Site2Site IPSEC zu OpnSENSE - Super Langsam

Es gibt 11 Antworten in diesem Thema, welches 2.457 mal aufgerufen wurde. Der letzte Beitrag () ist von Patrick2024.

  • Hallo,


    Wir haben bei Hetzner erfolgreich einen IPSEC Site2Site-Tunnel zu einem OPNSENSE eingerichtet. Allerdings erreichen wir nur etwa 200 Mbit. 1Gbit ist auf beiden Seiten synchron verfügbar. Verschiedenen inoffiziellen Quellen zufolge soll der UDM einen VPN-Durchsatz von 800 Mbit erreichen können. Kann jemand etwas Positives sagen, oder muss die Box in den Müll?


    Leider habe ich nach 2 Tagen Online-Suche nichts Positives gefunden. Die Verbindung basiert derzeit auf IPv4. Die UDM ist up2date.
    OPnsense Device hat auch genug Power: i5 13th gen 64GB Ram , SSDs


    Vielen Dank

    Einmal editiert, zuletzt von Patrick2024 ()

  • Ich verstehe deine Aussage nicht


    Zitat: Allerdings erreichen wir nur etwa 200 Mbit.


    Falls ich etwas falsch verstanden habe, bitte ich das zu entschuldigen.
    Ich vermittelle aktuell zw. unserer Technik und dem Forum hier.
    Was bedeutet, dass wir bei Unifi direkt dazu gerade keine Hilfe bekommen.


    Was fehlt dir denn noch an spezifischeren Infos?

    Danke & Grüße

  • Ich vermittelle aktuell zw. unserer Technik und dem Forum hier.

    Nun sag ihnen doch das die auch Persönlich kommen dürfen deinen Techniker.

    Wir beißen nicht und können so auch der Verfälschung auch dritte ( Stille Post Prinzip )

    entgegenwirken.


    Sagt ihnen bitte auch das sie z.B mit iperf testen sollen wie den ohne Tunnel / Verschlüsselung der

    Speed zu dem Hetzner server ist. Auch Speed Test gegen übliche

    Spendetest ziele sind wünschenswert. Nicht das die Stimmung schon getrübt wird

    weil zwischen Hetzner und der unbekannten synchronen 1gb Leitung nur ein Gartenschlauch

    für den Austausch zustande kommt oder der eine oder andere Uplink doch nicht die 1GB liefert

    die der Anschluss gegeben sollte.


    Na und dann klingen 200Mbit garnicht soooo schlecht. die Kyoto wird nur auf der CPU gerechnet die

    noch normale routing Sache muss, ggf das IDS fahren muss und wenns hart kommt noch 4 CAM Streams

    aufnimmt. Je nach Packet große würde ich da noch ein paar Mbit erwarten erwarten. GGF aber

    einen extra Rechner / Router / Firwall hinstellen der das VPN macht.

    Verschiedenen inoffiziellen Quellen zufolge soll der UDM einen VPN-Durchsatz von 800 Mbit erreichen können

    Nenne mir bitte eine.

  • Hallo,


    Den Hetzner ISP kenne ich leider nicht.
    Beim Kunden liegt Telekom Glasfaser


    Hops: Unifi - Telekom Glasfaser MOdem - DTAG.de - DTAG.de - Hetzner Falkenstein
    MS lag jeweils immer unter 10ms

    Gemessen haben wir via iperf, SMB Transfer und nem Monitoring Tool dazwischen, was uns dann die mbits anzeigt.
    Wir haben mal aus Spaß die OPNSENSE von Hetzner an eine Meraki MX95 beim Kunden gehangen und die VPN war mit ~ 450 durchgehend am Anschlag der 500er Leitung des Kunden.
    Somit kann die MX95 schonmal den VPN Durchsatz sehr viel besser stemmen und unsere OPNSEnse scheint OK zu sein.

    Nun könnte man noch die Telekom Leitung bei unserem Kunden vermuten, da dort nur eine Public IPV4 anliegt.

    gelesen habe ich hier und da, dass Site2Sites mittlerweile auch super gerne über IPV6 kommunizieren und einen Perfomance Schub erfahren können.

    Quelle VPN Throughput:
    https://www.increasebroadbands…ifi-dream-machine-udm-pro

  • Wir haben mal aus Spaß die OPNSENSE von Hetzner an eine Meraki MX95 beim Kunden gehangen und die VPN war mit ~ 450 durchgehend am Anschlag der 500er Leitung des Kunden.
    Somit kann die MX95 schonmal den VPN Durchsatz sehr viel besser stemmen und unsere OPNSEnse scheint OK zu sein.

    Meine Idee ist einen entsprechend performanten Client hinter der UDM aus Sicht des Internets zu verwenden, um dann darauf den VPN-Tunnel terminieren zu lassen und die Tests zu wiederholen.

    Damit könntest Du dann die UDM als Fehlerquelle /-ursache benennen oder eben auch ausschließen.


    Ich habe noch nicht gehört, dass IPv6 schneller als IPv4 bzgl. VPN-Traffic sein soll.


    Wäre WireGuard eine Alternative? Ich bin mit meinem Setup und WireGuard sehr glücklich, was die Geschwindigkeit angeht. Auch das könntest - oder müsstest Du sogar - auf einem Client hinter der UDM terminieren lassen so weit ich weiß.

    • Hilfreich

    Klingt wie nen Werbeblog bei dem es nichts zu meckern gibt. Alles ist supi, reale Messergebnisse scheint nicht zu geben nur Hörensagen.


    , da dort nur eine Public IPV4 anliegt.

    gelesen habe ich hier und da, dass Site2Sites mittlerweile auch super gerne über IPV6 kommunizieren und einen Perfomance Schub erfahren können.

    Hier und da lese ich auch das die Erde flach sei und von Reptiloiden unterlaufen sind. Klingt vielleicht ein wenig Harsch und enthält wirklich üblen Sarkasmus, aber das musste raus aus mir. Daher bitte nicht persönlich nehmen. Schau der IP Header von IP-V6 ist 40Byte Lang, der von ip4 im Normalfall nur 20 byte. Damit können bei einer Maximalelen Paket große von knappen 65K sogar weniger Nutzdaten übertragen werden.

    Was aber im UDP Bereich eher wenig bis garnicht gemacht wegen der Fragmentierung und den gefahren bei UDP ein Packet zu verlieren das

    den gesamten Frame Unbrauchbar macht. Klar gibt es noch die Hop-by-Hop Extension wo ein Frame bis 4Mb werden darf aber das ist aktuell nichts für TCP / UDP da da auch nur 16bit großen Angaben in den Headern vorgesehen ist und größere nicht unterstützt werden auf den

    Routern und Firewalls / Clients dieser Welt. Daher Aktuell eher als special fall für „Hand Gekoppelte“ Protokolle auf eignen Strecken.

    (wird sich bestimmt auch noch ändern in den den nächsten 30 Jahren)



    Hops: Unifi - Telekom Glasfaser MOdem - DTAG.de - DTAG.de - Hetzner Falkenstein

    1GB synchron, also kein PON Kram sondern wie Company Connect. Da spiel doch viel der Carrier mit da er üblich eigne hardware

    im form eines Accessrouter einen ins Haus stellt...Wie gesagt mal prüfen ob die nackte Leitung ohne IPSEC das hergibt was sie soll.

    Irgendwelche Ping / Response Zeiten helfen da nicht wirklich.


    Und ja ggf. is die UDM der Flaschenhals.



  • Hallo zusammen,


    danke euch für das ehrliche Feedback. So solls auch sein.

    Der Kollege hat heute unverschlüsselte IPERF Tests mit "multiple simultaneous connections" zur OPnsense bei Hetzner durchgeführt und da kamen wir dann auf die ~850 mbits


    Er spielt heute nochmal etwas mit den MTUs.

    Ansonsten wird es wohl wirklich auf eine "Kiste" hinter der UDM hinauslaufen, die dann die Site2Site stemmen muss


    Halte euch aber mal auf dem laufenden.


    PS: Ich habe durch Zufall die alten Spec Sheets gefunden, da steht tatsächlich 800 IPSEC.
    https://www.4gon.co.uk/documents/udm-pro-min.pdf

    https://ia804604.us.archive.org/3/items/unifi-udm-pro/udm-pro-new.pdf




    Grüße

  • Moin zusammen,


    da bin ich wieder : - )
    Wir haben das Thema UDM Pro aufgegeben und schauen und nach Alternativen um.
    Diese sind aktuell "Professionelle" hardware Firewalls oder auch die Hauseigene Hardware von OPNSense.
    Meine Frage zum Abschluss:

    Kann die UDM Pro "Exposed Host"?
    Kann ich einen Weiteren Router / Firewall (testweise) hinter die UDM schalten und daran dann einen Test Client verbinden?
    Ziel ist es dann, dass diese Box die Site2Site mit dem Datacenter aufbauen soll.
    Bei Erfolg wird die UDM dann ersetzt.


    Aktueller Gedankengang langfristig:
    FTTH Modem
    Hardware Firewall (DHCP, Routing, Site2Site etc)
    Unifi CloudKey Plus für Switche + APs

    Clients

    Danke euch & Grüße

  • Kann die UDM Pro "Exposed Host"?
    Kann ich einen Weiteren Router / Firewall (testweise) hinter die UDM schalten und daran dann einen Test Client verbinden?

    Nein (zumindest nicht mit einem Haken wie bei AVM) und Ja, aber wozu benötigt man da Exposed Host? UDM macht unabänderlich NAT, Musst Du also ggf. Portforwards an den WAN des "weiteren Routers" einrichten.