VPN: Geschwindigkeit testen?

[desputin]

Hallo Ihr,
bei meinem Job sind jetzt die meisten KollegInnen im Homeoffice. Also ca. 20 Personen - und nutzen parallel VPN um auf die Verzeichnisse und zwei, drei Web-Dienste zuzugreifen.

Meine Frage: Die Geschwindigkeit ist bei einigen der Kolleg*innen sehr langsam (und bei anderen sehr schnell), wobei es nicht in allen Fällen am schlechten Internet (oder langsamem WLAN) bei ihnen zu Hause liegt.

Wißt Ihr, woran das liegen könnte und was man tun kann? Der Linux-Server bei meiner Arbeit, auf den per VPN zugegriffen wird ist ziemlich neu und performant, soweit ich sehe (24 Cores oder so und 64 GB Arbeitsspeicher). Die DSL-Leitung der Arbeit ist 50.000 DSL.

Viele Grüße
desputin

[mat6937]

Wißt Ihr, woran das liegen könnte und was man tun kann?

Die Geschwindigkeit im VPN könntest Du mit z. B. iperf3 testen. iperf3 gibt es (falls erforderlich) auch für Windows.

[bluestar]

Die DSL-Leitung der Arbeit ist 50.000 DSL.

Dann wären wir bei einem Upstream von 10.000 .... Darüber wirst du keine all zu großen Sprünge machen können.

Wir sind mit unserer sym. 500MBit Leitung und 40 Leuten auch gut am Limit, was die Leitung angeht.

Apropos welches VPN nutzt ihr denn? IPSEC? OpenVPN? Wireguard?

Wie sieht dein Routing auf der Clientseite aus, routest du alles durchs VPN?

[desputin]

Hallo Bluestar,

ok, das ist schlecht, weil schnelleres DSL kann die Telekom nicht an dem Standort. Hatten schon überlegt, LTE dazu zu buchen. Aber das ist meiner Erfahrung nach auch nicht so super und hat meist Volumen-Limits, oder?

Wir nutzen OpenVPN. Auf der Clientseite geht nur das allgemeine Dateiverzeichnis darüber (sehr viele Ordner und Dateien). Und dann haben wir noch einen Webbasierten Service (Egroupware). Alles andere E-Mails und so laufen direkt über das normale Internet beim Client.

[hec_tech]

Die Frage ist auch immer was kann die CPU an Hardwarecrypto. Ohne HW Crypto ist VPN recht langsam.

Oft wird aber auch von den Providern VPN Traffic anders behandelt sprich ausgebremst. Dann gibt es noch unpassende MTUs. Da musst du eben testen bis du alles optimiert hast.

[MSfree]

Hatten schon überlegt, LTE dazu zu buchen. Aber das ist meiner Erfahrung nach auch nicht so super und hat meist Volumen-Limits, oder?

LTE ist Volumenbegrenzt und wenn mehrere Leute LTE nutzen, dann teilt man sich die Bandbreite mit anderen. Am Smartphone ist das alles noch gang OK, aber wenn man eine Firma da durchschleusen will, wird es eng für alle Beteiligten.

Ich werfe mal eine Zahl in den Raum. Auf meiner privaten DSL-Leitung gehen ca. 10GiB Daten pro Tag durch die Leitung. Mein Mobilfunkvertrag hat ein LTE-Volumen von 10GB pro Monat. Mein DSL-Durchsatz würde das LTE-Volumen also an nur einem Tag ausschöpfen.

Die Frage ist auch immer was kann die CPU an Hardwarecrypto. Ohne HW Crypto ist VPN recht langsam.

Das ist in diesem Fall völlig irrelevant. Die Leitungsgeschwindigkeit von 50MBit/s schafft selbst ein Celeron N4000 in Software. Davon abgesehen hat der Server (siehe oben) 64 Kerne, das ist also nicht nur sehr rechenstark, sondern dürfte auch einigermassen modern sein, so daß die CPU Verschlüssleung in Hardware macht.

Oft wird aber auch von den Providern VPN Traffic anders behandelt sprich ausgebremst.

Das halte ich für eine Verschwörungstheorie und das habe ich auch noch nie erlebt, weder im Firmenumfeld noch privat.

[bluestar]

ok, das ist schlecht, weil schnelleres DSL kann die Telekom nicht an dem Standort.

Naja gut dann wirst du wohl mit der Leitung leben müssen, LTE ist auf Grund von NAT auch keine wirkliche Alternative.

Wir nutzen OpenVPN.

Okay natürlich auch direkt ein sehr langsames VPN-Protokoll (siehe https://www.wireguard.com/performance/).

Auf der Clientseite geht nur das allgemeine Dateiverzeichnis darüber (sehr viele Ordner und Dateien).

Naja das klingt nach Samba und viele Dateien + Ordner, das schreit natürlich förmlich nach viel unnötigem Directory-Listing Traffic.

[MSfree]

Okay natürlich auch direkt ein sehr langsames VPN-Protokoll

Bei einer 50er DSL-Leitung mit 10MBit/s Uplink ist es doch völlig iirelevant, ob man mit OpenVPN 200MBit/s durch das GBit-LAN bekommt und mit Wireguard 1GBit. Der Flaschenhals ist hier nicht OpenVPN sondern das SDL.

Ich habe hier zwischen zwei Standorten mit jeweils 10MBit/s DSL-Uplinks eine OpenVPN-Verbindung, an beiden Standorten werkelt ein 1.6GHz Celeron J1900 (4-Kern Intel Atom) und die bringen eben diese 10MBit/s absolut zuverlässig hin, bei max. 10% CPU-Last. Mit Wireguard würdest du nicht ein einziges Bit mehr durch die Leitung quetschen können. Und auch die Pingzeiten werden durch das DSL bestimmt. Ob man mit OpenVPN Pingzeiten von 10ms hat oder mit WG auf 9.95ms kommt, spielt doch nun wirklich keine Rolle.

[bluestar]

Bei einer 50er DSL-Leitung mit 10MBit/s Uplink ist es doch völlig iirelevant, ob man mit OpenVPN 200MBit/s durch das GBit-LAN bekommt und mit Wireguard 1GBit. Der Flaschenhals ist hier nicht OpenVPN sondern das SDL.

Ich würde sogar dort anfangen und erst mal checken, ob der Anschluß wirklich seine Bandbreite 50/10 liefern kann oder ob da weniger über die Leitung geht.... Nicht vom DSL-Sync her, sondern viel mehr auf Grund der Tatsache, dass DSLAMS ja auch überbucht werden.

[hec_tech]

Ich muss sagen Außenstandorte mit LTE anzubinden habe ich schon öfters gemacht und sehe da auch keine Probleme.

Die Geschwindigkeit ist absolut ok meistens schneller als DSL. Natürlich muss man sich LTE mit unlimited Daten nehmen. Das kostet für 300/50 ca. 50€. So viel ist das auch nicht für eine Standortanbindung.
Vor allem LTE kann ich in 1h ausrollen alles andere dauert Tage.

[bluestar]

Ich muss sagen Außenstandorte mit LTE anzubinden habe ich schon öfters gemacht und sehe da auch keine Probleme.

Er möchte doch in der Firma LTE dazu buchen um mehr Bandbreite am Firmenstandort zu haben.... Dann kommen halt Carrier-NAT, Link-Aggregation ins Spiel.

Für Außenstellen ist LTE ne feine Sache...

[unitra]

Wenn es bei Einigen langsam und bei Anderen schnell ist dann kann es nicht an dem IP-Sec Konzentrator liegen, weil dann hätten Alle durchweg langsames VPN.

Zum terminieren von IP-Sec Tunnel Verbindungen gehören immer 2 Parteien, nur weil der IP-Sec Terminator schnell ist, heisst das nicht gleichzeitig dass die Klienten auch schnell sind. Es kann sein dass die Klienten die IP-Sec Tunnel aufbauen schwachbürstig sein könnten.

Wie ist das VPN beschaffen? Layer2 VPN d.h. alle sind in der gleichen Broadcastdomäne? Oder ist das Layer3 VPN, jeder hat sein eigenes Subnetz. Kann sein das Broadcastsstürme im Netz sind zwischen allen Parteien wenn Layer2 VPN benutzt wird.

Prüfe die gesamge Verkabelung, kann sein dass ein defektes Kabel irgedwo ist, oder zeitweise am IP-Sec Konzentrator irgendow Half-Duplex ausgehandelt wurde.

DSLAM's sind normalerweise immer überbucht vom Provider aus weil das normale IP Trafficverhalten bei Heimanschlüssen "bursty" ist und nicht gleichmäßig. Anschluß des DSLAM's an Backbone des Carriers is am Anschlag.

Eventuell sind irgendwo CRC Errors/Checksum Error/Frame error/overruns/late collision etc. zu sehen oder. Minimaler Packetloss < 5% verursacht hohe Performanceeinbußen.

Eröffne eine Störung beim Carrier, auf Verdacht, schau mal was der Carrier dazu sagt, lass die mal Prüfen, vielleicht sehe die Irgendetwas.

Hallo Ihr,
bei meinem Job sind jetzt die meisten KollegInnen im Homeoffice. Also ca. 20 Personen - und nutzen parallel VPN um auf die Verzeichnisse und zwei, drei Web-Dienste zuzugreifen.

Meine Frage: Die Geschwindigkeit ist bei einigen der Kolleg*innen sehr langsam (und bei anderen sehr schnell), wobei es nicht in allen Fällen am schlechten Internet (oder langsamem WLAN) bei ihnen zu Hause liegt.

Wißt Ihr, woran das liegen könnte und was man tun kann? Der Linux-Server bei meiner Arbeit, auf den per VPN zugegriffen wird ist ziemlich neu und performant, soweit ich sehe (24 Cores oder so und 64 GB Arbeitsspeicher). Die DSL-Leitung der Arbeit ist 50.000 DSL.

Viele Grüße
desputin

[Lord_Carlos]

Kannst du vielleicht auf dem router nachgucken wie stark die Leitung ausgelastet ist?

[bluestar]

Ich hab da gerade ähnliche Äußerungen von KollegInnen zu der Gewchwindigkeit beim Arbeiten im HomeOffice mit VPN erhalten und einen interessanten Zusammenhang bemerkt:
- KollegInnen mit Kabel-Provider beklagen sich, Ping liegt hier bei annähernd 100, sehr tageszeitabhängig
- KollegInnen über DSL von Drittanbietern haben mit 40 teils recht hohe Pings
- alle KollegInnen mit Telekom VDSL haben mit 15er Ping das beste Ergebnis.

Unsere Company ist über Telekom Fiber angebunden.