Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wireguard contra Fritzbox iPSec - Update!

Mitglied: Visucius

Visucius (Level 2) - Jetzt verbinden

17.04.2020, aktualisiert 24.04.2020, 1731 Aufrufe, 5 Kommentare, 2 Danke

UPDATE als 1. Kommentar angefügt

Hallo in die Runde,

ein Kunde hat heute ein DSL-Upgrade geschaltet bekommen und mich interessierte die Auswirkung aufs VPN. Nachdem das Thema Fritzbox + VPN hier immer mal wieder aufschlägt, will ich die Ergebnisse mit Euch teilen ... Außerdem ist heute Freitag

Anmerkungen zum Test sind ausdrücklich erwünscht - ich habe das so häufig noch nicht gemacht. Und das Setup ließe sich relativ einfach nochmal aktivieren.

Anbei der Testaufbau:
setup - Klicke auf das Bild, um es zu vergrößern

Am Ziel ist eine Fritzbox 7490/aktuelles BS hinter einer 100/40er Vodafone-DSL-Leitung verbaut. Dort sind 3 VPN-User angelegt. Im Ziel-LAN läuft ein PC-Tower (i7/7700, 16GB RAM, Gbit-Lan) mit einer Hyper-V/Ubuntu Instanz (20.4 LTS, 2 GB RAM/1 Kern zugewiesen) als Host für Wireguard/Server und iPerf/Server. Auf diesen wird in allen Tests "gepingt". Die VPN-Clients verbanden sich in Test 1 und 2 alle auf die Fritzbox (IPSec) und in Test 3 ff. direkt auf den Wireguard-Server.

Testsoftware des Client: Wifi-Perf auf MacOS/Catalina, wobei die Verbindung auf LAN 100 basierte.

Im bisherigen Normal-Betrieb (50/10 Mbit) wird dieser Win10 Pro/Tower für den RDP-Zugriff genutzt (LAN/VPN). Was je nach SW (Buchungsverwaltung) auch mit LTE im Fahrzeug problemlos klappt. Bei manchen Anwendungen (2D-Anwendungen) aber beim Zugriff von außen hängt.


Test 1/Fritzbox ohne Last:
1 Client (MacOS) mit LAN im lokalen Netz verbindet sich per VPN auf die entfernte Fritzbox:
Upload (Client > Server): ca. 7 bis 8 Mbit/s bei hohen Schwankungen, von theoreth. 9 Mbit/s.
Download (Server > Client): ca. 4,5 Mbit/s von theoretisch 37 Mbit/s

test1_upload - Klicke auf das Bild, um es zu vergrößerntest1_download - Klicke auf das Bild, um es zu vergrößern


Test 2/Fritzbox mit Last:
3 Clients (2 x LTE, 1 x wieder MacOS). Wobei die 2 anderen Clients (Spotify und Amazon-Video streamen):
Upload: dauerhaft Schwankungen zwischen knapp 1 und 8 Mbit/s
Download: 3 bis 4 Mbit/s

test2_upload - Klicke auf das Bild, um es zu vergrößerntest2_download - Klicke auf das Bild, um es zu vergrößern


Test 3/Wireguard ohne Last:
Upload: 5 bis 11,5 Mbit/s, im Durchschnitt aber die 9 erzielbaren.
Download: 35 + x Mbit/s ... (Achtung Wechsel der AchsenSkalierung!)

test3_wg-upload - Klicke auf das Bild, um es zu vergrößerntest3_wg-download - Klicke auf das Bild, um es zu vergrößern


Test4/Wireguard mit Last ff.:
... ich sach mal so. Man sieht keinen Unterschied. Auch mit 2 x ARD/ZDF-Streams bei den LTE-Geräte.

test4_wg upload - Klicke auf das Bild, um es zu vergrößerntest4_wg download - Klicke auf das Bild, um es zu vergrößern


Im Prinzip hatte ich das auch so erwartet (deshalb das Upgrade der Leitung) - ABER, ich finde die Fritze würde sich bei einer der häufig genutzten 50/10er Internetverbindung durchaus noch gut machen - gerade, wenn man eh nur einen Client parallel nutzt. Zudem sind mMn. die hier häufig kolportierten 2-3 Mbit/s "ne Mähr".
Man spart sich dabei ne Menge Aufwand, Strom und Konfiguration. Ganz davon abgesehen, dass man auch erstmal "Mobil" die Bandbreite abrufen können muss.

Schönes WE an alle.
Mitglied: Visucius
18.04.2020, aktualisiert um 14:16 Uhr
UPDATE:

Mir hat das keine Ruhe gelassen, dass die Fritzbox auch unter (vermeintlicher) Last nicht einbrach. Rein von der Logik müsste sie ihre (begrenzte) iPSec-Leistung ja auf die VPN-Clients aufteilen. Bei den iOS-Clients habe ich bzgl. Routing nicht so viele Optionen aber ich wollte unbedingt ausschließen, dass die Streams evtl. "am VPN vorbei" geladen werden.

Deshalb jetzt eine Modifikation:
Die LTE-Clients kopieren innerhalb des VPN je eine 1 GB Testdatei vom Ziel-Server auf das lokale Verzeichnis. So richtig stabil habe ich das leider auch nach mehrmaligem Versuch nicht hinbekommen - bis sich mein Datenvolumen in Rauch auflöste. Der Kopiervorgang startete jeweils noch - aber am Ende der jweiligen Testdurchläufe (nach 3-4 Minuten) hing gerne eine der beiden "ios-Dateien-Apps" oder ich musste das Gerät hart neustarten.

Hier die Messwerte. Die 3-fachen Durchläufe der Fritzbox habe ich übereinandergelegt:
Upload zum Server: hohe Schwankungen bis auf einen Durchlauf eher bei 4 MBit/s
Download vom Server: 1 bis kurzz. 4 Mbit/s

fritze_upload-last - Klicke auf das Bild, um es zu vergrößernfritze_download-last - Klicke auf das Bild, um es zu vergrößern


Hier auch die Wireguard-Daten vom selben Testsetup:

bildschirmfoto 2020-04-18 um 13.13.57 - Klicke auf das Bild, um es zu vergrößernbildschirmfoto 2020-04-18 um 13.13.39 - Klicke auf das Bild, um es zu vergrößern


Das ist beim Download mit WG doch ein deutlicher Unterschied zu gestern - hier könnte es aber durchaus auch ein Setup-Problem geben. Rumpfsystem und HyperV sind auf SSD - die Virtualisierung von Ubuntu/Wireguard liegt jedoch (noch) auf ner Festplatte und nicht der SSD!

Das Share für das 1GB-File ebenso!

Gestern arbeitete der so problemlos, dass ich da evtl. etwas zu optimistisch war ;-(
Wie auch immer - Datenlimit erreicht - und für einen Eindruck bzgl. der Leistungsfähigkeit genügen (mir) die Daten halbwegs - "wissenschaftlicher" wirds also nicht
Bitte warten ..
Mitglied: tubebert
21.04.2020 um 14:49 Uhr
Hallo Visucius,

eine Anmerkung zu Deinen Tests.
AVM hat in den aktuellen Laborversionen von FritzOS ganz massiv an der VPN-Leistung geschraubt, ohne an den Sicherheitseinstellungen etwas zu verstellen (wenn ich den Statusinformationen glauben kann).

Ich habe eine ähnliche DSL-Konstellation (einmal DSL100 und einmal DSL50), mit zwei Fritzboxen 7590 und VPN Box2Box. Mit der offiziellen FritzOS-Version 7.12 war die VPN-Verbindung zwischen den beiden Subnetzen fast nicht zu benutzen.
Es reichte nicht mal, eine MP3-Datei über SMB zu übertragen und ohne Aussetzer auf der DSL50-Seite abzuspielen.

Deshalb habe ich auf beide Boxen die Laborversion von FritzOS aufgespielt (aktuell 07.19-77204).
Jetzt ist die VPN-Verbindung fast transparent, bei meinen Tests (Dateitransfer über die Windowsfreigabe) kam ich ungefähr auf die erwartete Übertragungsgeschwindigkeit (~8MB/s)

Leider hilft Dir das nur begrenzt, den es gibt z.Z. nur für die 7490 eine aktuelle Laborversion. Wann und ob die 7412 ein FritzOS >=7.19 bekommt, weiß wohl nur AVM.
Aber wahrscheinlich nützt es schon, nur die 7490 auf die Laborversion umzustellen.
Die aktuelle Laborversion ist sehr stabil, und man kommt auch wieder zur aktuellen Version zurück.
Aber natürlich sollte man vorab die Fritzboxeinstellungen sichern, die Recover-Datei (gibts unter ftp.avm.de) herunterladen und zur Not einen Windowsrechner besorgen können, um das Recover einspielen, falls doch was schief läuft.

Der Wechsel auf die Laborversion lief aber bei mir bei drei Boxen ohne Probleme.
Bitte warten ..
Mitglied: Visucius
22.04.2020, aktualisiert um 23:29 Uhr
Danke für den Hinweis!

Ich habe hier noch ne Fritze 7490 mit der 07.19-77568 BETA, angebunden 48/9 Mbit/s (getestet). Ich connecte hier wieder vom MacBook mit 1GbLAN (durch ne Fritze 7390), mit 17/9 (getestet) und habe das gleich mal gemessen.

Fritzbox:

fritze s2c - Klicke auf das Bild, um es zu vergrößernfritze c2s - Klicke auf das Bild, um es zu vergrößern


Und hier zum Vergleich:
Wirguard auf Raspi 3B (gleicher Zielort) angeschlossen per LAN.

wg s2c - Klicke auf das Bild, um es zu vergrößernwg c2s - Klicke auf das Bild, um es zu vergrößern

Bitte auf die Skalierung achten - die kann ich nicht richtig beeinflussen! Die Tests jetzt hier nur mit je einem VPN-Client, der auch die iPerf tests durchführte. Das Muster scheint sich - zumindest bei alten Fritzboxen auf der Client-Seite zu bestätigen:

Der Download ist ohne Last signifikant niedriger als der Upload. Die Beta-Version scheint in meinem Setup nichts zu bringen. Vielleicht wäre die Betaversion wirklcih auf beiden Seiten notwendig - obwohl das clientseitig ja nur ein passthrough wäre.
Bitte warten ..
Mitglied: BitBurg
23.04.2020 um 22:58 Uhr
Visucius,

danke für deinen Beitrag. Aber verschiebe das Ganze mal unter die Rubrik "Erfahrungsbericht". Das ist doch keine Anleitung.

BB
Bitte warten ..
Mitglied: Visucius
23.04.2020 um 23:16 Uhr
War eigentlich so gewollt.

Habe auch überall wo möglich auf "Erfahrungsbericht" geklickt?! Am Ende gabs aber nur Anleitung oder Ticker

Kann aber gerne verschoben werden.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routed IPsec in pfSense 2.4.4
Tipp von C.R.S.Router & Routing1 Kommentar

Sehr schöne Möglichkeit in pfSense, die ich bislang ganz übersehen hatte: Hat das schon jemand im Einsatz, z.B. für ...

TK-Netze & Geräte
Fritzbox als Session Boarder Controller
Tipp von Spirit-of-EliTK-Netze & Geräte15 Kommentare

Moin zusammen, Es wird zwar auch häufig drauf hingewisen das man auch TK Anlagen an den S0 einer Fritzbox ...

Router & Routing
Lets Encrypt kommt auf die FritzBox
Information von 134464Router & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

VB for Applications

Fritzbox Telefonbuch - XML-Importdatei aus Excel erstellen

Tipp von PeterleBVB for Applications23 Kommentare

Das Thema geistert schon seit Jahren durch verschiedene Foren. Habe mich jetzt mal damit etwas intensiver befasst und hoffe, ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 1 TagSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Unerwünschte Aktivierung von Mozillas "DNS over HTTPS" in pfSense verhindern

Anleitung von FA-jka vor 1 TagDNS6 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Windows Netzwerk
Verbindungsabbrüche Netzwerkkarte
Frage von Dukenukem264Windows Netzwerk14 Kommentare

Hallo Zusammen, habe eine kleine Frage, vielleicht hat der Ein oder Andere schonmal das Problem gehabt. Habe ein MSI ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Hardware
Anbieter PC-Konfigurator mit Garantie UND vor-Ort-Service
gelöst Frage von ITler7Hardware13 Kommentare

Hallo zusammen, wir suchen aktuell nach einem Anbieter, bei dem wir einen PC konfigurieren können, ähnlich wie bei Alternate ...