Verständnisfrage VPN Performance pfSense

Mitglied: flabs

flabs (Level 1) - Jetzt verbinden

09.04.2021 um 22:57 Uhr, 874 Aufrufe, 8 Kommentare

Moin Kollegen,

ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren stabil und
ich habe mir nie Gedanken um den IPSec Durchsatz gemacht. Dachte immer das der IPSec Durchsatz durch die Anschluss Bandbreite begrenzt ist.
Weil wir überlegen den Fileserver an Standort B aufzulösen, habe ich mal ein paar Tests gemacht. Windows SMB über VPN Dateien kopieren /
Dateien öffnen etc. Dabei habe ich mich gewundert, dass eine 900MB Datei ca. 15 min benötigt egal in welche Richtung. Dann habe ich das
Ganze mal mit SCP probiert, auch hier benötigen 900MB ca 13 Min. Komisch dachte ich mir und habe die selbe Datei über die selbe Firewall,
den selben Anschluss, ans selbe Ziel über das Internet kopiert. Dazu hatte ich in der Ziel Firewall Port 222 auf eine Debian VM freigegeben.
Siehe da die Geschwindigkeit ist mehr als 3x Mal schneller als über die VPN Verbindung.

Da mir das alles keine Ruhe lässt habe ich, IPSec sogar deaktiviert und die Standorte über eine Wireguard Verbindung verbunden. Dazu habe ich
2 VMs installiert und Routen und Gateways eingerichtet. Mit dem Ergebnis, dass auch die Geschwindigkeit über Wireguard dem der VPN
Verbindung entspricht.


Hier ein paar Beispiele

scp over Wireguard
C:\Users\Florian\Downloads>scp ubuntu-18.04.5-server-amd64.iso lda@intern.intern.intern.3:/home/lda
lda@135404's password:
ubuntu-18.04.5-server-amd64.iso 4% 46MB 951.3KB/s 16:13 ETA
scp over IpSec
C:\Users\Florian\Downloads>scp -P 22 ubuntu-18.04.5-server-amd64.iso lda@intern.intern.intern.3:/home/lda
lda@135404's password:
ubuntu-18.04.5-server-amd64.iso 7% 72MB 917.9KB/s 16:21 ETA
scp over Internet
C:\Users\Florian\Downloads>scp -P 222 ubuntu-18.04.5-server-amd64.iso lda@extern.extern.extern.146:/home/lda
lda@135404's password:
ubuntu-18.04.5-server-amd64.iso 17% 168MB 4.1MB/s 03:12 ETA

Die Konfiguration ist im wesentlichen folgende.

Standort A
Bandbreite 250/50Mbit
Provider 1
PPPoE Einwahl
1 statische IP

pfSense 2.4.5p1
ASG 220 rev. 4 Appliance
Intel Dual Core 2,2 GHz kein AES-NI Support
4GB Ram
8x Intel Nic

Standort B
Bandbreite 100/40Mbit
Provider 2
Public Statisches /28 Subnetz


pfSense 2.4.5p1
APU4D4 Board
4x 1GHz mit AES-NI Support
4GB Ram
4x Intel NIC

Standort C
Bandbreite 100/40Mbit
Provider 2
Public Statisches /29 Subnetz

pfSense 2.4.5p1
APU4D4 Board
4x 1GHz mit AES-NI Support
4GB Ram
4x Intel NIC

An den Standorten B und C habe ich zum Test auch andere Hardware verwendet. U.a. eine weitere ASG 220 Rev.4 oder einen PC mit
Intel Core i3 und intel PCI-E NICs. Habe unterschiedlichste Tunnel konfiguriert, mit und ohne AES-NI Verschlüsselung über alle
3 Standorte hinweg. Habe immer die selbe ISO Datei kopiert um vergleichbare Ergebnisse zu reproduzieren. Auch die Wireguard
Konfiguration habe ich über alle Standorte getestet. In Summe sind die Kopierzeiten immer die Selben. Anderer Traffik ist kein Problem
da ich ausserhalb der Geschäftszeiten teste.

Bei der VPN Konfiguration habe ich mich an den Empfehlungen von der Docu orientiert. Sogar OpnSense habe ich mal installiert
und damit alle Tests wiederholt. Mit dem Ergebnis, dass sich nichts ändert.

Da aber auch mit der Wireguard Konfiguration komme ich nicht über 9xxKB/s. Das würde für eine Fehlkonfiguration der NICs sprechen.
Speedtest im Internet sind aber alle unauffällig und entsprechen den Anschluss Bandbreiten.

Nur die VPN sind langsamer. Gib es hier in der Community Leute, die mir den Grund erklären können bzw. Wissen ob ich etwas ändern
kann, damit ich den Flaschenhals beseitigen kann?


Vielen Dank
Mitglied: altmetaller
09.04.2021 um 23:45 Uhr
Hallo,

was sagt denn die Auslastung der pfSense (CPU und RAM)?

Hardwareverschlüsselung ist aktiv?

Gruß,
Jörg
Bitte warten ..
Mitglied: 25471
25471 (Level 5)
10.04.2021, aktualisiert um 07:46 Uhr
Wie Kollege @altmetaller sagt: Ist der AES-NI Support auch aktiviert im Setup der pfSense ?? (System -> Advanced -> Miscellaneous)
vpn - Klicke auf das Bild, um es zu vergrößern
Wenn nicht muss sie alle Krypto Funktionen in Software erledigen was dann erheblich auf die VPN Performance drückt.
Zusätzlich solltest du die korrekten MTU Settings für die Tunnel Interface kontrollieren. Passen die nicht kommt es zu Fragmentierungen was sich ebenfalls im Durchsatz bemerkbar macht. In der regel mit der richtigen Hardware macht die pfSense schon wirespeed im VPN.
Bitte warten ..
Mitglied: Visucius
10.04.2021 um 08:00 Uhr
Naja, dass iPSec per se nicht der Performance-Künstler ist, wird doch bei jedem WG-Vergleich thematisiert?!
Schaut man sich die speziellen Hinweise auf hardware gestützte iPSec-entschlüsselung z.B. bei Mikrotik an, dann ist das wohl notwendig. Dein DualCore hat doch auch schon mehr als ein Jahrzehnt auf dem Buckel? Intel z.B. beschreibt hier die Auswirkungen von AES-NI auf iPSec:

https://www.intel.de/content/dam/www/public/us/en/documents/white-papers ...

Was spricht denn eigentlich dagegen auf WG umzusteigen?
Bitte warten ..
Mitglied: 25471
25471 (Level 5)
10.04.2021 um 08:29 Uhr
Die Performance Unterschiede zu IPsec sind aber marginal:
perf - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: flabs
10.04.2021 um 15:08 Uhr
Hallo,
erstmal Danke für die Antworten.

AES-NI ist bei der Test Hardware, die AES NI unterstützt auch aktiv. Die CPU und Ram Auslastung, sind laut Anzeige bei 1-4 % CPU und 6% Ram.
Ohne AES NI. Auf den Kisten mit AES-NI sind die Werte ähnlich
Wie gesagt die alten Astaro Boxen unterstützen auch kein AES NI, aber die APU Board und die PC Hardware mit Intel i3 und zusätzlichen Intel Netzwerkkarten schon. Ich habe sogar zusätzlich mal auf einem Dediziertem Server beim Hoster Proxmox mal installiert mit einer virtuellen pfSense Installation. Selbst ein Tunnel dorthin hat schlechte VPN Performance.

Ich wäre bereit neue Hardware von Netgate zu kaufen, aber ich möchte erst das Problem verstehen, sonst habe ich am Ende mit der neuen HW
nichts gewonnen, sondern nur Geld ausgegeben

Gegen WG S2S spricht grundsätzlich nichts. Da pfsense aber keine natives WG unterstützt zum aktuellen Zeitpunkt. Ja Ok mit Version 2.5 noch aber mit 2.5.1 nicht mehr.

Was mich halt nur wundert ist, wenn ich an jedem Standort eine VM mit einem WG Tunnel habe der die Standortvernetzung übernimmt ich auch nur auf 900KB/s komme dann kann es doch nicht am pfSense IPSec VPN liegen, da ich das testweise ausgeschaltet habe und alles über den Wireguard Tunnel läuft.
Bitte warten ..
Mitglied: 25471
25471 (Level 5)
10.04.2021, aktualisiert 11.04.2021
aber die APU Board
Nein ! Das tun nur APU2 und höher. Kein APU1.
Hier schaffen 2 pfSense auf APU2 Hardware Back to Back über 1 Gig um die 890 Mbit/s mit IKEv2 IPsec. Gemessen mit iPerf3.
ich auch nur auf 900KB/s komme
900 kB/s = KiloByte/s = 7,2 GigaMegabit/s
Bitte warten ..
Mitglied: flabs
11.04.2021 um 01:38 Uhr
Moin Aqui,

als Hardware kommt zum Einsatz

System PC Engines APU2
BIOS Vendor: coreboot
Version: 88a4f96
Release Date: Fri Mar 11 2016

Version 2.4.5-RELEASE-p1 (amd64)
built on Tue Jun 02 17:51:17 EDT 2020
FreeBSD 11.3-STABLE

CPU Type AMD GX-412TC SOC
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)
Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICM


Warum sind 900 KByte/s = 7,2 Gigabit/s ?

Ich hab vor 30 Jahren mal gelernt 8 Bit sind 1 Byte. Also 900 KByte * 8 sind 7200 KByte / 1000 entsprechen 7,2 Megabit/s oder 0,0072 Gigabit/s
Oder habe ich einen Rechen / Denkfehler?
Laut Speedtest.net hat meine Sendestelle einen Upload von 30.000 KBit/s und meine Empfangsstelle einen Download 250.000 KBit/s
Warum komme ich auf ganz andere Werte, nämlich die Werte, dem Anschluss entsprechen, wenn ich die Daten ohne VPN direkt per SSH übertrage?

MIT VPN
ubuntu-18.04.5-server-amd64.iso 7% 72MB 917.9KB/s 16:21 ETA
OHNE VPN
ubuntu-18.04.5-server-amd64.iso 17% 168MB 4.1MB/s 03:12 ETA

Das die Verschlüsselung ein bisschen Bandbreite kostet mag ja sein, aber um das 4 Fache langsamer ?! Das würde ich gerne verstehen, bevor ich evtl. die Hardware tausche

Vielen Dank
Bitte warten ..
Mitglied: 25471
25471 (Level 5)
11.04.2021, aktualisiert um 13:37 Uhr
Warum sind 900 KByte/s = 7,2 Gigabit/s ?
Sorry, hatte aus Versehen Mega und Giga verwechselt im Eifer des Gefechts... :-( face-sad
900 kByte/s mal 8 Bit sind aber 7200 kbit/s und nicht Byte. ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 21 StundenAllgemeinOff Topic34 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 12 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows 10
Was ist zu wenig
ukulele-7Vor 8 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...