11
Verständnisfrage VPN Performance pfSense
Moin Kollegen,
ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren stabil und
ich habe mir nie Gedanken um den IPSec Durchsatz gemacht. Dachte immer das der IPSec Durchsatz durch die Anschluss Bandbreite begrenzt ist.
Weil wir überlegen den Fileserver an Standort B aufzulösen, habe ich mal ein paar Tests gemacht. Windows SMB über VPN Dateien kopieren /
Dateien öffnen etc. Dabei habe ich mich gewundert, dass eine 900MB Datei ca. 15 min benötigt egal in welche Richtung. Dann habe ich das
Ganze mal mit SCP probiert, auch hier benötigen 900MB ca 13 Min. Komisch dachte ich mir und habe die selbe Datei über die selbe Firewall,
den selben Anschluss, ans selbe Ziel über das Internet kopiert. Dazu hatte ich in der Ziel Firewall Port 222 auf eine Debian VM freigegeben.
Siehe da die Geschwindigkeit ist mehr als 3x Mal schneller als über die VPN Verbindung.
Da mir das alles keine Ruhe lässt habe ich, IPSec sogar deaktiviert und die Standorte über eine Wireguard Verbindung verbunden. Dazu habe ich
2 VMs installiert und Routen und Gateways eingerichtet. Mit dem Ergebnis, dass auch die Geschwindigkeit über Wireguard dem der VPN
Verbindung entspricht.
Hier ein paar Beispiele
scp over Wireguard
C:\Users\Florian\Downloads>scp ubuntu-18.04.5-server-amd64.iso lda@intern.intern.intern.3:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 4% 46MB 951.3KB/s 16:13 ETA
scp over IpSec
C:\Users\Florian\Downloads>scp -P 22 ubuntu-18.04.5-server-amd64.iso lda@intern.intern.intern.3:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 7% 72MB 917.9KB/s 16:21 ETA
scp over Internet
C:\Users\Florian\Downloads>scp -P 222 ubuntu-18.04.5-server-amd64.iso lda@extern.extern.extern.146:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 17% 168MB 4.1MB/s 03:12 ETA
Die Konfiguration ist im wesentlichen folgende.
Standort A
Bandbreite 250/50Mbit
Provider 1
PPPoE Einwahl
1 statische IP
pfSense 2.4.5p1
ASG 220 rev. 4 Appliance
Intel Dual Core 2,2 GHz kein AES-NI Support
4GB Ram
8x Intel Nic
Standort B
Bandbreite 100/40Mbit
Provider 2
Public Statisches /28 Subnetz
pfSense 2.4.5p1
APU4D4 Board
4x 1GHz mit AES-NI Support
4GB Ram
4x Intel NIC
Standort C
Bandbreite 100/40Mbit
Provider 2
Public Statisches /29 Subnetz
pfSense 2.4.5p1
APU4D4 Board
4x 1GHz mit AES-NI Support
4GB Ram
4x Intel NIC
An den Standorten B und C habe ich zum Test auch andere Hardware verwendet. U.a. eine weitere ASG 220 Rev.4 oder einen PC mit
Intel Core i3 und intel PCI-E NICs. Habe unterschiedlichste Tunnel konfiguriert, mit und ohne AES-NI Verschlüsselung über alle
3 Standorte hinweg. Habe immer die selbe ISO Datei kopiert um vergleichbare Ergebnisse zu reproduzieren. Auch die Wireguard
Konfiguration habe ich über alle Standorte getestet. In Summe sind die Kopierzeiten immer die Selben. Anderer Traffik ist kein Problem
da ich ausserhalb der Geschäftszeiten teste.
Bei der VPN Konfiguration habe ich mich an den Empfehlungen von der Docu orientiert. Sogar OpnSense habe ich mal installiert
und damit alle Tests wiederholt. Mit dem Ergebnis, dass sich nichts ändert.
Da aber auch mit der Wireguard Konfiguration komme ich nicht über 9xxKB/s. Das würde für eine Fehlkonfiguration der NICs sprechen.
Speedtest im Internet sind aber alle unauffällig und entsprechen den Anschluss Bandbreiten.
Nur die VPN sind langsamer. Gib es hier in der Community Leute, die mir den Grund erklären können bzw. Wissen ob ich etwas ändern
kann, damit ich den Flaschenhals beseitigen kann?
Vielen Dank
ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren stabil und
ich habe mir nie Gedanken um den IPSec Durchsatz gemacht. Dachte immer das der IPSec Durchsatz durch die Anschluss Bandbreite begrenzt ist.
Weil wir überlegen den Fileserver an Standort B aufzulösen, habe ich mal ein paar Tests gemacht. Windows SMB über VPN Dateien kopieren /
Dateien öffnen etc. Dabei habe ich mich gewundert, dass eine 900MB Datei ca. 15 min benötigt egal in welche Richtung. Dann habe ich das
Ganze mal mit SCP probiert, auch hier benötigen 900MB ca 13 Min. Komisch dachte ich mir und habe die selbe Datei über die selbe Firewall,
den selben Anschluss, ans selbe Ziel über das Internet kopiert. Dazu hatte ich in der Ziel Firewall Port 222 auf eine Debian VM freigegeben.
Siehe da die Geschwindigkeit ist mehr als 3x Mal schneller als über die VPN Verbindung.
Da mir das alles keine Ruhe lässt habe ich, IPSec sogar deaktiviert und die Standorte über eine Wireguard Verbindung verbunden. Dazu habe ich
2 VMs installiert und Routen und Gateways eingerichtet. Mit dem Ergebnis, dass auch die Geschwindigkeit über Wireguard dem der VPN
Verbindung entspricht.
Hier ein paar Beispiele
scp over Wireguard
C:\Users\Florian\Downloads>scp ubuntu-18.04.5-server-amd64.iso lda@intern.intern.intern.3:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 4% 46MB 951.3KB/s 16:13 ETA
scp over IpSec
C:\Users\Florian\Downloads>scp -P 22 ubuntu-18.04.5-server-amd64.iso lda@intern.intern.intern.3:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 7% 72MB 917.9KB/s 16:21 ETA
scp over Internet
C:\Users\Florian\Downloads>scp -P 222 ubuntu-18.04.5-server-amd64.iso lda@extern.extern.extern.146:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 17% 168MB 4.1MB/s 03:12 ETA
Die Konfiguration ist im wesentlichen folgende.
Standort A
Bandbreite 250/50Mbit
Provider 1
PPPoE Einwahl
1 statische IP
pfSense 2.4.5p1
ASG 220 rev. 4 Appliance
Intel Dual Core 2,2 GHz kein AES-NI Support
4GB Ram
8x Intel Nic
Standort B
Bandbreite 100/40Mbit
Provider 2
Public Statisches /28 Subnetz
pfSense 2.4.5p1
APU4D4 Board
4x 1GHz mit AES-NI Support
4GB Ram
4x Intel NIC
Standort C
Bandbreite 100/40Mbit
Provider 2
Public Statisches /29 Subnetz
pfSense 2.4.5p1
APU4D4 Board
4x 1GHz mit AES-NI Support
4GB Ram
4x Intel NIC
An den Standorten B und C habe ich zum Test auch andere Hardware verwendet. U.a. eine weitere ASG 220 Rev.4 oder einen PC mit
Intel Core i3 und intel PCI-E NICs. Habe unterschiedlichste Tunnel konfiguriert, mit und ohne AES-NI Verschlüsselung über alle
3 Standorte hinweg. Habe immer die selbe ISO Datei kopiert um vergleichbare Ergebnisse zu reproduzieren. Auch die Wireguard
Konfiguration habe ich über alle Standorte getestet. In Summe sind die Kopierzeiten immer die Selben. Anderer Traffik ist kein Problem
da ich ausserhalb der Geschäftszeiten teste.
Bei der VPN Konfiguration habe ich mich an den Empfehlungen von der Docu orientiert. Sogar OpnSense habe ich mal installiert
und damit alle Tests wiederholt. Mit dem Ergebnis, dass sich nichts ändert.
Da aber auch mit der Wireguard Konfiguration komme ich nicht über 9xxKB/s. Das würde für eine Fehlkonfiguration der NICs sprechen.
Speedtest im Internet sind aber alle unauffällig und entsprechen den Anschluss Bandbreiten.
Nur die VPN sind langsamer. Gib es hier in der Community Leute, die mir den Grund erklären können bzw. Wissen ob ich etwas ändern
kann, damit ich den Flaschenhals beseitigen kann?
Vielen Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 665605
Url: https://administrator.de/contentid/665605
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
was sagt denn die Auslastung der pfSense (CPU und RAM)?
Hardwareverschlüsselung ist aktiv?
Gruß,
Jörg
was sagt denn die Auslastung der pfSense (CPU und RAM)?
Hardwareverschlüsselung ist aktiv?
Gruß,
Jörg
Wie Kollege @117471 sagt: Ist der AES-NI Support auch aktiviert im Setup der pfSense ?? (System -> Advanced -> Miscellaneous)
Wenn nicht muss sie alle Krypto Funktionen in Software erledigen was dann erheblich auf die VPN Performance drückt.
Zusätzlich solltest du die korrekten MTU Settings für die Tunnel Interface kontrollieren. Passen die nicht kommt es zu Fragmentierungen was sich ebenfalls im Durchsatz bemerkbar macht. In der regel mit der richtigen Hardware macht die pfSense schon wirespeed im VPN.
Zusätzlich solltest du die korrekten MTU Settings für die Tunnel Interface kontrollieren. Passen die nicht kommt es zu Fragmentierungen was sich ebenfalls im Durchsatz bemerkbar macht. In der regel mit der richtigen Hardware macht die pfSense schon wirespeed im VPN.
Naja, dass iPSec per se nicht der Performance-Künstler ist, wird doch bei jedem WG-Vergleich thematisiert?!
Schaut man sich die speziellen Hinweise auf hardware gestützte iPSec-entschlüsselung z.B. bei Mikrotik an, dann ist das wohl notwendig. Dein DualCore hat doch auch schon mehr als ein Jahrzehnt auf dem Buckel? Intel z.B. beschreibt hier die Auswirkungen von AES-NI auf iPSec:
https://www.intel.de/content/dam/www/public/us/en/documents/white-papers ...
Was spricht denn eigentlich dagegen auf WG umzusteigen?
Schaut man sich die speziellen Hinweise auf hardware gestützte iPSec-entschlüsselung z.B. bei Mikrotik an, dann ist das wohl notwendig. Dein DualCore hat doch auch schon mehr als ein Jahrzehnt auf dem Buckel? Intel z.B. beschreibt hier die Auswirkungen von AES-NI auf iPSec:
https://www.intel.de/content/dam/www/public/us/en/documents/white-papers ...
Was spricht denn eigentlich dagegen auf WG umzusteigen?
Die Performance Unterschiede zu IPsec sind aber marginal:
Hallo,
erstmal Danke für die Antworten.
AES-NI ist bei der Test Hardware, die AES NI unterstützt auch aktiv. Die CPU und Ram Auslastung, sind laut Anzeige bei 1-4 % CPU und 6% Ram.
Ohne AES NI. Auf den Kisten mit AES-NI sind die Werte ähnlich
Wie gesagt die alten Astaro Boxen unterstützen auch kein AES NI, aber die APU Board und die PC Hardware mit Intel i3 und zusätzlichen Intel Netzwerkkarten schon. Ich habe sogar zusätzlich mal auf einem Dediziertem Server beim Hoster Proxmox mal installiert mit einer virtuellen pfSense Installation. Selbst ein Tunnel dorthin hat schlechte VPN Performance.
Ich wäre bereit neue Hardware von Netgate zu kaufen, aber ich möchte erst das Problem verstehen, sonst habe ich am Ende mit der neuen HW
nichts gewonnen, sondern nur Geld ausgegeben
Gegen WG S2S spricht grundsätzlich nichts. Da pfsense aber keine natives WG unterstützt zum aktuellen Zeitpunkt. Ja Ok mit Version 2.5 noch aber mit 2.5.1 nicht mehr.
Was mich halt nur wundert ist, wenn ich an jedem Standort eine VM mit einem WG Tunnel habe der die Standortvernetzung übernimmt ich auch nur auf 900KB/s komme dann kann es doch nicht am pfSense IPSec VPN liegen, da ich das testweise ausgeschaltet habe und alles über den Wireguard Tunnel läuft.
erstmal Danke für die Antworten.
AES-NI ist bei der Test Hardware, die AES NI unterstützt auch aktiv. Die CPU und Ram Auslastung, sind laut Anzeige bei 1-4 % CPU und 6% Ram.
Ohne AES NI. Auf den Kisten mit AES-NI sind die Werte ähnlich
Wie gesagt die alten Astaro Boxen unterstützen auch kein AES NI, aber die APU Board und die PC Hardware mit Intel i3 und zusätzlichen Intel Netzwerkkarten schon. Ich habe sogar zusätzlich mal auf einem Dediziertem Server beim Hoster Proxmox mal installiert mit einer virtuellen pfSense Installation. Selbst ein Tunnel dorthin hat schlechte VPN Performance.
Ich wäre bereit neue Hardware von Netgate zu kaufen, aber ich möchte erst das Problem verstehen, sonst habe ich am Ende mit der neuen HW
nichts gewonnen, sondern nur Geld ausgegeben
Gegen WG S2S spricht grundsätzlich nichts. Da pfsense aber keine natives WG unterstützt zum aktuellen Zeitpunkt. Ja Ok mit Version 2.5 noch aber mit 2.5.1 nicht mehr.
Was mich halt nur wundert ist, wenn ich an jedem Standort eine VM mit einem WG Tunnel habe der die Standortvernetzung übernimmt ich auch nur auf 900KB/s komme dann kann es doch nicht am pfSense IPSec VPN liegen, da ich das testweise ausgeschaltet habe und alles über den Wireguard Tunnel läuft.
aber die APU Board
Nein ! Das tun nur APU2 und höher. Kein APU1.Hier schaffen 2 pfSense auf APU2 Hardware Back to Back über 1 Gig um die 890 Mbit/s mit IKEv2 IPsec. Gemessen mit iPerf3.
ich auch nur auf 900KB/s komme
900 kB/s = KiloByte/s = 7,2
Moin Aqui,
als Hardware kommt zum Einsatz
System PC Engines APU2
BIOS Vendor: coreboot
Version: 88a4f96
Release Date: Fri Mar 11 2016
Version 2.4.5-RELEASE-p1 (amd64)
built on Tue Jun 02 17:51:17 EDT 2020
FreeBSD 11.3-STABLE
CPU Type AMD GX-412TC SOC
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)
Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICM
Warum sind 900 KByte/s = 7,2 Gigabit/s ?
Ich hab vor 30 Jahren mal gelernt 8 Bit sind 1 Byte. Also 900 KByte * 8 sind 7200 KByte / 1000 entsprechen 7,2 Megabit/s oder 0,0072 Gigabit/s
Oder habe ich einen Rechen / Denkfehler?
Laut Speedtest.net hat meine Sendestelle einen Upload von 30.000 KBit/s und meine Empfangsstelle einen Download 250.000 KBit/s
Warum komme ich auf ganz andere Werte, nämlich die Werte, dem Anschluss entsprechen, wenn ich die Daten ohne VPN direkt per SSH übertrage?
MIT VPN
ubuntu-18.04.5-server-amd64.iso 7% 72MB 917.9KB/s 16:21 ETA
OHNE VPN
ubuntu-18.04.5-server-amd64.iso 17% 168MB 4.1MB/s 03:12 ETA
Das die Verschlüsselung ein bisschen Bandbreite kostet mag ja sein, aber um das 4 Fache langsamer ?! Das würde ich gerne verstehen, bevor ich evtl. die Hardware tausche
Vielen Dank
als Hardware kommt zum Einsatz
System PC Engines APU2
BIOS Vendor: coreboot
Version: 88a4f96
Release Date: Fri Mar 11 2016
Version 2.4.5-RELEASE-p1 (amd64)
built on Tue Jun 02 17:51:17 EDT 2020
FreeBSD 11.3-STABLE
CPU Type AMD GX-412TC SOC
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)
Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICM
Warum sind 900 KByte/s = 7,2 Gigabit/s ?
Ich hab vor 30 Jahren mal gelernt 8 Bit sind 1 Byte. Also 900 KByte * 8 sind 7200 KByte / 1000 entsprechen 7,2 Megabit/s oder 0,0072 Gigabit/s
Oder habe ich einen Rechen / Denkfehler?
Laut Speedtest.net hat meine Sendestelle einen Upload von 30.000 KBit/s und meine Empfangsstelle einen Download 250.000 KBit/s
Warum komme ich auf ganz andere Werte, nämlich die Werte, dem Anschluss entsprechen, wenn ich die Daten ohne VPN direkt per SSH übertrage?
MIT VPN
ubuntu-18.04.5-server-amd64.iso 7% 72MB 917.9KB/s 16:21 ETA
OHNE VPN
ubuntu-18.04.5-server-amd64.iso 17% 168MB 4.1MB/s 03:12 ETA
Das die Verschlüsselung ein bisschen Bandbreite kostet mag ja sein, aber um das 4 Fache langsamer ?! Das würde ich gerne verstehen, bevor ich evtl. die Hardware tausche
Vielen Dank
Warum sind 900 KByte/s = 7,2 Gigabit/s ?
Sorry, hatte aus Versehen Mega und Giga verwechselt im Eifer des Gefechts... 
900 kByte/s mal 8 Bit sind aber 7200 kbit/s und nicht Byte.
ahm, gibt es ein happy-end?
ich wuerde sonst noch das bios updaten, denn das hier:
Release Date: Fri Mar 11 2016
scheint etwas aelter zu sein
ich wuerde sonst noch das bios updaten, denn das hier:
Release Date: Fri Mar 11 2016
scheint etwas aelter zu sein
Zitat von @aqui:
Hier schaffen 2 pfSense auf APU2 Hardware Back to Back über 1 Gig um die 890 Mbit/s mit IKEv2 IPsec. Gemessen mit iPerf3.
Hier schaffen 2 pfSense auf APU2 Hardware Back to Back über 1 Gig um die 890 Mbit/s mit IKEv2 IPsec. Gemessen mit iPerf3.
haste evtl. entspr. "wg" werte (mit iperf3)?
https://teklager.se/en/knowledge-base/apu-pfsense-throughput-bios-compar ...
https://teklager.se/en/knowledge-base/apu2-vpn-performance/
WireGuard Performance ist gleichzusetzen mit IPsec.
https://teklager.se/en/knowledge-base/apu2-vpn-performance/
WireGuard Performance ist gleichzusetzen mit IPsec.
1
