7530, 7590 & 7590AX - VPN Durchsatz

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

HamBam

Neuer User
Mitglied seit
4 Jul 2020
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

nachdem man am AVM Support keine handfesten Informationen erhält, habe ich mir eine 7530, 7590 und 7590AX organisiert.
Ich habe den IPsec Durchsatz getestet. Dabei habe ich Dateien von der Zentrale aus in den Außenstandort auf einen USB-Stick (USB3.0) kopiert, der direkt an der Fritzbox steckt.

Zentrale:
Fortigate 40F
Anbindung: 100Mbit Down 40Mbit Up.

Außenstandort:
7530, 7590 & 7590AX
Anbindung: 100Mbit Down 40Mbit Up



Zur 7530:
Wer ein IPsec Site 2 Site VPN möchte ist hier komplett falsch. Der Durchsatz ist komplett instabil und bewegt sich bei wenigen Mbit und bricht oft auch komplett auf 0 ein.

Zur 7590:
Kopiervorgang von Zentrale in den Außenstandort: Konstant ca 30Mbit/s
Kopiervorgang von Außenstandort in die Zentrale: ca. 6Mbit/s

Zur 7590AX:
Identische Werte wie die 7590.
-> Ob es hier zu anderen Ergebnissen kommen würde wenn die Zentrale eine schnellere WAN-Anbindung hat kann ich nicht sagen, hat das mal jemand getestet? Ich habe keine Ambitionen das mit der Consumerhardware zu testen...


Zur Fachfrage:
Warum macht sowohl die 7590 als auch die 7590AX im Upload durch den VPN Tunnel nur 6Mbit?
Es liegen 40 Mbit an der Box seitens Provider an. Konnte jemand ähnliches beobachten?




Zur S2S Config

Phase 1
DH-Group: 2
AES256 / SHA2 512

Phase 2
DH-Group: /
AES256 SHA2 256

-> Ich hatte es testweise mal mit 3DES und MD5 probiert um auszuschließen das die CPU der Box am Limit läuft. Keine Verbesserung.

Kann jemand was dazu sagen?
 
Zuletzt bearbeitet:
Früher waren diese Ergebnisse normal ohne die Verschlüsselung in Hardware. Ohne Angabe der getesteten Firmware-Versionen sind deine Aussagen eh nicht brauchbar. Möglicherweise hast du auch etwas falsch gemacht. Vielleicht hast du ja den Durchsatz der USB-Schnittstelle gemessen.
 
Der Test sollte auf jeden Fall mit Geräten im Netz und einer Anwendung wie iperf o.ä. durchgeführt werden, so dass die Router sich auf VPN und Routen konzentrieren können. Der hier getestete Anwendungsfall spiegelt wohl kaum ein übliches Szenario wieder.

Vielleicht ist es nicht der USB Stick allein, aber die Kombination aus USB Zugriff und VPN kann ich mir schon als Bremsklotz vorstellen.
 
  • Like
Reaktionen: Pom-Fritz!
HamBam schrieb:
eine 7530, 7590 und 7590AX organisiert.
Zum Vergrößern anklicken....
Die 7530 macht kein hwcrypto. Aber bis 10Mb/s sollte man auch schaffen.

Die 7580 ist aber auch noch geeignet. Da schaffe ich 100Mb/s und es sollten noch mehr möglich sein.
 
iperf spuckt super vergleichbare Ergebisse aus. Für mich ist es aber praxisfern und spiegelt überhaupt kein übliches Scenario wieder.
Reale Dateien und typisch eingesetzte Anwendungen sind praxisnah. Ein USB-Stick am USB-Port einer Fritzbox fällt nicht darunter, denn der dateiweise Zugriff auf einen Stick ist das wahre Grauen. Der Cache der Fritzbox für Lese- und Schreibvorgänge ist jetzt auch nicht überwältigend.
Kann da kein PC per LAN ans AVM-Ende des VPNs?
 
kleinkariert schrieb:
Für mich ist es aber praxisfern und spiegelt überhaupt kein übliches Scenario wieder.
Zum Vergrößern anklicken....
Aber es hat den Vorteil, dass es über alle drei Router hinweg vergleichbar ist. Beim Zugriff auf einen Fileserver oder ähnliches misst man zum einen die Performance des Servers und zum anderen beeinflusst dessen Cache etc. das Ergebnis. Der erste Test-Router kommt also vermutlich schlechter weg, als die anderen.

Wer viel misst misst Mist.
 
Hier meine persönliche und nicht maßgebliche Meinung zum Thema:
Wenn ich etwas messen will, dann muss ich mir vorher Gedanken machen, was genau gemessen werden soll. Bspw:
  • Will ich (siehe Messaufbau von HamBam) die tatsächliche Datenübertragung aus einem Netz via <Übertragungstechnik> in ein anderes Netz inklusive der Speicherung dieser Daten auf irgend einem Speichergerät messen, dann mache ich das so, wie der TE das beschrieben hat. Dann ist eben alles, was bremsen kann, mit drin. Wenn diese das gewollte Ziel der Messung ist, dann ist das eben so. Man könnte das "praxixnah" nennen.
  • Wenn ich wirklich den Durchsatz einer meiner VPN-Verbindungen messen will (siehe Betreff des Threads), dann messe ich nur genau dieses. Dann sind die Quelle und die Senke dieser Daten jeweils ein Programm, welches genau und zweckoptimiert dafür geschrieben wurde. Und dieses Programm läuft auf beiden Seiten der Verbindung auf einem Gerät, welches garantiert wesentlich "schneller" ist, als der Up- und Downlink meiner Internetverbindung. Genau gesagt, nutze ich iperf3 auf den beiden VPN-Endpunkten (F!B 4040, umgeflasht zu jeweils einem Wireguard-Server). Auf diese Art und Weise messe ich automatisiert u.a. die Bandbreite zwischen meinen 7 VPN-Endstellen und werde nur bei Störungen und sonstigen "Ausreißern" informiert. (siehe Konsolenausgabe einer Messung weiter unten.)
  • Will ich Engstellen in (m)einem Hausnetz ermitteln, nutze ich als Endpunkte meinen Laptop und einen extra dafür konfigurierten RasPi-4 mit iperf3 als Dienst. Damit kann ich im Rahmen der "Gigabit-Verbindung" messen. Trotzdem ist diese Messung schneller, als was sonst im Netz an Traffic erzeugt wird. Und "Flaschenhälse" werden damit schon ganz schnell erkannt.
  • Will ich "nur" wissen, was die tatsächliche Bandbreite meiner Internetverbindung (also "barfuß" - ohne VPN) ist, dann messe ich mit iperf3 gegen einen der in der Regel gut angebundenen (bei einem Provider stehenden) Messserver. Gut geeignet ist hier bspw. speedtest.wtnet.de.
Bei allen aufgezeigten Messungen kann man mit dem Parameter -t die Messung auch mal "ein Weilchen" laufen lassen. Nur den Messserver des Providers sollte man nicht länger als ~5 Minuten blockieren ... . Aber um die Stabilität einer (größeren) WLAN-Stecke zu testen, ist eine ganze Nacht kein Problem.
Auf jeden Fall spielt der Cache hier keine Rolle (mehr).

Hier die angekündigte Konsolenausgabe einer Messung zwischen 2 per DSL verbundenen Endpunkten meines VPN. Ich muss hier darauf hinweisen, dass ich eine 488m lange TAL habe und lediglich den Downlink mit dem bekannten SNR-Trick von 85Mbit/s auf fast 100Mbit/s hochschrauben konnte. Der Upload geht leider nur bis ~35Mbit/s, mehr ist nicht drin. Aber das ist die schnellste Internetverbindung, welche ich je hatte und haben werde.

Code: 
iperf 3.10.1
Linux erde 5.15.5-1-default #1 SMP Thu Nov 25 09:36:40 UTC 2021 (83fc974) x86_64
Control connection MSS 1318
Time: Tue, 30 Nov 2021 20:09:53 GMT
Connecting to host openwrt-wgb, port 5201
      Cookie: qcnfumdgkus6wv6dlmkjpfgdagrhjhyj2j4d
      TCP MSS: 1318 (default)
[  5] local 192.168.188.10 port 35838 connected to 192.168.177.200 port 5201
Starting Test: protocol: TCP, 1 streams, 131072 byte blocks, omitting 0 seconds, 10 second test, tos 0
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec  4.77 MBytes  40.0 Mbits/sec    0    413 KBytes        
[  5]   1.00-2.00   sec  3.82 MBytes  32.0 Mbits/sec    0    465 KBytes        
[  5]   2.00-3.00   sec  3.88 MBytes  32.5 Mbits/sec    0    465 KBytes        
[  5]   3.00-4.00   sec  3.88 MBytes  32.5 Mbits/sec    0    465 KBytes        
[  5]   4.00-5.00   sec  3.88 MBytes  32.5 Mbits/sec    0    465 KBytes        
[  5]   5.00-6.00   sec  3.88 MBytes  32.6 Mbits/sec    0    465 KBytes        
[  5]   6.00-7.00   sec  3.88 MBytes  32.5 Mbits/sec    0    465 KBytes        
[  5]   7.00-8.00   sec  3.88 MBytes  32.5 Mbits/sec    0    465 KBytes        
[  5]   8.00-9.00   sec  3.88 MBytes  32.5 Mbits/sec    0    465 KBytes        
[  5]   9.00-10.00  sec  3.88 MBytes  32.5 Mbits/sec    0    465 KBytes        
- - - - - - - - - - - - - - - - - - - - - - - - -
Test Complete. Summary Results:
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  39.6 MBytes  33.2 Mbits/sec    0             sender
[  5]   0.00-10.12  sec  39.1 MBytes  32.4 Mbits/sec                  receiver

BTW:
Ich weiß natürlich, dass ich mit meinen Beispielen keinen "Mausschubser" beeindrucken kann.

vy 73 de Peter
 
HamBam schrieb:
... um auszuschließen das die CPU der Box am Limit läuft. Keine Verbesserung.
Zum Vergrößern anklicken....
Bei mir, von 7590/7580 zu 7590 läuft die CPU (zumindest einer der 4 Kerne) bei knapp 100Mb/s "am Limit". Leider samt negativer Nebeneffekte (VoIP wird dabei gestört).
 
Ich werd das morgen mal mit iperf testen. Vlt. habt ihr ja recht und es liegt am SMB Dienst der Box.
Beim lesen und schreiben auf dem Stick im lokalen Netzwerk der Box hab ich ca. 200Mbit/s zum Stick geschaft.

Können wir und darauf einigen Mbit/s und MB/s richtig zu verwenden? :)
 
@HamBam: Bis jetzt hat in diesen Thread noch keiner außer dir die Bezeichnung "MB/s" benutzt.
 
Kurze Rückmeldung:

Ich habe mit iperf und lokalen Clients hinter den Endgeräten in jede Richtung ca. 38-40 Mbit/s erreicht. Sprich der IPsec Durchsatz ist ok. Auch die Übertragungsgeschwindigkeiten zu dem Stick auf die Box sind in dem entsprechenden lokalen Netzwerk mit ca. 200Mbit/s mehr als OK.

Der Fehler tritt meiner Meinung nach nur auf wenn man Dateien von dem USB-Stick/Speicher über VPN liest/kopiert. Beim schreiben der Daten über VPN tritt der Fehler nicht auf.
Ich mach mal nen Ticket dazu bei AVM auf.

Die Firmware ist übrigens die aktuelle verfügbare (7.29)
 
Verbindungen zu "fetten" Gigabit-VPN-Routern mit AVM-Hardware waren bei mir meist enttäuschend lahm. Da ich die Möglichkeit hatte, habe ich dann die Client-Einwahl genutzt und ein Win10-natives Protokoll eingesetzt wie IKEv2 oder L2TP/IPsec.
So komme ich (als einer von 12) aktuell auf SMB netto 8 MByte/s down und 3 MByte/s up bei einem Anschluss mit 100/40 Mbit/s.
 
Mich würde ja mal die CPU Auslastung interessieren. Ich schätze Telnet oder SSH zugriff bekommt man nicht mehr ohne rumflashen an der Firmware?

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

B612 schrieb:
Auch mit der 7530?
Zum Vergrößern anklicken....
Nein. Ich hatte ja schon oben geschrieben das die 7530 generell nur ca. 10Mbit/s macht. Wer IPsec möchte ist mit der 7530 komplett falsch beraten.
 
Zuletzt bearbeitet von einem Moderator:
Kurze Rückmeldung: Es scheint wohl schlicht der SMB-Dienst auf der Box zu sein, oder halt die Hardware der Box die limitiert.
Ich habe einen Client hinter die Box gestellt, damit schafft man in beide Richtungen problemlos die 40Mbit/s und das komplett ohne Schwankungen etc, dafür reicht die Performance offensichtlich aus....

Somit ist der SMB Dienst und der Medienserver von AVM für raus. Wenn ich die Tage mal Zeit habe, hänge ich die Box mal an einen unserer symetrischen Gigabit Anschlüsse und schau mal wo die IPsec Limits der 7590AX liegen :D
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 870 (Mitglieder: 41, Gäste: 829)

Neueste Beiträge

Statistik des Forums

Themen
246,099
Beiträge
2,246,117
Mitglieder
373,579
Neuestes Mitglied
Duuuval
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück