Raspberry 3 - nur 50 Mbit mit Wireguard

[CB_usr90]

DietPi Version 9

Verbindung: 100 Mbit Down / 50 Mbit Up


Hallo!

Ich habe vor einiger Zeit Wireguard (PiVPN) zusammen mit Unbound und Adguard Home eingerichtet.

Bis jetzt läuft alles reibungslos.

Allerdings stelle ich fest, dass, wenn ich mich lokal über VPN mit meinem Raspberry Pi verbinde, die Downloadgeschwindigkeit auf maximal 50 Mbit begrenzt ist – dies natürlich nur im lokalen Netzwerk.

Im mobilen Netz wären 50 Mbit normal, da der Upload entsprechend begrenzt ist. Aber im heimischen WLAN?

Vielleicht fragen sich einige: "Warum nutzt du überhaupt lokal ein VPN?"

Das liegt daran, dass meine Vodafone Station die Änderung des DNS-Servers nicht zulässt und eine DNS-Changer-App für mich keine Option ist.

Liegt es am Raspberry Pi 3, dass er nicht mehr schafft, oder gibt es eine andere Ursache dafür, dass die Download-Geschwindigkeit lokal genau bei 50 Mbit blockiert ist?
Die Lahn-Schnittstelle habe ich in den Einstellungen unter Dietpi bereits auf 100 Mbit gestellt - ohne Erfolg.

Vorab vielen Dank für die Hilfestellung!

 

[Incanus]

Wie verbindest Du Dich denn ‚lokal über VPN‘? Vermutlich geht das eben doch übers Internet und dann kann natürlich nicht mehr als die maximale Uploadrate Deines Anschlusses liefern.

 

[CB_usr90]

Ich verbinde mich ganz normal mit der Wireguard App via WLAN zum router woran auch der Pi angeschlossen ist.

 

[Raijin]

Vielleicht fragen sich einige: "Warum nutzt du überhaupt lokal ein VPN?"

Das liegt daran, dass meine Vodafone Station die Änderung des DNS-Servers nicht zulässt und eine DNS-Changer-App für mich keine Option ist.

Kannst du diesen Use-Case näher erläutern? Den Sprung von DNS zu VPN kann ich gedanklich gerade nicht so recht nachvollziehen.

Welchen DNS möchtest du genau ändern, an welcher Stelle und wieso? Geht's um den Internet-DNS der Vodafone Station, den DNS, den selbige per DHCP verteilt? Oder willst du womöglich nur für einzelne Geräte den DNS ändern?

Ich verbinde mich ganz normal mit der Wireguard App via WLAN zum router woran auch der Pi angeschlossen ist.

Diese Aussage ist leider beliebig unbrauchbar. Du mischst einfach alle möglichen Begriffe durcheinander. Ob dein PI oder der Client per WLAN verbunden ist, spielt erstmal keine Rolle. @Incanus Frage zielte darauf ab ob du zB die lokale IP-Adresse des PI als Endpunkt anwählst oder ob du womöglich die WAN-IP deines Routers nimmst. Ersteres geht direkt vom Client zum PI, während letzteres erst zum Router geht und dort zunächst zum WAN-Port geroutet und dann mittels NAT-Loopback den Weg wieder zurück ins Heimnetzwerk findet. Eben dieser zweite Weg durch den WAN-Port des Routers ist ineffizient, weil Umweg und so.


Aber wie gesagt, erstmal hilft es uns, wenn wir deinen Anwendungsfall besser verstehen, weil wir womöglich auch eine andere Lösung bieten können als ein VPN im eigenen Netzwerk......

 

[CB_usr90]

Welchen DNS möchtest du genau ändern, an welcher Stelle und wieso? Geht's um den Internet-DNS der Vodafone Station, den DNS, den selbige per DHCP verteilt? Oder willst du womöglich nur für einzelne Geräte den DNS ändern?

Ich habe Unbound in Verbindung mit Adguard Home eingerichtet.
Um die Namensauflösung kümmert sich Unbound.

Bei allen Geräten wird der DNS manuell geändert und die lokale IP vom Pi genutzt.

@Incanus Frage zielte darauf ab ob du zB die lokale IP-Adresse des PI als Endpunkt anwählst oder ob du womöglich die WAN-IP deines Routers nimmst

Ich habe den Port für Wireguard auf dem Pi als Endpunkt gewählt.

 

[Raijin]

Bei allen Geräten wird der DNS manuell geändert und die lokale IP vom Pi genutzt.

Und wozu dann die lokale VPN-Verbindung? Wenn du bei den Geräten die PI-IP als DNS einträgst, können sie den PI auch ohne VPN als DNS verwenden. Inwiefern hat das VPN nun mit dem DNS zu tun? Oder reden wir gerade aneinander vorbei?

 

[CB_usr90]

Über Tasker habe ich folgendes versucht:
Sobald ich das Haus verlasse und mich im Mobilfunknetz befinde soll Tasker sich automatisch mit dem Wireguard VPN verbinden und die VPN Verbindung zur DNSchanger App trennen.
Dieses Vorgehen funktioniert in Verbindung mit meiner Custom Rom aber noch nicht korrekt.

So muss ich nun immer die DNSchanger App starten, die eine lokale VPN Brücke unter Android erstellt, damit alle DNS-Anfragen an die DNSchanger App geleitet werden und in dieser DNSchanger App habe ich die IP vom Raspberry (Adguard Home) eingestellt.

Nun möchte ich aber durchgehend mit dem Wireguard verbunden bleiben, damit ich nicht händisch zwischen der DNSchanger und Wireguard switchen muss.
Da Wireguard aber nur bis 50 Mbit kommt, muss ich die DNSchanger App nutzen die dann nur die DNS Anfragen an den Pi leitet - so habe ich dann auch Full Speed was bei Wireguard nicht der Fall ist, da letzteres den gesamten Traffic vom Gerät verarbeitet und hier die volle Geschwindigkeit aus unerklärlichen Gründen nicht anliegt.

Wenn man in der Vodafone Station den DNS ändern könnte, hätte ich dieses Problem nicht. So muss ich diesen Umweg gehen...

 

[Incanus]

Welches ‚Problem‘ versuchst Du denn überhaupt so zu lösen?

 

[zambolic]

1) du willst also von Zuhause und unterwegs deinen eigenen DNS-Server mit Adblocker nutzen?
2) wofür brauchst du am Smartphone mehr als 50mbit?

 

[Raijin]

Ok, wir kommen der Sache ein Stückchen näher, aber so 100%ig klar ist's mir trotzdem noch nicht warum und wieso. Sei's drum..

Versteh mich nicht falsch, aber das sind meines Erachtens gleich mehrere Krücken, die einzig und allein deswegen notwendig erscheinen, weil die Vodafone Station eben ein besch...eidener Router ist. Die einfachste Lösung wäre es, wenn du dir eine Fritzbox be- und die Vodafone Station ent-sorgst. Klingt doof, ist aber so.

Wie dem auch sei, bei einer VPN-Verbindung kommt es auch immer darauf an was man darüber routet. Wenn ein VPN das Standard-Gateway umbiegt, dann geht sämtlicher Internet-Traffic durch das VPN, mit allen möglichen Vor- und Nachteilen. Möchte man aber nur ganz bestimmte Ziele per VPN erreichen, zB nur einen DNS-Server, dann gibt man in der VPN-Konfiguration eben genau dies an.

Ich persönlich nutze immer noch OpenVPN, weil ich die freie Protokoll- und Portwahl schätze, aber bei Wireguard müsste das soweit ich weiß die Option "Allowed IPs" sein. Man möge mich bitte korrigieren, aber wenn du dort ausschließlich das lokale Subnetz oder gar nur die IP des PI eingibst, dann sollte auch nur Traffic in dieses Subnetz bzw. zu dieser IP durch das VPN gehen und alles andere über die normale Netzwerk-/Internetverbindung des Geräts. Damit solltest du in deinem etwas undurchsichtigen Anwendungsfall beides haben, vollen Internetspeed und trotzdem DNS via VPN.

 

[CB_usr90]

1) du willst also von Zuhause und unterwegs deinen eigenen DNS-Server mit Adblocker nutzen?

Korrekt.

2) wofür brauchst du am Smartphone mehr als 50mbit?

Wenn man größere Daten aus dem Internet lädt? zB große Dateien aus der Cloud? Gibt unzählige Beispiele hierfür.

 

[acidarchangel]

Ich verbinde mich ganz normal mit der Wireguard App via WLAN zum router woran auch der Pi angeschlossen ist.

Und genau das geht dann doch übers Internet und nicht direkt im LAN. Also hat @Incanus es schon richtig erkannt. Im Endeffekt nutzt du VPN zuhause genasuso wie unterwegs (geht gar nicht anders) und bist dann durch die 50 Mbit/s Upload gebremst. Lösung hat @Raijin schon genannt: Einen vernünftigen Router besorgen oder damit leben.

EDIT: Du verbindest dich übrigens nicht zum Router sondern gehst über den Router raus ins Internet und von da aus wieder via VPN zurück rein zum Pi und von da aus erneut raus ins Internet.

 

[CB_usr90]

@Raijin

Problem gefunden:

Der Prozessor des Pi 3 (Dual Core) scheint einfach zu schwach zu sein um die volle Downloadgeschwindigkeit zu erreichen. Wenn ich die Overclocking Einstellung unter Dietpi auf Max (1300 MHz) statt zuvor den standardmäßigen 1200 MHz aktiviere, erhöht sich die Geschwindigkeit auf 70 Mbit.
Läuft die Taktfrequenz aber wieder mit 1200 MHz geht's direkt runter auf 50 Mbit
Ich werde später zu Testzwecken Wireguard auf meinem Linux Rechner einrichten und prüfen ob dann die volle Geschwindigkeit anliegt.

Eine Kabel Fritzbox für ~280 Euro kommt nicht in Frage.
Die ganzen Funktionen einer Fritzbox benötige ich nicht und dafür ist der Preis in meinem Anwendungsfall einfach viel zu hoch.

Dann kann man sich besser einen billigen gebrauchten Router mit besserer Leistung ggü. einem Pi 3 kaufen und packt darauf OpenWRT.
Unter OpenWRT dann Adguard Home, Unbound & Wireguard Installieren und der Pi wäre hinfällig und wird verkauft.
Bei der Vodafone Station aktiviert man dann einfach den Modem-Modus und lässt alles ungefiltert zum OpenWRT Router schleifen.

Der Tipp mit der Fritzbox ist in meinen Augen wirklich absoluter Quatsch. Das alles lässt sich doch weitaus günstiger lösen in meinem Fall...

 

[dichter-karl]

Wieso deaktivierst du nicht den DHCP Server auf deinem Router und richtest einen auf dem Pi ein?

 

[Raijin]

Eine Kabel Fritzbox für ~280 Euro kommt nicht in Frage.
Die ganzen Funktionen einer Fritzbox benötige ich nicht und dafür ist der Preis in meinem Anwendungsfall einfach viel zu hoch.

[..]

Der Tipp mit der Fritzbox ist in meinen Augen wirklich absoluter Quatsch. Das alles lässt sich doch weitaus günstiger lösen in meinem Fall...

1. Man kann Fritzboxxen auch deutlich günstiger kaufen, zB bei ebay
2. Offensichtlich benötigst du ja doch Funktionen der Fritzbox, weil dir selbige freie Hand über die DNS-Einstellungen gibt und deinen gesamten Workaround obsolet macht
3. Ich hatte noch eine Einstellung in Wireguard als Lösungsansatz vorgeschlagen
4. Man kann das auch freundlicher sagen.

Spätestens jetzt ist es zumindest mir ziemlich egal in welches selbstgewählte Schicksal du dich begibst und wie weit du deine Workarounds noch treiben möchtest. Jetzt geht's offenbar sogar in Richtung PI Overclocking für .. .. DNS.... Dass ein Workaround aber keine Lösung ist, steckt schon im Begriff.

Wenn du damit leben kannst, dann ist das so. Viel Spaß und viel Glück.

Wieso deaktivierst du nicht den DHCP Server auf deinem Router und richtest einen auf dem Pi ein?

Soweit ich weiß sind die Vodafone Stations extrem zugenagelt. Kaum Einstellungen zu DNS und DHCP. Die Kisten sind wirklich nur für ganz simple Otto Normals gedacht, die sie einfach nur ans Kabel anschließen und maximal ein Quicksetup durchführen. Da sind links und rechts wenig Möglichkeiten. Auch Fritzboxxen sind natürlich zum großen Teil in ein enges Otto-Normal-Korsett gezwängt wie die meisten Consumer-Router, aber man hat wenigstens ein Mindestmaß an Konfigurationsmöglichkeiten.

 

[CB_usr90]

Wieso deaktivierst du nicht den DHCP Server auf deinem Router und richtest einen auf dem Pi ein?

Weil man bei der Vodafone Station den DHCPv6 nicht deaktivieren kann und Android seine ipv6 von der Station bekommt. Gehe ich dann auf dnsleaktest tauchen zig ipv6 vom Vodafone DNS auf.

@Raijin

Man kann Fritzboxxen auch deutlich günstiger kaufen, zB bei ebay

Kauf mal eine gebrauchte Kabel Fritzbox bei eBay und Versuche diese dann bei Vodafone aktivieren zu lassen...

 

[Hörbört]

wow, einige schräge "Lösungen" in dem Thread.
Der TE scheint sein Problem doch schon recht gut selbst verstanden zu haben.

Man kann Fritzboxxen auch deutlich günstiger kaufen, zB bei ebay

Das hab ich letztes Jahr getan und noch nie so viel betrügerische Anzeigen gesehen wie für Kabelboxen.
Bei mir ging es gut, aber irgendwie war es auch hartes Glücksspiel.

Wenn der TE technisch entsprechend fit ist (und das scheint der Fall zu sein) ist ein OpenWRT-Router hinter der VodafoneStation in Bridge-Mode wohl eine technisch gute Lösung.
Ich hab mich damals jedoch dagegen entschieden, da dann doppelter Stromverbrauch (VFStation+OpenWRT-Router) anfällt. Die VodafoneStation verbraucht schon 18 W, da will ich nicht noch ein zweites Gerät dazu stellen.
Jetzt ists ne Kabel-Fritzbox, die 13-14W zieht und keine weiteren Geräte sind notwendig, da auch DHCP und Wireguard sauber konfiguriert werden können.

 

[Raijin]

wow, einige schräge "Lösungen" in dem Thread.

Allen voran der bzw. die Workarounds des TE. Für einen Custom-DNS ein lokales VPN zu benutzen ist schon ungewöhnlich, aber aufgrund der besch...eidenen Vodafone Station für den TE zumindest ein gangbarer Weg, wenn's für ihn passt. Soweit ist's ja noch ok. Wenn aber nun im nächsten Schritt eben wegen dieses Workarounds - ein VPN in den eigenen 4 Wänden - der Internetanschluss nicht voll ausgenutzt werden kann, dann liegt das mutmaßlich an einer falschen VPN-Konfiguration und nicht am VPN-Server. Sinnvoller wäre es hier aber, sich mit dem VPN an sich zu beschäftigen und eben nicht den PI zu übertakten, um ein paar Mbit/s rauszukitzeln und im worst case die Lebensdauer des PI zu verkürzen.

Der TE scheint sein Problem doch schon recht gut selbst verstanden zu haben.

Das kommt auf den Blickwinkel an. Wenn ein Workaround zum nächsten führt, dann deutet das meistens darauf hin, dass der zugrundeliegende Lösungsweg immer mehr zum Holzweg wird. Der klassische Teufelskreis.

Verbindet man sich mit einem VPN, um lediglich einen bestimmten DNS zu benutzen, heißt das noch lange nicht, dass man auch den gesamten Internet-Traffic durch eben dieses VPN schieben muss. Das scheint hier aber der Fall zu sein, weil die Leistungsfähigkeit des PI als VPN-Server sonst vollkommen unerheblich wäre. Bei korrekter Konfiguration - Stichwort: Split Tunneling - würde einzig und allein der DNS-Traffic durch das VPN gehen und der Rest ganz normal über die Vodafone-Station ins Internet. Das VPN käme hierbei mit wenigen Byte/s aus, weil nur ein paar DNS-Queries ein Minimum an Last erzeugen würden.
Soviel zumindest zum Use-Case VPN @ Home

Im Use-Case VPN @ unterwegs müsste man nun unterscheiden ob es es einem ebenfalls nur um DNS geht oder ob ganz bewusst der gesamte Traffic durch das VPN gehen soll. Bei DNS-only könnte man dasselbe Profil nutzen wie @ Home und bei DNS+InternetTraffic könnte man zB ein zweites VPN-Profil ohne Split-Tunneling einrichten. Nur in diesem Fall wäre die Leistung des PI überhaupt relevant, weil er auch nur in diesem Fall überhaupt signifikanten Traffic sehen würde. Aber auch da muss man bedenken, dass alles, was man unterwegs via VPN durch zu Hause runterladen möchte, erst vom heimischen VPN-Server hochgeladen werden muss, durch das VPN und eben auch durch die heimische Internetleitung. Ein Download über ein Nach-Hause-VPN ist daher maximal so schnell wie der heimische Upload, die 50 Mbit/s. Da hilft kein Übertakten, sondern nur ein Upgrade des Tarifs.

 

[Donnidonis]

Korrekt

Dann lass nur die IP zum DNS Server durch den Tunnel, der Rest geht dann normal so raus. Also <IP-DNS-Server>/32 als allowed IPs eintragen. Dann hast ein Split-Tunneling. So nutze ich es und es läuft prima. Dann hast auch kein Problem mit der Bandbreite.

Fürs lokale Netz den Pi bzw. Auguste als DHCP nutzen, dort DNS richtig setzen, fertig.

 

[h00bi]

Man könnte Outbound/Adguard auch in der Cloud selbst hosten, ggf. auch zusätzlich zur Instanz zuhause.
Fügt zwar etwas Latenz dazu, aber ist i.d.R. von überall erreichbar, außer die Gast-WLANs sind zugenagelt.