Nach wechsel zu VDSL 50 langsamere VPN Verbindung

[SlipKn0T]

Hi.

Wir haben bei uns in der Firma nun endlich VDSL 50 von der Telekom.
davor hatten wir einen analogen anschluss der EWE, welcher 16 mbit zur verfügung stellte und einen upload von ca 400kbits.

aktuell ist dieser bei 10mbit (getestet mit einem speedtester)

in der Firma ist der Internetanschluss auch relativ zügig, Seiten bauen sich schnell auf, downloads sind auch schön zügig, wie man das bei so einer Leitung erwarten kann.

Allerdings ist seit dem Wechsel der VPN Dienst deutlich langsamer geworden.

Ping zwischen der Firma und dem Endgerät liegt bei 36ms

Beide Router sind von AVM, in der Firma ein 7390 und zuhause auch ein aktueller, welcher VDSL beherscht.

das vpn wird mit openvpn verwaltet über den Server welcher mit esxi läuft.


Nach dem internet Upgrade habe ich mir eine deutliche Performance-steigerung erhofft, und nicht das gegenteil.

dyndns dienst ist von no-ip.org falls das wichtig ist.

 

[lodex]

Eventuell hat sich das Routing grundlegend geändert, wodurch die höheren Latenzen zu Stande kommen. Grundlegend bedeutet mehr Bandbreite nicht gleich niedrigere Latenzen.

Edit: Ein traceroute zur anderen Seite könnte zeigen, bei welchem Hop die Latenz steigt.

 

[redasurc]

Wie war der Ping denn vorher? Wir haben die Erfahrung gemacht, dass die DSL Anschlüsse wesentlich langsamer (aber dafür oft breitbandiger) daherkommen, als die Festverbindungen.

Der Preis von DSL ist leider oft das Argument, welches die meiner Meinung nach wichtigeren technischen Argumente (Latenz, Verfügbarkeit, Entstörzeit usw.) verdrängt.

Welche Anwendung nutzt ihr denn über VPN, die von mehr Bandbreite profitiert, aber unter höheren Latenzen leidet? In der Regel profitiert man von Latenz (Bildschirmsitzung, Datenbank-Abfragen z.B.), dann ist aber die Bandbreite egal. Oder man braucht Bandbreite (Filetransfer, Streaming usw.), dann ist aber in der Regel die Latenz egal.

 

[SlipKn0T]

Wie der Ping voher war kann ich leider nicht sagen, da ich wie schon geschrieben "höhere Leistung = schnellere verbindung" erhofft habe.


36ms finde ich aber schon als akzeptablen Wert als Latenz.

 

[dakR]

Kenne EWE nicht, vielleicht war dort Interleaving ausgeschaltet?

 

[Dystop1an]

Hi.

Wir haben bei uns in der Firma nun endlich VDSL 50 von der Telekom.
davor hatten wir einen analogen anschluss der EWE, welcher 16 mbit zur verfügung stellte und einen upload von ca 400kbits.

aktuell ist dieser bei 10mbit (getestet mit einem speedtester)

Aktuell ist was bei 10mbit? Der Upload der neuen Leitung? Und sicher das der Upload vorher bei ca 400kbits war? Das sind ja nur grob um die 50 kbyte/s, damit war ja quasi ne VPN Verbindung vorher nahezu unmöglich.

in der Firma ist der Internetanschluss auch relativ zügig, Seiten bauen sich schnell auf, downloads sind auch schön zügig, wie man das bei so einer Leitung erwarten kann.

Allerdings ist seit dem Wechsel der VPN Dienst deutlich langsamer geworden.

Ping zwischen der Firma und dem Endgerät liegt bei 36ms

Die Seiten Aufbauzeit etc. ist aber alles die Down Geschwindigkeit. Wie sieht es denn mit dem Upload aus? (Und darauf achten nicht bit und byte zu Verwechseln)

Der Ping ist völlig in Ordnung, der reicht selbst für viele Latenz empfindlichere Dinge aus.

Beide Router sind von AVM, in der Firma ein 7390 und zuhause auch ein aktueller, welcher VDSL beherscht.

das vpn wird mit openvpn verwaltet über den Server welcher mit esxi läuft.

An den Routern und deren Konfiguration hat sich aber nichts geändert? Das gleiche bei dem Server?

Ich geh einfach mal davon aus das was mit dem Upload nicht stimmt, der Ping sollte absolut kein Problem machen, der reicht ja selbst für schnelle Ego-Shooter oder Voice Chat Programme aus, da sollte eine VPN Verbindung, wo größtenteils Breitbandintensive Dinge drüber ablaufen keine Probleme machen.

 

[SlipKn0T]

Ich hab gerade nochmal nachgemessen und komme nur auf 4mbit. Kann sein, dass der vorher glaub auch so war oder bei 1 Mbit. Hab das nicht mehr im Kopf. Der Router ist der selbe geblieben jediglich die Daten vom Anbieter hab ich geändert. Nur dass ich den ntba und den Splitter rausgeschmissen habe, da nun alles VoIP und digital ist.

Könnte sonst die ip v6 noch ne rolle spielen?

Und soll ich mal fragen wieso nur 4 statt 10 Mbit ankommen ?

 

[Dystop1an]

4Mbit sollten aber trotz allem nicht schlechter als vorher sein, kann mir kaum vorstellen das Ihr vorher mit der 16Mbit Leitung nen besseren Upload hattet.

Wie sieht denn der Standort aus der beiden VPN Verbindungen? Beides Innerhalb von Deutschland? Hast du mal vom Standort von dem die Verbindung aufgebaut werden soll die IP bzw. DynDNS Name angepingt oder getraced?

 

[Sebbi]

mach mal n Speedtest an beiden anschlüssen ohne das VPN an ist.


außerdem von ADSL(2+) von ewe wurde bestimmt Fastpath eingeschalten (Latenz ca. 10 ms ), bei VDSL der Telekom kommt Interleaving zum Einsatz, so das ca. 25 ms Latenz an beiden anschlüssen nun vorhanden sind.


Welchen Datendurchsatz hatte denn das VPN vorher und welchen Datendurchsatz hat es denn jetzt ?

 

[Raijin]

Rein interessehalber: OpenVPN via TCP oder UDP konfiguriert? Das sollte man sich nämlich sehr genau überlegen. Wenn man Anwendungen nutzt, die ihrerseits TCP verwenden, dann kann das zu erheblichen (!) Geschwindigkeitseinbußen führen (Stichwort: doppelte Handshakes)
Das hilft dir zwar nur bedingt, weil ich davon ausgege, dass der VPN-Server nicht verändert wurde, ist aber vielleicht ein Tip zur Verbesserung der Geschwindigkeit.

 

[SlipKn0T]

Auf dem Rechner zuhause ist ein programm installiert, dass über vpn auf eine datenbank in der firma zugreift.
was wäre demnach das bessere protokoll?

und Daten vom Explorer, die im Netzwerk freigegeben sind...

 

[Raijin]

Normalerweise ist UDP für die VPN-Verbindung die klügere Wahl. Ganz einfach aus folgenden Gründen:

• Anwendungen, die sicherstellen müssen, dass Datenpakete ankommen, verwenden selbst schon TCP. Gehen Datenpakete verloren, werden sie neu geschickt - mit und ohne VPN.
• Anwendungen, die schnell kommunizieren müssen und unkritische Daten verschicken (zb VNC), ist es egal ob einige Datenpakete verloren gehen - mit und ohne VPN

Ein UDP-Tunnel ändert demnach nichts an der zugrundeliegenden Situation - wer TCP will, soll TCP nutzen. Setzt der VPN-Tunnel nu selbst auf TCP auf, dann werden auf UDP-Anwendungen streng genommen in TCP gezwungen. Gerade bei schlechten Verbindungen (zb Hotel-WLAN) kann das zu massivem Overhead führen! Daraus folgen dann zwangsläufig hohe Geschwindigkeitseinbußen.

TCP-Tunnel sollte man in der Regel nur anwenden, wenn man generell wenig Paketverlust hat bzw nur dann, wenn zB der Router/die Firewall nichts anderes zulassen.

Datenbanken arbeiten in der Regel mit TCP - wäre ja sonst doof, wenn die Änderung nie beim Server ankommt Samba bzw Dateifreigaben ebenso.

 

[SlipKn0T]

Ich werde das morgen mal kontrollieren. Vielen Dank für die Info.

 

[Raijin]

Weitere Ursachen im Bereich der Konfiguration wären zB auch Verschlüsselung, Datenkomprimierung sowie die mtu.

• Verschlüsselung ist sinnvoll und sollte beibehalten werden. Bei schwacher Hardware (zB Raspberry PI) kann es allerdings Bremswirkung geben.
  
  
• Datenkomprimierung. Auch das kann bei schwacher Hardware Auswirkungen haben.
  
  
• mtu. Die Mamimum Transmission Unit definiert wie groß die Datenpakete maximal sein dürfen bevor sie fragmentiert werden. Da die Daten zwangsläufig in VPN-Paketen gekapselt werden, ist die mtu innerhalb des Tunnels niedriger als außerhalb. Stellt man die mtu zu groß ein, werden die Pakete ständig fragmentiert => langsam. Dabei müssen VPN-Server und -Client auf die gleiche mtu eingestellt sein. Man kann sie auch genau berechnen (dazu googel befragen)

Da die Performance vom Server vermutlich nicht das Problem ist, wäre die mtu einen Blick wert.

 

[redasurc]

Nachdem die Anwendung Datenbankabfragen macht, würde ich wieder auf den Ping tippen. Zumindest von unserer eigenen Branchenlösung kann ich sagen, dass sie auf Pings > 10ms recht empfindlich reagiert. In solchen Netzwerken ist dann eine Terminallösung (RDP, Citrix usw.) die Lösung.

Ggf. kannst du ja von daheim über VPN per RDP auf den Server zugreifen und die Performance vergleichen?