flabs
Goto Top

Verständnisfrage VPN Performance pfSense

Moin Kollegen,

ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren stabil und
ich habe mir nie Gedanken um den IPSec Durchsatz gemacht. Dachte immer das der IPSec Durchsatz durch die Anschluss Bandbreite begrenzt ist.
Weil wir überlegen den Fileserver an Standort B aufzulösen, habe ich mal ein paar Tests gemacht. Windows SMB über VPN Dateien kopieren /
Dateien öffnen etc. Dabei habe ich mich gewundert, dass eine 900MB Datei ca. 15 min benötigt egal in welche Richtung. Dann habe ich das
Ganze mal mit SCP probiert, auch hier benötigen 900MB ca 13 Min. Komisch dachte ich mir und habe die selbe Datei über die selbe Firewall,
den selben Anschluss, ans selbe Ziel über das Internet kopiert. Dazu hatte ich in der Ziel Firewall Port 222 auf eine Debian VM freigegeben.
Siehe da die Geschwindigkeit ist mehr als 3x Mal schneller als über die VPN Verbindung.

Da mir das alles keine Ruhe lässt habe ich, IPSec sogar deaktiviert und die Standorte über eine Wireguard Verbindung verbunden. Dazu habe ich
2 VMs installiert und Routen und Gateways eingerichtet. Mit dem Ergebnis, dass auch die Geschwindigkeit über Wireguard dem der VPN
Verbindung entspricht.


Hier ein paar Beispiele

scp over Wireguard
C:\Users\Florian\Downloads>scp ubuntu-18.04.5-server-amd64.iso lda@intern.intern.intern.3:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 4% 46MB 951.3KB/s 16:13 ETA
scp over IpSec
C:\Users\Florian\Downloads>scp -P 22 ubuntu-18.04.5-server-amd64.iso lda@intern.intern.intern.3:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 7% 72MB 917.9KB/s 16:21 ETA
scp over Internet
C:\Users\Florian\Downloads>scp -P 222 ubuntu-18.04.5-server-amd64.iso lda@extern.extern.extern.146:/home/lda
lda@server's password:
ubuntu-18.04.5-server-amd64.iso 17% 168MB 4.1MB/s 03:12 ETA

Die Konfiguration ist im wesentlichen folgende.

Standort A
Bandbreite 250/50Mbit
Provider 1
PPPoE Einwahl
1 statische IP

pfSense 2.4.5p1
ASG 220 rev. 4 Appliance
Intel Dual Core 2,2 GHz kein AES-NI Support
4GB Ram
8x Intel Nic

Standort B
Bandbreite 100/40Mbit
Provider 2
Public Statisches /28 Subnetz


pfSense 2.4.5p1
APU4D4 Board
4x 1GHz mit AES-NI Support
4GB Ram
4x Intel NIC

Standort C
Bandbreite 100/40Mbit
Provider 2
Public Statisches /29 Subnetz

pfSense 2.4.5p1
APU4D4 Board
4x 1GHz mit AES-NI Support
4GB Ram
4x Intel NIC

An den Standorten B und C habe ich zum Test auch andere Hardware verwendet. U.a. eine weitere ASG 220 Rev.4 oder einen PC mit
Intel Core i3 und intel PCI-E NICs. Habe unterschiedlichste Tunnel konfiguriert, mit und ohne AES-NI Verschlüsselung über alle
3 Standorte hinweg. Habe immer die selbe ISO Datei kopiert um vergleichbare Ergebnisse zu reproduzieren. Auch die Wireguard
Konfiguration habe ich über alle Standorte getestet. In Summe sind die Kopierzeiten immer die Selben. Anderer Traffik ist kein Problem
da ich ausserhalb der Geschäftszeiten teste.

Bei der VPN Konfiguration habe ich mich an den Empfehlungen von der Docu orientiert. Sogar OpnSense habe ich mal installiert
und damit alle Tests wiederholt. Mit dem Ergebnis, dass sich nichts ändert.

Da aber auch mit der Wireguard Konfiguration komme ich nicht über 9xxKB/s. Das würde für eine Fehlkonfiguration der NICs sprechen.
Speedtest im Internet sind aber alle unauffällig und entsprechen den Anschluss Bandbreiten.

Nur die VPN sind langsamer. Gib es hier in der Community Leute, die mir den Grund erklären können bzw. Wissen ob ich etwas ändern
kann, damit ich den Flaschenhals beseitigen kann?


Vielen Dank

Content-ID: 665605

Url: https://administrator.de/forum/verstaendnisfrage-vpn-performance-pfsense-665605.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

117471
117471 09.04.2021 um 23:45:43 Uhr
Goto Top
Hallo,

was sagt denn die Auslastung der pfSense (CPU und RAM)?

Hardwareverschlüsselung ist aktiv?

Gruß,
Jörg
aqui
aqui 10.04.2021 aktualisiert um 07:46:29 Uhr
Goto Top
Wie Kollege @117471 sagt: Ist der AES-NI Support auch aktiviert im Setup der pfSense ?? (System -> Advanced -> Miscellaneous)
vpn
Wenn nicht muss sie alle Krypto Funktionen in Software erledigen was dann erheblich auf die VPN Performance drückt.
Zusätzlich solltest du die korrekten MTU Settings für die Tunnel Interface kontrollieren. Passen die nicht kommt es zu Fragmentierungen was sich ebenfalls im Durchsatz bemerkbar macht. In der regel mit der richtigen Hardware macht die pfSense schon wirespeed im VPN.
Visucius
Visucius 10.04.2021 um 08:00:16 Uhr
Goto Top
Naja, dass iPSec per se nicht der Performance-Künstler ist, wird doch bei jedem WG-Vergleich thematisiert?!
Schaut man sich die speziellen Hinweise auf hardware gestützte iPSec-entschlüsselung z.B. bei Mikrotik an, dann ist das wohl notwendig. Dein DualCore hat doch auch schon mehr als ein Jahrzehnt auf dem Buckel? Intel z.B. beschreibt hier die Auswirkungen von AES-NI auf iPSec:

https://www.intel.de/content/dam/www/public/us/en/documents/white-papers ...

Was spricht denn eigentlich dagegen auf WG umzusteigen?
aqui
aqui 10.04.2021 um 08:29:33 Uhr
Goto Top
Die Performance Unterschiede zu IPsec sind aber marginal:
perf
flabs
flabs 10.04.2021 um 15:08:44 Uhr
Goto Top
Hallo,
erstmal Danke für die Antworten.

AES-NI ist bei der Test Hardware, die AES NI unterstützt auch aktiv. Die CPU und Ram Auslastung, sind laut Anzeige bei 1-4 % CPU und 6% Ram.
Ohne AES NI. Auf den Kisten mit AES-NI sind die Werte ähnlich
Wie gesagt die alten Astaro Boxen unterstützen auch kein AES NI, aber die APU Board und die PC Hardware mit Intel i3 und zusätzlichen Intel Netzwerkkarten schon. Ich habe sogar zusätzlich mal auf einem Dediziertem Server beim Hoster Proxmox mal installiert mit einer virtuellen pfSense Installation. Selbst ein Tunnel dorthin hat schlechte VPN Performance.

Ich wäre bereit neue Hardware von Netgate zu kaufen, aber ich möchte erst das Problem verstehen, sonst habe ich am Ende mit der neuen HW
nichts gewonnen, sondern nur Geld ausgegeben

Gegen WG S2S spricht grundsätzlich nichts. Da pfsense aber keine natives WG unterstützt zum aktuellen Zeitpunkt. Ja Ok mit Version 2.5 noch aber mit 2.5.1 nicht mehr.

Was mich halt nur wundert ist, wenn ich an jedem Standort eine VM mit einem WG Tunnel habe der die Standortvernetzung übernimmt ich auch nur auf 900KB/s komme dann kann es doch nicht am pfSense IPSec VPN liegen, da ich das testweise ausgeschaltet habe und alles über den Wireguard Tunnel läuft.
aqui
aqui 10.04.2021, aktualisiert am 11.04.2021 um 13:36:01 Uhr
Goto Top
aber die APU Board
Nein ! Das tun nur APU2 und höher. Kein APU1.
Hier schaffen 2 pfSense auf APU2 Hardware Back to Back über 1 Gig um die 890 Mbit/s mit IKEv2 IPsec. Gemessen mit iPerf3.
ich auch nur auf 900KB/s komme
900 kB/s = KiloByte/s = 7,2 GigaMegabit/s
flabs
flabs 11.04.2021 um 01:38:27 Uhr
Goto Top
Moin Aqui,

als Hardware kommt zum Einsatz

System PC Engines APU2
BIOS Vendor: coreboot
Version: 88a4f96
Release Date: Fri Mar 11 2016

Version 2.4.5-RELEASE-p1 (amd64)
built on Tue Jun 02 17:51:17 EDT 2020
FreeBSD 11.3-STABLE

CPU Type AMD GX-412TC SOC
4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: Yes (active)
Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICM


Warum sind 900 KByte/s = 7,2 Gigabit/s ?

Ich hab vor 30 Jahren mal gelernt 8 Bit sind 1 Byte. Also 900 KByte * 8 sind 7200 KByte / 1000 entsprechen 7,2 Megabit/s oder 0,0072 Gigabit/s
Oder habe ich einen Rechen / Denkfehler?
Laut Speedtest.net hat meine Sendestelle einen Upload von 30.000 KBit/s und meine Empfangsstelle einen Download 250.000 KBit/s
Warum komme ich auf ganz andere Werte, nämlich die Werte, dem Anschluss entsprechen, wenn ich die Daten ohne VPN direkt per SSH übertrage?

MIT VPN
ubuntu-18.04.5-server-amd64.iso 7% 72MB 917.9KB/s 16:21 ETA
OHNE VPN
ubuntu-18.04.5-server-amd64.iso 17% 168MB 4.1MB/s 03:12 ETA

Das die Verschlüsselung ein bisschen Bandbreite kostet mag ja sein, aber um das 4 Fache langsamer ?! Das würde ich gerne verstehen, bevor ich evtl. die Hardware tausche

Vielen Dank
aqui
aqui 11.04.2021 aktualisiert um 13:37:23 Uhr
Goto Top
Warum sind 900 KByte/s = 7,2 Gigabit/s ?
Sorry, hatte aus Versehen Mega und Giga verwechselt im Eifer des Gefechts... face-sad
900 kByte/s mal 8 Bit sind aber 7200 kbit/s und nicht Byte. face-wink
forca01
forca01 05.07.2021 aktualisiert um 23:20:38 Uhr
Goto Top
ahm, gibt es ein happy-end?

ich wuerde sonst noch das bios updaten, denn das hier:
Release Date: Fri Mar 11 2016
scheint etwas aelter zu sein
forca01
forca01 05.07.2021 aktualisiert um 23:24:33 Uhr
Goto Top
Zitat von @aqui:

Hier schaffen 2 pfSense auf APU2 Hardware Back to Back über 1 Gig um die 890 Mbit/s mit IKEv2 IPsec. Gemessen mit iPerf3.

haste evtl. entspr. "wg" werte (mit iperf3)?
aqui
aqui 06.07.2021 aktualisiert um 10:24:06 Uhr
Goto Top