henere
Goto Top

VPN Performance Zyxel-Fritte

Servus,

nachdem ihr mir ja schon so gut helfen konntet, was das VPN zwischen Zyxel USG60W und Fritte 7490 angeht, bräuchte ich vielleicht nochmal etwas Unterstützung.
Die Zyxel steht an nem symmetrischen 200MBit/s Glasfaseranschluss. Speedtest zeigt auch diese Geschwindigkeiten an, zu mehreren Anbietern von Speedtests.
Meine Fritte 7490 steckt hinter nem 100/40 VDSL. Auch hier bringen die Speedtests annähernd volle Geschwindigkeit. (ca 90/35).

Durch das VPN kommen in beide Richtungen Zyxel-Fritte und Fritte-Zyxel per Netbios-Copy jedoch kaum mehr als 2-2,5 Megabyte/s an.

Die CPUs von Zyxel und Fritte sind bei der Kopie mehr oder weniger gelangweilt. Wo ist jetzt der Flaschenhals ? Wie kann ich das am besten ausprobieren ?
Die MTU hatte ich testhalber schon heruntergesetzt, daran liegt es nicht.

Jemand ne Idee, wo ich ansetzen kann ?

Grüße, Henere

Nachtrag: Bin gerade etwas ernüchtert.....
Aus: https://blog.webernetz.net/fritzbox-vpn-speedtests/

Fazit
Gerne wird die FRITZ!Box im privaten als auch im semi-professionellen Umfeld nicht nur als Internet-Router, sondern auch als VPN-Gateway eingesetzt. Ungeachtet der Tatsache, dass man im Firmenumfeld sowieso nicht auf ein Privatprodukt setzen sollte, ist der nutzbare VPN-Durchsatz bei knapp 15 MBit/s teilweise deutlich unter den reinen Internetgeschwindigkeiten, die man heute durch VDSL und Glasfaser so bekommt. Daher sollte man sich gut überlegen, wo und wie man die FRITZ!Box dafür einsetzt.

Mangels Hardware konnte ich leider nicht noch das aktuelle Topmodell von AVM, die FRITZ!Box 7490, testen. Da dasVer- und Entschlüsseln der VPNs aber rein in Software/CPU passiert, lässt ein Blick auf Vergleichstabellen der CPUs der Geräte [1, 2, 3] leider nur erahnen, dass auch das Topmodell nur wenig besser sein dürfte, da die Geschwindkeit der CPU nur leicht angehoben wurde.

***

Die Zyxel schafft laut ftp://ftp.zyxel.com/USG60/datasheet/USG60_11.pdf bis zu 180 MBit/s.

Stimmen die o.g. Werte bei der Fritte ? Finde von der leider kein Datenblatt auf der das nachzulesen ist.

Aber.... dann müsste doch auch die CPU auf 100% hochgehen, während der Übertragung. Das ist hier nicht der Fall.

Content-Key: 361608

Url: https://administrator.de/contentid/361608

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: Pjordorf
Pjordorf 18.01.2018 aktualisiert um 19:01:52 Uhr
Goto Top
Hallo,

Zitat von @Henere:
kaum mehr als 2-2,5 Megabyte/s an.
Das sind also ca. 16 . 29 MBit/s in beiden Richtungen? Ist doch OK - für eine Fritte. Was sagt ein iPerf oder ein NetIO (mehrmal getestet). Welche Einstellung hat dein VPN (IPSec?))

Jemand ne Idee, wo ich ansetzen kann ?
Welche Möglichkeit bietet dir deine Zyxel?

Mal die 7490 durch eine richtige VPN Firewall/Router ersetzt? VPN von einem Gerät (Raspberry PI) in dein LAN machen lassen unbd an der Fritte nur Passthrough verwenden lassen?

Eine 7580 macht auch nicht viel mehr. https://www.ip-phone-forum.de/threads/fritz-box-7580-vpn-durchsatz.28731 ...

Gruß,
Peter
Mitglied: shadynet
shadynet 18.01.2018 um 19:04:42 Uhr
Goto Top
Hi,

gleiche Erfahrung bei mir. Mit 3DES/SHA1/DH1 zwischen Fritz (7490 und 7362) und pfsense 8-10Mbit, mehr ging nicht. OpenVPN/IPSec vom Client zur pfsense hat den Upload (40Mbit) bei mir vollkommen auslasten können. Was ein Glück, dass das System nur mehr oder weniger zum Spaß zur Synchronisation einiger weniger Dateien in der Woche existiert. Ansonsten wäre das performancetechnisch absolut unbrauchbar.
Mitglied: Henere
Henere 18.01.2018 um 20:11:46 Uhr
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Henere:
kaum mehr als 2-2,5 Megabyte/s an.
Das sind also ca. 16 . 29 MBit/s in beiden Richtungen? Ist doch OK - für eine Fritte. Was sagt ein iPerf oder ein NetIO (mehrmal getestet). Welche Einstellung hat dein VPN (IPSec?))

Jemand ne Idee, wo ich ansetzen kann ?
Welche Möglichkeit bietet dir deine Zyxel?

Mal die 7490 durch eine richtige VPN Firewall/Router ersetzt? VPN von einem Gerät (Raspberry PI) in dein LAN machen lassen unbd an der Fritte nur Passthrough verwenden lassen?

Eine 7580 macht auch nicht viel mehr. https://www.ip-phone-forum.de/threads/fritz-box-7580-vpn-durchsatz.28731 ...

Gruß,
Peter

NetIO werde ich mal testen, wenn ich wieder zu Hause bin.
Ich werde auch mal W10 als VPN-Client nehmen und schauen ob da mehr geht.
Wenn ja die CPU der Fritte auf Anschlag wäre, ok.... aber die hat während der Kopie keine 20% Last. Ebenso der Zyxel, der ist unter 8%.

cpuload

VPN: AES256, SHA1, DH2 in Phase 1 und 2

@shadynet:

Ich brauche es nur für RDP. Da merke ich keinen Unterschied ob lokal oder remote. Aber ich hatte jetzt doch mal paar Logfiles holen müssen, da fiel es halt extrem auf.
Der Kunde möchte von zu Hause aus jetzt mit Access arbeiten, und dazu die DB aus der Firma nutzen. Da merkt man es halt doch gewaltig.

Ich mache jetzt noch weitere Tests, wenn das nix wird, bekommt der Kunde auf Hyper-V ein W10 hingesetzt, dann soll er auch remote arbeiten.

Grüße, Henere
Mitglied: Pjordorf
Pjordorf 18.01.2018 um 21:27:45 Uhr
Goto Top
Hallo,

Zitat von @Henere:
Ich werde auch mal W10 als VPN-Client nehmen und schauen ob da mehr geht.
Ist dann der Zyxel der VPN Server oder die Fritte? Oder macht der dann zu einem Raspbery PI dann ein Client VPN auf?

Wenn ja die CPU der Fritte auf Anschlag wäre, ok.... aber die hat während der Kopie keine 20% Last.
Da du ja nicht erst seit gestern teilweise Alte bzw. uralt Hardware einsetzt, hast du doch sicherlich schon beobachten können das die CPU Last nicht bei 8o% angelegt ist und es trotzdem nicht schneller geht. Du müsstest also auf der Fritte dir die CPU anschauen und schauen was genau dort anläuft und somit erkennen warum es nicht schneller geht.

Ebenso der Zyxel, der ist unter 8%.
Aber der sollte als VPN Server mehr leisten können als ein Fritte, oder ist die USG60W nicht wirklich ein Business Gerät? Zyxel hat die gleichen Probleme an Kohle zu kommen wie alle anderen auch - gerade im LowCost Bereich...

Ich mache jetzt noch weitere Tests, wenn das nix wird, bekommt der Kunde auf Hyper-V ein W10 hingesetzt, dann soll er auch remote arbeiten.
Access über WAN ist immer ein Leistungskiller, da wird evtl. ein RDP auf eine VM oder einen PC besser sein. Ausserdem was willst du denn bei W10 als VPN nutzen wenn die andere Seite die Fritte ist?

Gruß,
Peter
Mitglied: Henere
Henere 18.01.2018 aktualisiert um 21:48:05 Uhr
Goto Top
@Pjordorf:

Die Zyxel ist beim Kunden im Einsatz. Ich werde mir privat keine 300€/Monat mieten. Bei ~10-15 Clients (PCs und Smartphones) sollte die locker ausreichend sein, das abzudecken. IDie USG60W ist bis 25 User gedacht.
Ich habe die Fritte zu Hause, weil die eigentlich (bisher) alles abdeckt was ich zu Hause benötige um Frau und 2 Kinder ins Netz zu bringen und darüber auch telefonieren zu lassen. Wie kommst Du auf Alt- bzw Uralt-Hardware ? Ich würde den i4770k meiner WKS und meinen Server mit E5-2620v3 jetzt nicht als uralt bezeichnen.....

Tja, die CPU der Fritte anschauen... so tief kommt man in die Endusersysteme leider nicht rein. Ich kann nur das nutzen, was ich angezeigt bekomme. Und das sind gelangweilte CPUs auf beiden Seiten.

Die USG60W sollte laut Datenblatt bis zu 180MBit/s VPN-Durchsatz bringen. Bei der Fritte weiß ich es eben nicht.

Nein, ich meine W10 - Zyxel - VPN. Die Fritte als reinen Router verwenden. So war das als Alternativplan angedacht.

C:\>win32-i386.exe -t 192.168.0.10

NETIO - Network Throughput Benchmark, Version 1.32
(C) 1997-2012 Kai Uwe Rommel

TCP connection established.
Packet size  1k bytes:  1364.06 KByte/s Tx,  2042.25 KByte/s Rx.
Packet size  2k bytes:  1352.26 KByte/s Tx,  1934.44 KByte/s Rx.
Packet size  4k bytes:  1642.13 KByte/s Tx,  2195.56 KByte/s Rx.
Packet size  8k bytes:  1610.96 KByte/s Tx,  2318.27 KByte/s Rx.
Packet size 16k bytes:  1623.50 KByte/s Tx,  2341.70 KByte/s Rx.
Packet size 32k bytes:  1636.23 KByte/s Tx,  2340.50 KByte/s Rx.
Done.

Grüße, Henere
Mitglied: Pjordorf
Pjordorf 18.01.2018 um 21:55:58 Uhr
Goto Top
Hallo,

Zitat von @Henere:
Ich werde mir privat keine 300€/Monat mieten.
Wo kaufst du denn? face-smile

Ich habe die Fritte zu Hause
Dann stelle dort VPN auf Passthru und nutze in dein LAN ein VPN Server z.B. RaspBerry PI. Dann passt es wieder

Bei der Fritte weiß ich es eben nicht.
Da ist wohl nichts angegeben (habe bis heute auch nichst aus der Feder von AVM finden können. Es gab mal ein Dok aber das ist schon ewig her und die Modelle sind wohl nicht mehr im Einsatz face-sad

Packet size 16k bytes: 1623.50 KByte/s Tx, 2341.70 KByte/s Rx.
Packet size 32k bytes: 1636.23 KByte/s Tx, 2340.50 KByte/s Rx.
Und wir dürfen uns nun aussuchen wo was angepappt ist, gell?

Gruß,
Peter
Mitglied: Henere
Henere 18.01.2018 um 22:10:21 Uhr
Goto Top
Servus,

es gibt durchaus Gegenden in Deutschland wo man froh sein kann, an dem Spiel Internet teilhaben zu dürfen....
Bei dem Kunden gibt es die Wahl.... DSL mit ca 3MBit/s die ankommen ... egal ob Terrorkomm oder anderer Anbieter, oder jetzt die deutsche Glasfaser, die als einziger Anbieter dort Glas verlegen.....

Ich mag den PI nicht. Eher würde ich was auf dem Hyper-V aufsetzen.

Ich hab bei AVM mal angefragt, aber ich befürchte das da auch nix greifbares zurück kommt.

Das NetIO ist auf dem Kundenserver als Server gelaufen (NetIO -s).
Der Client war mein PC. DIe Verbindung dazwischen ist:
WKS - HP1920 - Fritte an VDSL 100/40 -VPN - Zyxel an 200/200 - HP 1920 - Blechserver.

Grüße, Henere
Mitglied: aqui
aqui 19.01.2018 aktualisiert um 00:17:27 Uhr
Goto Top
Das die Fritte ein billiges Consumer Gerät mit einem schwachbrüstigen SoC Chip ist ist dir aber schon klar, oder ?
Das dortige VPN ist dafür da das Oma Grete mal per Smartphone VPN dem Enkel Bilder zeigen kann aber zu mehr auch nicht.
200Mbit Wirespedd in Business Anwendungen via VPN ist Utopie. Jeder weiß das die Fritte für sowas nicht gemacht ist.
Das sagt einem ja auch schon der gesunde Menschenverstand. Du fährst ja auch nicht mit einem Dacia Logan die Rallye Paris-Dakar.
Überlege mal was die CPU bei VPN Verschlüsselung leisten muss. AVM bezahlt das keiner wenn sie teure CPUs einbauen und 99,9% Userclientel haben die das gar nicht nutzen.
Muss man sicher auch nicht weiter kommentieren.
Beschaff dir also potente VPN Hardware mit Crypto HW dann kannst du dir solche Threads sparen.
Mitglied: Henere
Henere 19.01.2018 um 01:33:40 Uhr
Goto Top
Hallo @aqui:

Wenn die CPU dabei auf Anschlag käme, wäre ich sofort auf Deiner Seite.
So ist es einfach der Forschergeist, der mich da suchen lässt. Wie gesagt, das was es für mich können muss, erfüllt es zu 300%.

Und Du glaubst gar nicht, was alles schon nach Dakar gefahren ist .... und auch noch angekommen ist.

Ich teste das wie geschrobt nochmal mit W10 als VPN-Client. Oder nem 2016er Server...

Ich setze daher mal auf gelöst, auch wenn es das nicht wirklich ist.

Grüße und gute Nacht,

Henere
Mitglied: aqui
aqui 19.01.2018 um 10:53:26 Uhr
Goto Top
Mitglied: Henere
Henere 19.01.2018 um 16:45:36 Uhr
Goto Top
Hier mal die Antwort von AVM:

Hallo Henner, was für Datenraten über VPN erreicht werden können, hängt stark von den genutzten Funktionen auf der FRITZ!Box den genutzten VPN-Service und die verwendeten Internetleitungen an. Dazu eine genaue Aussage zu treffen ist sehr schwer. Am besten schaust du mal unter folgendem Link, da haben wir alles wichtige zu diesem Thema zusammengefasst: https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/1385_VPN-Verbindungen-langsam

Das ist natürlich sehr aussagekräftig. NICHT.

Wir hatten vor ~15 Jahren konkrete Tests mit Nokia-IP-Appliances gemacht mit Checkpoint obendrauf. Sonst hätten wir die Geräte dem Kunden nicht verkaufen können.


Ein Videocapture ? Ist das wie ein Screenshot mit dem Handy ? face-wink

Henere
Mitglied: chgorges
chgorges 19.01.2018 um 23:20:45 Uhr
Goto Top
Zitat von @Henere:
Ich setze daher mal auf gelöst, auch wenn es das nicht wirklich ist.
Hi, eigentlich schon, Aqui hat es mit Oma Grete schon passend formuliert face-smile
Fritzbox = Consumergerät, bei dem das VPN gefühlt höchstens drangeflanscht und nie ernsthaft und vor Allem auch konkurrenzfähig implementiert wurde, aber dennoch vorhanden ist, um sich in irgendeiner Form von den Speedports abzuheben.

Was du über VPN selbst mit Business-Geräten dennoch niemals machen solltest, sind Access-DBs über SMBoverVPN zu öffnen und damit zu arbeiten, das geht in der Regel nach hinten los. Terminalserver aufsetzen und per VPN/RDP drauf gehen.
Mitglied: Pjordorf
Pjordorf 20.01.2018 um 00:21:07 Uhr
Goto Top
Hallo,

Zitat von @Henere:
Ich mag den PI nicht. Eher würde ich was auf dem Hyper-V aufsetzen.
Muss ja nicht ein Raspberry PI sein, es eght nur darum ein Gerät zu nutzen was besser mit VPNs umgehen kann als eine Fritte.

WKS - HP1920 - Fritte an VDSL 100/40 -VPN - Zyxel an 200/200 - HP 1920 - Blechserver.
Und DU hast den 100/40 Anschluß?

Packet size 16k bytes: 1623.50 KByte/s Tx, 2341.70 KByte/s Rx.
Packet size 32k bytes: 1636.23 KByte/s Tx, 2340.50 KByte/s Rx.

Mal umgerechnet wieviele Bits/s das sind? Du kannst aber auch NetIO sagen das du die angaben in Bit/s oder GBit/s haben willst. Aber hier ist die Fritte das Problem
Packet size 16k bytes: 12988.00 Bit/s Tx, 18733.60 Bit/s Rx.

Gruß,
Peter
Mitglied: Henere
Henere 24.01.2018 aktualisiert um 15:25:42 Uhr
Goto Top
Servus.
Ja, der 100/40 ist bei mir zu Hause.

Ich hab von AVM diese Antwort hier erhalten.

Marco Stenzel (AVM) 
24. Jan., 14:49 CET 
Guten Tag Herr XXXXXXXX,

es tut mir leid, wenn ich Ihren Erwartungen nicht entsprechen kann. Im Support liegen uns keine Datenblätter vor, die technische Werte zum VPN-Datendurchsatz bereit halten. Aufgrund der Tatsache, das der Datendurchsatz auch stark von weiteren Einflüssen (Leitungsqualität, Verschlüsselungsoverhead) abhängt, wäre eine absolute Aussage unseriös. Eine "bis zu" Angabe gibt ebenso wenig Aufschluss.  

Freundliche Grüße aus Berlin
Marco Stenzel (AVM Support)

Wenn der Hersteller schon keine "bis zu" Angabe machen kann..... ???

Ich werde die Tage ein anderes VPN-GW bei mir zu Hause testen. Ein Bekannter hat noch eine Zyxel USG50 "rumstehen".
Ich denke, dass AVM somit was VPNs angeht komplett raus ist. Taugt echt nur um Oma mal 1,2 Fotos darüber zu zeigen.
Schade eigentlich, für die Anbindung kleiner Büros bzw Homeofficeplätze inkl Telefonanlage fand ich die immer recht praktisch.

Grüße, Henere