Fritzbox 7490 / Asus Router RT-AC 88U

[Balu66]

Hallo zusammen!

Ich habe folgendes Problem und zwar habe ich eine Fritzbox sowie einen Asus Router RT-AC 88U mit ASUS WRT Merlin aufgesetzt. Auf diesen läuft OPENVPN als Client eingerichtet mit fertigen Config Datein ( VPN Anbieter). Nun zu dem Problem ich habe eine 100Mbit/s Leitung diese läuft auch schnell wenn der vpn client aus ist mit erreiche ich grade mal 17,50 Mbits Down / UP 28,80 Mbits es spielt auch keine Rolle ob ich nun Germany oder Niederlande oder so nutze liegt ein Defekt an dem Asus vor? Schalte ich VPN aus erreicht der Asus 95Mbits ? Verbunden ist die Fritz und der Asus per Lan Kabel und alle anderen Geräte auch .

 

[Eye-Q]

Die Wahrscheinlichkeit, dass der Router bremst, ist gering, da der ja ohne den VPN-Anbieter (welcher auch immer das ist...) 95 Mbit/s erreicht. Somit gehe ich davon aus, dass das der VPN-Anbieter ist.

Gibt es bei diesem ominösen VPN-Anbieter auch die Möglichkeit, einen Client auf einem PC zu installieren? Falls ja und das ergibt das selbe Bild, ist das eindeutig der VPN-Anbieter.

 

[Balu66]

Ja habs mit dem client direkt versucht genau das selbe problem. Es liegen jetzt nurnoch 9000 im down an egal zu welcher zeit oder ob der server gewechselt wird.

 

[underclocker2k4]

Die Wahrscheinlichkeit, dass der Router bremst, ist gering, da der ja ohne den VPN-Anbieter (welcher auch immer das ist...) 95 Mbit/s erreicht. .

Hast du eine Begründung für diese Annahme?
Es gibt einen Grund, warum es die "Maßeinheit" namens "IPSEC Performance" bei z.B. Routern gibt.

Ist jetzt die frage, wie genau das VPN gemacht wird, insbesondere die Verschlüsselung ist dabei ein wirkliches Problem.
Es wird auf jeden Fall so sein, dass der TE nicht die volle Bandbreite nutzen können wird, da die Plasterouter idR <50mbit IPSEC zumachen.
Der ASUS mag zwar potent sein, aber auch ne DC CPU ist jetzt nicht der Knaller bei sowas, je nach Situation.

Allerdings muss man sagen, dass in dem Fall der Speed symmetrisch begrenzt ist, da die Verschlüsselung ja UL und DL gleich funktioniert.
Bei der Abweichung würde ich im Moment auch von einem Serverproblem ausgehen.

 

[TCM]

Hier geht's nicht um IPsec. Im ersten Post steht doch OpenVPN.

OpenVPN ist ein Userspace-VPN, d.h. jedes Paket muss durch ein tun(4)-Interface in den Kernel und wieder zurück, was massiv Kontextswitche verursacht. Das kann auf diesen Embedded-Plattformen sehr schnell zum Engpass werden. 30 Mbps klingt plausibel für diese Kisten, mehr wird's nicht werden.

Was man testen kann: den OpenVPN-Client auf einem PC installieren, um den Server als Flaschenhals auszuschließen.

 

[underclocker2k4]

Ich kann lesen.
Ob nun IPSEC oder OpenVPN ist eigentlich völlig Bratwurst, das Problem ist, dass Verbindungen verschlüsselt werden und das kostet Zeit und limitiert damit die Verbindung.

Eine gänzlich unverschlüsselte, weil dann nur geroutete Verbindung, hat die maximale Performance.

Und Verschlüsselung ist nunmal einiges an Rechenleistung und daher ein Problem für die GurkenCPUs in den Plasteroutern.
Ich könnte wetten,eine OpenVPN "Distri" würde auf einem normalem x86-System würde bei den Bandbreiten nur müde lächeln. (analog zu deinem Vorschlag)

Ich könnte wetten, wenn er nen PPTP-Tunnel aufbaut, sieht der Speed anders aus.
Aber bitte PPTP nicht betreiben, da es mehr als anfällig ist. Nur zum Testen.

Das Userspace-Thema mag auch ein Punkt sein, ist aber im Verhältnis zur reinen Rechenarbeit zu vernachlässigen, meine Meinung. (würde man ja mit dem PPTP-Thema ggf. auch rausbekommen, denn die Kontextswitche wäre gleichviel)

 

[hominidae]

...kommt auf die Verschlüsselungstiefe an....ausserdem ist der AC88U wohl eher in der Performance Range des AC68U...der AC86U ist 3x schneller...siehe: OpenVPN performance of the RT-AC86U | SmallNetBuilder Forums

Edit:
siehe auch diesen Fred: Slooooow vpn speeds on AC88U router | SmallNetBuilder Forums
Mit AES256 sind Deine Werte normal...mit AES128 kommt man wohl so auf 70mbps max. beim AC88U

 

[TCM]

Ob nun IPSEC oder OpenVPN ist eigentlich völlig Bratwurst

Nein.

Das Hauptproblem bei OpenVPN ist die Userspace-Verarbeitung. Die kommt noch zur Verschlüsselung oben drauf und ist nicht vernachlässigbar.

 

[underclocker2k4]

Das sieht "der" Macher von OpenVPN etwas anders.
RE: [Openvpn-users] Re: Why in user space

In my own benchmarks, I've found that OpenVPN spends a vast
majority of its processor time doing low-level crypto operations, and the
context switching time between user and kernel space is probably only a
few percent on modern OSes.

Kann man ja gerne benchmarken was das Conextswitching tatsächlich bedeutet im Vergleich zur Verschlüsselung bei den Plasteroutern.
Ich kann nur aus Erfahrung sagen, dass Verschlüsselung ein ernstes Problem ist (unabhängig von OpenVPN). Daher gibt es ja auch die Hardwarebeschleunigung dafür.
Klar ist, je besser die Verschlüsselung läuft, desto stärker wirkt der Contextswitch. Aber die Plasterouter sind wohl weit entfernt von gut laufen @Verschlüsselung.
Das mag auf einer aktuellen x86 Plattform und ggf. 10GBE anders aussehen. Da muss man dem Contextswitch mit der MTU-Size begegnen, das gilt aber eh schon für den TCP-Offload.

 

[TCM]

ZeroTier | Connect All The Things

Wobei auf einer Kiste mit AES-NI der Einfluss von Crypto nicht so stark sein sollte. D.h. die Unterschiede da sind mehr oder weniger die durch die Kontextswitche verursachten. Auf einem Embedded-Gerät kann man dann noch davon ausgehen, dass bei weitem nicht dieselbe Speicherbandbreite zur Verfügung steht. Also fallen die Kopieroperationen bei einem Kontext-Switch gleich noch mehr ins Gewicht.

 

[underclocker2k4]

Genau das AES-NI ist doch genau das Thema. Wenns der CPU "egal" was die Verschlüsselung macht, wird das Contextswitch tatsächlich ein Faktor.
Rechnet sich die CPU aber am AES (oder sonstwas) zu Tode, ist es egal ob sie nun Daten umladen muss oder nicht.

Solange auf den Plasteroutern keine AES-Beschleunigung vorhanden ist, ist das eben der bestimmende Faktor.
Sollen den Benchmark mal auf nem alten Prossi laufen lassen, dann kann man das abschätzen, was mit und ohne AES geht.