OpenVPN Server per Raspberry Pi 3

[Pry_T800]

Hi Community, ich weis nicht, ob ich hier ganz richtig bin aber ich probier es mal.

Folgende Situation, ich nutze ein Pi B+ als OpenVPN Server, dort kann ich mich mit meinen mobilen Endgeräten auch einwandfrei anmelden. Soweit so gut.

Nun habe ich festgestellt, dass die Datenübertragung relativ langsam ist, ca 1,6 MBit/s nur und dabei ist es egal, von wo aus ich mich einlogge. Mein eigener Festnetzanschluss hat 50/10 MBit/s Down/Up.

Also folgende Frage, warum passt da nur so wenig durch? Mache ich etwas falsch?
Es wäre toll, wenn jemand eine Idee hat oder einen Tipp.

Lösung:
Hab nun mittlerweile dass ganze mit einem Pi 3 gelöst bekommen. Der Pi2 ist einfach viel zu langsam gewesen. Zwar konnte übertakten helfen sollte allerdings für einen stabilen Betrieb keine dauerhafte Lösung sein.
Dank der vielen Hilfe hier hab ich jetzt einen Wireguard VPN Server am laufen, der sehr schnell und stabil ist.
Die App für Android ist auch sehr zuverlässig, nach einer Woche testen, hab ich kein einziges Mal Probleme gehabt, dies war bei openVPN nicht so!

Nun werde ich versuchen das System zu virtualisieren.



Cu der Pry

 

[Masamune2]

Gibt halt keine Hardwarebeschleunigung für die Verschlüsselung als muss die CPU das alles selbst berechnen. Das ist bei so einem schwachen ARM Kern nicht ohne.
Welche Verschlüsselung setzt du denn ein? Vielleicht kannst du mit einem einfacheren Verfahren mehr Leistung raus holen.

 

[d2boxSteve]

Dazu kommt noch, OpenVPN kann nur mit einem Kern umgehen, er benutzt also nur einen der 4 Kerne mit 900 MHz.
Du bräuchtest mehr single-core Leistung dafür ...

 

[Pry_T800]

Ich nutze die neue 256 bit Verschlüsselung.


Cu der Pry

Ergänzung (12. Juni 2019)

Könnte OC etwas bewirken?


Cu der Pry

 

[Domi83]

Nimm mal alles irrelevante aus deiner server.conf und poste diese doch mal bitte hier. Ich habe einen älteren PI bei einem Kunden stehen, behaupte aber dass der Durchsatz dort wesentlich höher ist als die von dir erwähnten 1,6 Mbit/s... genaueres kann ich aber erst heute Abend testen, da ich den PI erst wieder zurück bringen muss

 

[Pry_T800]

Okay, werde ich machen...komme auch erst heute Abend dazu.


Cu der Pry

 

[error]

Moin,

10Mbit/s bekommst du mit dem Pi locker durch. Auch bei 256 Bit.
Alternativ kannst du dir mal PiVPN ansehen. Ist eine "abgespeckte" (eher optimierte) OpenVPN-Version für das Pi.
Die Einrichtung ist dabei auch recht einfach.

gruß

 

[Cinderella22]

Bei 50/10 MBits und bei 1,6 MBits kommt mir gleich wieder der Gedanke, ob nicht wieder MBit/s mit MB/s verwechselt werden?

Denn bei 10 MBit/s kommen 1,6 MB/s durchaus hin

 

[------]

Moin,
ich betreibe einen OpenVPN-Client (Cyberghost) auf einem Pi3-B+. Den benutze ich als Gateway für mein Notebook. Mein VDSL mit 50mb/s werden auch über den Raspi im Download erreicht.
Gruß derbär

 

[Pry_T800]

ob nicht wieder MBit/s mit MB/s verwechselt werden

Nö

Aber berechtigter Einwand, dem ist nicht so. Hab dass natürlich überprüft


Cu der Pry

Ergänzung (12. Juni 2019)

Alternativ kannst du dir mal PiVPN ansehen

Nutze ich bereits.

Hab auch vor einer Woche alles noch einmal neu eingerichtet.

Cu der Pry

 

[Pry_T800]

server.conf und poste diese

Spoiler: server.conf

dev tun
proto udp
port 1194
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server_f8udQu9p9KP81cTM.crt
key /etc/openvpn/easy-rsa/pki/private/server_f8udQu9p9KP81cTM.key
dh none
topology subnet
server 10.8.0.0 255.255.255.0
# Set your primary domain name server address for clients
push "dhcp-option DNS
push "dhcp-option DNS
# Prevent DNS leaks on Windows
push "block-outside-dns"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
keepalive 1800 3600
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 3
#DuplicateCNs allow access control on a less-granular, per user basis.
#Remove # if you will manage access by user instead of device.
#duplicate-cn
# Generated for use by PiVPN.io

Wobei ich keine Ahnung habe, was irrelevant ist. Hab mal ein Paar Sachen entfernt.

Edit:
Ich muss mich korrigieren, ich nutze dafür einen Pi B+

Cu der Pry

 

[Pry_T800]

Okay, habe einen ersten Teilerfolg, mit 1000 MHz hab ich nun die doppelte Datenrate. Hab noch einen Pi 3+ umherzuliegen, werde es damit auch noch testen. Trotzdem würde ich mich noch über nützliche Tipps sehr freuen.


Cu der Pry

 

[Domi83]

So, ich habe vorhin das erste mal den Datentransfer von meinem PC zum Kunden Server durchgeführt... es scheint so als wenn der PI wirklich nicht genügend Leistung für einen Datentransfer hat, denn ich komme auch nur auf 1 MB/s (Byte, nicht Bit)... an beiden Standorten (bei mir und beim Kunden) sind VDSL 100 Anschlüsse vorhanden.

Für einen Remotedesktop reicht es, aber es könnte doch noch etwas mehr Reserven verfügbar sein... dann muss ich wohl bei mir oder meinem Kunden am PI auch mal schauen ob man das etwas optimieren kann. Es könnte aber auch eine Einstellungssache sein. Der HP Proliant N54L scheint auch nicht der perfekte Kandidat für eine VPN Verbindung zu sein...

 

[Avenger84]

Warum nicht Wireguard?
Schafft volle 100MBits am Raspberry.

 

[Domi83]

Was mich persönlich angeht... ich bin der Freund von "wenig Software"... es gibt zig Varianten die mit Windows eigenen Mitteln funktionieren, dann die AVM Lösung die nur mit Software X läuft, die Bintec Elmeg Lösung die wieder eine andere Software benötigt, dann wieder eine andere Variante etc.

Die benötigten Files für OpenVPN erstelle ich mir auf einem meiner Linux Systeme, transferiere sie auf den Server auf dem ich es einsetzen möchte und fertig ist... dazu kommt noch, es ist kostenfrei. Somit benötige ich auf meinem Notebook oder PC nur ein Programm, verschiebe die Config Dateien und kann sofort loslegen.

Die Windows eigenen Board-Mittel für VPN finde ich auch wieder für Po... OpenVPN ist eine der wenigen System die mich gleich überzeugt haben.

Nachtrag: Bei mir kann ich (wenn ich das korrekt nachgelesen habe) Wireguard nicht verwenden. Ich brauche eine Server <> Client (End-to-Site) Lösung und bei diversen Beiträgen bin ich immer darauf gestoßen, dass es wohl eine Client <> Client (End-to-End) Lösung ist. Beim TE könnte das vielleicht eine gute Alternative sein, bei mir scheint es dann nicht die passende Lösung zu sein.

 

[Avenger84]

k.A. wie du da drauf kommst.
Bei mir ist der Raspberry Pi der Wireguard Server und die Handys, PC, Laptops, Tablet die Clients.

Android -> App Wireguard -> QR Code Scan vom Raspberry fertig
Windows Client -> config Datei laden fertig.

Einfacher geht nicht und kostenlos.

Ansonsten verwende ich auch noch vom NAS den VPN Server (auch kostenlos dabei), dieser funktioniert mit Windows und Anroid Bord-Mitteln, auch parallel mit Wireguard.

 

[Pry_T800]

Vielen Dank, für eure Anregungen, ich habe erst einmal ein zufriedenstellendes Ergebnis erreicht, der Pi ist nun übertaktet, hat ne Weile gedauert eh ich die richtige Übertaktung gefunden habe.
Nun schaffe ich über Open VPN im Down und Up 10 MBit/s, dass was mein Anschluss hergibt.

Edit:
Wäre es eine gute Idee, den Pi vielleicht zu Virtualisieren?

Edit:

Spoiler: Takteinstellungen vom Pi

arm_freq=900
arm_freq_min=600
core_freq=300
core_freq_min=250
sdram_freq=450
sdram_freq_min=400
over_voltage=0
temp_limit=85

Cu der Pry

 

[Avenger84]

Kann ich nicht nachvollziehen warum man den Pi übertaktet obwohl es eine Alternative gibt die 10x schneller ist ohne zu übertakten.

 

[Pry_T800]

eine Alternative

Würdest du mir auch diese Alternative verraten oder wie ich es besser machen kann?

Edit: mit welchem Tutorial hast du Wireguard auf dem Pi installiert?


Cu der Pry

 

[Avenger84]

1. https://github.com/adrianmihalko/raspberrypiwireguard
ab Schritt 2 dann:
2. https://github.com/adrianmihalko/ra...agement-with-Wireguard-User-Management-script

dann sollte man noch wissen was "Nano" ist und wie man damit etwas speichert (Texteditor)

siehe mein ehem. Thema:
https://www.computerbase.de/forum/threads/openvpn-mit-raspberry-vs-fritz-vpn.1868159/

da haben wir alles durchgekaut