VPN Client mit geringer upload Bandbreite

Soletario · 20. Aug 2021

Folgende Konfiguration:
- Client PC mit Fritzbox, O2 Netz 50/10 Mbit/s
- Synology 918+ mit Fritzbox, Easybell Netz 100/30 Mbits/s
- VPN Verbindung via OpenVPN oder via VPN von Fritzbox zu Fritzbox (Problem ist bei beiden gleich)

Ich bin vor kurzem im Büro von O2 auf Easybell umgestiegen. DSL Speedtest bestätigen die Bandbreite wie oben beschrieben. Am Client habe ich via VPN jedoch nur upload Bandbreite von rund 3 Mbit/s. Download geht mit den zu erwartenden 30 Mbit/s.
Upload ohne VPN zu MS OneDrive funktioniert mit den erwartenden 10 Mbit/s.

Gibt es Ideen, wie ich das Problem mehr eingrenzen oder lösen kann?

Besten Dank

Anzeige · 20. Aug 2021

Hallo Soletario,

Bücher und Hardware zum Thema gibt es bei Amazon: VPN Client mit geringer upload Bandbreite

Ramihyn · 20. Aug 2021

Eventuell hast du eine zu grosse MTU gewählt, so dass dir die Pakete zu oft fragmentieren.

Soletario · 21. Aug 2021

Vielen Dank für den Tipp. Bewusst haben ich keinen MTU gesetzt.
Wenn ich vom Client via VPN meinen Server anpinge dann geht ein MTU von 1460 durch aber 1470 nicht mehr.
Das scheint doch ein ordentlicher Wert zu sein, oder?
Oder habe ich etwas falsch verstanden (musste erstmal googeln, was MTU bedeutet).

Soletario · 21. Aug 2021

Ich habe dennoch beim VPN Client mal die MTU auf 1400 und auch auf 1300 gesetzt. Ohne Änderung der Übertragungsrate. :-(

Weitere Vorschläge oder Ideen? Kann mein neuer Netzbetreiber mir weiterhelfen?

Soletario · 21. Aug 2021

Um meine client Fritzbox zu umgehen habe ich das ganze auch via Handyfunknetz ausprobiert. Gleiches Problem mit meinem OpenVPN zum Synologyserver.

Und dann habe ich mal ohne OpenVPN und ohne Synology auf meine FritzNAS im Büro eine Datei uploaden wollen: gleiches Problem mit nur 3 Mbit/s.
Hat also nix mit OpenVPN und Synology zu tun threat kann also geschlossen. Wenn jedoch jemand ne Idee hat, was ich jetzt machen kann: Bitte!!!

Peter_Lehmann · 21. Aug 2021

Hallo Soletario!

Ich persönlich halte ja nichts von den grafischen Speedtests für Mausschubser. Ich verlasse mich da für saubere Messungen eher auf Konsolen-Tools wie "iperf3". Dieses gibt es für alle gängigen Betriebssysteme.
Damit kannst du die mögliche Bandbreite zu beliebigen (Mess-)Servern u.a. auch in beiden Richtungen messen.
Ich würde also jetzt erst einmal genau feststellen, was beide Endstellen zu einem Messserver und auch über eine temporär eingerichtete direkte Verbindung (also ohne VPN) wirklich ermöglichen. (Nicht, dass da schon ein Flaschenhals ist!)

Dann solltest du auch wissen, dass das kastrierte "AVM-VPN" keinesfalls ein Wunder an möglicher Bandbreite ist. Lediglich bei den F!B 7590 (bzw. der 75er Serie) hat man bei den aktuellen Firnwareversionen (7.2x) die in diesen F!B mögliche Hardwareunterstützung freigeschaltet. Trotzdem gilt das Vorgenannte.
Meine Empfehlung ist und bleibt das moderne "Wireguard-VPN" zu nutzen. Gib das mal in die Suchmaschine deines geringsten Misstrauens ein. Bei Interesse kann ich auch Hinweise dazu geben. Ich nutze zu meinen mittlerweile 8 in Deutschlad und zwei EU-Ländern verteilten VPN-Servern (umgeflashte F!B 4040 bzw. 7412) meine mögliche Uploadbandbreite fast vollständig aus - kann selbst leider nur 35Mbit/s, aber zwischen zwei direkt per LAN verbundenen VPN-Servern sind es locker 400MBit/s (zwischen zwei 4040).

Und, egal welches VPN du nutzt, solltest du zum Abschluss den o.g, Test mit iperf3 auch noch einmal über den Tunnel machen. Das sieht dann in etwa so aus:

Code:

peter@erde:~> iperf3 -V -c 192.168.177.200               <= entfernter host über den WG-Tunnel und ein "-R" misst in der anderen Richtung
iperf 3.10.1
Linux erde 5.13.8-1-default #1 SMP Thu Aug 5 08:56:22 UTC 2021 (967c6a8) x86_64
Control connection MSS 1368
Time: Sat, 21 Aug 2021 16:27:24 GMT
Connecting to host 192.168.177.200, port 5201
      Cookie: nghycmmrqvkfzbxnngrduw3zazzldhhms22d
      TCP MSS: 1368 (default)
[  5] local 192.168.188.10 port 37726 connected to 192.168.177.200 port 5201
Starting Test: protocol: TCP, 1 streams, 131072 byte blocks, omitting 0 seconds, 10 second test, tos 0
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  2.80 MBytes  23.5 Mbits/sec   15    161 KBytes    
[  5]   1.00-2.00   sec  3.88 MBytes  32.5 Mbits/sec    0    349 KBytes    
[  5]   2.00-3.00   sec  4.06 MBytes  34.1 Mbits/sec    1    463 KBytes    
[  5]   3.00-4.00   sec  3.88 MBytes  32.6 Mbits/sec    0    469 KBytes    
[  5]   4.00-5.00   sec  3.39 MBytes  28.4 Mbits/sec    0    470 KBytes    
[  5]   5.00-6.00   sec  3.94 MBytes  33.1 Mbits/sec    0    470 KBytes    
[  5]   6.00-7.00   sec  3.33 MBytes  27.9 Mbits/sec    0    470 KBytes    
[  5]   7.00-8.00   sec  3.88 MBytes  32.6 Mbits/sec    0    470 KBytes    
[  5]   8.00-9.00   sec  3.94 MBytes  33.1 Mbits/sec    0    470 KBytes    
[  5]   9.00-10.00  sec  3.33 MBytes  27.9 Mbits/sec    0    470 KBytes    
- - - - - - - - - - - - - - - - - - - - - - - - -
Test Complete. Summary Results:
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  36.4 MBytes  30.6 Mbits/sec   16             sender
[  5]   0.00-10.12  sec  35.8 MBytes  29.7 Mbits/sec                  receiver
CPU Utilization: local/sender 0.7% (0.2%u/0.5%s), remote/receiver 0.0% (0.0%u/0.0%s)
snd_tcp_congestion cubic
rcv_tcp_congestion cubic

iperf Done.
peter@erde:~>

edit, fast vergessen:
Zum Messen zu einem gut angebundenen Messserver kannst du das benutzen: iperf3 -c speedtest.wtnet.de -p 5208
Auch hier ist mit "-R" ein Richtungswechsel möglich.
Und du kannst jedes eigene erreichbare Gerät mit "-s" temporär als Messerver verwenden => gut auch für Tests im eigenen LAN/WLAN oder eben auch VPN.

vy 73 de Peter

Soletario · 22. Aug 2021

Vielen Dank für Deine ausführliche Antwort. Leider überfordert mich Konsolen-tools und gehöre zu der Maus-schubser Fraktion. Aber ich bin lernwillig (und wohl auch fähig). Brauche dafür aber etwas Zeit.
Daher erstmal die (wahrscheinlich simple Frage): wie erststelle ich eine temporäre direkt Verbindung von meinem remote Client zum Synologyserver?
Wahrscheinlich reichen nur ein paar Stichworte von den Wissenden, dann suche ich mir den Rest selber zusammen.

Peter_Lehmann · 22. Aug 2021

Zuerst musst du mal prüfen, ob dein DSL-Zugang mit einem echten Dualstack (DS) betrieben wird (also eine heute wohl bei allen Providern übliche IPv6 und eine routingfähige, "offizielle" IPv4). Über diese aus der F!B zu entnehmende IPv4 und natürlich immer über die IPv6 kannst du von außerhalb zumindest deine F!B anpingen. Auch kannst (oder solltest) du den AVM-Dienst "myfritz" aktivieren und darüber die Erreichbarkeit testen. (Oder einen anderen DynDNS-Anbieter nutzen.)
=> diese Erreichbarkeit ist die wichtigste Grundvorausssetzung für eine einfach zu realisierende VPN-Verbindung.
Ist dein Internetzugang allerdings nur über einen (bei vielen Providern leider üblichen) DS-lite realisiert, dann geht das VPN nur über eine "Trickschaltung" oder eben über IPv6. Das solltest du also als erstes ermitteln. (Kannst aber auch einfach einen Screenshot der relevanten Daten aus der F!B - auch gern per PN -posten. Daran kann man das auch erkennen.)

Normalerweise, also wenn du nichts falsch konfiguriert hast, blockt jeder Router (Fritz!Box) jedes unaufgefordert ankommende Paket. Es werden also nur Antworten auf von innen ausgehende Pakete ankommend zugelassen.
Wenn du also einen (dauerhaften oder temporären) Zugang für ankommende Pakete haben willst, dann musst du drei Sachen realisieren:

Auf einem bestimmten Gerät innerhalb deines Heimnetzes ein Programm als (empfangsbereiten) Dienst starten. Das kann ein Webserver (sehr unklug!) sein, der auf Port 80 lauscht oder das erwähnte Programm iperf3, welches mit -c als Dienst gestartet, dann auf dem Port 5102 empfangsbereit ist. Wenn möglich, natürlich nicht auf deinem Hauptrechner, sondern auf einem Raspberry Pi oder einem "alten" Rechner. (Ich habe als Messserver immer einen RasPi dafür im Netz zu laufen.)
Du musst dafür sorgen, dass die bei den meisten Betriebssystemen vorhandene Desktop-Firewall diesen gewünschten Port auch in beiden Richtungen durchlässt.
Und nun die eigentliche Antwort auf deine Frage:
Du musst in deiner F!B unter Internet => Freigaben => Portfreigaben eine Portfreigabe für das betreffende Gerät, für den betreffenden Port (bspw. 5120) und für IPv4 und IPv6 anlegen. Eine erklärende Bezeichnung ist auch gut.

Wenn du diese Portfreigabe (für IPv4) und Öffnung der internen Firewall der F!B (für IPv6) angelegt hast, sollte eine Verbindung aus dem Internet zu dem gewählten Gerät und auf dem gewählten Port möglich sein. Du kannst also damit die Bandbreite messen. Also meinetwegen von einem Freund (Nachbarn!) aus, auf dessen Rechner natürlich auch iperf3 installiert werden muss. Du kannst dann die zuletzt in der F!B (Onlinemonitor) angezeigte IP oder natürlich den Myfritz-Namen benutzen. Bei einer Verbindung über IPv6 musst du natürlich die einmalige IPv6 des betreffenden Gerätes nutzen. Auch diese findest du in der F!B (Netzwerk)
Auch wenn auf Port 5120 eigentlich nichts passieren dürfte, solltest du diese Portweiterleitung nur vor der Messung öffnen und hinterher wieder schließen.

OK? (Ich hoffe, es war verständlich genug.)

vy 73 de Peter

Soletario · 05. Sep 2021

Upate: ich konnte das Problem auf das Peering von O2/Telefonica -> Easybell eingrenzen. Der Easybell Support hat schnell reagiert und einige Dinge getestet. Meint jetzt aber nicht mehr helfen zu können. Ich bin mit meinem Latein am Ende (habe mir auch IT-Support geholt).
Einzige Lösung ist jetzt nur noch den Anbieter (Easybell) zu wechseln (doch zu Telekom). Auch, wenn das Problem sicher Telefonica verursacht. Aber ich kann ja schlecht meine Mitarbeiter:innen auffordern von O2 wegzugehen, wenn sie perfomant homeoffice machen wollen.
Besten Dank für die Hilfe!