server:
push "route 10.10.10.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"
route 192.168.1.0 255.255.255.0
client-to-client

Client-spezifische Konfiguration:
ifconfig-push 10.10.90.101 255.255.255.0
iroute 192.168.1.0 255.255.255.0

Clientexport:
route 10.10.10.0 255.255.255.0

Hoffe von euch hat jemand eine gute Idee oder sieht einen großen Fehler in meinem derzeitigen Aufbau dem ich nachgehen kann. Freue mich auf eure Hilfe.

Gruss
alan
Mitglied: aqui
LÖSUNG 07.05.2020, aktualisiert um 16:16 Uhr
Nachfolgend mein derzeitiger Aufbau:
Wenn du wie es in den FAQs steht das "+" beim embeddeten Bild geklickt hättest könnten wie es hier auch im richtigen Kontext sehen.
OK, zurück zum Thema...

  • Erste Frage ob die Encryption Hardware in den Advanced Settings richtig eingestellt wurden ?
  • Vermutlich macht die OPNsense wie die pfSense einen permanten Ping Check auf dem WAN aufs Default Gateway. Das belastet deine Leitung und solltest du deaktivieren.
  • Das "push "route 192.168.1.0 255.255.255.0"" Kommando auf dem Server ist natürlich Blödsinn. Wozu willst du die 192er Route an den Client pushen ? Sinnfrei...

Zum Rest ist schwer was zu sagen. Knackpunkt könnte der vSwitch sein wenn der falsch eingerichtet ist. Das kann man aber wegen fehlender Infos nicht sehen und müsste raten.
Generell ist einen FW in einer VM nicht zu empfehlen. Aus einem Grunde wegen der Virtualisierung und den massiv schwankenden Resourcen. Ob die HW Crypto Funktionen an die VM durchgereicht werden ist auch fraglich. On die müsste die Cryptographie in Software gemacht werden was massiv Performance kostet.
Der 2te Nachteil ist die Security. Brechen Angreifer aus der VM aus haben sie deine "Kronjuwelen" direkt auf dem Präsentierteller. Da du eine reines Modem an der VM hast ist die Gefahr da nicht gerade klein.
Dritter Nachteil ist die Client Seite....
Hier muss ungeschützter Internet Traffic ins lokale LAN geleitet werden per Port Forwarding. Keine gute Idee...
Auch hier das gravierende Risiko des Ausbruchs von Angreifern die dann nicht nur im lokalen LAN sind sondern auch nich das NAS auf dem Silbertablett haben.
Performance Nachteil ist das der gesamte Traffic imm 2mal durch den NAS Port muss. Auch nicht wirklich skalierbar.
Generell ist sowas sehr schlechtes Design mit einer FW in einer VM und auch die Client Seite als sog. "one armed" Design. Das da nicht alles rund und mit Top Performance laufen kann ist erwartbar.
Die FW sollte immer ein dedizieertes Blech sein und in der Peripherie arbeiten und du tust gut daran die auf ein kleines APU Board oder was auch immer zu migrieren.

Weitere OVPN Hilfe findest du, wie immer, hier:
https://administrator.de/wissen/merkzettel-vpn-installation-openvpn-5610 ...
https://administrator.de/content/detail.php?id=530283&token=984#comm ...
https://administrator.de/wissen/openvpn-server-installieren-pfsense-fire ...

Generell muss man als Fazit fragen warum du diesen "Durchlauferhitzer" Unsinn mit OpenVPN auf beiden Seiten so machst ? Logisch ist das ja nicht gerade...
Die pfSense/OPNsense kann IPsec VPN, supportet also das native VPN der FritzBox. So könnte man das FritzBox VPN mit ein paar Mausklicks direkt als Site2Site auf der OPNsense terminieren ohne das lokale LAN zu gefährden und die Daten 3mal im Kreis zu bewegen wie du es derzeit machst.
Warum hast du das nicht gemacht ? Wäre viel doch sinnvoller, oder ?
Gut, das VPN der FritzBox ist mickrig von der Performance und kann nicht mehr als um die 3 Mbit/s aber das ist immer noch allemal besser als deine 0,2 und....es ist jedenfalls auf Client Seite sehr viel sicherer !!
Guckst du auch hier:
https://administrator.de/content/detail.php?id=504532&token=417#comm ...
https://administrator.de/forum/pfsense-fritzboxen-verbinden-543936.html
Aber warum einfach und besser machen wenn es umständlich auch geht...
Bitte warten ..
Mitglied: alan82
07.05.2020, aktualisiert um 18:25 Uhr
Hallo aqui,

vielen Dank für deine Zeit und Ausführung. Habe das Schema nochmal hinzugefügt. Hoffe es ist nun zu sehen.

  • Hardware Encryption war Intel RDRAND engine -> Umstellung auf No Hardware Crypto brachte keine Verbesserung
  • Habe den permanenten Check abgeschaltet -> und siehe da es hat 0,1Mbps an Geschwindigkeit gebracht
  • Die Überflüssige Route habe ich entfernt

Als Switch ist ein SG-300-28 im Einsatz. Für Zuhause natürlich etwas überdimensioniert aber er war so günstig das ich damals nicht wiederstehen konnte. Hier sind weitesgehend die Werkseinstellungen beibehalten.

Du hast natürlich recht das es nicht sinvoll ist dauerhaft eine Firewall in einer VM zu betrieben. Wird mittelfristig auch umgestellt. In der Zwischenzeit testet es sich halt etwas bequemer.
Der Hinweis auf das Clientseitige "one armed design" sitzt und ist natürlich ein Showstopper. Daher Boys and Girls die hier nachlesen --> so nicht nachmachen!

Hatte wegen der FB Performance IPsec garnicht erst in Erwägung gezogen und dann zu lange sich an einer Lösungsform festgebissen. Werde nun auf IPsec umstellen und mal schauen wie schnell bzw. langsam es dann ausschaut. Aber da Fehler die besten Lehrmeister sind war die Zeit nicht gänzlich vergebens.
Bitte warten ..
Mitglied: aqui
08.05.2020, aktualisiert um 08:56 Uhr
Umstellung auf No Hardware Crypto brachte keine Verbesserung
Wäre ja auch vollkommen sinnfrei, denn so schaltest du ja jegliche Hardware Unterstützung ab und verlangsamst die Maschine dann zwangsweise. Das das nie was werden kann sagt einem ja auch schon der gesunde Menschenverstand, sorry.
Als Switch ist ein SG-300-28 im Einsatz. Hier sind weitesgehend die Werkseinstellungen beibehalten.
Keine Sorge, den kannst du ganz sicher als Fehlerquelle ausschliessen.
Ein Update auf die aktuellste Firmware hast du hoffentlich gemacht ?!
https://administrator.de/wissen/cisco-security-warnung-soho-switches-sg- ...
Daher Boys and Girls die hier nachlesen --> so nicht nachmachen!
Na ja, so krass sollte man es vielleicht nicht formulieren. Für kleine Heimnetz VPN Anwendungen z.B. damit Oma Grete mal die Enkelbilder per VPN sehen kann ist das OK.
In einem VPN Design wo es aber auf Performance und Security ankommt ist das aber ziemlich kontraproduktiv. In Firmen VPNs so oder so.
Hatte wegen der FB Performance IPsec garnicht erst in Erwägung gezogen
Ja, das wird immer eine Bremse bleiben aber im Endgeffekt wird da mehr rauskommen als du jetzt hast. Wenn du Wirespeed willst im VPN musst du die FritzBox ersetzen.
Aber da Fehler die besten Lehrmeister sind war die Zeit nicht gänzlich vergebens.
Weise und wahre Worte !
Dann sind wir mal auf das Feedback gespannt was die FB so durchschaufelt durchs VPN...
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware25 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
gelöst kman123FrageVoice over IP16 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Windows Server
Terminal Server Hyper-V Grafik performance
ReneM1983FrageWindows Server16 Kommentare

Moin Kollegen, ich habe da mal ein Problem, ein Kunde hat einen Terminal Server auf einem Hyper-V laufen, wo ...

C und C++
(Cpp) Verständnisproblem: Nutzen des new-operators? (mit Beispiel)
gelöst SinixNDFrageC und C++16 Kommentare

Hallo liebe community! INTRO: Zunächsteinmal: Trotz mehrerer Stunden Recherche habe ich für meine Frage leider noch keine Antwort gefunden ...

Verschlüsselung & Zertifikate
Elektronische Unterschrift
PeterzFrageVerschlüsselung & Zertifikate13 Kommentare

Hallo zusammen, könnt ihr mir vielleicht ein paar Hinweise geben, wie ihr eine elektronische Unterschrift unter Dokumente und E-Mails ...

Vmware
Probleme mit meinem VM-Server und keine Idee
worker2000FrageVmware12 Kommentare

Moin zusammen, ich brauche mal ein wenig Input weil mir langsam die Ideen ausgehen. Am Ende vermute ich dass ...

Ähnliche Inhalte
Firewall

Sophos Firewall - OpenVPN Verbindung langsam oder limitiert ?!

gelöst LordXearoFrageFirewall6 Kommentare

Hallo Zusammen, wir haben Probleme mit unserer SSL bzw. OpenVPN Anbindung. Und zwar scheinen alle unserer Clients nur einen ...

Router & Routing

OpenVPN-Verbindung

Wuestenrose.20FrageRouter & Routing1 Kommentar

hallo Zusammen, ich habe OpenVPN auf einen Ubuntu 18.04 Server installiert. Die Verbindung zwischen ClientA und ClientB funktioniert einwandfrei, ...

Router & Routing

OpenVPN: Zugriff von Client-Verbindung auf S2S-Verbindung

BirdyBFrageRouter & Routing1 Kommentar

Hallo zusammen, ich bräuchte bitte mal eure Hilfe. Ich habe eine OPNsense auf einem RootServer im Netz. Auf dieser ...

Firewall

OpenVPN Verbindung vor dem Windows Login

BleifussFrageFirewall5 Kommentare

Hallo zusammen, gibt es eine Möglichkeit, eine VPN Verbindung mit OpenVPN vor der Windows 10 Benutzeranmeldung aufzubauen? Wir haben ...

Router & Routing

OpenVPN Verbindung steht aber kein Internet

gelöst raxxis990FrageRouter & Routing2 Kommentare

Guten Morgen :) ich nutze in meinem Netzwerk die pfSense welche auch super läuft und alles klappt. In der ...

Sicherheits-Tools

OpenVPN Access Server automatisch Verbindung trennen

KodaCHFrageSicherheits-Tools13 Kommentare

Guten Abend Da zwei Verbindungen kostenlos sind habe ich mal OpenVPN Access Server getestet. Für eine private Anwendung reicht ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT