.titleBar { margin-bottom: 5px!important; }

[Frage] Fritz Box 7580 VPN Durchsatz

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von lusti, 24 Aug. 2016.

  1. lusti

    lusti Neuer User

    Registriert seit:
    24 Aug. 2016
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich hab eine Frage bezüglich der Geschwindigkeit beim Datenaustausch per VPN zwischen 2 FritzBox 7580.

    Ich hab zurzeit an 2 Standorten jeweils eine Fritz Box 7490.
    Einmal an einem VDSL ohne Vectoring mit 50 Mbit down und 10 Mbit up und einmal mit Vectoring mit 100 Mbit down und 40 mbit UP.

    Beide sind per VPN miteinander Verbunden.
    Beim Übertragen von Daten über den VPN Tunnel erreiche ich bei der 7490 max ca. 13Mbit von der 100er leitung zur 50er.
    Meines wissens nach ist dann der Prozessor der Box ausgelastet und erreicht daher keine höhere geschwindigkeit.
    Bei übertragungen ohne VPN z.b direkt per FTP sind die 40 mbit Problemlos nutzbar.

    Jetzt würde ich nur gern wissen ob die 7580 wenn an beiden Standorten im Einsatz mehr geschwindigkeit erreicht bzw. wieviel.
    Bei 1080p Streams reichen zwar auch meistens die 13 Mbit aus, aber schon bissi knapp^^

    Falls da jemand ne info für mich hätte wäre super :D

    Dankeschön

    Falls jemand nen Hinweiß hat wie ich den durchsatz bei den zwei 7490 verbessere, das wäre natürlich auch super :D
     
  2. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,677
    Zustimmungen:
    145
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    #2 HabNeFritzbox, 24 Aug. 2016
    Zuletzt von einem Moderator bearbeitet: 24 Aug. 2016
    Also bei 7390 und 7490 wurde QoS ignoriert und wenn Leitung durch VPN ausgelastet war, hat alles andere gelitten, also Internet und Telefonie war teils unbrauchbar.

    Vermute mal dass es bei 7580 nicht anders sein wird, da ja ähnliche Firmware drauf läuft.

    Würdest VPN von der FB auslagern bestünde Problem nicht.
     
  3. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Solange die 1080p-Streams (es geht hier ja sicherlich nur um die Ausgabe von Überwachungskameras o.ä., wo Du die Rechte zur Verbreitung automatisch auch hast, wenn es Deine Kameras sind und solange das kein öffentlicher Raum ist, der dort überwacht wird - manche Eltern wollen eben die "sitter cam" auch noch in 4K haben) nicht wirklich verschlüsselt und komprimiert werden müssen (letzteres i.d.R. ohnehin ein recht aussichtsloses Unterfangen, falls eine MPEG-Kodierung bereits erfolgt ist), kann schon die Verwendung eines passenden Proposals auf beiden Seiten (die AVM-Vorgaben enthalten dafür einen gesonderten Satz, der "Null-Verschlüsselung" betreibt) den Durchsatz entsprechend steigern.
     
  4. lusti

    lusti Neuer User

    Registriert seit:
    24 Aug. 2016
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Cool, das lässt sich aber nicht über das Webinterface einstellen oder war ich zu blind das zu finden:gruebel:
    Ich such gleich mal wie man das umstellen kann.

    Dankeschön

    - - - Aktualisiert - - -

    Wenn ich das richtig sehe erstelle ich mir mit Fritz Fernzugang einrichten die Konfiguration für beide Boxen und ändere dann in beiden konfigurationen diesen Wert
    phase2ss = "esp-all-all/ah-none/comp-all/pfs";

    gibt es irgendwo eine liste mit allen möglichen Parametern und deren Bedeutung bezüglich Verschlüsselung/Komprimierung ?
    Hab über die Suche bzw. google irgendwie nichts passendes gefunden.

    Danke
     
  5. thghh

    thghh Mitglied

    Registriert seit:
    23 Juni 2008
    Beiträge:
    586
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Kleine Anmerkung.

    Eine moderne Full HDTV Kamera benötigt zwischen 0,01 und ca. 5,00 Mbit/s im H.264 Stream und Zipstreamtechnologie mit dynamic Framerate.

    Wenn VPN zu langsam ist, könnte man auch den Stream per https übertragen, denn das passiert auch in der Kamera direkt
     
  6. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    #6 PeterPawn, 24 Aug. 2016
    Zuletzt bearbeitet: 24 Aug. 2016
    @lusti:
    Firmware entpacken und in die Datei /etc/default.$PRODUKT_NAME/$OEM/ipsec.cfg schauen ... irgendwo am Ende ist der Name des Sets.

    Da das wohl bei mir schneller geht: esp-null-sha/ah-no/comp-no/no-pfs heißt das Set in der 06.69-40766 - vermutlich auch vorher.

    @thghh:
    Das ist bestimmt eine alte Kamera, die nur AVI-Streams in 1080p ausgeben kann ... man weiß doch, daß diese STBs eher schwachbrüstig sind (und einige auch noch grottenlangsame 100 MBit/s-Interfaces für Ethernet haben).
     
  7. grauGolz

    grauGolz Mitglied

    Registriert seit:
    27 Apr. 2013
    Beiträge:
    271
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #7 grauGolz, 21 Okt. 2016
    Zuletzt bearbeitet: 21 Okt. 2016
    Nun, man stellt sich einfach ein OpenVPN-Gateway hin, wenn man auf die eierlegende Wollmilchsau nicht verzichten kann/will.

    Dann bekommt man auch ordentlichen Traffic über den Tunnel in einem site2site Szenarium.

    Meine nicht mehr im Dienst befindliche Firewall auf APU1D brachte 30 MBit mit AES-256.
     
  8. Pokemon20021

    Pokemon20021 Mitglied

    Registriert seit:
    9 Aug. 2016
    Beiträge:
    604
    Zustimmungen:
    7
    Punkte für Erfolge:
    18
    die Werte sind doch OK!
    FB7490_100/40 ==> FB7490_50/10: 13 MBit/s,

    durch Kompression wurde die Übertragungsrate um 30% gegenüber der max. physikalische Bandbreite von 10 MBit/s für diese Richtung gesteigert.
     
  9. Surgeon

    Surgeon Neuer User

    Registriert seit:
    13 Juli 2016
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Die Werte sind nicht OK. Da die 50/10 Leitung im Downlink 50MBit bietet, die 100/40er im Uplink 40MBit wären physikalisch ohne Kompression in dieser Richtung 40MBit/s möglich. Nur in der anderen Richtung besteht natürlich die Limitierung auf 10MBit/s. Das Limit liegt an der fehelenden Prozessor-Power für die vpn-Verschlüsselung der 7490. Das Thema interessiert mich sehr, da ich auch über zwei Standorte ein permanentes VPN mit 2 7490er Boxen laufen habe. Wenn die vpn-Verbindung der 7580 schneller als die der 7490 sein sollte, wäre das für mich ein Argument für den Umstieg.

    Es wäre toll, wenn das einmal jemand testen könnte.

    BG, Surgeon
     
  10. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,677
    Zustimmungen:
    145
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Ich habe es mit 7580 nicht getestet, gehe von aus, dass es so ist wie bei 7490, siehe #2, daher würde ich eher VPN auf nen NAS, RasPi o.ä. auslagern.
     
  11. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Das ist mit 2x RasPi3 (je ca. 60-65 EUR inkl. Gehäuse, Netzteil, Speicherkarte) dann auch noch wesentlich preiswerter (und vermutlich immer noch leistungsfähiger) als eine einzige 7580 (selbst wenn man den Verkauf der gebrauchten 7490 einkalkuliert - schon die Differenz beim Neupreis liegt ja bei ~100 EUR) und man hat viel mehr Möglichkeiten, was man für diese VPN-Verbindung verwenden möchte. Die meisten tun sich bei der manuellen Konfiguration eines IPSec-VPN ja doch etwas schwerer und da kann dann eine OpenVPN-Installation wieder einfacher sein.

    BTW ... daß auch diese besser auf UDP als auf TCP aufsetzen sollte und warum das so ist, kann man dann wieder auf der OpenVPN-Seite nachlesen - nur weil ich letztens hier irgendwo eine Empfehlung für die Verwendung von TCP beim OpenVPN gelesen habe (das sind sehr seltene Fälle, wo das wirklich von Vorteil ggü. UDP wäre).
     
  12. grauGolz

    grauGolz Mitglied

    Registriert seit:
    27 Apr. 2013
    Beiträge:
    271
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Aus der Hüfte geschossen:

    Nutzer, die hier im Forum nicht mal in der Lage sind ihr Problem verständlich und mit Fakten untermauert zu schildern, werden beim Einsatz von OpenVPN schon an den Zertifikaten scheitern.
    Der Einsatz von OpenVPN ohne Zertifikate nur mit "Pre-shared Keys" ist hirnlos.

    Nun, pfSense hat mit dem "Cert. Manager" ein komfortables Instrument an Bord um mit dieser "Schwierigkeit" fertig zu werden.
    Ist nur eine Feststellung, keine Werbung.
     
  13. lusti

    lusti Neuer User

    Registriert seit:
    24 Aug. 2016
    Beiträge:
    3
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #13 lusti, 14 Apr. 2017
    Zuletzt bearbeitet: 14 Apr. 2017
    Hallooooo,

    so hab jetzt auf 2 7580 umgestellt xD.
    Der Proz hat dafür auf jeden fall mehr Power.
    zwischen zwei 7580 wird von der 100/40 zur 50/10 leitung mit ca 32 mbit übertragen.
    Warum nicht ganz die kompletten 40 erreicht werden weiß ich noch nicht, laut energiemonitor ist der Prozessor mit ca 79% ausgelastet.
    Aber das passt schonmal, für mich wirds so genug ausgereizt, paar mbits übrig ist ja auch gut :)

    Das VPN lief per Default, eingerichtet direkt übers Webinterface ohne änderung der Verschlüsselung/Komprimierung.
     
  14. genab.de

    genab.de Neuer User

    Registriert seit:
    25 Aug. 2005
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo,

    ich hab genau das gleiche Problem. Hab auf beiden Standorten 100/40 Mbit.

    Hab nun für beide Standorte eine 7590 gekauft, und komme über den VPN der Beiden FRitzboxn nicht über 13 Mbit? Kann es sein, das die 7590 langsamer ist als eine 7580?

    AN der Leitung liegt es nicht. Der Prozessor ist auh nicht ausgelastet?

    Hilfe, wer kann helfen. Hab jeweils die neueste Firmware drauf, auf einer hab ich auch die Labor drauf gemacht, keine Verbesserung?
     
  15. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Nein - auch wenn hier tatsächlich mit einer dynamischen Taktung des Prozessors gearbeitet wird. Von Problemen, bei entsprechender Auslastung auch den Takt hochzuschalten, ist aber m.W. bisher nichts bekannt. Jedoch gibt es auch in der Firmware für die 7590 die Dateien (u.a. /etc/init.d/S90-overheat und /etc/init.d/rc.ovh_control.sh), welche beim Überhitzen versuchen, den Prozessor durch Heruntertakten zum Abkühlen zu bewegen. Wenn also die Temperatur in einer der beiden Boxen sehr hoch sein sollte, dann könnte es tatsächlich dazu kommen, daß eine 7590 langsamer wird als eine 7580 - man darf zumindest unterstellen, daß das liegende Design der 7590 schlechter durch Konvektion gekühlt wird, als eine 7580, bei der ein Luftstrom von unten nach oben direkt an der vertikal verbauten Platine mit den Bauelementen vorbeistreichen kann.

    Das wird auch nur selten der Fall sein. So ein GRX5-SoC hat mehr als einen Core ... die Behandlung einer (einzelnen) VPN-Verbindung ist aber nicht wirklich parallelisierbar (weil jedes folgende Paket bei der Verschlüsselung vom aktuellen Zustand nach der Verschlüsselung seines Vorgängers abhängig ist) und so ist es nicht weiter verwunderlich, wenn bei einer "Messung" der Auslastung, die mehr als einen Core summiert, um die "100%-Marke" festzulegen, auch bei einer Gesamtauslastung < 100% bereits das Ende der Fahnenstange erreicht ist - dafür reicht es bereits aus, wenn ein Core sich mit Ver- und Entschlüsselung zu 100% befassen muß. Weitere Cores sorgen dann nur noch dafür, daß das Gerät "responsive" bleibt bzw. bringen dann etwas für den VPN-Durchsatz, wenn sie eine andere VPN-Verbindung be-/verarbeiten können.
     
  16. genab.de

    genab.de Neuer User

    Registriert seit:
    25 Aug. 2005
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    OK - werde nun zum Test mal die Fritzboxen "kühlen"

    wie viel sollte denn die Fritzbox 7590 im Durchsatz schaffen? Also Fritzbox 7590 VPN Fritzbox 7590 mit jeweils 100/40, wobei die Speedtests jeweils 99Mbit um Download, und 39 Mbit um Upload haben.... - IMMER - sonst läuft auf der Fritzbox nix.

    ### Zusammenführung Doppelpost by stoney ###

    bezüglich Kühlung, wie "warm" darf es denn sein? Ab wann wird da was gedrosselt?
     
  17. PeterPawn

    PeterPawn IPPF-Urgestein

    Registriert seit:
    10 Mai 2006
    Beiträge:
    11,621
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Der "low"-Wert (ab dem dann wieder höhere Frequenzen "freigegeben" werden) liegt bei 100, beim Erreichen von 110 wird dann gedrosselt und beim kritischen Wert von 120 wird (wenn das länger geht, aber alles noch unter einer Minute, iirc) dann ein Neustart ausgeführt. Alles in Grad Celsius, wobei die Wert vom Chip kommen (aus "cat /proc/chip_temperature") und nicht zwangsläufig mit denen übereinstimmen müssen, die im GUI angezeigt werden. Dort ist es auch nur ein einzelner und wie der aus den beiden ermittelt wird (als Mittelwert oder als Min/Max eines der beiden Werte), weiß ich im Moment auch nicht.

    Wobei es (bei der 7580 zumindest) durchaus auch so ist, daß die Inhouse-Version 4 Kerne verwendet (wieweit die jetzt physikalisch vorhanden sind oder nur VPEs im MIPS-Core, kriegt man wohl auch nur mit der GRX5-Dokumentation heraus oder kennt jemand die tatsächlichen Eckdaten?), wo die "normale Firmware" (z.B. 06.92) nur zwei davon benutzt (und zwar 0 und 2). Die offiziellen Labor-Versionen habe ich dahingehend noch nicht angesehen (das sieht man nur bei laufender Firmware wirklich) ... ich würde aber hier auch mal auf 4 Kerne tippen. Inzwischen scheint auch das "frequency scaling" wieder zu funktionieren ... zwischendrin (bei der 51830, iirc) gab es damit Probleme und die Kerne wurden nicht heruntergetaktet (zumindest nicht nach procfs- und sysfs-Angaben). Wie weit sich die zusätzlichen Cores jetzt auf frühere Benchmark-Resultate auswirken (ich hatte mal mit "openssl" den Durchsatz beim Ver-/Entschlüsseln gemessen), weiß ich ebenfalls nicht ... ich erwarte aber keine allzu großen Verschiebungen.

    Inwieweit das bei der 7590 ebenso ist, weiß ich ebenfalls nicht ... aber wer sich damit ernsthaft befassen will, nimmt entweder die Inhouse-Version mit eingebautem Shell-Zugang oder baut sich selbst einen in die offizielle Firmware ein. Aber wie weiter oben schon geschrieben ... eine einzelne VPN-Verbindung profitiert praktisch gar nicht von einem zusätzlichen Core. Die 7590 dürfte im Vergleich zur 7580 auch mit einem leicht höheren Basistakt laufen ... soweit man das aus der Firmware erkennen kann.
     
  18. genab.de

    genab.de Neuer User

    Registriert seit:
    25 Aug. 2005
    Beiträge:
    25
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    das sind ja sehr genau Daten zur Hardware, aber wie schnell ein VPN in Maximalgeschwindigkeit sein sollte weiß niemand. ?

    Ich hab jetzt große Lüfter unter die Fritzboxen gelegt mit Ordentlich Durchfluss an Luft (normale Raumtemperatur) - Eine der Beiden Fritzboxen war ein einem Serverschrank eingesperrt, und doch sehr warm.

    Die Geschwindigkeit ist nun deutlich schneller, anstelle der alten ca. 13 Mbit sind es jetzt fast 30 Mbit, siehe Bild. Sehr stark schwankend.

    Auf 40 Mbit komme ich dennoch nicht. Glaubt ihr es bringt was die Fritzbox zu öffnen, und einen CPU Kühler zu installieren?
     

    Anhänge: