OpenVPN Verbindung zum NAS (nur 50% Speed)

[Dasi]

Moin,

auf meiner NAS läuft ein OpenVPN Server und ich nutze einen Mac mit Tunnelblick, um darauf zuzugreifen.
Die NAS hängt an 100Mbit Up und Down, welche ich über eine Verbindung via FTP (mit TLS) auch erreiche.

Beim Zugriff über OpenVPN erreiche ich lediglich 50 - 55Mbit. Sowohl im Upload als auch im Download.

Wie kann ich das hier optimieren?

 

[I'm unknown]

Welche Verschlüsselungsmethoden verwendest du für FTPS und OpenVPN?

 

[DeusoftheWired]

Wie hoch ist die CPU-Auslastung des NAS während einer Dateiübertragung via FTP bei hergestellter OpenVPN-Verbindung?

Hersteller und Modell des NAS? Manche bieten in ihren Paketzentren schon fertige Wireguard-Server an.

 

[0x8100]

der openvpn server sollte udp verwenden, mal in der config nachschauen.

 

[chrigu]

Welches Abo genau?

 

[Dasi]

Welche Verschlüsselungsmethoden verwendest du für FTPS und OpenVPN?

AES-256-CBC mit SHA512 Authentifizierung
Ich nutze kein FTPS sondern FTP über Port 21 mit TLS/SSL Zertifikat (wird von der NAS ausgespielt).

Wie hoch ist die CPU-Auslastung des NAS während einer Dateiübergraung via FTP bei hergestellter OpenVPN-Verbindung?

Hersteller und Modell des NAS? Manche bieten in ihren Paketzentren schon fertige Wireguard-Server an.

Die FTP Verbindung habe ich nicht mit OpenVPN genutzt sondern extern zugegriffen. Hier habe ich dann die vollen 100Mbit. FTP mit bestehender OpenVPN Verbindung bringt jetzt gerade 40Mbit und die CPU Auslastung der NAS liegt bei 8 - 10%.

NAS: Synology DS218play

Ergänzung (23. Dezember 2019)

der openvpn server sollte udp verwenden, mal in der config nachschauen.

Läuft auf UDP 🤔

Welches Abo genau?

Das verstehe ich nicht Chrigu

 

[Raijin]

Auf Systemen mit schwacher CPU - wie zB einem Einsteiger- bis Mittelklasse-NAS - ist OpenVPN traditionell vergleichsweise langsam. 50 Mbit/s sind schon ganz okay.

Die CPU-Auslastung ist nur bedingt aussagekräftig, weil OpenVPN zudem single threaded ist und daher nicht von mehreren Kernen profitieren kann.

 

[Dasi]

Auf Systemen mit schwacher CPU - wie zB einem Einsteiger- bis Mittelklasse-NAS - ist OpenVPN traditionell vergleichsweise langsam. 50 Mbit/s sind schon ganz okay.

Die CPU-Auslastung ist nur bedingt aussagekräftig, weil OpenVPN zudem single threaded ist und daher nicht von mehreren Kernen profitieren kann.

Hab ich hier die Möglichkeit bei Synology einzelne Kerne zu betrachten? Es sind wirklich 55Mbit, die maximal erreicht werden. Das schwankt auch nicht mal.

 

[I'm unknown]

Ich nutze kein FTPS sondern FTP über Port 21 mit TLS/SSL Zertifikat (wird von der NAS ausgespielt).

Was dann wiederum FTPS ist: https://de.wikipedia.org/wiki/FTP_über_SSL

Falls nur ein Zertifikat für die Anmeldung verwendet wird ist die Übertragung der Daten nicht verschlüsselt...

NAS: Synology DS218play

Liegt wie schon geschrieben an der schwachen CPU.

 

[chrigu]

Das verstehe ich nicht Chrigu

provider Abo?

 

[Domi83]

Das verstehe ich nicht Chrigu

provider Abo?

Ich würde jetzt mal darauf tippen, dass er den Anbieter sowie deinen Tarif meint. Spontan würde ich vermuten, dass @chrigu aus Österreich ist und es kann sein, dass sich das dort "Abo" nennt

Wenn wirklich Dampf benötigt wird, müsstest du mal schauen ob deine DS218play auch Wireguard kann. Hab damit selbst noch keine Erfahrungen gemacht, aber im Bereich "Raspberry Pi" wird dieser immer als Alternative zu OpenVPN genannt. Persönlich zwar schade, da ich auch bevorzugt nur mit OpenVPN arbeite, aber es wäre zumindest eine Option / Möglichkeit.

 

[Dasi]

provider Abo?

Keines. Der VPN läuft auf meinem NAS.

Wenn wirklich Dampf benötigt wird, müsstest du mal schauen ob deine DS218play auch Wireguard kann. Hab damit selbst noch keine Erfahrungen gemacht, aber im Bereich "Raspberry Pi" wird dieser immer als Alternative zu OpenVPN genannt. Persönlich zwar schade, da ich auch bevorzugt nur mit OpenVPN arbeite, aber es wäre zumindest eine Option / Möglichkeit.

Danke, das schaue ich mir an.

Ohne VPN ist kein 100%iger Schutz möglich, oder? Ich habe z.B. ein Let's Encrypt Zertifikat eingebunden und kann dann über https zugreifen. Ist schnell - aber da wird der ISP bspw. doch mitlesen können? Und Let's Encrypt auch?!

 

[chrigu]

Naja, VPN nur für das eigene Netzwerk, da muss aber jemand ziemlich sensible Daten umherschieben.
vpn braucht man um extern/internes Netzwerk einigermassen sicher zu verbinden, also braucht es einen internetprovider, bei dem man ein Internet “Abonnement„ löst. Sollte bei einer Gegenstelle (egal ob intern oder extern) die Bandbreite Up/down auf 50 begrenzt sein, kann der nas nichts dafür.

 

[I'm unknown]

Ich habe z.B. ein Let's Encrypt Zertifikat eingebunden und kann dann über https zugreifen. Ist schnell - aber da wird der ISP bspw. doch mitlesen können? Und Let's Encrypt auch?!

Warum sollten sie? Nach der Logik müsste dein ISP auch bei OpenVPN-Verbindungen mitlesen können .

 

[Dasi]

Naja, VPN nur für das eigene Netzwerk, da muss aber jemand ziemlich sensible Daten umherschieben.

Wie würdest du es denn lösen? Also den Zugriff von extern auf dein NAS. Nehmen wir an, du bist in einem öffentlichen WLAN (Café, Co-Working) und möchtest auf die Daten deines NAS zugreifen.

vpn braucht man um extern/internes Netzwerk einigermassen sicher zu verbinden, also braucht es einen internetprovider, bei dem man ein Internet “Abonnement„ löst. Sollte bei einer Gegenstelle (egal ob intern oder extern) die Bandbreite Up/down auf 50 begrenzt sein, kann der nas nichts dafür.

Kannst du mir mal ein Beispiel nennen? Das mit dem Provider und dem Abo verstehe ich nicht. (Die Bandbreite ist nicht auf 50mbit begrenzt)

 

[chrigu]

Wenn du von einem internetcaffee auf dein nas zugreifen musst, braucht es mindestens zwei Provider(deiner und der des Café) z.b. Telekom, A1, magenta, oder unitymedia usw.. Du zahlst monatlich einen Betrag, ein Abonnement. Wenn du wenig zahlst, ist die Bandbreite gering, z.b. nur 16k (bis zu 16 Mbit/s) oder beim Café Betreiber 50k (bis zu 50Mbit/s), somit ist die Bandbreite deiner VPN Verbindung auf 16k beschränk (gilt immer die geringste Zahl.)
Für welche Bandbreite zahlst du? Upload und Download! Welche Bandbreite hat das Café?

 

[Dasi]

Danke chrigu, ich glaube wir sprechen aneinander vorbei - (was natürlich an meiner Kommunikation liegen mag) Ich habe beim Standort NAS 100Mbit upload und daheim sowie im office 150mbit download.

Das nur 55Mbit durch den VPN kommen scheint also (wie oben jemand geschrieben hat) am Prozessor der NAS zu liegen.

Du chrigu meintest, dass eine VPN Verbindung aus deiner Sicht nicht nötig ist. Wie würdest Du denn !verschlüsselt! auf deine NAS zugreifen, wenn du dich in einem WLAN befindest, das auch andere Menschen nutzen? (ohne VPN ist der Weg zum Router doch ungeschützt? Und so für den Admin oder Inhaber des Anschlusses einsehbar?)

 

[chrigu]

Jetzt hast du es falsch interpretiert. Für den Zugriff von aussen ist vpn das Minimum an Sicherheit.

du hast nur was von „ich brauch keinen Provider“ geschrieben, so dass ich annahm, du benutzt VPN um in deinem Netzwerk Zuhause auf das nas zu gelangen.