Alternative zu OPEN-VPN da zu langsam - oder "pimp" my OpenVPN

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
J

Josef Drei

Neuer User
Mitglied seit
16 Nov 2008
Beiträge
28
Punkte für Reaktionen
0
Punkte
0
Hallo,

gibt es eine Alternative zu OpenVPN?
Ich bräuchte eine sichere Verbindung aus dem Internet in mein Netzwerk daheim. Wenn ich im Netzwerk bin brauche ich meinen Web Browser über welchen ich verschiedene geräte steuern kann.
Open-VPN ist einfach zu langsam. Ich habe eine 10MBit upload Leitung zu hause, komme aber bei verschiedenen Tests nicht mehr als auf max. 200KBit/s upload.
Per FTP läuft der Upload auf ca. 500KBit/s, stabil.

Oder kann man OPENVPN irgendwie schneller machen?
Ich habe zahlreiche Varianten ausprobiert. TCP, UDP, mit LZO ohne LZO, verschieden Ports etc.

Habe eine Fritzbox 7390!

Meine Config:

remote xxx.dyndns.org
proto udp
dev tun
ifconfig 192.168.200.2 192.168.200.1
route 192.168.0.0 255.255.255.0
secret "r:\\test\\static.key"
tun-mtu 1500
float
mssfix
nobind
verb 3
keepalive 10 120
#comp-lzo
Zum Vergrößern anklicken....

# OpenVPN 2.1 Config, Fri Jun 24 20:41:43 CEST 2011
proto udp
dev tun
secret /tmp/flash/openvpn/static.key
port 1194
ifconfig 192.168.200.1 192.168.200.2
route 192.168.0..0 255.255.255.0
tun-mtu 1500
mssfix
verb 3
daemon
cipher BF-CBC
keepalive 10 120
chroot /tmp/openvpn
user openvpn
group openvpn
persist-tun
persist-key
Zum Vergrößern anklicken....

Gruß
 
Vtun dürfte schneller sein, ist aber ohne echte Verschlüsselung...
Von der Leistungsfähigkeit müsste die 7390 eigentlich mehr schaffen, hast du mal die MTU Einstellungen verändert? Vielleicht hängt das nur an der Fragmentieg?

Ein kurzer Test wäre mal eine Übertragung ohne Verschlüsselung (beim cipher auswählen).

Jörg
 
Ein kurzer Test wäre mal eine Übertragung ohne Verschlüsselung (beim cipher auswählen).
Zum Vergrößern anklicken....

Ohne Verschlüsselung brachte keine wirkliche Verbesserung.

Habe jetzt aber fragment 1300 mit eingefüht und siehe da komme jetzt auf 300KB/s.
Denke, ich experimentiere noch ein wenig.

DANKE

Evtl. hast du auch eine Lösung für die langsme Einwahl via UDP.
Beim TCP Protokoll braucht der Rechner ca. 4 sek. um die Verbindung aufzubauen, mit UDP ca. 1,5 min.
 
Josef Drei schrieb:
Ohne Verschlüsselung brachte keine wirkliche Verbesserung.
Zum Vergrößern anklicken....
Das war "zu erwarten" und zeigt, dass es nicht an der Verzögerung der Verschlüssselung sondern an dem "Tunnel" liegt, wo dann als "Ansatzpunkt" die Fragmentierung erste Wahl ist (was sich zu bewahrheiten scheint).
Josef Drei schrieb:
Beim TCP Protokoll braucht der Rechner ca. 4 sek. um die Verbindung aufzubauen, mit UDP ca. 1,5 min.
Zum Vergrößern anklicken....
Das ist aber wirklich sehr merkwürdig, eigentlich sollte UDP grundsätzlich schneller sein. Da wäre ein Log (eventuell mit "größerem" verb, falls 3 nicht reicht) interessant um zu sehen, worauf der Client (oder der Server) so lange wartet...
Eine Idee: Ist die "Portweiterleitung" für beide identisch und auf die Ziel-IP 0.0.0.0 ?

Die "verstümmelte" Route in der Config ("route 192.168.0..0 255.255.255.0") ist nur ein "Kopierfehler" denke ich?
Allerdings ist es insgesamt merkwürdig, wenn sowohl Client als auch Server das Netz 192.168.0.0 jeweils "auf der anderen Seite" suchen sollen?

Jörg
 
MaxMuster schrieb:
Die "verstümmelte" Route in der Config ("route 192.168.0..0 255.255.255.0") ist nur ein "Kopierfehler" denke ich?
Allerdings ist es insgesamt merkwürdig, wenn sowohl Client als auch Server das Netz 192.168.0.0 jeweils "auf der anderen Seite" suchen sollen?

Jörg
Zum Vergrößern anklicken....

Die Sachen habe ich verbessert, war ein Überbleibsel beim testen.

Hier die Logfiles mit Debug Level 5, ich kann damit leider nicht viel anfangen...:

Server Log:


Sat Jun 25 16:36:02 2011 us=433924 OpenVPN 2.2.0 mips-linux [SSL] [LZO2] [EPOLL] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Jun 10 2011
Sat Jun 25 16:36:02 2011 us=434851 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 25 16:36:02 2011 us=439217 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 25 16:36:02 2011 us=439701 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 25 16:36:02 2011 us=441809 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 25 16:36:02 2011 us=442224 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 25 16:36:02 2011 us=442559 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Sat Jun 25 16:36:02 2011 us=443598 Socket Buffers: R=[132096->131072] S=[132096->131072]
Sat Jun 25 16:36:02 2011 us=462633 TUN/TAP device tun0 opened
Sat Jun 25 16:36:02 2011 us=463162 TUN/TAP TX queue length set to 100
Sat Jun 25 16:36:02 2011 us=463535 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Jun 25 16:36:02 2011 us=464232 /sbin/ifconfig tun0 192.168.200.1 pointopoint 192.168.200.2 mtu 1492
Sat Jun 25 16:36:02 2011 us=481815 Data Channel MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sat Jun 25 16:36:02 2011 us=482214 Fragmentation MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sat Jun 25 16:36:02 2011 us=485566 chroot to '/tmp/openvpn' and cd to '/' succeeded
Sat Jun 25 16:36:02 2011 us=486120 GID set to openvpn
Sat Jun 25 16:36:02 2011 us=486438 UID set to openvpn
Sat Jun 25 16:36:02 2011 us=486722 UDPv4 link local (bound): [undef]
Sat Jun 25 16:36:02 2011 us=486978 UDPv4 link remote: [undef]
rrrrrrrrrrRSat Jun 25 16:36:11 2011 us=620997 Peer Connection Initiated with [AF_INET]109.46.0.101:50582
Sat Jun 25 16:36:11 2011 us=621309 Initialization Sequence Completed
WSat Jun 25 16:36:12 2011 us=829135 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
rWSat Jun 25 16:36:18 2011 us=351292 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:36:28 2011 us=985409 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
rWSat Jun 25 16:36:35 2011 us=923518 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:36:46 2011 us=95700 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:36:56 2011 us=459579 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:37:06 2011 us=915984 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
rWSat Jun 25 16:37:11 2011 us=158106 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:37:21 2011 us=925189 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:37:31 2011 us=430931 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:37:42 2011 us=1621 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:37:51 2011 us=623727 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
WSat Jun 25 16:38:02 2011 us=75522 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
rWSat Jun 25 16:38:07 2011 us=585524 read UDPv4 [ECONNREFUSED]: Connection refused (code=146)
Sat Jun 25 16:38:11 2011 us=935497 Inactivity timeout (--ping-restart), restarting
Sat Jun 25 16:38:11 2011 us=935875 TCP/UDP: Closing socket
Sat Jun 25 16:38:11 2011 us=936337 SIGUSR1[soft,ping-restart] received, process restarting
Sat Jun 25 16:38:11 2011 us=936695 Restart pause, 2 second(s)
Sat Jun 25 16:38:13 2011 us=939482 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 25 16:38:13 2011 us=939970 Re-using pre-shared static key
Sat Jun 25 16:38:13 2011 us=940210 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Sat Jun 25 16:38:13 2011 us=940592 Socket Buffers: R=[132096->131072] S=[132096->131072]
Sat Jun 25 16:38:13 2011 us=940881 Preserving previous TUN/TAP instance: tun0
Sat Jun 25 16:38:13 2011 us=941131 Data Channel MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sat Jun 25 16:38:13 2011 us=941426 Fragmentation MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sat Jun 25 16:38:13 2011 us=941680 UDPv4 link local (bound): [undef]
Sat Jun 25 16:38:13 2011 us=941891 UDPv4 link remote: [undef]
rRSat Jun 25 16:39:22 2011 us=671841 Peer Connection Initiated with [AF_INET]109.46.0.101:64212
RwSat Jun 25 16:39:23 2011 us=876060 Initialization Sequence Completed
WRWRwRRwWroot@fritz:/var/mod/root#

Client Log:

Sat Jun 25 16:36:48 2011 OpenVPN 2.1.4 i686-pc-mingw32 [SSL] [LZO2] [PKCS11] built on Nov 8 2010
Sat Jun 25 16:36:48 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 25 16:36:48 2011 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 25 16:36:48 2011 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 25 16:36:48 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 25 16:36:48 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 25 16:36:48 2011 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Sat Jun 25 16:36:48 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jun 25 16:36:48 2011 ROUTE default_gateway=109.46.0.102
Sat Jun 25 16:36:48 2011 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{B254EBED-84E4-466C-8772-EA26C98D6C1A}.tap
Sat Jun 25 16:36:48 2011 TAP-Win32 Driver Version 9.7
Sat Jun 25 16:36:48 2011 TAP-Win32 MTU=1500
Sat Jun 25 16:36:48 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface {B254EBED-84E4-466C-8772-EA26C98D6C1A} [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Sat Jun 25 16:36:48 2011 Successful ARP Flush on interface [15] {B254EBED-84E4-466C-8772-EA26C98D6C1A}
Sat Jun 25 16:36:48 2011 Data Channel MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sat Jun 25 16:36:48 2011 Fragmentation MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sat Jun 25 16:36:48 2011 Local Options hash (VER=V4): 'fc2219b8'
Sat Jun 25 16:36:48 2011 Expected Remote Options hash (VER=V4): 'cd218671'
Sat Jun 25 16:36:48 2011 UDPv4 link local: [undef]
Sat Jun 25 16:36:48 2011 UDPv4 link remote: 79.253.2.242:1194
Sat Jun 25 16:38:48 2011 Inactivity timeout (--ping-restart), restarting
Sat Jun 25 16:38:48 2011 TCP/UDP: Closing socket
Sat Jun 25 16:38:48 2011 Closing TUN/TAP interface
Sat Jun 25 16:38:48 2011 SIGUSR1[soft,ping-restart] received, process restarting
Sat Jun 25 16:38:48 2011 Restart pause, 2 second(s)
Sat Jun 25 16:38:50 2011 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Sat Jun 25 16:38:50 2011 Static Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 25 16:38:50 2011 Static Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 25 16:38:50 2011 Static Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sat Jun 25 16:38:50 2011 Static Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sat Jun 25 16:38:50 2011 WARNING: normally if you use --mssfix and/or --fragment, you should also set --tun-mtu 1500 (currently it is 1492)
Sat Jun 25 16:38:50 2011 Socket Buffers: R=[8192->8192] S=[8192->8192]
Sat Jun 25 16:38:50 2011 ROUTE default_gateway=109.46.0.102
Sat Jun 25 16:38:50 2011 TAP-WIN32 device [LAN-Verbindung 2] opened: \\.\Global\{B254EBED-84E4-466C-8772-EA26C98D6C1A}.tap
Sat Jun 25 16:38:50 2011 TAP-Win32 Driver Version 9.7
Sat Jun 25 16:38:50 2011 TAP-Win32 MTU=1500
Sat Jun 25 16:38:50 2011 Notified TAP-Win32 driver to set a DHCP IP/netmask of 192.168.200.2/255.255.255.252 on interface {B254EBED-84E4-466C-8772-EA26C98D6C1A} [DHCP-serv: 192.168.200.1, lease-time: 31536000]
Sat Jun 25 16:38:50 2011 Successful ARP Flush on interface [15] {B254EBED-84E4-466C-8772-EA26C98D6C1A}
Sat Jun 25 16:38:50 2011 Data Channel MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sat Jun 25 16:38:50 2011 Fragmentation MTU parms [ L:1540 D:1300 EF:48 EB:4 ET:0 EL:0 ]
Sat Jun 25 16:38:50 2011 Local Options hash (VER=V4): 'fc2219b8'
Sat Jun 25 16:38:50 2011 Expected Remote Options hash (VER=V4): 'cd218671'
Sat Jun 25 16:38:50 2011 UDPv4 link local: [undef]
Sat Jun 25 16:38:50 2011 UDPv4 link remote: 79.253.2.242:1194
Sat Jun 25 16:39:01 2011 Peer Connection Initiated with 79.253.2.242:1194
Sat Jun 25 16:39:07 2011 TEST ROUTES: 1/1 succeeded len=1 ret=1 a=0 u/d=up
Sat Jun 25 16:39:07 2011 C:\WINDOWS\system32\route.exe ADD 192.168.0.0 MASK 255.255.255.0 192.168.200.1
Sat Jun 25 16:39:07 2011 ROUTE: CreateIpForwardEntry succeeded with dwForwardMetric1=30 and dwForwardType=4
Sat Jun 25 16:39:07 2011 Route addition via IPAPI succeeded [adaptive]
Sat Jun 25 16:39:07 2011 Initialization Sequence Completed
Zum Vergrößern anklicken....

Das einzige was ich sehe das verschieden UDP Packete abgelehnt werden. Aber warum?
 
Moin,

die [ECONNREFUSED]: Connection refused (code=146) kommen oft, wenn der Server nicht mitbekommen hat, dass der Client eine Verbindung beendet hat.

Bei einem "frischen" Start, sollte das nicht auftreten. Ist das bei dir auch so?
Weitere "Möglichkeiten":
- VPN wird aus dem LAN gestartet und bekommt eine Route für das LAN (Routing im Kreis)
- Probleme beim Portweiterleiten (nicht auf 0.0.0.0 sondern eine virtuelle IP)


Jörg
 
Hi,

ersteinmal Danke für deine Unterstützung.

Zu Punkt 1. es tritt immer auf!
2. Es ist egal ob aus dem LAN oder via UMTS.
3. Leider habe ich kein VirtualIP mit in das Freetz aufgenommen. Ich werde es mal hinzufügen und Testen.

Ich bin jetzt ne Woche im Ausland, dann berichte ich.

Gruß
 
Nur als Klarstellung: VirtualIP ist nicht eine bessere Lösung, sondern "schlecht", damit treten häufig Probleme auf (entweder es geht garnicht, oder die Verbindung wird aufgebaut, es gehen aber keine Daten durch). Ich wollte nur sicher stellen, dass du das nicht nutzt ;-)
 
Ich habe vor einiger zeit auch mit OpenVPN gespeilt und es ausfgesetzt, es läuft seit ca 2,5 Jahre sehr gut. Anfangs hatte ich auch Probleme mit dem Speed.
An folgendes Erinnere ich mich noch (vorsicht nicht wissenschaftlich korrekt - evtl. hilft es):

1. Fragmentierung, achte auf eine passende MTU, wobei dies laut OpenVPN Handbuch bei udp als Träger nicht notwendig sein soll:
Ich nutze folgende Einstellungen:
Code: 
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

2. Nutzt man UDP kann man mit
Code: 
fast-io
noch einige Prozente herausquetschen.

3. Da die Verbindungen heute sehr Breitbandig sind habe ich lzo-compression auf Server und Clients ausgeschaltet.
Grund OpenVPN verschluesselt und komprimiert. Also zwei sehr rechenintensive Tasks gleichzeitig. Dest mehr Daten man durch den Tunnel schieben möchte bzw. desto mehr muss die Box verschlüsseln und komprimieren. Ein Teufelskreis der je nach Art der Daten evtl. zu niedrigeren Transfergeschwindigkeiten führt.
Da ich für meinen Teil viel mit ssh und/oder bereits komprimierten Daten zwischen den Clients des VPNs hantiere und versuchte Kompression
komprimierter Daten noch mehr CPU frist und die Boxen ohnehin nicht dicke auf der Brust sind ist komprimierung bei OpenVPN bei mir ausgeschaltet.
Ich entsinne mich mit einem W920 bei Testen so auf ca 1,4MB/s im lokalen Lan gekommen zu sein. Evtl. bringen dir diese Tipps etwas.
 
Zuletzt bearbeitet:
Hallo,

danke für die Hilfe, ich komme nach zahlreichen Tests nicht über 300KBs.

Ich werde mal weitertesten und berichten.

Gruß
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 456 (Mitglieder: 12, Gäste: 444)

Neueste Beiträge

Statistik des Forums

Themen
246,172
Beiträge
2,247,422
Mitglieder
373,715
Neuestes Mitglied
wesleymoons87
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück