Home VPN flotter machen

[fabianod30]

Hallo,

bin gerade am grübeln wie ich mein VPN Zugang verbessern kann.

aktuell sieht es so aus das hinter meiner Unitymedia Connect Box (im BrideMode) ein ASUS RT-AC87U hängt den ich im letzten Jahr auch als OpenVPN Server genutzt habe.

ich nutze die VPN Verbindung nur über mein Smartphone bzw auf meinem Laptop das von dem Smartphone einen Hotspot bekommt. Ich nutze meinen VPN Zugang nur dafür um per RDP auf meinen Server zu zugreifen und genau das könnte ein bischen knackiger gehen.

Bandbreiten:
Server - Unitymedia - 400mBits/40mBits
Smartphone - Telekom - 80mBits/10mBits (ohne VPN von dem Ort wo ich 90% der Zeit verbunden bin)

jetzt habe ich mir in letzter Zeit mal Gedanken gemacht und mal angefangen bissen zu experimentieren und zu messen.
Alles was ich aus der Asus Konfiguration rausholen konnte (soviel kann man ja auch nicht einstellen) waren beim Downloadtest um die 18mBits bzw im FTP Download 1,7-2MB/s

mein Gedanke war, dass durch die Verschlüsselung und die limitierte HW im Router das ganze ausgebremst wird.
da ich noch ein Synology DS412+ habe dachte ich mir ich aktiviere dort mal den VPN Server. Ergebnis war mehr oder weniger das gleiche und erstaunlicherweise bewegt sich die CPU nicht wirklich auf der Synology.

bin für Ideen und Anschaffungen offen, ich möchte jedoch nicht mein bestehendes Netzwerk groß umbauen da es so sehr sehr zuverlässig funktioniert und so einen Fallback Zugang bietet.

 

[ClearEyetemAA55]

Moin,
das wesentliche hast du ja schon benannt.

Modem bzw. Router sollten eigentlich nur DDNS und Portforwarding machen.
Die DS412+ stellt den VPN-Server (kann dann allerdings kein Hibernate mehr)
Dein Smartphone ist der VPN-Client

Synology bietet im VPN-Server 3 Protokolle (IPSEC, OpenVPN und ...).
Na jedenfalls bringt OpenVPN in aller Regel die beste Performance, wobei die DS412+ leider keine hardwareseitige Verschlüsselung kann. Darum OpenVPN - AES-128-CBC

Viel mehr bleibt da nicht zu tun.. Eventuell in der Synology die Bandbreitensteuerung auf 80% der Uploadrate begrenzen, wenn noch andere Personen im Haushalt sind (Ohne Begrenzung scheitert dann gerne die HD-Telefonie). Und im Router, falls möglich, eine Priorisierung für Telefonie

- - - Updated - - -

Zur Bandbreitenstuerung bzw. Datenfluss-Steuerung für den Port UDP 1194 (OPENVPN)
Synology Router Manager - Knowledge Base | Synology Inc.
Maximale Bandbreite:
40MBits sind
5000kBytes
Garantierte Bandbreite:
80% deiner 40mbits entsprechen
4000kBytes
Bandbreiten-Rechner | heise Netze

 

[dirk11]

Na ja, da gibt es noch ein paar Möglichkeiten. Muss der OP sich aber einlesen. Ich habe das Problem ja hier auch angesprochen und noch ein wenig optimiert bekommen.

 

[ClearEyetemAA55]

Verstehe nicht.. bin den verlinkten Thread aber auch nur übergeflogen.
was habt ihr denn da erreicht?

Mit TCP vs. UDP gebencht, ein paar Schalter in der Konfig durchgespielt und am Ende die Kombination aus Netzbetreibermodem und altem Router durch eine Fritzbox ersetzt, wodurch sich endlich der Datendurchsatz dem erwünschten Spektrum annäherte

 

[dirk11]

Verstehe nicht.. bin den verlinkten Thread aber auch nur übergeflogen.

Finde den Fehler.

 

[fabianod30]

vielen Dank für eure Antworten.
mir geht es weniger darum die bestehenden Geräte weiter zu optimieren, jeglicher Anflug von Motivation die Konfigurationen zu optimieren wird sehr schnell mangels Einstellungsmöglichkeiten zu nichte gemacht ;-)
Da ich den Zugriff auf den Server beruflich oft brauche ist mir die Erreichbarkeit erstmal wichtiger wie die Geschwindigkeit, daher die Überlegung einen weiteren VPN Server hinzuzufügen der hinter meinem Asus Router liegt so das ich 2 Verbindungsmöglichkeiten habe. Hab beim suchen nach einer neuen Lösung habe ich den Zyxel VPN100 (evtl auch VPN50) gefunden, allerdings befürchte ich dieses Gerät wird sich hinter meinem Router nicht sehr wohl fühlen, zumindest kann ich mir die Konfiguration und Verkabelung nicht ganz vorstellen (ich denke ich müsste den WAN Port mit dem lokalen Netzwerk füttern und den Lan Port mit dem selben netzwerk?!?). Da die Lösung eigentlich direkt hinter meine Connectbox gehören würde. Anderer Ansatz war nochmal ein neues 2Bay Synology mit mehr CPU Power zu holen, allerdings scheint mich CPU aktuell ja nicht zu limitieren oder wird die CPU von neuen Synology systemen anders genutzt bei der VPN Verschlüsselung? Einen weiteren kleinen Server aufsetzen und OpenVPN dort direkt laufen zu lassen wäre zwar kein Problem aber der ständige Update Aufwand wäre halt deutlich größer als bei einem Standardgerät.

 

[dirk11]

Was willst Du mit anderen Geräten, wenn Du doch selbst schon schreibst, daß sich Dein NAS mit einem openVPN nur langweilt?
Wieso weigert sich Dein Kopf standhaft, schon gemachte Erkenntnisse zu verarbeiten?
Suche nach Möglichkeiten, das openVPN zu optimieren (diese sind diffizil und begrenzt, wie ich im verlinkten thread auch gelernt habe), und ansonsten probiere ein effizienteres VPN wie z.B. wireguard. Oder rüste Deinen DSL-Anschluß auf.

 

[fabianod30]

bist du im richtigen Thead?
ich hänge weder an der OpenVPN Lösung noch begrenzt mich mein Internetanschluss

 

[ClearEyetemAA55]

Bei Uploadraten von 40mbits ist die DS412+ tatsächlich eher nicht der Engpass

ssh mal in die box und schau dir denn theoretischen Encrytionspeed an:
openssl speed aes-128-cbc
oder aes-256-cbc

Die so ermittelten Werte geben das theoretische Potential bei verschlüsseltem VPN wieder. Wieviel Last bei max 40mbits ansteht, musst du Praxisnah ermitteln (zB ausm Resourcenmonitor auslesen, bei bestehender Verbindung)

Spoiler

@DS918+:~$ openssl speed aes-128-cbc
Doing aes-128 cbc for 3s on 16 size blocks: 11071161 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 64 size blocks: 3030702 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 256 size blocks: 774133 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 1024 size blocks: 432669 aes-128 cbc's in 3.00s
Doing aes-128 cbc for 3s on 8192 size blocks: 54586 aes-128 cbc's in 3.00s
OpenSSL 1.0.2n-fips 7 Dec 2017
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) blowfish(idx)
compiler: information not available
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128 cbc 59046.19k 64654.98k 66059.35k 147684.35k 149056.17k

Spoiler

@DS918+:~$ penssl speed aes-256-cbc
Doing aes-256 cbc for 3s on 16 size blocks: 8070658 aes-256 cbc's in 3.00s
Doing aes-256 cbc for 3s on 64 size blocks: 2167187 aes-256 cbc's in 3.00s
Doing aes-256 cbc for 3s on 256 size blocks: 551275 aes-256 cbc's in 3.00s
Doing aes-256 cbc for 3s on 1024 size blocks: 314502 aes-256 cbc's in 3.00s
Doing aes-256 cbc for 3s on 8192 size blocks: 39554 aes-256 cbc's in 2.99s
OpenSSL 1.0.2n-fips 7 Dec 2017
built on: reproducible build, date unspecified
options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) blowfish(idx)
compiler: information not available
The 'numbers' are in 1000s of bytes per second processed.
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256 cbc 43043.51k 46233.32k 47042.13k 107350.02k 108370.02k

Spoiler

 

[dirk11]

bist du im richtigen Thead?

Ich frage mich gerade, ob Du es bist. Lies' doch einfach "meinen" thread durch. Ich hatte auch mit Performance-Problemen bei openVPN zu kämpfen, welche ich mit den vorhandenen Möglichkeiten von openVPN so weit wie möglich gelöst (und im thread dokumentiert) habe. Mehr ist da nicht drin. openVPN ist kein Performance-Wunder. Ich bin noch nicht dazu gekommen, wireguard auszuprobieren, angeblich soll das ja performanter sein.