d46505pl
Goto Top

Fritzbox VPN Performance Problem

Hallo Zusammen,

ich habe ein Performance Problem und kann nicht genau lokalisieren wo das Problem liegt.
Ich habe zwei Standorte mit einander vernetzt. Standort A verfügt über ein VDSL Anschluss mit 50 Mbit down und 10 Mbit up.
Standort B verfügt über ein Kabelanschluss mit 70 Mbit down und 5,5 Mbit up.

Die Werte werden bei normalen Surfen problemlos erreicht und zu unserem Web-Server im Internet (Rechenzentrum) passt auch der Upload an beiden Anschlüssen.

An beiden Standorten stehen Fritzboxen, die Standorte A und B sind mit dem Fritzbox eigenen VPN Tool mit einerander vernetzt. Es ist an beiden Standorten alles mit CAT6
Kabeln verkabelt (Kein wLan).
Ping & Co klappt untereinander alles. Die Pingzeit beträgr im durchschnitt 28ms zum jeweils anderen Standort.

Im Standort A steht ein Server.
Wenn ich von Standort B auf den Server bzw einen Clienten etwas uploade beträgt mein Speed immer exakt 512 KB/sec.
Umgekehrt genau das gleiche.
Auf dem Server (Windows OS) läuft in einer Virtuellen Box ein Asterisk Telefonie-Server, der ebenfalls von beiden Standorten genutzt wird. Wenn parallel etwas vom
oder auf den Internen Server geladen wird (mit 512 kb/sec) kommt man am Telefon stark abgehakt an, der Upload scheint dicht, wobei die Leitungen hierfür Dick genug
sein sollten.
Die 512 KB/sec erreiche ich über das Tool Terra Copy, beim Windows Explorer sind es etwa 500 kb/sec und über einen internen FTP Zugang (via Filezilla) mit lokaler IP vom Server an Standort A ca. 750 kb/sec, wobei ich bei letzterem am Telefon überhaupt kein Wort mehr verstehe, obwohl die Telefonie an beiden Fritzboxen Prio hat.

Hat jmd ähnliche Probleme oder eine Idee, woran mein Problem liegen könnte?

Content-Key: 165093

Url: https://administrator.de/contentid/165093

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: tikayevent
tikayevent 23.04.2011 um 00:32:22 Uhr
Goto Top
Ich vermute einfach mal, dass es daran liegt, dass die Kisten nie wirklich dafür vorgesehen waren, VPN anzubieten. Geräte, die einen VPN-Durchsatz anbieten, der zu deinem Upload passt, kosten minimum 500€ und beherbergen einen Hardware-Cryptochip, welcher die Berechnungen für die Verschlüsselung von der Software, welche auf der eigentlichen CPU läuft, in ein Stück Hardware, welche sich nur darum kümmert, verschiebt.

Das es 512k sind, ist irgendwie verwunderlich, aber es kann auch ein Hardlimit der Fritzboxen sein.
Mitglied: cheatercrack
cheatercrack 23.04.2011 um 00:43:43 Uhr
Goto Top
Morgen,

also laut AVM (http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Fragen_ ..) ist der
Durchsatz einer Fritz!BOX für ADSL ausreichend - von VDSL ist hier nicht die Rede.
Ich tippe auch darauf, das die Fritz! nicht dafür ausgelegt ist!
Die 512 KB sind entweder ein Limit von AVM, damit die Box nicht abschmiert oder Zufall. Da stimme ich tikayevent zu!
Da sollte was professionelles ran. Du kannst dir auch mal die Produkte von Astaro anschauen, bieten auch VPN.

Philipp
Mitglied: aqui
aqui 23.04.2011 um 11:08:18 Uhr
Goto Top
512 kByte ist doch ein relativ guter Wert denn es entspricht ziemlich genau 4 Mbit was bei einem 5 Mbit Upload schon fast wirespeed ist für die Fritzbox. Der Wert ist also absolut OK.
Damit ist die FB dann aber vermutlich an ihrem physischen Ende, denn es gilt was Kollege tikayevent oben schreibt. Du priorisierst auch den Voice Traffic kein bischen, jedenfalls sagst du zu dem Thema rein gar nichts, was aber zwingend bei Sprachübertragung erforderlich ist um genau das zu vermeiden was bei dir passiert !
Bei so schwächbrüstigen Consumer Billig Routern für solch Leitungen muss einen das nicht wundern. Das wenigste ist per QoS den Voice Traffic zu priorisieren, was die FB aber vermutlich nicht supportet.
Es ist laienhaft und ziemlich blauäugig von einer Consumer Fritzbox genau das zu erwarten was geeignetere Systeme dir bei diesen Anforderungen problemlos bieten. Du darfst nicht vergessen das die FB etwas für Heimanwender ist. In einem VPN Firmenumfeld noch zudem mit einer Voice Anbindung hat sie rein gar nichts zu suchen. Schon aufgrund ihrer vollständig fehlenden Voice Priorisierungs Funktionen. Von anderem (oben genannten) mal ganz zu schweigen....
Mitglied: D46505Pl
D46505Pl 23.04.2011 um 13:10:47 Uhr
Goto Top
Hallo,

an Standort A steht wie bereits erwähnt ein Server, mit dem OS Windows 2008 Server x64.
Es handelt sich um ein i7 Prozessor mit 4 Kernen á 2,7 GhZ sowie 8 GB Arbeitsspeicher.
Lässt sich das Problem darüber vielleicht lösen?
Mitglied: tikayevent
tikayevent 23.04.2011 um 13:13:39 Uhr
Goto Top
Nein!
Perimeteranbindungen immer komplett getrennt vom Rest.

Da wird extra Hardware nötig, sonst gehörst du aus dem Internet verbannt.

Aber irgendwie hast du was gegen stabilen Betrieb. Ein i7 ist kein Serverprozessor, vermutlich hast du auch normalen DDR3-RAM verbaut, SATA-Festplatten dazu. Es hat schon einen Grund, warum ordentliche Hardware teurer ist. Das meiste kommt hier durch die bessere Qualität der Komponenten, bessere Techniken zur Fehlervermeidung und der Support. Ich hab erst die Tage nen Server kaputt gemacht, aufgrund von Ostern gibts das Ersatzteil erst Dienstag, weil eben "nur" "Next Businessday", dafür komplett ohne Kosten und wenn ich wollte sogar mit Einbau vor Ort.

Desweiteren sind VDSL-Anschlüsse und Kabelanschlüsse nicht Businesstauglich. Wir würden gerne einen haben, aber die T-Com traut sich keinen VDSL-Anschluss zu schalten, bei einer garantierten Entstörungszeit von 6h.
Mitglied: D46505Pl
D46505Pl 23.04.2011 um 13:53:16 Uhr
Goto Top
Hi,

das ganze wird nicht Geschäftlich genutzt, daher sollten die Leitungen und Anschlüsse entsprechend passen.
Es handelt sich um ein Studenten Projekt, bei dem wir unsere Daten Zentral haben und mit den zwei Standorten derzeit am experimentieren sind.
Aufgrund dessen ist unser Budget entsprechend klein face-wink
Mitglied: Pjordorf
Pjordorf 23.04.2011 um 14:18:25 Uhr
Goto Top
Hallo,

Zitat von @D46505Pl:
Es handelt sich um ein Studenten Projekt, bei dem wir unsere Daten Zentral haben und mit den zwei Standorten derzeit am experimentieren sind.
Wie dem auch sei.

Du solltest mal mit NetIO von beiden Seiten aus schauen was dort ausgegeben wird (hier dann posten). Dann sehen wir was deine VPN Leitungen hergeben. Bitte oben deine Angaben berichtigen (512 KB/sec, 512 kb/sec, 500 kb/sec, 750 kb/sec) sonst kommen alle noch durcheinander was du jetzt tatsächlich hast.

Die Angabe der AVM Fritz!Box Modelle wäre auch nicht schlecht. Es kann hier niemand Wissen welche Modelle du mit welcher Firmware wo einsetzt. Vielleicht können die ja wirklich kein VOIP Priorisieren.

Dann nicht ganz unerheblich. Hast du noch ein VDSL oder Kabel Modem im Einsatz?

Gruß,
Peter
Mitglied: D46505Pl
D46505Pl 23.04.2011 um 14:39:48 Uhr
Goto Top
Hallo Standort A: 7390
Standort B: 6360 Cabel

Genauen werte kommen nachher...

Was ich nur nicht verstehe, Standort A hat den doppelten Upload aber umgekehrt habe ich auch nur die 512 kb/sec.
Ein Hardware limit wäre somit eine recht logische Erklärung.
Mitglied: Pjordorf
Pjordorf 23.04.2011 um 15:02:12 Uhr
Goto Top
Hallo,

Zitat von @D46505Pl:
nur die 512 kb/sec.
Also 512.000 Bit pro Sekunde oder welche Schreibweise verwendest du?

Bit = bit
Kilobit = kbit
Megabit = Mbit
Byte = B
Kilobyte = kB
Megabyte = MB
Kibibyte = KiB (manchmal auch KB, aber nicht genormt)
Sekunde = s
bit/s oder b/s oder bps
kbit/s oder kb/sec oder kbps
Mbit/s oder Mb/s oder Mbps)
B/s
kB/s
MB/s
KiB/s

Gruß,
Peter
Mitglied: aqui
aqui 24.04.2011, aktualisiert am 18.10.2012 um 18:46:36 Uhr
Goto Top
In der Tat ! So lange der TO hier fröhlich weiter Bit und Bytes verwechselt und durcheinanderschmeisst ist es doch völlig sinnlos hier weiterzumachen, denn welche Geschw. Angabe soll man denn hier nun verwenden ?!
Als Student lernt man eigentlich im ersten Semester präzise zu messen und auch zu dokumentieren aber vermutlich scheint das hier wohl eher nebensächlich zu sein....oder es handelt sich hier um Ur- und Frühgeschichte oder Altphilologen denen der Unterschied von Bits und Bytes eher metaphysischer Natur sind.... face-sad
Performance Alternative wäre dann z.B. OpenVPN auf dem Server direkt, oder eben alternative Hardware.
Mitglied: Pjordorf
Pjordorf 24.04.2011 um 14:46:25 Uhr
Goto Top
Hallo,

So lange der TO hier fröhlich weiter Bit und Bytes verwechselt und durcheinanderschmeisst
Nun, bei NetIO braucht er ja nur korrekt abzuschreiben oder hier rein kopierenface-smile

Gruß,
Peter
Mitglied: srsbaca
srsbaca 15.09.2012 um 15:10:14 Uhr
Goto Top
Ich wärme den Thread hier ungern wieder auf, aber ich habe den gleichen Effekt bei mir. Und zwar zur Erklärung:

Vorhanden sind serverseitig:
Fritzbox 7390 und Telekom Fiber 200/100 , d.h. 200Mbit/s down und 100 Mbit/s up dementsprechend 12,5 MB/s upload (theoret.)

Clientseitig wurde zwei mal mit DSL 16.000 (~1,5MB/s down) von Telekom und einmal mit KabelBW 25.000 (~2,5 MB/s down) gemessen.

Und bei allen Verbindungen kommen max. ~500 kB/s (0,5 MB/s) raus. Getestet wurden SMB und FTP. Alle drei getesteten Verbindugen kommen sogar aus ~1km umkreis.

Den "Server" würde ich ausschließen, der ist Leistungsmäßig mehr als ausreichend dafür. i7, 16gb ram, ubuntu, 5 HDDs als RaidZ-1. Im Lan kommt der Server auf ~105 MB/s (sind Intel Gigabit Karten verbaut). Den uploadspeed (per FTP auf Hostinganbieter) habe ich auch getestet und komme so auf maximal 10 MB/s, schwankt aber zwischen 5 und 10 hin und her
Mitglied: aqui
aqui 15.09.2012 um 15:26:41 Uhr
Goto Top
Eine Fritzbox Hardware schafft niemals 100 Mbit und mehr im Packet Forwarding. Schon gar niemals mit gleichzeitigem NAT.
Für solche Geschwindigkeiten ist das in jedem Falle die völlig falsche Routerhardware !
Mitglied: srsbaca
srsbaca 15.09.2012 um 16:56:05 Uhr
Goto Top
Also was ich ja schon getestet habe war der upload ohne VPN und da bin ich ja auf 5-10 MB/s gekommen.
Wenn ich das richtig verstehe meinst du, dass das VPN die box so stark belastet, dass nur noch 1/10 an Durchsatz durchkommt. Das kann ich mir zwar nur schwer vorstellen, werde es aber bisweilen mal akzeptieren.
Wenn ich den VPN-Server von der Fritzbox auf meinen richtigen Server-Rechner per OpenVPN lege, dann sollte es doch klappen, oder ?
Mitglied: Pjordorf
Pjordorf 15.09.2012 um 17:43:51 Uhr
Goto Top
Hallo,

Zitat von @srsbaca:
Das kann ich mir zwar nur schwer vorstellen
Warum? Was meinst du denn was in deiner FritzBox verbaut ist? Eine XEON CPU 4 GHz, 32 GB RAM, 512 GB SSD mit 6GBit/s und GBit WAN Module? Man, das ist ein Massenprodukt was Geld bringen soll (Sinn und zweck von AVM)face-smile Und warum meinst du gibt AVM so gut wie keine Benchmark (Test) Ergebnisse in den verschiedenen Modi bei jeweils Upload und Download an? Nur weil die FritzBox einen VDSL WAN Port hat kannst du dort doch nur max. mit 100 MBit herunterladen. Mehr kann dieser Port eh nicht. Dann kommt noch das NAT sowie dein VPN hinzu. Spätestens jetzt wird deine FritzBox zur Heizung und die CPU ist schon lange bei 100% angekommen (Hurra) aber du mit deinem Download bist noch lange nicht bei 100 Mbit angekommen (Buh)face-smile
Selbst ohne NAT und VPN kannst du noch nicht mal deine 200 MBit Leitung zu 50% nutzen.

Wenn ich den VPN-Server von der Fritzbox auf meinen richtigen Server-Rechner per OpenVPN lege, dann sollte es doch klappen, oder
Dann wird zumindest das VPN erechnen etc. von der FritzBox weggenommen sodaß die FritzBox CPU sich etwas mehr um NATface-smile kümmern kann. 200/100 wirst du aber niemals erreichen, auch nicht annähernd.

Gruß,
Peter
Mitglied: srsbaca
srsbaca 15.09.2012 um 18:14:57 Uhr
Goto Top
nochmal um das klar zu machen. Ich lade mit ~24-25 MB/s runter (wenn es die gegenstelle hergibt). Ich nutze den WAN-Port voll aus. Ja kann sein, dass AVM Massenware ist nichtsdestotrotz finde ich den Service, die Features und die Leistung (abgesehen von vpn...) sehr gut.
Mitglied: aqui
aqui 16.09.2012 aktualisiert um 00:22:20 Uhr
Goto Top
...sollte dir auch nur klar machen das du jenseits der 100 Mbit/s an der FB NICHTS zu erwarten hast ! Es kann nicht nur sein...es IST Consumer Massenware und hat in einem Unternehmen eigentlich nichts zu suchen.
0,5 MByte ist allerdings sehr mickrig. Allerdings gibt es eine große Unbekannte.
Du hast keinerlei Ahnung und dein provider sagt es dir auch nicht wie hoch der DSL DSLAM überbucht ist und wie schnell dessen Backbone Anbindung ist.
Physisch magst du zwar 16 Mbit haben aber bei einer 4:1 Überbuchung (und das ist noch sehr konservativ gerechnet) und einem lahmen Uplink des DSLAMs sind solche Zahlen nicht selten.
Gleiches gilt für deine Fiber Anbindung. Auch da weisst du nicht wieviel User auf der letzten Meile eine Uplink Faser nutzen. Letztlich bleibt da nur Raterei solange du diese Provider Daten nicht verlässlich hast ?!
Mitglied: srsbaca
srsbaca 16.09.2012 um 11:20:33 Uhr
Goto Top
1. das ganze ist "nur" privat. Keine Firmennetzwerke, da würde ich natürlich andere Router/Modems verwenden.
2. Wir drehen uns im Kreis. Serverseitig hab ich den Speed. Clientseitig habe ich den Speed. Nur in Verbindung mit dem Fritzbox VPN nicht. Ich warte noch auf ne Antwort vom AVM Support. wenn ich etwas weiß, werde ich mich melden.
Mitglied: aqui
aqui 16.09.2012 aktualisiert um 18:16:11 Uhr
Goto Top
Da ist dann vermutlich die schwachbrüstige SoC CPU der FB am Ende. Ist ist utopisch das die solche Encapsulierungs Geschwindigkeiten in ESP und zusätzlich auch noch die erheblichen Crypto Funktionen von IPsec die sie in Software abbilden muss verarbeiten kann. Nebenbei dann noch Routing (Paket Forwarding) NAT (Adress Translation was sie auch in Software machen muss und wieder ein finaler Encapsulierungsprozess in PPPoE auch wieder in Software !
Vergiss das. Kein Wunder das AVM sich da bedeckt hält, damist müssten sie mit ihrem HW Design die Hosen runterlassen...
Bessere Resultate erreichst du da mit Hardware die eine entsprechende Crypto Hardware an Bord hat wie z.B. sowas hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
wenns für den Heimgebrauch sein soll.
Im Router Bereich dann eher sowas:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
mit entsprechend leistungsfähiger CPU.
Mitglied: Pjordorf
Pjordorf 16.09.2012 um 19:21:13 Uhr
Goto Top
Hallo,

Zitat von @aqui:
Kein Wunder das AVM sich da bedeckt hält,
Das gilt auch dann selbst wenn wie hier das interne Modem gar nicht verwendet wird sondern ein FOC (Fiber Optic Converter / Modem) am LAN Port1 dran hängen muss, denn der DSL WAN Port kann nicht mehr als 100 MBit.

Gruß,
Peter
Mitglied: srsbaca
srsbaca 16.09.2012 um 20:11:11 Uhr
Goto Top
So, gerade mein erster "Feldtest" erledigt. Jetzt ist OpenVPN auf dem Server installiert und das ding fluppt. Erster Versuch war KabelBW 25.000 und es kommen auch ~2,4 MB/s an. Die Vermutung war also ganz richtig, dass die CPU der FB für VPN und Glasfaserdurchsatz zu schwach ist.

das FOC hängt am Port 1.


Danke für die Links. Mit so nem Alix-basierten System hatte ich auch schon mal geliebäugelt, da aber jetzt OpenVPN läuft kann ich das Projekt erstmal wieder auf Eis legen. Vielen Dank an alle.
Mitglied: aqui
aqui 17.09.2012 um 11:10:55 Uhr
Goto Top
Wie wärs denn wenn du OpenVPN auf dem ALIX System installierst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Das wäre die perfekte Installation und dmait fluppts dann richtig, denn der interne Geode Prozessor hat einen Crypto Chip mit an Bord also dedizierte HW die das dann macht face-wink
Da hat man dann was wirklich anständiges face-smile
Mitglied: srsbaca
srsbaca 17.09.2012 um 17:13:53 Uhr
Goto Top
Mal sehen was mein Finanzminister dazu sagt... face-wink
Mitglied: aqui
aqui 17.09.2012 aktualisiert um 18:05:29 Uhr
Goto Top
Für sowas hat man doch immer ein kleines privates Schwarzgeldkonto das der Minister nicht kennt !!!... face-big-smile