RTRR Backup extrem langsam seit VPN Wechsel

  • Liebe Helferinnen und Helfer, ich hoffe ich bin bei euch richtig. Folgendes Szenario. Ich hatte die ganze Zeit für ein Off-Site-Backup ein Site2Site VPN zwischen den zwei Fritzboxen mit dem IPSec protokoll. Problem ist nur, wenn das Backup läuft, glüht die Site 2 Fritzbox so, dass in dem Netz nicht mehr viel geht. Also war meine Idee das VPN auf leistungsfähigere Hardware auszulagern und ich installierte einen Raspi mit Wireguard drauf.


    Auf Site A läuft Wireguard in einem LXC Container. Eigentlich Wireguard UI weil ich da auch noch mit anderen Devices drauf gehe aber egal erstmal. Da Site A einen ipV4 Anschluss hat, habe ich den Keepalive auf Site B konfiguriert. Der Tunnel wird auch aufgebaut aber das Backup ist furchtbar langsam (1MB/sec vs. IPSec 3mb/sec) Möglich sollten eigentlich 5MB/Sec sein, denn das ist der Upload von Site A. Teilweise bricht es auch ab.


    Site A Config:



    Site B Config:



    Auf Site A habe ich ein TS 673 laufen (mein Produktivsystem) und das soll sich auf ein altes 459-Pro II Backupen. Ich nutze hierfür den RTRR Dienst.


    Das 459 hostet den Server und das 673 findet den Speicherplatz zeigt aber bereits beim Geschwindigkeitstest extrem niedrige Geschwindigkeiten an und so läuft dann auch das Backup. Nach kurzer Zeit bricht es ab.

    Mit IPSEC waren wenigstens 2 MB drin. Wenn ich mich per FTP auf das 459er verbinde, kann ich Daten mit >5MB/sec verschieben.


    Hat jemand ne Idee?


    Grüße

  • Unter Windows habe ich die MTU auf 1372 damit es ordentlich läuft...

  • Vielen Dank euch beiden. Nein habe schon drüber gelesen aber noch nicht probiert, will do. Berichte dann :)


    Also ich befürchte leider, dass es damit nicht zusammenhängt. Würde auch meiner Logik wiedersprechen, dass es per FTP ja zügig geht, und was mich mit iPerf gemessen habe sieht auch gut aus eigentlich 1412 ist natürlich 1312...

    Also kann es irgendwie an der QNAP Konfiguration liegen?

    Bildschirmfoto 2023-07-26 um 14.55.36.png

    Bildschirmfoto 2023-07-26 um 14.53.54.pngBildschirmfoto 2023-07-26 um 14.18.04.pngBildschirmfoto 2023-07-26 um 14.50.45.png

    Einmal editiert, zuletzt von rainlord () aus folgendem Grund: Ein Beitrag von rainlord mit diesem Beitrag zusammengefügt.

  • Warum läßt du Wireguard in einem Container laufen und nich nativ auf dem Raspi. Mittels pivpn ist die installation ein Kinderspiel?

    Emulation braucht immer Ressourcen.

  • Naja auf dem Raspberry läuft es nicht in nem Container. Aber selbst wenn wäre das ja keine Erklärung für so eine desaströse Performance

  • Ich nutze IPsec mit Tunnel Mode, daher habe ich die MSS auf 1328 eingestellt.

    So habe ich kein Padding und der Durchsatz ist mit der kleineren MSS höher als zuvor mit 1360, wo nicht immer sauber 128Bit Blöcke durch gingen.


    Manchmal ist weniger mehr.


    MTU muss für VPN in jedem Fall runter, wenn dann noch DSL mit PPPoE dazu kommt, muss das auch mit berücksichtigt werden.

  • Was für FritzBoxen sind involviert? Meine Erfahrung: IPsec zwischen 2 Fritzboxen nativ ist recht langsam. Nach de Umstellung der mit zur Verfügung stehenden Boxen ab FW 7.50 auf natives Wireguard ist der VPN Durchsatz zwischen den Boxen erheblich schneller und ich kann die DSL Bandbreite damit auslasten. Wenn es dir also möglich ist und auf beiden Seiten FB mit FW7.5x läuft verbinde die direkt untereinander mit Wireguard und teste es dann mal. Meine Erfahrung damit ist gut.


    Was RTRR überhaupt nicht mag sind viele kleine Dateien und viele Unterordner. Dann bricht die RTRR Performance meist auf 1MB/s ein, egal wie viel Bandbreite man hat. Das scheint Prinzipbedingt zu sein und nicht änderbar. Für kleine Datenmengen und <100.000 Files mag es gehen. Alles darüber benötigt andere Lösungen. Rsync ist etwas schneller aber auch nicht wirklich. Was MARS und andere Lösungen bieten habe ich noch nicht ausprobiert.

  • Fahre hier nen Tunnel pfSense zu einer 7590 mit IPsec IKEv1 Main Mode AES256 SHA512 DH15 mit PFS und da gehen 200k+ Dateien durch mit vollem Uplink als Limit.

    RTRR ist perfekt WAN optimieret mit TCP-BBR aktiv geht das richtig ab.

    Der Tunnel läuft auf beiden Seiten mit Hardware Crypto, auf pfSense Seite sogar mit Intel Quick Assist.

    Nur noch effektiver ist der Tunnen zwischen zwei pfSense, aber das ist auch eine ganz andere Liga mit IKEv2 und AES GCM 256 und DH19.


    Die alten 64/74er AVM Boxen könne aber kein AES in Hardware, mit Wireguard haben die jetzt zwar was schnelleres als IPsec bekommen, aber es bleiben Gurken. Die Hardware Basis ist schon 10 Jahre alt, das ist hat völlig veraltet.

  • Und wenn du zum Test mal einen Tunnel zwischen den zwei FritzBoxen aufbaust?

    Wie verhält es sich dann?

  • Kann ich leider nicht, da die eine eine 6590 Cable ist und auf die hat es Wireguard nicht geschafft. Und außerhalb vom QNAP kann ich Dateien schnell verschieben, mit hoher Geschwindigkeit. Selbst der RSYNC Geschwindigkeitstest vom Speicherplatzdialog innerhalb QNAP zeigt 4,5MB/sec an nur der RTRR Test so ultra geringe Größen

  • Dann die integrierte IPsec Funktion, denn bei der 65er Reihe gibt es schon AES-NI, das sollte also nicht mehr langsam sein.

    Besser gesagt müsste die 5-6MB/s mit passender Gegenstelle schaffen und das völlig entspannt.

  • Ich habe ein ähnliches Problem.


    Zwei QNAPs (gleiches Modell) TS-451+ über RRTR. Im LAN rennen die wie blöd. Ich habe da 2 TB kopiert und hatte Übertragungsraten von knapp unter 100 MB/s.


    Jetzt sind die gleichen QNAPs über ein Fritz VPN (Wireguard Site-to-Site) verbunden und ich habe nur noch 1MB/s.


    Die beiden Internetanschlüsse sind begrenzt durch Upload 56Mbit

    1. ↓ 1,15 Gbit/s ↑ 56,7 Mbit/s

    2. ↓ 500,0 Mbit/s ↑ 100,0 Mbit/s


    Wie kann man denn da die Ursache rausfinden?

    Einmal editiert, zuletzt von sikozptl ()

  • Möglicherweise schafft eine der unbekannten Fritten nicht mehr...

    Vielleicht ist auch die MTU nicht passend eingestellt, wobei ich bezweifle dass man das bei Fritten selbst einstellen kann.

  • Die Boxen sind:FRITZ!Box 6591 Cable (kdg) und eine FRITZ!Box 7590 und die seind beide kaum ausgelastet, haben genügend RAM übrig und die Prozessorlast ist minimal. Trotzdem geht nichts.

    Spekulationen helfen mir da nicht weiter. Ich brauche eine Lösung, vielleicht auch einen externen VPN Server. Gibt es jemanden, der das erfolgreich macht? Wenn ja wie?

    Danke


  • Was meinst du mit externem VPN Server? Solche Dienste sind in der Regel nicht geeignet um den Fernzugriff auf Geräte zu realisieren bzw. zwei Netze zu verbinden.


    Du könntest mal mit iperf prüfen was da tatsächlich möglich ist und so versuchen den Flaschenhals zu finden.


    Ohne genauere Information und Prüfungen kann man halt nur spekulieren.

  • Ja ok, werde ich machen.


    gibts da kein analysetool von qnap?


    Jetzt habe ich das ganze mal ohne VPN laufen lassen und habe den VPN Zugang umgangen.

    Dafür habe ich SSL genutzt.

    Bekomme trotzdem nur 3mb/s

    2 Mal editiert, zuletzt von sikozptl () aus folgendem Grund: Ein Beitrag von sikozptl mit diesem Beitrag zusammengefügt.