FB VPN Kopplung: Durchsatz wie zu Modemzeiten...

Dieses Thema im Forum "AVM (Fritz)" wurde erstellt von kellergeist2.0, 10. Oktober 2016.

  1. kellergeist2.0

    kellergeist2.0 Starter

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Servus Jungs und Mädels,

    nachdem ich nun endlich mein Anschluss zu Hause in DE auf VDSL 100 upgraden konnte wollte ich nun einmal das Fritzbox VPN Kopplung Feature nutzen um im Urlaub auch Amazon prime und Netflix sowie die ARD/ZDF Mediathek etc nutzen zu können. Nur leider habe ich hier aktuell ein kleines Problem...

    Aktuelles Setup:
    Standort DE:
    osnatel/EWE-Tel VDSL100 mit aktuellem SYNC 108down/44up
    Firtzbos 7490

    Standort DK:
    Ferienhaus mit Cable Anbieter XXX, SYNC mit 35down/13up (durch eigenen Speedtest getestet)
    Thomson Router, dahinter meine Firtzbox 7390 via LAN1, dann WLAN aufgespannt für fireTV etc...


    Beide Boxen haben den aktuellsten Firmware Stand.
    7490 -> 6.6
    7390 -> 6.51

    Ich habe den VPN Tunnel so konfiguriert, dass sämtlicher Traffic durch den Tunnel nach DE geht, das funktioniert auch gut.

    Leider ist es aktuell so, dass ich hier via download von meinem NAS in DE nur knapp 450 bis 500 kbit/s hinbekomme, obwohl er uplink in DE besser ist als der downstream hier in DK...
    Amazon Prime, Netflix und Co wollen gar nicht, die Datanrate reicht nicht. Auch die FB-Telefonie ist extrem schlecht, ich musste die HD-Telefonie abschalten, erst danach war ein halbwegs Gespräch möglich....
    Wenn ich mich mit dem Handy aus dem dänischen WLAN via VPN zu Hause einwähle, funktioniert die Telefonie.

    Wenn ich nun meinen Freifunk Router anklemme, den ich ebenfalls eingepackt habe, laufen die Streaming Deinste wie geschnitten Brot...

    Früher gab es mal das Problem, dass man bei einem Internetzugang via LAN1 noch die Geschwindigkeit konfigurieren musste, aber das scheint es in der aktuellen Firmware nicht mehr zu geben, oder irre ich mich???

    Nun Frage ich mich wo liegt der Hase im Pfeffer begraben?

    Hat einer von euch ggf. eine Idee wo ich suchen könnte?
    Im Forum habe ich schon gesucht, aber entweder habe ich falsch gesucht, oder nix gefunden.


    Ich habe mal die CPU Last auf den Boxen betrachtet:
    Aktiver download einer Datei aus dem Internet via VPN Tunnel:
    7490 in DE: knapp 75%
    7390 in DK: 99%

    In anderen Foren habe ich einen Eintrag gefunden wo jemand mit einer Kopplung zwischen einer 7490 und einer 7270 über 10Mbit/s hinbekommen hat....


    Ich danke euch schon mal vorab für Hinweise!


    Wenn ihr noch weitere Infos benötigt, lasst es mich wissen, dann poste ich das hier.

    Also dann, schönen Tag noch.


    mfg
    kellergeist2.0 aka Lars
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.691
    Punkte für Erfolge:
    68
    Hi,

    willkommen im Forum.
    Wie hast du das konfiguriert? Poste bitte die beiden VPN Konfig-Dateien der Fritzboxen.
    Das ist selbst für eine VPN-Verbindung zwischen Fritzboxen zu langsam ;).
    Freifunk nutzt OpenVPN, nehme ich an. Das ist vom Verschlüsselungsaufwand her nicht mal annähernd mit IPSec zu vergleichen, wie es die FBen verwenden. Außerdem zeigt dieses Verhalten, dass es nicht an den beiden Internet-Zugängen in Deutschland / DK oder der Verbindung dazwischen liegt.
    Das ist ja erstmal kein Problem, wenn man das einstellen kann. Unter "Internet->Zugangsdaten" kann das noch immer unter "Internetzugang" bei "Verbindungseinstellungen" eingestellt werden.
    Die VPN-Verbindung zwischen den FBen ist vermurkst. Hast du mal die VPN-Verbindung getestet, ohne den gesamten Netzwerkverkehr durch den Tunnel zu schicken?

    VG
     
  3. kellergeist2.0

    kellergeist2.0 Starter

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Moin Moin,

    erstmal vielen Dank für die Antworten.

    Hier die nötigen Infos:

    Nein, die config habe ich noch nicht ohne den kompletten Traffic getestet, das werde ich noch mal machen.


    Die Config der Fritzbox 7490 in Deutschland:
    IP-Netz: 192.168.100.0/24

    Code:
    /*
     * C:\Users\lars\AppData\Roaming\AVM\FRITZ!Fernzugang\7490_de_myfritz_net\fritzbox_7490_de_myfritz_net.cfg
     * Tue Oct 11 13:22:17 2016
     */
    
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "7390_dk.myfritz.net";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "7390_dk.myfritz.net";
                    localid {
                            fqdn = "7490_de.myfritz.net";
                    }
                    remoteid {
                            fqdn = "7390_dk.myfritz.net";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "TOTAL_GEHEIM";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.100.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipnet {
                                    ipaddr = 192.168.188.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "permit ip any 192.168.188.0 255.255.255.0";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF
    
    

    Hier die config der Fritzbox 7390 in Dänemark:
    IP-Netz: 192.168.188.0/24
    Code:
    /*
     * C:\Users\lars\AppData\Roaming\AVM\FRITZ!Fernzugang\7390_dk_myfritz_net\fritzbox_7390_dk_myfritz_net.cfg
     * Tue Oct 11 13:22:17 2016
     */
    
    vpncfg {
            connections {
                    enabled = yes;
                    conn_type = conntype_lan;
                    name = "7490_de.myfritz.net";
                    always_renew = no;
                    reject_not_encrypted = no;
                    dont_filter_netbios = yes;
                    localip = 0.0.0.0;
                    local_virtualip = 0.0.0.0;
                    remoteip = 0.0.0.0;
                    remote_virtualip = 0.0.0.0;
                    remotehostname = "7490_de.myfritz.net";
                    localid {
                            fqdn = "7390_dk.myfritz.net";
                    }
                    remoteid {
                            fqdn = "7490_de.myfritz.net";
                    }
                    mode = phase1_mode_aggressive;
                    phase1ss = "all/all/all";
                    keytype = connkeytype_pre_shared;
                    key = "TOTAL_GEHEIM";
                    cert_do_server_auth = no;
                    use_nat_t = yes;
                    use_xauth = no;
                    use_cfgmode = no;
                    phase2localid {
                            ipnet {
                                    ipaddr = 192.168.188.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2remoteid {
                            ipnet {
                                    ipaddr = 192.168.100.0;
                                    mask = 255.255.255.0;
                            }
                    }
                    phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                    accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any any";
            }
            ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                                "udp 0.0.0.0:4500 0.0.0.0:4500";
    }
    
    
    // EOF
    
    
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.691
    Punkte für Erfolge:
    68
    Hi,

    ach so: Die FB7390 läuft als Router mit WAN-Port über LAN1 oder als IP-Client?

    VG
     
  5. kellergeist2.0

    kellergeist2.0 Starter

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    8
    Punkte für Erfolge:
    1
    korrekt. Wie initial beschrieben, für die Internetverbindung ist hier ein Thomson Cable Router zuständig, der im gemieteten Feienhaus steht...
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.691
    Punkte für Erfolge:
    68
    Hi,
    Welcher Teil meiner "oder"-Frage ist korrekt: Das vor dem "oder" oder das nach dem "oder" ;).

    VG
     
  7. kellergeist2.0

    kellergeist2.0 Starter

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Hi,

    sorry, vielleicht falsch formuliert.

    Die Box läuft als Router, sprich, bekommt via DHCP eine IP vom Thomson Router aus dem Netz 192.168.87.0/24.
    Die FritzBox hat die "WAN IP" auf LAN 1 Port 192.168.87.113 und ist LAN-seitig im Netz 192.168.188.0/24.
    Die FB selber hat dann die 192.168.188.1 im LAN.

    Also klassisches Router Geschäft ohne Zugangsdaten...

    mfg

    Lars
     
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.691
    Punkte für Erfolge:
    68
    Hi,

    konntest du schon den Test ohne die Durchleitung des gesamten Internet-Verkehrs durchführen?

    An der Konfig kann ich nichts Besonderes erkennen. Aus "Verzweiflung" würde ich testweise die Komprimierung der IPSec Verbindung abschalten, also ".../comp-none/...".

    Ist die FB als "DMZ" oder "Exposed host" im Thomson konfiguriert? Welche der beiden Seiten initiiert die VPN-Verbindung.

    VG
     
  9. kellergeist2.0

    kellergeist2.0 Starter

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Hi,

    da ich auf den Thomson Router keinen Zugriff habe, ausser ein Kabel reinzustecken, läuft die FB hier in DK nicht als exposed host / DMZ. Der Vermieter in diesem Ferienhaus hat das Passwort vom Router geändert, im letzten Jahr hatte ich
    ein Ferienhaus da war noch alles auf default :)
    Die 7390 bekommt ganz normal auf dem LAN1 Port eine IP via DHCP vom thomson zugewiesen.

    Wer die Verbindung initiiert ist eine gute Frage, kann man das irgendwo einsehen?

    Irgendwie habe ich mich aktuell ausgeperrt und komme nicht mehr auf meine FB in DE drauf, auch nicht via myfritz.
    Am WE bin ich wieder zu Hause, da werde ich das ganze noch mal mit dem Anschluss beim Nachbarn testen...

    Ich werde euch berichten.

    Vielen Dank auf jeden Fall!

    mfg

    kellergeist2.0
     
  10. kellergeist2.0

    kellergeist2.0 Starter

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Moin Moin,

    so noch nen update...
    Via Handy und VPN konnte ich noch auf die FB zugreifen und den Zugriff wieder ermöglichen.

    Ich habe einmal die VPN Config editiert und die compression deaktiviert.
    Allerdings wird der tunnel mit der config nicht aufgebaut. Ich habe auch im Eventlog nichts gesehen.
    Habe ich da was falsch gemacht? Konntest du das schon mal testen ob die FB das akzeptiert?

    Dann habe ich die Compression wieder auf comp-all und es lief wieder.
    Bei der config war dann nur der Tunnel für das Heimnetz aktiv, sprich die default config wenn man die VPN Config mit
    dem Fritzbox VPN Tool erstllt oder über die GUI selber einstellt.

    Der Durchsatz ist immer noch schlecht, im Bereich von 400 bis 500kbit/s...
    Ich werde nochmal zu Hause weiter testen, da habe ich kann ich das noch mal mit zwei 7490er Boxen testen, ggf. ist das ja dann besser...

    mfg
    kellergeist2.0
     
  11. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.691
    Punkte für Erfolge:
    68
    Hi,
    Ich frage lieber doch mal nach: Du meinst hier wirklich KBit/s und nicht KByte/s? Bei KByte/s wären das ungefähr 4-4,5 Mbit/s, was ich für eine Fritzbox nicht für extrem niedrig halten würde...:rolleyes:

    VG
     
  12. kellergeist2.0

    kellergeist2.0 Starter

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Moin,

    ahh, mist. Da war er wieder, der alte Fehler. Wer in WinSCP richtig ablesen kann ist klar im Vorteil...
    also: korrektur meinerseits:
    Mit WinSCP habe ich via SCP mit 400 bis 500 kB/s kopiert, also mit knapp 4 Mbit/s...

    So um die 10 Mbit/s fände ich schon gut. Aber wie gesagt ich werde die Tage mal mit einer zwiten 7490 als Gegenstelle testen. Dann zwar über den VDSL50 Anschluss beim Nachbarn und beim gleich Provider aber das soll dann erstmal egal sein, wenn es um den Durchsatz der FB geht...

    mfg

    kellergeist2.0
     
  13. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    2.691
    Punkte für Erfolge:
    68
    Hi,
    Gib bitte mal Rückmeldung, wie der Test verlaufen ist. Es kann immer noch sein, dass einer der Provider VPN-Verbindungen drosselt...

    VG
     
  14. kellergeist2.0

    kellergeist2.0 Starter

    Registriert seit:
    10. Oktober 2016
    Beiträge:
    8
    Punkte für Erfolge:
    1
    Hallo zusammen,

    so, ich bin wieder mal im Urlaub und habe diesmal eine 7490 mitgenommen und getestet.
    Ja, sorry hat etwas gedauert. In DE bin ich nicht dazu gekommen, hätte es natürlich auch dort mit dem Nachbarn testen können, aber das kann ja jeder, oder wie war das noch :)

    Das aktuelle Setup:
    Deutschland:
    * EWE Tel VDSL2 100 mit 108Mbit/s down und 44 Mbit/s upstream
    * FB 7490 FW 6.83
    * Netz: 192.68.100.0/24
    Dänemark:
    * Cable Internet via Thomson Router, ein Speedtest sagt 25Mbit/s down und 5 Mbit/s up
    * FB 7490 (FW 6.83) über LAN1 mit dem Thomson gekoppel und Intenet via LAN1 eingestellt
    * Netz: 192.68.188.0/24

    VPN Config mit dem AVM Tool erstellt.
    Zwei Tests:
    1. nur Traffic ins Heimnetz geht durch den Tunnel
    2. config angepasst, dass der komplette Traffic durch den Tunnel geht

    Dursatz via WinSCP vom NAS: ca. 1 MB/s, sprich knapp 8Mbit/s

    Weitere Tests:
    mit einem Freifunk Router (TP-Link) konnte ich problemlos einen HD-Stream in der ZDF Mediathek sehen. somit geht
    per VPN schon mal prinzipiell ne Menge durch.

    Via Fritzbox VPN kann ich keinen Stream abrufen, da ist immer die Verbindung abgebrochen.

    Tja, ich bin mit meinem Latein am Ende.
    Also läuft wieder alles über den Freifunk Router, zumindest der FireTV damit ich eine Deutsch IP habe und auf
    die Mediatheken der öffentlich Rechtlichen zugreifen kann.

    Wo liegt das Problem? Die Leitung in DE ist wohl kaum das Problem. Ich lade dort mit knapp 4 bis 5 MB Daten auf meinen Server in Internet hoch.

    Hat noch jemand eine Idee?

    Vielen Dank schon mal vorab.
    mfg
    kellergeist2.0