5
Wireguard contra Fritzbox iPSec - Update!
UPDATE als 1. Kommentar angefügt
Hallo in die Runde,
ein Kunde hat heute ein DSL-Upgrade geschaltet bekommen und mich interessierte die Auswirkung aufs VPN. Nachdem das Thema Fritzbox + VPN hier immer mal wieder aufschlägt, will ich die Ergebnisse mit Euch teilen ... Außerdem ist heute Freitag
Anmerkungen zum Test sind ausdrücklich erwünscht - ich habe das so häufig noch nicht gemacht. Und das Setup ließe sich relativ einfach nochmal aktivieren.
Anbei der Testaufbau:
Am Ziel ist eine Fritzbox 7490/aktuelles BS hinter einer 100/40er Vodafone-DSL-Leitung verbaut. Dort sind 3 VPN-User angelegt. Im Ziel-LAN läuft ein PC-Tower (i7/7700, 16GB RAM, Gbit-Lan) mit einer Hyper-V/Ubuntu Instanz (20.4 LTS, 2 GB RAM/1 Kern zugewiesen) als Host für Wireguard/Server und iPerf/Server. Auf diesen wird in allen Tests "gepingt". Die VPN-Clients verbanden sich in Test 1 und 2 alle auf die Fritzbox (IPSec) und in Test 3 ff. direkt auf den Wireguard-Server.
Testsoftware des Client: Wifi-Perf auf MacOS/Catalina, wobei die Verbindung auf LAN 100 basierte.
Im bisherigen Normal-Betrieb (50/10 Mbit) wird dieser Win10 Pro/Tower für den RDP-Zugriff genutzt (LAN/VPN). Was je nach SW (Buchungsverwaltung) auch mit LTE im Fahrzeug problemlos klappt. Bei manchen Anwendungen (2D-Anwendungen) aber beim Zugriff von außen hängt.
Test 1/Fritzbox ohne Last:
1 Client (MacOS) mit LAN im lokalen Netz verbindet sich per VPN auf die entfernte Fritzbox:
Upload (Client > Server): ca. 7 bis 8 Mbit/s bei hohen Schwankungen, von theoreth. 9 Mbit/s.
Download (Server > Client): ca. 4,5 Mbit/s von theoretisch 37 Mbit/s
Test 2/Fritzbox mit Last:
3 Clients (2 x LTE, 1 x wieder MacOS). Wobei die 2 anderen Clients (Spotify und Amazon-Video streamen):
Upload: dauerhaft Schwankungen zwischen knapp 1 und 8 Mbit/s
Download: 3 bis 4 Mbit/s
Test 3/Wireguard ohne Last:
Upload: 5 bis 11,5 Mbit/s, im Durchschnitt aber die 9 erzielbaren.
Download: 35 + x Mbit/s ... (Achtung Wechsel der AchsenSkalierung!)
Test4/Wireguard mit Last ff.:
... ich sach mal so. Man sieht keinen Unterschied. Auch mit 2 x ARD/ZDF-Streams bei den LTE-Geräte.
Im Prinzip hatte ich das auch so erwartet (deshalb das Upgrade der Leitung) - ABER, ich finde die Fritze würde sich bei einer der häufig genutzten 50/10er Internetverbindung durchaus noch gut machen - gerade, wenn man eh nur einen Client parallel nutzt. Zudem sind mMn. die hier häufig kolportierten 2-3 Mbit/s "ne Mähr".
Man spart sich dabei ne Menge Aufwand, Strom und Konfiguration. Ganz davon abgesehen, dass man auch erstmal "Mobil" die Bandbreite abrufen können muss.
Schönes WE an alle.
Hallo in die Runde,
ein Kunde hat heute ein DSL-Upgrade geschaltet bekommen und mich interessierte die Auswirkung aufs VPN. Nachdem das Thema Fritzbox + VPN hier immer mal wieder aufschlägt, will ich die Ergebnisse mit Euch teilen ... Außerdem ist heute Freitag
Anmerkungen zum Test sind ausdrücklich erwünscht - ich habe das so häufig noch nicht gemacht. Und das Setup ließe sich relativ einfach nochmal aktivieren.
Anbei der Testaufbau:
Am Ziel ist eine Fritzbox 7490/aktuelles BS hinter einer 100/40er Vodafone-DSL-Leitung verbaut. Dort sind 3 VPN-User angelegt. Im Ziel-LAN läuft ein PC-Tower (i7/7700, 16GB RAM, Gbit-Lan) mit einer Hyper-V/Ubuntu Instanz (20.4 LTS, 2 GB RAM/1 Kern zugewiesen) als Host für Wireguard/Server und iPerf/Server. Auf diesen wird in allen Tests "gepingt". Die VPN-Clients verbanden sich in Test 1 und 2 alle auf die Fritzbox (IPSec) und in Test 3 ff. direkt auf den Wireguard-Server.
Testsoftware des Client: Wifi-Perf auf MacOS/Catalina, wobei die Verbindung auf LAN 100 basierte.
Im bisherigen Normal-Betrieb (50/10 Mbit) wird dieser Win10 Pro/Tower für den RDP-Zugriff genutzt (LAN/VPN). Was je nach SW (Buchungsverwaltung) auch mit LTE im Fahrzeug problemlos klappt. Bei manchen Anwendungen (2D-Anwendungen) aber beim Zugriff von außen hängt.
Test 1/Fritzbox ohne Last:
1 Client (MacOS) mit LAN im lokalen Netz verbindet sich per VPN auf die entfernte Fritzbox:
Upload (Client > Server): ca. 7 bis 8 Mbit/s bei hohen Schwankungen, von theoreth. 9 Mbit/s.
Download (Server > Client): ca. 4,5 Mbit/s von theoretisch 37 Mbit/s
Test 2/Fritzbox mit Last:
3 Clients (2 x LTE, 1 x wieder MacOS). Wobei die 2 anderen Clients (Spotify und Amazon-Video streamen):
Upload: dauerhaft Schwankungen zwischen knapp 1 und 8 Mbit/s
Download: 3 bis 4 Mbit/s
Test 3/Wireguard ohne Last:
Upload: 5 bis 11,5 Mbit/s, im Durchschnitt aber die 9 erzielbaren.
Download: 35 + x Mbit/s ... (Achtung Wechsel der AchsenSkalierung!)
Test4/Wireguard mit Last ff.:
... ich sach mal so. Man sieht keinen Unterschied. Auch mit 2 x ARD/ZDF-Streams bei den LTE-Geräte.
Im Prinzip hatte ich das auch so erwartet (deshalb das Upgrade der Leitung) - ABER, ich finde die Fritze würde sich bei einer der häufig genutzten 50/10er Internetverbindung durchaus noch gut machen - gerade, wenn man eh nur einen Client parallel nutzt. Zudem sind mMn. die hier häufig kolportierten 2-3 Mbit/s "ne Mähr".
Man spart sich dabei ne Menge Aufwand, Strom und Konfiguration. Ganz davon abgesehen, dass man auch erstmal "Mobil" die Bandbreite abrufen können muss.
Schönes WE an alle.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 565574
Url: https://administrator.de/contentid/565574
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
5 Kommentare
Neuester Kommentar
UPDATE:
Mir hat das keine Ruhe gelassen, dass die Fritzbox auch unter (vermeintlicher) Last nicht einbrach. Rein von der Logik müsste sie ihre (begrenzte) iPSec-Leistung ja auf die VPN-Clients aufteilen. Bei den iOS-Clients habe ich bzgl. Routing nicht so viele Optionen aber ich wollte unbedingt ausschließen, dass die Streams evtl. "am VPN vorbei" geladen werden.
Deshalb jetzt eine Modifikation:
Die LTE-Clients kopieren innerhalb des VPN je eine 1 GB Testdatei vom Ziel-Server auf das lokale Verzeichnis. So richtig stabil habe ich das leider auch nach mehrmaligem Versuch nicht hinbekommen - bis sich mein Datenvolumen in Rauch auflöste. Der Kopiervorgang startete jeweils noch - aber am Ende der jweiligen Testdurchläufe (nach 3-4 Minuten) hing gerne eine der beiden "ios-Dateien-Apps" oder ich musste das Gerät hart neustarten.
Hier die Messwerte. Die 3-fachen Durchläufe der Fritzbox habe ich übereinandergelegt:
Upload zum Server: hohe Schwankungen bis auf einen Durchlauf eher bei 4 MBit/s
Download vom Server: 1 bis kurzz. 4 Mbit/s
Hier auch die Wireguard-Daten vom selben Testsetup:
Das ist beim Download mit WG doch ein deutlicher Unterschied zu gestern - hier könnte es aber durchaus auch ein Setup-Problem geben. Rumpfsystem und HyperV sind auf SSD - die Virtualisierung von Ubuntu/Wireguard liegt jedoch (noch) auf ner Festplatte und nicht der SSD!
Das Share für das 1GB-File ebenso!
Gestern arbeitete der so problemlos, dass ich da evtl. etwas zu optimistisch war ;-(
Wie auch immer - Datenlimit erreicht - und für einen Eindruck bzgl. der Leistungsfähigkeit genügen (mir) die Daten halbwegs - "wissenschaftlicher" wirds also nicht
Mir hat das keine Ruhe gelassen, dass die Fritzbox auch unter (vermeintlicher) Last nicht einbrach. Rein von der Logik müsste sie ihre (begrenzte) iPSec-Leistung ja auf die VPN-Clients aufteilen. Bei den iOS-Clients habe ich bzgl. Routing nicht so viele Optionen aber ich wollte unbedingt ausschließen, dass die Streams evtl. "am VPN vorbei" geladen werden.
Deshalb jetzt eine Modifikation:
Die LTE-Clients kopieren innerhalb des VPN je eine 1 GB Testdatei vom Ziel-Server auf das lokale Verzeichnis. So richtig stabil habe ich das leider auch nach mehrmaligem Versuch nicht hinbekommen - bis sich mein Datenvolumen in Rauch auflöste. Der Kopiervorgang startete jeweils noch - aber am Ende der jweiligen Testdurchläufe (nach 3-4 Minuten) hing gerne eine der beiden "ios-Dateien-Apps" oder ich musste das Gerät hart neustarten.
Hier die Messwerte. Die 3-fachen Durchläufe der Fritzbox habe ich übereinandergelegt:
Upload zum Server: hohe Schwankungen bis auf einen Durchlauf eher bei 4 MBit/s
Download vom Server: 1 bis kurzz. 4 Mbit/s
Hier auch die Wireguard-Daten vom selben Testsetup:
Das ist beim Download mit WG doch ein deutlicher Unterschied zu gestern - hier könnte es aber durchaus auch ein Setup-Problem geben. Rumpfsystem und HyperV sind auf SSD - die Virtualisierung von Ubuntu/Wireguard liegt jedoch (noch) auf ner Festplatte und nicht der SSD!
Das Share für das 1GB-File ebenso!
Gestern arbeitete der so problemlos, dass ich da evtl. etwas zu optimistisch war ;-(
Wie auch immer - Datenlimit erreicht - und für einen Eindruck bzgl. der Leistungsfähigkeit genügen (mir) die Daten halbwegs - "wissenschaftlicher" wirds also nicht
1
Hallo Visucius,
eine Anmerkung zu Deinen Tests.
AVM hat in den aktuellen Laborversionen von FritzOS ganz massiv an der VPN-Leistung geschraubt, ohne an den Sicherheitseinstellungen etwas zu verstellen (wenn ich den Statusinformationen glauben kann).
Ich habe eine ähnliche DSL-Konstellation (einmal DSL100 und einmal DSL50), mit zwei Fritzboxen 7590 und VPN Box2Box. Mit der offiziellen FritzOS-Version 7.12 war die VPN-Verbindung zwischen den beiden Subnetzen fast nicht zu benutzen.
Es reichte nicht mal, eine MP3-Datei über SMB zu übertragen und ohne Aussetzer auf der DSL50-Seite abzuspielen.
Deshalb habe ich auf beide Boxen die Laborversion von FritzOS aufgespielt (aktuell 07.19-77204).
Jetzt ist die VPN-Verbindung fast transparent, bei meinen Tests (Dateitransfer über die Windowsfreigabe) kam ich ungefähr auf die erwartete Übertragungsgeschwindigkeit (~8MB/s)
Leider hilft Dir das nur begrenzt, den es gibt z.Z. nur für die 7490 eine aktuelle Laborversion. Wann und ob die 7412 ein FritzOS >=7.19 bekommt, weiß wohl nur AVM.
Aber wahrscheinlich nützt es schon, nur die 7490 auf die Laborversion umzustellen.
Die aktuelle Laborversion ist sehr stabil, und man kommt auch wieder zur aktuellen Version zurück.
Aber natürlich sollte man vorab die Fritzboxeinstellungen sichern, die Recover-Datei (gibts unter ftp.avm.de) herunterladen und zur Not einen Windowsrechner besorgen können, um das Recover einspielen, falls doch was schief läuft.
Der Wechsel auf die Laborversion lief aber bei mir bei drei Boxen ohne Probleme.
eine Anmerkung zu Deinen Tests.
AVM hat in den aktuellen Laborversionen von FritzOS ganz massiv an der VPN-Leistung geschraubt, ohne an den Sicherheitseinstellungen etwas zu verstellen (wenn ich den Statusinformationen glauben kann).
Ich habe eine ähnliche DSL-Konstellation (einmal DSL100 und einmal DSL50), mit zwei Fritzboxen 7590 und VPN Box2Box. Mit der offiziellen FritzOS-Version 7.12 war die VPN-Verbindung zwischen den beiden Subnetzen fast nicht zu benutzen.
Es reichte nicht mal, eine MP3-Datei über SMB zu übertragen und ohne Aussetzer auf der DSL50-Seite abzuspielen.
Deshalb habe ich auf beide Boxen die Laborversion von FritzOS aufgespielt (aktuell 07.19-77204).
Jetzt ist die VPN-Verbindung fast transparent, bei meinen Tests (Dateitransfer über die Windowsfreigabe) kam ich ungefähr auf die erwartete Übertragungsgeschwindigkeit (~8MB/s)
Leider hilft Dir das nur begrenzt, den es gibt z.Z. nur für die 7490 eine aktuelle Laborversion. Wann und ob die 7412 ein FritzOS >=7.19 bekommt, weiß wohl nur AVM.
Aber wahrscheinlich nützt es schon, nur die 7490 auf die Laborversion umzustellen.
Die aktuelle Laborversion ist sehr stabil, und man kommt auch wieder zur aktuellen Version zurück.
Aber natürlich sollte man vorab die Fritzboxeinstellungen sichern, die Recover-Datei (gibts unter ftp.avm.de) herunterladen und zur Not einen Windowsrechner besorgen können, um das Recover einspielen, falls doch was schief läuft.
Der Wechsel auf die Laborversion lief aber bei mir bei drei Boxen ohne Probleme.
Danke für den Hinweis!
Ich habe hier noch ne Fritze 7490 mit der 07.19-77568 BETA, angebunden 48/9 Mbit/s (getestet). Ich connecte hier wieder vom MacBook mit 1GbLAN (durch ne Fritze 7390), mit 17/9 (getestet) und habe das gleich mal gemessen.
Fritzbox:
Und hier zum Vergleich:
Wirguard auf Raspi 3B (gleicher Zielort) angeschlossen per LAN.
Bitte auf die Skalierung achten - die kann ich nicht richtig beeinflussen! Die Tests jetzt hier nur mit je einem VPN-Client, der auch die iPerf tests durchführte. Das Muster scheint sich - zumindest bei alten Fritzboxen auf der Client-Seite zu bestätigen:
Der Download ist ohne Last signifikant niedriger als der Upload. Die Beta-Version scheint in meinem Setup nichts zu bringen. Vielleicht wäre die Betaversion wirklcih auf beiden Seiten notwendig - obwohl das clientseitig ja nur ein passthrough wäre.
Ich habe hier noch ne Fritze 7490 mit der 07.19-77568 BETA, angebunden 48/9 Mbit/s (getestet). Ich connecte hier wieder vom MacBook mit 1GbLAN (durch ne Fritze 7390), mit 17/9 (getestet) und habe das gleich mal gemessen.
Fritzbox:
Und hier zum Vergleich:
Wirguard auf Raspi 3B (gleicher Zielort) angeschlossen per LAN.
Bitte auf die Skalierung achten - die kann ich nicht richtig beeinflussen! Die Tests jetzt hier nur mit je einem VPN-Client, der auch die iPerf tests durchführte. Das Muster scheint sich - zumindest bei alten Fritzboxen auf der Client-Seite zu bestätigen:
Der Download ist ohne Last signifikant niedriger als der Upload. Die Beta-Version scheint in meinem Setup nichts zu bringen. Vielleicht wäre die Betaversion wirklcih auf beiden Seiten notwendig - obwohl das clientseitig ja nur ein passthrough wäre.
Visucius,
danke für deinen Beitrag. Aber verschiebe das Ganze mal unter die Rubrik "Erfahrungsbericht". Das ist doch keine Anleitung.
BB
danke für deinen Beitrag. Aber verschiebe das Ganze mal unter die Rubrik "Erfahrungsbericht". Das ist doch keine Anleitung.
BB
War eigentlich so gewollt.
Habe auch überall wo möglich auf "Erfahrungsbericht" geklickt?! Am Ende gabs aber nur Anleitung oder Ticker
Kann aber gerne verschoben werden.
Habe auch überall wo möglich auf "Erfahrungsbericht" geklickt?! Am Ende gabs aber nur Anleitung oder Ticker
Kann aber gerne verschoben werden.
