VF Cable 1000, nur 500 hinter 2. Router

[ph0be]

Hi CBler,
vor ein paar Wochen bin ich von Unitymedia 50 auf Vodafone 1000 gewechselt. Einhergehend natürlich auch der Wechsel von ConnectBox zu VF Station.
Die Idee hinter meinem Netzwerk-Setup ist, dass mein privater OpenWrt Router (TP-Link Archer C2600) alle individuellen Einstellungen übernimmt (DHCP, FW, etc.) und alle meine Geräte bereits kennt (static IPs, MAC Filter, etc.). Dadurch muss beim Wechsel des Modems lediglich das Eth-Kabel umgesteckt werden.

Das war nie ein Problem bisher, auch wenn ich weiß, dass zwei NATs und DHCPs im Netzwerk zu Problemen führen können.
Erst jetzt mit der schnellen Bandbreite stellt sich das aber anscheinend als Bremse heraus:

• Speedtests zeigen direkt an der VF Station die volle Bandbreite.
• Speedtests hinter meinem privaten Router zeigen maximal die Hälfte.

Hier seht ihr mal in etwa mein Netzwerk mit den Komponenten:

Internet: Red Internet & Phone 1000 Cable U
  ▲
┌─┼─────────────────────────────────────────────────────┐
│ │ Vodafone Station 192.168.0.1 as DHCP                │
│ └─►Coax│           │                                  │
│     1Gb├─►      Tel├─►Telefon                         │
│     1Gb├─►      Tel└─►                                │
│     1Gb├─►                                            │
│ ┌──►1Gb│                                              │
│ │                                                     │
│ │ TP-Link Archer C2600 192.168.1.1 as DHCP ─┬─►5GHz   │
│ └──►WAN│                                    └─►2.4GHz │
│     1Gb├─►AVR                                         │
│     1Gb├─►Konsole                                     │
│     1Gb├─►Fernseher                                   │
│ ┌──►1Gb│                                  Wohnzimmer  │
└─┼─────────────────────────────────────────────────────┘
┌─┼────────────────────────────────────────────────┐
│ │ TP-Link Gbit 8 Port Switch                     │
│ └──►1Gb│                                         │
│     1Gb├─►NAS                                    │
│     1Gb├─►Drucker1                               │
│     1Gb├─►Drucker2                               │
│     1Gb├─►Laptop1                                │
│     1Gb├─►Laptop2                                │
│     1Gb├─►PC                                     │
│ ┌──►1Gb│                                         │
│ │                                                │
│ │ TP-Link WDR3400 192.168.1.100 as AP ─┬─►5GHz   │
│ └──►1Gb│                               └─►2.4GHz │
│     1Gb├─►                                       │
│     1Gb├─►                                       │
│     1Gb└─►                        Arbeitszimmer  │
└──────────────────────────────────────────────────┘

Wie beschrieben, ist an der VF Station lediglich mein C2600 per LAN angeschlossen, welcher vom VF Station DHCP die IP 192.168.0.2 bekommt. Die VF Station selbst hat die 192.168.0.1 und soll theoretisch rein als Modem fungieren, was in der Praxis aber nicht funktioniert, da es keinen Bridge-Modus gibt.
Der C2600 macht also ein neues Netz auf (192.168.1.1) und hat als Gateway die Adresse der VF Station. Hinten dran hängt noch ein 8-Port Switch und ein WIFI AP. Funktioniert alles wie gehabt, mir geht es lediglich um die Geschwindigkeit, die durchkommt.

Habt ihr eine Idee oder einen Tipp, wie ich mein Netzwerk optimieren könnte ohne die VF Station durch ne Fritz!Box zu ersetzen? OpenWrt (21.02) ist ja ziemlich flexibel und ich hab schon ein paar Guides/Anleitungen ausprobiert, aber ohne Erfolg.

Auch DualStack und IPv6 passen - von der VF Station aus - IPv6 wird aber nicht an meinen OpenWrt-Router weitergegeben. Ich nehme an, intern reicht IPv4.

Würde mich freuen, wenn ihr einen Kommentar abgeben könntet.

Danke im Voraus
ph0be

 

[Christian1297]

Wenn hinter dem TP-Link Router die Bandbreite abfällt scheint der wohl keine 1 Gbit/s durch das NAT zu bekommen. Entweder ist die Hardware zu lahm oder openwrt nicht gut optimiert.

 

[Tornhoof]

Kannst du auf dem Router selber via OpenWRT einen SpeedTest laufen lassen, also vor NAT?

 

[Nilson]

Erstmal: Wie hast du die Übersicht gemacht? Die sieht richtig gut aus.
Zweitens: GBit zu NATen braucht durchaus Leistung. Kann sein, dass das der Router nicht schafft.

 

[ph0be]

@Christian1297 HW zu lahm, kann ich mir nicht vorstellen, da ich über den Router locker mit 160MB/s aufs NAS schreiben kann. Es sei denn, der WAN-Port ist anders limitiert.
Leider fehlt mir die Expertise im Netzwerken um OpenWrt "gut zu optimieren".

@Tornhoof cool, danke für den Tipp, habe gerade mal per iperf3 getestet: Ah, ne Moment, das ist von 192.168.1.148 zu 192.168.1.1... Moment, muss ich anders machen.

root@OpenWrtC2600:~# iperf3 -s
-----------------------------------------------------------
Server listening on 5201 (test #1)
-----------------------------------------------------------
Accepted connection from 192.168.1.148, port 33788
[  5] local 192.168.1.1 port 5201 connected to 192.168.1.148 port 33790
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-1.00   sec   110 MBytes   927 Mbits/sec              
[  5]   1.00-2.00   sec   111 MBytes   934 Mbits/sec              
[  5]   2.00-3.00   sec   111 MBytes   934 Mbits/sec              
[  5]   3.00-4.00   sec   111 MBytes   935 Mbits/sec              
[  5]   4.00-5.00   sec   111 MBytes   934 Mbits/sec              
[  5]   5.00-6.00   sec   111 MBytes   934 Mbits/sec              
[  5]   6.00-7.00   sec   111 MBytes   934 Mbits/sec              
[  5]   7.00-8.00   sec   111 MBytes   934 Mbits/sec              
[  5]   8.00-9.00   sec   111 MBytes   934 Mbits/sec              
[  5]   9.00-10.00  sec   111 MBytes   934 Mbits/sec              
[  5]  10.00-10.00  sec   133 KBytes   857 Mbits/sec              
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate
[  5]   0.00-10.00  sec  1.09 GBytes   934 Mbits/sec                  receiver

Da scheint der Router nicht zu limitieren!

@Nilson Die Netzwerkübersicht habe ich mit https://asciiflow.com/ erstellt

 

[Web-Schecki]

Auch DualStack und IPv6 passen - von der VF Station aus - werden aber nicht an meinen OpenWrt-Router weitergegeben. Ich nehme an, intern reicht IPv4.

Das heißt, der Screenshot stammt vom Anschluss direkt an die VF-Station und hinter dem zweiten Router kriegst du keine öffentliche IPv6-Adresse? Hast du echtes Dual-Stack oder nur DS-Lite? Bei letzterem könnte es nachteilig sein, wenn gar kein IPv6 geht. Allerdings hört man eher Berichte von sporadischen Einbrüchen der AFTR-Gateways für DS-Lite, sodass dein Problem wahrscheinlich nichts damit zutun hat.

 

[Christian1297]

Es sei denn, der WAN-Port ist anders limitiert.

NAT ist das was Leistung erfordert. Das hast du nur am WAN Port.

 

[ph0be]

@Web-Schecki richtig, direkt an der VF Station ist beim IPv6-Test alles grün, teste ich hinter meinem Router gibt's kein IPv6. Aber die VF Station erteilt dem C2600 aber auch keine IPv6-Adresse.
Und laut dem IPv6-Test erhalte ich DualStack.

So, habe nochmal vom 192.168.0er Netz zum 192.168.1.1 den iperf3 Test gemacht:

# iperf3 -c 192.168.1.1
Connecting to host 192.168.1.1, port 5201
[  5] local 192.168.0.146 port 38040 connected to 192.168.1.1 port 5201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  55.6 MBytes   467 Mbits/sec    0   1.34 MBytes     
[  5]   1.00-2.00   sec  58.8 MBytes   493 Mbits/sec    0   1.65 MBytes     
[  5]   2.00-3.00   sec  60.0 MBytes   503 Mbits/sec    0   1.84 MBytes     
[  5]   3.00-4.00   sec  58.8 MBytes   493 Mbits/sec    0   1.84 MBytes     
[  5]   4.00-5.00   sec  60.0 MBytes   503 Mbits/sec    0   1.84 MBytes     
[  5]   5.00-6.00   sec  60.0 MBytes   503 Mbits/sec    0   1.84 MBytes     
[  5]   6.00-7.00   sec  60.0 MBytes   503 Mbits/sec    0   1.84 MBytes     
[  5]   7.00-8.00   sec  60.0 MBytes   503 Mbits/sec    0   1.84 MBytes     
[  5]   8.00-9.00   sec  60.0 MBytes   503 Mbits/sec    0   1.84 MBytes     
[  5]   9.00-10.00  sec  61.2 MBytes   514 Mbits/sec    0   1.84 MBytes     
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec   594 MBytes   499 Mbits/sec    0             sender
[  5]   0.00-10.01  sec   591 MBytes   495 Mbits/sec                  receiver

iperf Done.

@Christian1297 Also ist das wohl das NAT des C2600, das limitiert!? Gibt's dazu Optimierungsideen?

 

[Tornhoof]

Gibt's dazu Optimierungsideen?

Edit sagt: Geht durch WAN Port, prüf mal ob da Inspection Zeug drauf läuft, ala komplizierte Filterregeln.

 

[chrigu]

Schau mal in den Spezifikationen des zweitrouter, dein Fehlerbeschrieb würde auch ein wanport der mit 500mbps limitiert ist, genau zutreffen.
Optimieren, ja, mit dem neukaufen eines zweitrouter der 1gb wanport hat, oder ganz auf ein zweitrouter verzichten (kein doppelnat)

 

[ph0be]

Ne wartet mal, da hab ich was falsch gemacht... aus dem 192.168.0er Netz komme ich doch gar nicht ins 192.168.1er Netz. Nur andersrum.

So jetzt der richtige iperf3 Test gegen einen der Public iperf3 Servers.

root@OpenWrtC2600:~# iperf3 -c ping.online.net -p 5203 -ub 1G -R
Connecting to host ping.online.net, port 5203
Reverse mode, remote host ping.online.net is sending
[  5] local 192.168.0.2 port 60280 connected to 62.210.18.40 port 5203
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-1.00   sec  49.6 MBytes   416 Mbits/sec  0.023 ms  41198/78132 (53%) 
[  5]   1.00-2.00   sec  57.1 MBytes   479 Mbits/sec  0.029 ms  46804/89343 (52%) 
[  5]   2.00-3.00   sec  57.1 MBytes   479 Mbits/sec  0.018 ms  45956/88455 (52%) 
[  5]   3.00-4.00   sec  57.1 MBytes   479 Mbits/sec  0.022 ms  46936/89430 (52%) 
[  5]   4.00-5.00   sec  57.0 MBytes   478 Mbits/sec  0.024 ms  45856/88330 (52%) 
[  5]   5.00-6.00   sec  57.1 MBytes   479 Mbits/sec  0.021 ms  46039/88546 (52%) 
[  5]   6.00-7.00   sec  57.0 MBytes   478 Mbits/sec  0.027 ms  46436/88915 (52%) 
[  5]   7.00-8.00   sec  57.1 MBytes   479 Mbits/sec  0.031 ms  47024/89528 (53%) 
[  5]   8.00-9.00   sec  56.9 MBytes   478 Mbits/sec  0.032 ms  45832/88242 (52%) 
[  5]   9.00-10.00  sec  57.2 MBytes   480 Mbits/sec  0.020 ms  45566/88138 (52%) 
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-10.00  sec  1.17 GBytes  1.00 Gbits/sec  0.000 ms  0/877059 (0%)  sender
[  5]   0.00-10.00  sec   563 MBytes   472 Mbits/sec  0.020 ms  457647/877059 (52%)  receiver

iperf Done.

 

[Web-Schecki]

Und laut dem IPv6-Test erhalte ich DualStack.

Der Test kann das nicht überprüfen. Dort wird nur festgestellt, ob du beide Protokolle gleichzeitig nutzen kannst. Ob es sich dabei um echtes DualStack oder DS-Lite handelt, ist für die Gegenstelle nicht erkennbar. Ich würde von DS-Lite ausgehen.

Wie gesagt, das ist aber eine absolute Nebensächlichkeit. Es gibt zwar eine theoretische Möglichkeit, dass NAT im zweiten Router für Einbußen sorgt, aber sicher nicht im Bereich von 50%. Geroutet werden muss ja trotzdem, auch wenn NAT bei IPv6 wegfällt, wenn der zweite Router z.B. ein /59er-Präfix bekommt.

 

[ph0be]

@chrigu Also laut Specs sind es:
4 10/100/1000Mbps-LAN-Ports
1 10/100/1000Mbps-WAN-Port
2 USB3-Ports

@Web-Schecki Wie kann man denn dann überprüfen, ob full DS oder DS-Lite anliegt?
Der OpenWrt-Router bekommt von der VF Station leider keine IPv6-Adresse.

Vielleicht muss ich dafür erst am OpenWrt-Router das WAN6-Interface richtig konfigurieren!? Das habe ich bisher nicht ordentlich hinbekommen, da ich null Ahnung davon habe

 

[bender_]

Gibt's dazu Optimierungsideen?

Stock Firmware verwenden.
Oder openwrt Software Flow Offloading aktivieren: https://www.mind.be//openwrtsummit18/2018-10-29-OpenWRT18-network-offloading.html

 

[ph0be]

@bender_ habe ich gemacht, aber der Speed bleibt gleich.

 

[bender_]

habe ich gemacht

Wenn beides nicht hilft ist der C2600 zu schwach.
Laut Test hier schafft er mit Stock ca. 750MBit/s: https://www.smallnetbuilder.com/tools/charts/router/bar/74-wan-to-lan/17
Unter openwrt wird er daher IMMER langsamer sein.
Der ist halt eher von der günstigen Sorte...

Was auch helfen würde wäre, wenn Du keine Routerkaskade bauen sondern den C2600 als IP Client betreiben würdest. In deinem bisher aufgezeigten Setup erscheint die Routerkaskade unnötig.
Für das Entertainment Zeug einfach noch nen billigen 5-port GbE Switch anschaffen und den C2600 als AP konfigurieren. (WAN Port frei lassen und stattdessen über LAN Port mit der VFST verbinden)

 

[ph0be]

@bender_ ich habe jetzt erst einmal nur die Option Software flow offloading aktiviert, das ging ohne gleich mein Netzwerk lahmzulegen.
Stock werde ich vielleicht mal am Wochenende ausprobieren.
Danke für die Hinweise, aber selbst wenn es ein günstigeres Modell ist, sollte bei 500 MBit/s nicht gedeckelt werden.

 

[bender_]

aber selbst wenn es ein günstigeres Modell ist, sollte bei 500 MBit/s nicht gedeckelt werden.

Sagt wer?
Die wenigsten schaffen 940MBit/s WAN-to-LAN. Insbesondere unter OpenWRT.

 

[ph0be]

[...] In deinem bisher aufgezeigten Setup erscheint die Routerkaskade unnötig. [...]

Das ist mir bewusst und ich hatte auch überlegt die VF Station als einzigen DHCP laufen und alle Dienste übernehmen zu lassen und meinen Router als AP zu konfigurieren, aber dann ist meine Idee aus dem OP natürlich hinfällig.
Oder meint ihr ich hänge mich daran zu sehr auf? Sind eigentlich nur static IP addresses, MAC Filter und bissl traffic monitoring.
Andererseits überlege ich auch von VF Try&Change Gebrauch zu machen um innerhalb des ersten halben Jahres in einen langsameren und günstigeren Tarif zu wechseln (z.B. 500). Die 125 MB/s brauche (und erreiche) ich wohl nur selten

@bender_ klar, meine Aussage ist natürlich Quatsch, wenn man OpenWrt und Stock FW nicht trennt. Teste ich vielleicht mal am Wochenende.

 

[bender_]

Oder meint ihr ich hänge mich daran zu sehr auf? Sind eigentlich nur static IP addresses, MAC Filter und bissl traffic monitoring.

Das kommt darauf an.

• Wahrscheinlich meinst Du DHCP Reservierungen mit static IP, die würde man ja sonst am Endgerät einstellen. DHCP Reservierungen kann inzwischen eigentlich jedes Gerät, dass einen DHCP Server stellen kann.
• MAC Filter sind in den meisten Fällen überflüssig ja sogar hinderlich in Zeiten wo immer mehr Geräte Random MAC verwenden - und zwar als Sicherheitszugewinn. Ich vermute Du erschaffst dir mit deinem MAC Filter falsche Sicherheit.
• "bissl" traffic monitoring kann von "ich will wissen, wieviel Traffic ich am Tag erzeuge" bis "ich will in jedes Paket reinschauen und detailliert loggen, wo es herkommt und wo es hingeht" alles sein. Beides halte ich für private Belange überflüssig. Zweiteres ist mit erheblichem Aufwand verbunden, der alles entweder langsam oder ziemlich teuer macht, wie Du jetzt ja selbst siehst wenn Consumer Hardware mit alternativer Firmware dazu verwendet wird.