VPN-Durchsatz 6490 <=> 7490 gering

johnripper

Neuer User
Mitglied seit
18 Nov 2006
Beiträge
168
Punkte für Reaktionen
6
Punkte
18
[Edit Novize: Abgetrennt von Fritz Box 7580 VPN Durchsatz]

Hallo Zusammen,

ich würde den Thread gerne aus der Versenkung holen.I

ch kopple derzeit eine FB 6490 (Anschluss 150/10 Mbit) mit einer 7490 (Anschluss 50/10 Mbit) im LAN-to-LAN und bekomme einen max. Durchsatz von 4 bis max. 5 Mbit. Man sieht, dass die 6490 dabei eine max. Prozessorauslastung hat, und die Bandbreite bricht auch weiter ein, wenn bspw. ein Telefongespräch geführt wird.
Mit 4-5 Mbit erreiche ich also die Grenzen der Hardware der 6490, während sich auf der Gegenseite die 7490 "langweilt".

Dazu verwende ich derzeit folgende Parameter (auszugsweise):
Code:
(...)                
mode = phase1_mode_aggressive;
phase1ss = "all/all/all";
(...)
phase2ss = "esp-aes256-3des-sha/ah-no/comp-no/pfs";
(...)
Trotzdem wüsste ich gerne, ob jemand noch einen Tipp, das ganze noch etwas zu optimieren, bzw. gibt es optimalere Einstellungen hinsichtlich Phase 1 und 2 mit der ich ggf. noch mehr aus der 6490 rausholen kann.
Ich kann derzeit weder die 6490 gegen eine leistungsfähigere Box tauschen, noch möchte ich weitere Geräte dazustellen.

Deswegen die Frage: Hat jemand mal mit den Parameter experimentiert und kann ggf. bessere empfehlen, die ggf. etwas mehr Durchsatz bieten?
Was wären die Nachteile?

Danke,
JR
 
Die 6490 ist beim VPN deshalb langsamer, weil sie das auf dem langsamen ARM-Core betreibt - die 7490 ist zwar auch nicht so viel schneller und MIPS, hat aber den zweiten Kern und kann andere Sachen parallel zum VPN behandeln (die Verschlüsselung ist ohnehin schlecht zu parallelisieren, weil sie "chained" ist - der nächste Block kann also erst verschlüsselt werden, wenn das Ergebnis des vorhergehenden vorliegt).

Leider kann man beim AVM-VPN wenig sehen im GUI und in den Support-Daten ... ich hoffe mal, daß AVM da tatsächlich irgendwann den Benutzer auch mit ein paar mehr Informationen "belästigt" und ihm zumindest die effektiv für die Verschlüsselung verwendeten Algorithmen noch anzeigt.

Ich habe jetzt nicht in das von Dir verwendete Proposal-Set geschaut (kannst Du selbst machen, irgendwo gibt es die "ipsec.conf" aus einem DSL-Modell bestimmt in einem Beitrag, es sollte aber die aktuell verwendete sein - wenn nicht, mußt Du eine DSL-Firmware oder auch die Retail-Firmware der 6490 auseinandernehmen), was da alles möglich ist an Verschlüsselung ... aber per Definition sollen sich die Peers auf die jeweils stärkste gemeinsame verwendbare Verschlüsselung einigen.

Wenn hier tatsächlich AES-256 mit SHA1 verwendet wird (nur P2 ist hier relevant, P1 findet ja deutlich seltener statt), ist die Verbindung sehr sicher, aber eben auch sehr rechenzeitintensiv - es gibt aber beim AVM-VPN keine explizite Einstellung, außer über diese "Proposal-Sets" in der "ipsec.cfg". Also suchst Du Dir dort entweder ein Set mit schwächerer Verschlüsselung, das trotzdem noch Deinen Anforderungen genügt oder Du überlegst Dir sogar, die Verschlüsselung ganz wegzulassen.

Das klingt zwar erst einmal fürchterlich ... aber wenn die zu übertragenden Daten ihrerseits schon sicher verschlüsselt und komprimiert sind, ist das ohnehin das "Matroshka"-Prinzip, bis man irgendwann bei den Nutzdaten ist. Wenn die Box nur noch den IPSec-Overhead behandeln muß und keine Verschlüsselung mehr erfolgt (das geht aber wirklich nur, wenn jemand den VPN-Traffic problemlos mitlesen darf, weil er mit dem Inhalt ohnehin nichts anfangen kann - ist also nichts für den "Normalgebrauch"), dann kannst Du auch den Durchsatz noch ein wenig steigern. Aber die Möglichkeit mit dem zusätzlichen Einplatinen-Rechner (ein RasPi3 hat 4 Kerne mit 1,2 GHz, die 6490 einen, die CPU-Frequenz weiß ich gerade nicht aus dem Kopf) bleibt garantiert die bessere Alternative.

Wobei ich nicht so genau sehen kann, was Dein Problem jetzt mit der 7580 zu tun hat und wie die Dir helfen könnte ... die 6490 ist ja nicht austauschbar und die 7490 "langweilt" sich nach Deinem Worten - also ist das vermutlich der falsche Thread hier. Wenn Du das vertiefen willst, wäre vielleicht ein eigener mit irgendeinem Thema "Durchsatz beim AVM-VPN steigern" auch die bessere Idee gewesen.
 
Okay, mal von unten nach oben:
Wobei ich nicht so genau sehen kann, was Dein Problem jetzt mit der 7580 zu tun hat und wie die Dir helfen könnte ... die 6490 ist ja nicht austauschbar und die 7490 "langweilt" sich nach Deinem Worten - also ist das vermutlich der falsche Thread hier. Wenn Du das vertiefen willst, wäre vielleicht ein eigener mit irgendeinem Thema "Durchsatz beim AVM-VPN steigern" auch die bessere Idee gewesen.
Du hast Recht. Leider war es der einzige Thread, bei dem ich der Meinung war er passt etwas, da sich hier auch mal konkret mit den Verfahren in Phase 1 und 2 beschäftigt wurde.
Außerdem enthält er wenig sinnlose Postings und ist eine relativ qualifizierte Diskussion, ab von den üblichen Streitereien.
Gleichwohl: Ich habe mein Posting gemeldet und gebeten, dies abzutrennen.

Das klingt zwar erst einmal fürchterlich ... aber wenn die zu übertragenden Daten ihrerseits schon sicher verschlüsselt und komprimiert sind, ist das ohnehin das "Matroshka"-Prinzip, bis man irgendwann bei den Nutzdaten ist. Wenn die Box nur noch den IPSec-Overhead behandeln muß und keine Verschlüsselung mehr erfolgt (das geht aber wirklich nur, wenn jemand den VPN-Traffic problemlos mitlesen darf, weil er mit dem Inhalt ohnehin nichts anfangen kann - ist also nichts für den "Normalgebrauch"), dann kannst Du auch den Durchsatz noch ein wenig steigern. Aber die Möglichkeit mit dem zusätzlichen Einplatinen-Rechner (ein RasPi3 hat 4 Kerne mit 1,2 GHz, die 6490 einen, die CPU-Frequenz weiß ich gerade nicht aus dem Kopf) bleibt garantiert die bessere Alternative.
Es wird im wesentlichen Datentausch zwischen zwei NAS abgewickelt. Leider geht auch unverschlüsselter Traffic darüber, sowie die Kommunikation mit Domain Controllern, sowie internen DNS Servern und einem WSUS Server, die ich ungern ohne zusätzliche Verschlüsslung routen würde.

Wenn hier tatsächlich AES-256 mit SHA1 verwendet wird (nur P2 ist hier relevant, P1 findet ja deutlich seltener statt), ist die Verbindung sehr sicher, aber eben auch sehr rechenzeitintensiv - es gibt aber beim AVM-VPN keine explizite Einstellung, außer über diese "Proposal-Sets" in der "ipsec.cfg". Also suchst Du Dir dort entweder ein Set mit schwächerer Verschlüsselung, das trotzdem noch Deinen Anforderungen genügt oder Du überlegst Dir sogar, die Verschlüsselung ganz wegzulassen.
Das ist eben meine Frage: Gibt es dazu Erfahrungswerte, was eben weniger "sicher" ist und gleichzeitig weniger rechenintensiv. Nur weil ich eine schwache Verschlüsslung nutze, heißt dies ja nicht, dass diese weniger rechenintensiv ist.
Vielleicht ist es ja auch nur eine ungünstige Kombination aus verschiedenen Parametern...?

Es war einfach die Hoffnung, dass sich jemand mal mit den verschiedenen Kombinationen beschäftigt hat.
 
Ich vermute mal, daß so ziemlich jeder Thread mit einem Beitrag, der sich um die "ipsec.cfg" bei einer FRITZ!Box dreht, erste Antworten auf Deine Fragen enthalten könnte. Auch da gab es (iirc) genug Threads, wo man sich ernsthaft mit dem Thema beschäftigt hat.

Irgendwelche Messungen sind ohnehin Schall und Rauch, weil sie eben immer von den konkreten verwendeten Boxen abhängig sind (solange die Prozessorpower der limitierende Faktor ist) und/oder vom Anschluß (5 MBit/s schafft auch die 6490, wenn die nicht am BK-Kabel hängt) und am Ende sogar wieder von den zu übertragenden Daten, auch wenn eine Kompression nach der Verschlüsselung nur noch wenig über die ursprüngliche Komprimierbarkeit der Daten aussagt. Zumindest hast Du ja wohl schon ein Proposal-Set ohne Kompression ausgewählt oder das ist inzwischen irgendwo die Voreinstellung.

Gegen AES-128 ist auch nichts einzuwenden ... selbst MD5 würde vermutlich noch reichen für HMAC (auch wenn ich nicht weiß, wie groß der Performance-Unterschied zwischen MD5 und SHA1 am Ende ist, das wird ja nur einmal pro Paket gebraucht). Das hängt auch noch von so vielen anderen Faktoren ab ... ist irgendein Algorithmus "handoptimiert" und liegt als Assembler-Code vor oder nicht, Hardware-Unterstützung ja/nein (m.W. hat weder der ARM- noch der x86-Core AES-Extensions) und so weiter. AES-128 braucht schon mal per Definition weniger Rechenaufwand und ist trotzdem sicher ... auch eine WLAN-Übertragung ist "nur" mit AES-128-TK (Temporal Key) verschlüsselt.

Das Geheimnis beim AES-128 ist es einfach, einem Angreifer durch regelmäßigen Schlüsselwechsel den Spaß zu verderben ... je länger ein solcher Schlüssel genutzt wird bzw. je mehr Daten mit ihm verschlüsselt übertragen wurden, um so gefährdeter ist er.

Deshalb findet auch in regelmäßigen Intervallen ein Schlüsselwechsel statt. AVM hat wegen Problemen mit anderen Geräten (vornehmlich wohl Android-basierten) auch ein Proposal-Set im Angebot mit einer Lifetime vom 8 Stunden ... aber das verwendest Du ja auch nicht.

Ansonsten bleiben Dir ohnehin nicht viele Möglichkeiten ... DES gilt als unbrauchbar und dann kann die FRITZ!Box m.E. nur noch 3DES. Die Performance-Unterschiede (vielleicht nicht gerade auf MIPS-Prozessoren und das macht ggf. auch wieder einen gewaltigen Unterschied, je nachdem, welche Operationen in wievielen Takten bei welcher Frequenz so ein Prozessor schafft) sind garantiert vielfach verglichen im Internet und schon wenn Du Dir mal Unterschiede zwischen einer älteren ARMv7-Architektur (der Puma6 hat iirc eine ARMv6-Architektur) und einem A53 (RasPi 3B) ansiehst, dann lande ich wieder bei der Empfehlung für das Abtrennen der Verschlüsselung vom Router und das Auslagern auf einen RasPi3 ... aber davon willst Du ja nichts lesen (keine weiteren Geräte).

Wie auch immer ... solange Du den beiden Peers AES-256 mit SHA "erlaubst", sollten sie in der Theorie diese auch wählen. Da der "schwächere" Partner die Höhe der Latte bestimmt, reicht es aus, wenn eine Seite kein AES-256 anbietet. Wo Du das ändern kannst, um eine eventuelle Verbesserung zu testen, habe ich geschrieben - zumindest die Suche nach einer aktuellen "ipsec.cfg" wäre jetzt wieder Deine Sache. IIRC habe ich letztens irgendwo eine gepostet, weil ich sie gerade zur Hand hatte, als es um das Thema ging - findest Du garantiert, genauso wie mehrere andere Threads, die sich mit der Thematik der Verschlüsselung beim AVM-VPN beschäftigen.

Wenn diese Deinen Vorstellungen nicht entsprechen sollten, wie es in einem solchen Thread aussehen müßte, eröffne halt einen eigenen (oder das hier wird tatsächlich in einen eigenen abgetrennt). Kann man dann noch erkennen, welche anderen Du bereits gelesen hast und was da jeweils nicht ganz klar ist oder nicht genau zu Deiner Situation paßt, wird Dir bestimmt auch geholfen werden. Wenn Dein "Einstieg" hier weiter oben da aber #1 wird, ist das m.E. nicht gegeben und Du wirst mit einiger Wahrscheinlichkeit auch bloß erneut auf vorhandene Threads zum Thema verwiesen und zwar gar nicht, damit Du Dich dort anhängst mit Deiner eigenen Frage, sondern zum Lesen - deshalb hilft es einfach, wenn man genau weiß, welche Threads Du bereits gefunden und gelesen hast (konkret, nicht allgemein "habe ich schon") - dann braucht man Dich darauf nicht mehr aufmerksam zu machen oder man kann Dich gezielt auf den einen hinweisen, den Du vielleicht übersehen hast. Das gehört dann aber auch in #1 - weil sich niemand erst bis #10 durchgraben will, bis man alle (bisher verfügbaren) Informationen für eine Antwort zusammen hat - mir jedenfalls geht es so und daher finde ich Deine Idee mit dem Abtrennen zwar nachvollziehbar und richtig, aber würde dann trotzdem eine nachträgliche Änderung von #1 empfehlen und dann kannst Du auch gleich richtig anfangen ... dann brauchst Du auch nicht auf eine Abtrennung warten.
 
kann mir jemand einen Tipp geben, wie ich bei 2 Fritzboxen einstellen kann, das er kein AES-256 verwenden soll, dmait es scheller wird

ich habe Probleme mit 7590, und 6590 und 6591 imme rmit 250/40 Anschlüsse und bei einer 7591 mit 1000/200 ansachluss.
mehr als 10 Mbit ist nicht drin...
 
weiß jemand ob die kommende Fritzbox 6660 schneller wir dim VPN, hat ja immerhin auch ein 2,5Gbit Ports
 
eine und die selbe Frage in mehreren Themen zu platzieren wird als Crosspost siehe Punkt 5.9 gewertet.

Die Box gibt's noch nicht auf dem freien Markt - analog zu den Repeatern 600, 1200, 2400

Man könnte ggf. über das Analysieren der FW Schlüsse ziehen, ich bezweifle aber, dass sich hier jmd findet, der solche Vermutungen verbreiten würde. (Vorallem ohne jemals eine Supportdatei von einem solchem Gerät in die "Hände bekommen zu haben")

Außerdem ist die 6660 hier ja vollkommen OT, also entweder einen eigenen Thread erstellen oder Dich hier anhängen
Sammelthema zur FRITZ!Box 6660 Cable
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,183
Beiträge
2,247,565
Mitglieder
373,730
Neuestes Mitglied
Repeter
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.