Viel zu hoher Ping WireGuard Deutsche Glasfaser

[grünerbert]

Liebe Community,
ich nutze diverse WireGuard-Verbindungen auf FritzBoxen, um sicher auf Ressourcen in entfernten Heimnetzen zuzugreifen und für bessere Sicherheit in öffentlichen WLANs. Daher sind die WG-Clients (also die jeweiligen Endgeräte; es sind keine Site-to-Site-Verbindungen zwischen den Routern) stets so konfiguriert, dass sie den gesamten Netzwerkverkehr über den Tunnel schicken, also kein Split-Tunneling.
Es geht mir um drei Standorte, an allen drei laufen FritzBoxen (7520 bzw. 7530) als Router.
Standort A: 1&1 DSL100, hat dedizierte IPv4
Standorte B und C: Deutsche Glasfaser DG400, hat nur dedizierte IPv6, IPv4 ist hinter CG-NAT. Fritzboxen jeweils hinter DG Glasfaser-Modem (NT).
So weit, so gut.

Wenn ich mich von Standort A auf B oder C verbinde (gilt auch umgekehrt), liegt der Ping zur entfernten Fritzbox bei unglaublichen 120-130 ms!!! Das ist viel zu hoch! Wenn ich ohne VPN deutsche Internetseiten anpinge, liege ich bei 12-23 ms. Mit VPN (WG aktiviert) liegen Internetseiten sogar bei 130-140 ms.
Was ich ebenfalls getestet habe: WG-Tunnel von Standort B nach C (also innerhalb der DG-Anschlüsse):
Dann liegt der Ping zur entfernten Fritzbox bei 23-27 ms, auf Internetseiten bei 33-37 ms. Das ist akzeptabel.

Nun frage ich mich, warum der Ping vom/zum anderen Anbieter von den DG-Anschlüssen so hoch ist!? Liegt das am CG-NAT, und/oder an der IPv4/IPv6 Problematik? Hat jemand ähnliche Beobachtungen gemacht? Gibt es einen Fix dafür?

 

[madmax2010]

Wo sind denn Standorte und wie ist die Route? Bleiben die Daten in Deutschland oder geht's nen Umweg?
1100ms für 10.000km sind super. Für 500km Eher nicht.

 

[DLMttH]

Ist dein 1&1-Anschluss via Versatel oder Telekom? Das siehst du zum Beispiel, wenn du dort einen Speedtest auf speedtest.net machst. Oder uns hier die grobe Adresse mitteilst oder das IP-Subnetz nennst.

 

[grünerbert]

Wo sind denn Standorte

Luftlinie sind B&C nur 11 km von A entfernt, von B zu C sind es < 1 km. Alles in Deutschland, keine Außengrenze in der Nähe, nichtmal eine Bundeslandgrenze.

1&1-Anschluss via Versatel oder Telekom?

Da wird mir "Deutsche Telekom" angezeigt.

 

[Bits&Bytes]

Ich habe hier ähnliche Erfahrungen gemacht. Allerdings ist bei mir der Ping total schwankend. Der kann mal nur 40ms betragen, dann aber auch wieder 200ms.
Was ganz fürchterlich hier ist über VPN, sind SQL-Anwendungen. Also Anwendungen, die hier auf meinen SQL-Server zugreifen über VPN.
Fakt ist, das über VPN die Pakete sehr fragmentiert werden. Das führt zu Verzögerungen. Hab auch schon die MTU in den Wireguard-Verbindungen angepasst, jedoch ohne nennenswerte Verbesserung.

 

[DLMttH]

Da wird mit "Deutsche Telekom" angezeigt.

Da hast du den vermutlich (Haupt-)schuldigen. Das ist leider Telekom Firmenpolitik und ein bekanntes Problem. Ein Wechsel zu o2 DSL würde die Latenz wohl sicher stark mindern.

Fängt deine öffentliche IPv4 laut Speedtest mit 185. oder 46. oder 94. an?

 

[pumuck|]

Du wunderst dich dass der Ping vom Kunden-Endgerät des Betreibers A zu Kunden-Endgeräten des Betreibers B lange dauert? Das ganze noch bei unterschiedlichen Netzen.... Really?

Ich bezweifel stark, dass du bei anderen Providern mehr Glück hast.
Dafür gibt es Business Anschlüsse....

 

[DLMttH]

Das ist Quatsch. Das ist reine Telekom-Firmenpolitik (Peering) und tritt aus anderen Providernetzen nachweislich nicht auf. Ob privater oder Firmentarif spielt hier überhaupt keine Rolle.

Ihr könnt ja mal exemplarisch die Adresse 185.113.120.2 der deutschen Glasfaser pingen. Hier meine Ergebnisse:

Telekom ADSL - 80 ms

Vodafone Kabel Business über Frankfurt - 20 ms

Drillisch (privat) = 1&1 Versatel über Düsseldorf - 16 ms

o2 Mobilfunk LTE - 35 ms

NetCologne VDSL - 6 ms

1&1 Business Glasfaser (Versatel) über Telekom FTTH - 16 ms

Alles mal eben aus der Hüfte geschossen. In welchem genauen Subnetz du hängst @grünerbert wäre noch interessant.

 

[Bits&Bytes]

Das ist Quatsch. Das ist reine Telekom-Firmenpolitik (Peering)

Meinst du damit, das die Telekom das Peering zu anderen Providern behindert? Das wäre aber in Zeiten von VPN echt gemein. Würde mich bei der Telekom aber nicht wundern.

 

[DLMttH]

Die Telekom betreibt bewusst öffentliches Underpeering als Bestandteil ihrer Firmenpolitik, was dann nachweislich auch zu seltsamstem Routing führen kann. Die Verbindung zwischen Telekom und (kleineren) Providernetzen ist hiervon deutlich häufiger betroffen als zwischen der Telekom und den meisten Nicht-Providern (CDN etc.), aber auch da gibt es solche Fälle. Cloudflare Free Tier wäre prominent und aktuell.

 

[JumpingCat]

Ihr könnt ja mal exemplarisch die Adresse 185.113.120.2 der deutschen Glasfaser pingen

@DLMttH : Habs einfach mal gemacht. Zu welchem Provider sollte ich wechseln damit das besser wird? Bin aktuell bei der Telekom.

Sorry musste den Screenshot nochmal austauschen.

 

[DLMttH]

Das sind ja gute Werte, da musst du wohl nicht wechseln. Doof nur, dass das Peering der Telekom regional so krass unterschiedlich sein kann. Von einem anderen Anschluss der Telekom, auf den ich Zugriff habe, sind es rund 50 ms, also halb so wild.

Wobei wir wohl noch das genaue Subnetz wissen müssten und wahrscheinlich auch IPv6 separat zu testen wäre.

 

[grünerbert]

In welchem genauen Subnetz du hängst

Du meinst das erste IPv4 Oktett an Anschluss A (1&1)? Das ist zurzeit die 79. Bei der DG 94.

ihr könnt ja mal exemplarisch die Adresse 185.113.120.2 der deutschen Glasfaser pingen.

Via VPN-Tunnel bringt das 138 ms. Ohne sind es 18 ms an einem DG-Anschluss.

 

[DLMttH]

Nein, ich meine die ersten zwei Oktette der öffentlichen IPv4-Adresse, die du von deinem DG-Anschluss aus angezeigt bekommst, zum Beispiel auf wieistmeineip.de oder ipv4.icanhazip.com

 

[till69]

Via VPN-Tunnel bringt das 138 ms

Der Ping zu 185.113.120.2 sollte nicht durch den Tunnel gehen.

 

[grünerbert]

ersten zwei Oktette der öffentlichen IPv4-Adresse, die du von deinem DG-Anschluss

94.31... (an beiden DG-Anschlüssen)

Der Ping zu 185.113.120.2 sollte nicht durch den Tunnel gehen.

Das war jetzt mit Absicht, um den erhöhten Ping zu messen. An sich müsste dieser Ping nicht durch den Tunnel, ist schon klar.

 

[grünerbert]

WireGuard-Verbindungen auf FritzBoxen

Kleiner Nachtrag: Neulich ist es mir gelungen, einige Geräte hinter den FritzBoxen via Headscale und Tailscale zu vernetzen. Diese kann man dann als "Exit Node" und "Subnet Router" konfigurieren. M.W. stellt Tailscale, wenn die Geräte einmal authentifiziert und Teil des Tailnet sind, eine direkte WireGuard-Verbindung zwischen ihnen her.
Mit diesem Setup habe ich plötzlich zwischen A und B auf Geräte am jeweils anderen Standort Pings um die 30 ms! Und mit dem "Exit Node" (entspricht in etwa einem WireGuard Full Tunnel) sinkt der Ping auf Webseiten auf ca. 45 ms. Also im Vergleich zum reinen WireGuard-Setup Faktor 3-4! Und damit plötzlich brauchbar für so manche Self-Hosting Anwendung
Nachteil ist, dass man für den FullTunnel neben der FritzBox ein weiteres Gerät als ExitNode braucht. Wenn man dort sowieso ein NAS, ThinClient, Raspi, AppleTV o.ä. stehen hat, kann man einfach das nehmen und hat keine zusätzlichen Anschaffungs- und Stromkosten.