[Problem] Fritzbox 7590 LAN - LAN Kopplung VPN Drosselung?

[Bundesagent]

Hallo liebe Gemeinde,

Folgende Ausgangssituation

Anschluss 1 (Büro) (FTTH 300/300) Movistar (ES) ONT - FB 7590
Anschluss 2 (Home) (FTTH 300/300) Movistar (ES) ONT - FB 7590

Ich habe früher 2 x FB 7490 gehabt. und nach symetrischen 11-12 Mbit Datendurchsatz VPN war Schluss, weil der Prozessor dann an die 94-97% (gesamt Prozessorhauptleitung) erschöpft war.

nun habe ich in 2 FB 7590 getauscht und siehe da dank des Dual Prozessors nur noch 69% Auslastung (gesamt Hauptprozessor)

Leider aber bleibt es bei 11-13 Mbit Datendurchsatz.

Ich habe die VPN LAN LAN Kopplung mittels Oberfläche des FB OS gemacht.

Alle Prisorisierungen entfernt.

Meine Vermutung das irgendwo der Datendurchsatz begrenzt ist, denn der Prozessor der FB 7590 kann weit aus mehr ab als bei der FB7490.

Weiss jemand ob ich da per TELNET (SSH) was eintragen kann?

Liebe Grüsse

 

[PeterPawn]

Direkt begrenzt ist da m.W. nichts - aber VPN (also das hier verwendete IPSec) oder auch SSL ist ganz schlecht parallelisierbar - wirklich jeder Datenblock ist vom vorhergehenden abhängig und der HMAC-Wert kann auch erst nach dem Abschluß der Verschlüsselung gebildet werden. Höchstens beim Entschlüsseln kann man die (lokale, erneute) Berechnung des HMAC und das Dechiffrieren des Pakets parallel ausführen lassen (falls AVM das machen sollte) und rein theoretisch kann man auch beim Senden schon den nächsten Block verschlüsseln, während noch der HMAC für den vorhergehenden berechnet wird.

Damit skaliert der VPN-Durchsatz also nur so weit, wie ein einzelner Prozessor schneller ist. Je nachdem, was das für Daten sind, die da übertragen werden sollen (z.B. ein bereits verschlüsseltes Backup), kann das Verwenden einer schwächeren Verschlüsselung den Durchsatz steigern oder man könnte sogar überlegen, solche Daten auf anderen Wegen (z.B. pures FTP, weil HTTPS auch nicht wirklich besser ist und die Daten u.U. im Gegenteil noch aufbläst, wenn Base64 verwendet wird) zu übertragen.

Nun ist natürlich ein VPN auch nicht nur Ver- und Entschlüsseln, die Daten wollen auch noch geroutet werden und dazu müssen die (im Gegensatz zu "normalen" LAN-Verbindungen) durch den gesamten IP-Stack - das braucht auch entsprechende Rechenleistung. Bei der 7490 ist dann halt der zweite Kern auch weniger potent und hat damit eine höhere eigene Auslastung (die Anzeige ist m.E. das Mittel der beiden Kerne bei beiden Chipsets) und bei der 7590 hat der zweite Core mehr Freizeit, weil der erste mit dem Verschlüsseln nicht nachkommt. Wobei die 7590 eigentlich rein von der Rechenpower fast das Doppelte schaffen sollte (irgendwo habe ich die "openssl speed"-Ergebnisse für VR9 und GRX350 (wenn auch 7580) mal aufgelistet), aber das hängt dann am Ende an so vielen weiteren Faktoren (ohne AVM-Quellen weiß keiner, wie oft die Daten da im Speicher hin- und herkopiert werden), daß man ohne Profiling ohnehin nur raten kann.

Ich glaube jedenfalls nicht, daß AVM den VPN-Code gezielt optimiert hat und das Einzige, was man wohl mit einiger Wahrscheinlichkeit annehmen darf, ist eine gewisse Beständigkeit des "Cores" dieses VPN - der stammt auch aus der Zeit des "AVM Access Server" (das war - der Erinnerung nach - so 2006 rum, also > 10 Jahre her). Schaut man sich dann an, was damals die üblichen DSL-Anschlüsse im Upstream an Kapazitäten boten, war es auch ohne optimierten Code (selbst auf einem einzelnen MIPS-Core mit geringem Takt) kein wirkliches Problem, die üblichen 1 MBit/s im Upstream (und das Ziel war zuerst die Anbindung dezentraler Arbeitsplätze an eine Firma oder die Verbindung von zwei Standorten - AVM stieg ja ursprünglich mit einem "ISDN Multiprotocol Router" in den Netzwerk-Markt ein) komplett auszulasten.

Eine "schwächere Verschlüsselung" kann man dann (vermutlich) auch nur mit einer handgemachten Konfiguration auswählen ... zumindest der Theorie nach sollten die zwei FRITZ!Boxen jeweils die stärkste gemeinsam benutzbare Verschlüsselung aushandeln. Da das nirgendwo protokolliert wird, was da zwei FRITZ!Boxen untereinander vereinbart haben (und man schon diese Verhandlungen nicht mehr mitlesen kann), ist das allerdings auch nur eine Annahme, weil der Standard das so empfiehlt.

 

[inquisitor]

Ich habe seit heute zwei 7590 an Telekom VDSL2-Anschlüssen mit LAN-Kopplung im Einsatz, wobei die eine mit Labor-Firmware (06.98-55586 BETA) und die andere mit der aktuellen Release-Version (06.92) läuft.
Abgesehen davon, daß der Datendurchsatz mit maximal 16 Mbps enttäuscht niedrig ist, habe ich das Phänomen asymmetrischer Bandbreiten. Uploads von der 7590 mit der Release-Firmware zu jener mit der Labor-Firmware erreichen die erwähnten 16 Mbps, in die Gegenrichtung erreiche ich aber nur 6 Mbps. Getestet habe ich das mit allerhand Protokollen und zur Gegenprobe auch FTP-Übertragungen ohne VPN durchgeführt, die in beide Richtungen über 35 Mbps erzielten.