blackstarx
Ensign
- Registriert
- Nov. 2011
- Beiträge
- 255
pfsense ist genauso aufwendig wenn nicht sogar unübersichtlicher wie eine hardware firewall von z.b. securepoint
OpenVPN-Verbindung langsam
- Ersteller Shor
- Erstellt am
pfsense ist genauso aufwendig wenn nicht sogar unübersichtlicher wie eine hardware firewall von z.b. securepoint
martinallnet
Captain
- Registriert
- Aug. 2015
- Beiträge
- 3.665
Ich denke auch, das hier die eingesetzte Hardware das Problem ist, OpenVPN ist nicht ohne von den Anforderungen her.
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Auf welchem VPN-Port bzw. Protokoll läuft OpenVPN? UDP oder TCP? Letzteres kann die Performance von VPNs massiv beeinträchtigen, wenn die Verbindung instabil ist, also relativ viele Paketverluste auftreten. Wenn über das VPN TCP-Verbindungen getunnelt werden, potenziert sich das TCP-Handshake nämlich, weil nicht nur die Anwendungspakete bestätigt und ggfs neu versandt werden, sondern darüber hinaus auch nochmal die TCP-VPN-Kapsel-Pakete.
Ansonsten kann ich den anderen nur beipflichten: OpenVPN ist im Vergleich zu IPsec sehr CPU-lastig, weil OpenVPN
a) nur Single-Threaded läuft
b) architekturbedingt nur schwierig auf externe Hardware ausgelagert werden kann
Daher ist OpenVPN massiv auf eine potente CPU angewiesen. IPsec kann mit Hilfe von Crypto-HW relativ simpel ausgelagert und somit auch mit schwachen CPUs viel Performance bringen. Der größte Vorteil von OpenVPN ist der frei wählbare VPN-Port. IPsec auf der anderen Seite ist diesbezüglich festgenagelt. Hinter einem fremdverwalteten Router bzw. Firewall kann man OpenVPN daher auf zB UDP 53 (DNS-Port) durch eine Firewall durchschummeln, IPsec (UDP 500 / 4500) kann dagegen hart geblockt werden...
Wenn man aber Zugriff auf die jeweiligen Router bzw. Firewalls hat und Performance ein wichtiger Faktor ist, würde ich darüber nachdenken, auf IPsec umzuschwenken - oder potente Hardware für OpenVPN einsetzen.
Ansonsten kann ich den anderen nur beipflichten: OpenVPN ist im Vergleich zu IPsec sehr CPU-lastig, weil OpenVPN
a) nur Single-Threaded läuft
b) architekturbedingt nur schwierig auf externe Hardware ausgelagert werden kann
Daher ist OpenVPN massiv auf eine potente CPU angewiesen. IPsec kann mit Hilfe von Crypto-HW relativ simpel ausgelagert und somit auch mit schwachen CPUs viel Performance bringen. Der größte Vorteil von OpenVPN ist der frei wählbare VPN-Port. IPsec auf der anderen Seite ist diesbezüglich festgenagelt. Hinter einem fremdverwalteten Router bzw. Firewall kann man OpenVPN daher auf zB UDP 53 (DNS-Port) durch eine Firewall durchschummeln, IPsec (UDP 500 / 4500) kann dagegen hart geblockt werden...
Wenn man aber Zugriff auf die jeweiligen Router bzw. Firewalls hat und Performance ein wichtiger Faktor ist, würde ich darüber nachdenken, auf IPsec umzuschwenken - oder potente Hardware für OpenVPN einsetzen.
fuyuhasugu
Commander
- Registriert
- Dez. 2012
- Beiträge
- 2.520
Wie stark die Hardware der Synology begrenzt kannst du doch ganz einfach rausfinden, indem du im lokalen Netz eine VPN-Verbindung aufmachst.
fuyuhasugu
Commander
- Registriert
- Dez. 2012
- Beiträge
- 2.520
Da zitiere ich am besten dich:Shor schrieb:Korrigier mich, wenn ich falsch liege, aber dann hab ich immer noch nicht herausgefunden, ob es die Hardware oder eine Einstellung ist.Also bringt mich der Test im Grunde kein Stück weiter.
Shor schrieb:
Hi,
langsam. Die OpenVPN-Einstellungen sind tatsächlich sehr (!) übersichtlich im Sinne von wenig vorhanden. Die Einstellungen, von denen ich jetzt rede, beziehen sich auf allgemeine bzw. protokollspezifische Optionen (siehe auch meine Nachricht an den Synology Support); also z. B. diese HTTP(-S)-bezogenen Paketanalysen, die - das ist halt die Frage - eventuell in Kombination mit der Verschlüsselung so richtig "reinhauen" bzw. den Speed vermiesen.
Gruß
Jens
langsam.
Die OpenVPN-Einstellungen sind tatsächlich sehr (!) übersichtlich im Sinne von wenig vorhanden. Die Einstellungen, von denen ich jetzt rede, beziehen sich auf allgemeine bzw. protokollspezifische Optionen (siehe auch meine Nachricht an den Synology Support); also z. B. diese HTTP(-S)-bezogenen Paketanalysen, die - das ist halt die Frage - eventuell in Kombination mit der Verschlüsselung so richtig "reinhauen" bzw. den Speed vermiesen.Gruß
Jens
Zuletzt bearbeitet:
Antwort von Synology wenig hilfreich (um nicht zu sagen unterirdisch):
Naja, dann muss ich das Thema wohl begraben und akzeptieren, dass die Speeds schlecht bleiben. Noch ist es kein Beinbruch; ein ein paar Jahren sicherlich schon. Vielleicht probiere ich tatsächlich mal eine andere Verschlüsselung aus. Ich melde mich dann noch mal.
Danke für eure Unterstützung!
Naja, dann muss ich das Thema wohl begraben und akzeptieren, dass die Speeds schlecht bleiben. Noch ist es kein Beinbruch; ein ein paar Jahren sicherlich schon. Vielleicht probiere ich tatsächlich mal eine andere Verschlüsselung aus. Ich melde mich dann noch mal.
Danke für eure Unterstützung!
Raijin
Fleet Admiral
- Registriert
- Nov. 2007
- Beiträge
- 18.285
Die Antwort klingt verdächtig nach: "Die Hardware ist so schwach auf der Brust, dass sie bei hohen Datenraten mit der Verschlüsselung nicht hinterherkommt." Kurz: Hardware lahm, VPN lahm.
Wenn dir die Performance nicht ausreicht, solltest dich dann eher nach geeigneter Hardware für die VPN-Verbindung umschauen. All-In-One-Geräte haben immer das Problem, dass die Hard- und auch die Software nicht zwangsläufig allen Anforderungen gerecht werden kann.
Wenn dir die Performance nicht ausreicht, solltest dich dann eher nach geeigneter Hardware für die VPN-Verbindung umschauen. All-In-One-Geräte haben immer das Problem, dass die Hard- und auch die Software nicht zwangsläufig allen Anforderungen gerecht werden kann.
Ähnliche Themen
