[Frage] FB7390 geht mit VPN die Puste aus

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
geohei

geohei

Mitglied
Mitglied seit
8 Apr 2005
Beiträge
481
Punkte für Reaktionen
3
Punkte
18
Hallo.

Alles letzte Firmwares.

Wenn ich mich (FB7490) über VPN mit meinem Kollegen seiner FB7390 verbinde, dann macht seine Kiste ab 500 KBps (Internet Kapazität ist 1200 KBps (10000 Kbps). schlapp. Ich komme nicht einmal mehr an dein web interface. WLAN bei ihm geht nicht mehr und nach 10 Minuten schmiert sie ganz ab.

Ist die FB7390 so schwach (CPU Leistung), oder was stimmt hier nicht?

Gruß,
 
Ist so schwach ... mußt Du irgendwie anders begrenzen.

Ich mache das so, daß ich von (bzw. eher über) 7390, die an einem 10 MBit/s-Upload hängen, nur noch mit "rsync" und passender Limitierung der Bandbreite kopiere. Wobei (bei halbwegs aktueller Firmware) das reine Routing tatsächlich weiter funktionieren sollte ... nur alles das, was zusätzliche Last erzeugt (von WLAN über GUI bis NAS), geht in die Knie und wenn man es zu sehr forciert, schnappt irgendwann mal ein Watchdog zu.

Wobei es (dem Vernehmen nach, ich setze bei Vectoring gar keine 7390 mehr ein) mit Vectoring noch schlimmer sein soll ... ich erkläre mir das so, daß beim Vectoring die Kommunikation mit dem "Hauptprozessor" auch intensiver ist, selbst wenn Teile des Handlings natürlich auf die FPE "off-loaded" sind.

Am Ende darf man auch nicht vergessen, daß die 7390 nur einen Kern für das FRITZ!OS hat ... jedes VR9-Modell sticht die 7390 locker aus, unabhängig von einer ggf. schlechteren "Ausstattung".
 
PeterPawn schrieb:
Ist so schwach ... mußt Du irgendwie anders begrenzen.
...
Zum Vergrößern anklicken....
Alles klar. Danke für die Bestätigung !!!

Da hat AVM ja mal wieder gut gespart.
Verkaufsträchtige Features mit fehlender Hardware Leistung.
Das steht nicht auf der bunten Verpackung.
Dann sollen sie kein VPN einpflegen wenn die CPU bereits bei 500 KBps schlapp macht!
 
Also eine 25/5-VDSL-Verbindung schafft sie nach meiner Erfahrung durchaus ... und man kann wohl nicht von "gespart" reden, wenn die Box zu einem Zeitpunkt erschien (auf der CeBIT 2009 wurde sie vorgestellt), wo es gar nichts Schnelleres gab und auch das VPN ist je eher ein "Nebenprodukt". Das machen andere Geräte auch nur mit einem zusätzlichen Krypto-Prozessor und die heute verwendeten (sicheren) Algorithmen tragen auch noch ihren Teil dazu bei, daß sogar das VPN deutlich mehr Last erzeugt - ist halt kein DES mit RC4.

Man kauft sich ja auch keinen VW Polo und erwartet dann, daß der in einigen Jahren mit irgendwelchen Software-Updates zum VW Touran wird (auch wenn der Gebrauchtwagenverkäufer das tatsächlich schon mit eigenen Augen und hunderte Male gesehen hat, wie er im Verkaufsgespräch behaupten wird, ohne mit der Wimper zu zucken).
 
  • Like
Reaktionen: amatör
um fair zu sein, war die FB7390 bereits zu schwach einen einzigen wlan client nach N standard zu bedienen. Wenn der Wlan Client einen Download an ner 50mbit leitung gemacht hat, war so gut wie nichts mehr möglich. Telefonieren etc war garnicht dran zu denken.
 
Wenn die Hardware nicht mehr mit der Software mithalten kann (Entwicklung) soll die Software draussen bleiben. Ausserdem kauft man sich kein 2 TB Platte wenn man 2 TB braucht. Luft nach oben wird überall eingbaut! AVM wollt Geld sparen (zum Zeitpunkt der Entwicklung) und die Software nicht danach abspecken um weiter mit Features punkten zu können.

Aber egal ... ist ja nicht neu.

Danke jedenfalls für die schnellen Antworten !!!
 
geohei schrieb:
Wenn die Hardware nicht mehr mit der Software mithalten kann (Entwicklung) soll die Software draussen bleiben.
Zum Vergrößern anklicken....
Auch wenn es "egal" ist ... so einfach ist es dann eben auch wieder nicht. An einer ADSL2+-Leitung mit 2 MBit/s US kommt eine 7390 auch mit höchsten Ansprüchen bei der VPN-Verschlüsselung klar (AES-256 mit SHA) und wenn man auf VPN verzichtet, kann sie auch bei VDSL2 einen 10 MBit/s-Upload bis 7-8 MBit/s auslasten - meine eigene Erfahrung.

Warum sollten jetzt auch die Benutzer, die eine langsamere Anbindung haben oder gar kein VPN brauchen, auf Änderungen/Verbesserungen (eben "Updates") verzichten? Wie sollte eine "Bremse" aussehen? So in der Art "nur 4 von 6 Punkten können gleichzeitig genutzt werden"?

Man kann (bzw. muß sogar) eben selbst entscheiden, was man wirklich braucht - ansonsten muß man sich eben eine neue Box gönnen, denn die 7390 ist nun mal - noch einmal sei es festgehalten - der technische Stand aus dem Jahr 2008 und hat sich vom Aufbau her seitdem auch nicht wesentlich verändert. Beim Smartphone wollen die Leute alle zwei Jahre das nächste Modell haben ... von einem Router erwarten sie Lebensdauer (und Innovationszyklen) wie von einem Kühlschrank oder einer Waschmaschine und trotzdem sollen es immer die neuesten Entwicklungen bei der Software sein.

Wie man als Gerätehersteller in die gerade aktuelle und (in Stückzahlen) verfügbare Hardware-Plattform irgendwelche "Reserven" einbauen soll, verstehe ich nicht ... da paßt auch das Kapazitätsbeispiel aus #6 einfach nicht. Man kann auch heute in kein "embedded device" ein SoC einbauen, was erst Anfang 2019 verfügbar sein wird und was hätte AVM hier anstelle des Vx180 vor fast 10 Jahren nehmen sollen bzw. was wäre dann so lange (und zu ähnlichen Preisen, sowie mit ähnlichen Parametern) erhältlich gewesen?

Auch das Preis-/Leistungsverhältnis spielt ja eine Rolle und auch das Verhältnis von Energieverbrauch und Wärmeentwicklung zur Leistung ... man kann auch nicht einfach irgendeinen x86-Prozessor nehmen und damit einen leistungsfähigen Router im FRITZ!Box-Format bauen. Zumindest nicht 2008 oder wo sind die Heerscharen von Geräten anderer Hersteller abgeblieben, die das besser als AVM gemacht haben?
 
Ein wenig gespart haben sie aber schon.
Sie war am Anfang mit 2GB NAS angekündigt worden, wovon nur noch 1/4 übrig blieb.
 
Sie haben während dieser Zeit massiv an Hardware gespart und die Werbetrommel mit Features gerührt. Wie (IIRC) PeterPawn bereits gesagt hat, war Telefonieren bei gleichzeitigem WLAN nicht mehr möglich. Man kann nicht 10 Features zur Verfügung stellen und wissentlich nur für 2 Features gleichzeitig die Leistung bereitstellen, und das auch noch zum aktuellen Zeitpunkt der Markteinführung, also abgesehen von der voraussichtlichen Marktentwicklung.

Aber lassen wir diese Diskussionen. Bringt nichts. Die Kiste ist jetzt wie sie ist. Bei weiteren AVM Anschaffungen weiß man auf was man achten muss.

Technische Frage. Kann ich die VPN Bandbreite über das FB web interface beschränken? Also nur den VPN Durchsatz, nicht den Durchsatz der über das Internet geht?

Danke.
 
Meines Wissens nicht ... die Box kann VPN und Internet noch nicht unterscheiden an der Stelle, wo die QoS-Entscheidungen getroffen werden und hinterher wird nicht noch einmal "bewertet".

Vielleicht könnte man direkt in den Konfigurationsdateien noch etwas machen (auch das "Erkennen" von SIP-Traffic der Telekom ist immerhin möglich anhand der URL in einem SIP-Paket - das ist schon "deep packet inspection"), aber das ist deutlich mehr Aufwand als andere Wege - angefangen von zusätzlichen Queues mit einem eigenen TBF zur "Regulierung" bis zu passenden Filtern, damit die Pakete in der richtigen Queue landen.

Machbar (meiner Ansicht nach, ohne es bis ins Detail probiert zu haben, nur aus der Ansicht von "tc qdisc show" und der "nqos"-Einstellungen unter "/proc/kdsld" bzw. in der "ar7.cfg"), aber eben ziemlicher Aufwand ... kein Verhältnis zum möglichen Ertrag.

Vielleicht hilft es schon, wenn man einen aktiven Anruf "simuliert" über "TelephonyReduce" - wenn das in der verwendeten Firmware auch für VPN-Traffic funktioniert. Dann müßte man auch den Prozentsatz festlegen können (iirc) ... das bringt einem zwar noch keinen höheren Internet-Durchsatz (eher im Gegenteil, weil mehr für die Telefonie reserviert wird), aber vielleicht etwas Entlastung für den Prozessor und mehr "responsiveness" für andere Funktionen.
 
Ok, danke für die Antworten.
Ich werde noch etwas rumprobieren um noch ein paar % rauszukitzeln.
 
Zuletzt bearbeitet:
Jau, wir haben ja schließlich nichts zu verbergen, sonst würden wir ja auch nicht so öffentlich schreiben. :D
 
Wer verschlüsselt macht sich eh verdächtig.
...lieber ausländische IPs blocken und nur Berliner Server nutzen.
:rolleyes: ( WHOAMI )
 
eisbaerin schrieb:
Was auf jeden Fall hilft: Die Verschlüsselung abschalten bei VPN und WLAN ;)
Zum Vergrößern anklicken....
Hmmm ... wusste nicht, dass man die Verschlüsselung bei VPN abstellen kann.
Welche Zeile in vpncfg {} ist denn da betroffen bzw. muss man ändern?
 
Code: 
                name = "esp-null-sha/ah-no/comp-no/no-pfs";
                comment = "ESP NULL, kein AH,kein COMP,kein PFS";
                pfs = no;
                life_dur_sec = 1h;
                life_dur_kb = 0;
                proposals {
                        comp = comp_none;
                        ah = ah_none;
                        esp {
                                typ = esp_null;
                                enc_key_length = 0;
                                hash = sha;
                        }
                }
 
  • Like
Reaktionen: geohei
Uah ... da sind einige Options die ich noch nie vorher gesehen habe. Ich werde deine Config 'mal testen. Danke!

Gibt es eigentlich eine Zusammenstellung aller Options samt Bedeutung und möglicher Werte?
 
geohei schrieb:
die Verschlüsselung bei VPN abstellen
Zum Vergrößern anklicken....
Das war aber nur als Scherz oder für einen kurzen Versuch gemeint!
Was du höchstens abschalten kannst ist die Komprimierung, da heutzutage sowieso schon alles komprimiert ist.
 
Na ja, so ganz "scherzhaft" ist das halt auch nicht ... wenn ich ein bereits verschlüsseltes Backup über eine solche Verbindung übertragen will und auch der restliche "Management-Verkehr" keine Ansatzpunkte für "Geheimnisverrat" bietet (z.B. gehashte Anmeldungen, bei denen Kennwörter sicher "übermittelt" werden), dann kann man so etwas durchaus verwenden. Der Vorteil des "anderen Routings" bleibt einem ja trotzdem - man muß halt nur (sehr gut) aufpassen, daß man darüber keine schützenswerten (und ansonsten ungeschützten) Informationen überträgt. AVM (bzw. sicherlich einige Mitarbeiter dort) wird sich ja auch etwas dabei gedacht haben, daß man dieses Proposal-Set als "esp-null-sha/ah-no/comp-no/no-pfs" für P2 überhaupt in der "ipsec.cfg" hat. Meine "Vermutung", daß das nur existiert, damit man unbemerkt so einen Tunnel von "verschlüsselt" auf "lesbar" umstellen kann (im VPN-Protokoll kann man das nicht sehen und bei zwei FRITZ!Boxen an den Enden damit gar nicht erkennen), war ja eher scherzhaft gemeint ... wobei mir auch schon so manches Lachen im Halse steckengeblieben ist.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 863 (Mitglieder: 42, Gäste: 821)

Neueste Beiträge

Statistik des Forums

Themen
246,094
Beiträge
2,245,998
Mitglieder
373,573
Neuestes Mitglied
Puffpirat
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück