VPN Durchsatz

Es gibt 8 Antworten in diesem Thema, welches 1.914 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Hallo zusammen

    Ich habe folgende Konfiguration:


    A) UDM Pro mit 10/10Gbe Internetanbindung (mit Firewall zurka 6.5Gbe durchsatz), Synology ist mit 2.5Gbe angebunden.

    B) VPN Zugang von Extern via L2TP over IPSec


    Die VPN Verbindung geht sauber. Wenn ich nun mit aktiver VPN Verbindung meinen SMB Fileserver lade bekomme ich nur einen 100Mbit durchsatz. Also wenns gut geht 6-10MByte/sek.

    An was kann das liegen? VPN Protokoll?

    Kann man das optimieren?

    Ja das liegt am VPN Protokoll. Einzige Option das zu optimieren ist einen anderen VPN zu nehmen. Da die UDM Pro noch kein Wireguard zur Verfügung stellt, musst die dir Wireguard irgendwo anders als VM oder Container installieren.

    Zitat von jkasten

    Ja das liegt am VPN Protokoll.

    Wohl eher an der Rechenschwäche der Rechenknechte :smiling_face: Mit der richtigen Hardware geht mit IPsec auch so etwas:



    und hätte ich nicht nur die "Software"-Version der Sophos wären noch mehr drin, als die läppischen 448 Mbit/s :winking_face:

    Auf jeden sollte aber in einer VPN-Kiste eine CPU mit AES-Unterstützung ihren Dienst tun und wenn man bei IPsec bleiben will, auck IKEv2 mit z.B. AESxxxGMAC Schlüsseln einsetzen. Dann hat man vor allem für site2site ein sehr schnelles und extrem stabiles VPN, für Fernzugriff muss man halt schauen, was der Client so kann.

    Gebe ich dir recht, aber das ist ja kein reiner IPsec tunnel bei Unifi. IPsec bietet die ja gar nicht an.

    Zitat von jkasten

    IPsec bietet die ja gar nicht an.

    Hhhm, da kennst du Dich ja besser aus, aber ich hatte hier neulich eine Diskusion mit jemanden, welcher eine Ftritzbox und eine UDMpro per IPsec site2site verbinden wollte. Das Ganze scheiterte dann daran, das zwar in der UDMpro IPsec konfigurierbar war, diese jedoch hierfür zwingend eine IP-Angabe für die entfernte Site wollte und keinen Dyndns-Host zulies.

    Zitat von bic

    Hhhm, da kennst du Dich ja besser aus, aber ich hatte hier neulich eine Diskusion mit jemanden, welcher eine Ftritzbox und eine UDMpro per IPsec site2site verbinden wollte. Das Ganze scheiterte dann daran, das zwar in der UDMpro IPsec konfigurierbar war, diese jedoch hierfür zwingend eine IP-Angabe für die entfernte Site wollte und keinen Dyndns-Host zulies.

    Das Problem ist die IKE Version die die UDM Pro bei L2TP over IPSec anbietet. Das scheint noch nicht IKEv2 zu sein und das verursacht die Probleme bei vielen Android Geräten die auf Android 12 oder höher laufen. Die setzen das vorraus. Bei Sophos kannst du das aktivieren und nutzen und hast somit auch keine probleme. Um den Durchsatz zu schaffen braucht es den reinen IPSec Tunnel, den wiederum die Sophos auch kann. Wireguard ist in diesem Fall die Lösung.