VPN Verbindung via WireGuard extrem langsam


Recommended Posts


Hi zusammen.
 
Kann mir jemand erklären wieso die Verbindung via WireGuard VPN so extrem langsam ist (1-2 Mbit' Up/down) im Vergleich zu OpenVPN (20 Mbit's)?
 
Gibt es hier Möglichkeiten? Jemand ähnliche Erfahrungen ?
 
 
Zur Info. VPN Verbindung läuft über die FritzBox mit der DynDNS IP von der FritzBox bzw. der IP von der Synology DS welche die OpenVPN Verbindung herstellt bzw. über diese der Server läuft.

Eine zweite DynDNS Verbindung wie in einigen Videos gesehen via DuckDNS ist nicht möglich.
 
 
Gesendet von meinem SM-G781B mit Tapatalk
 
 

Link to comment
11 hours ago, mobilfunk-maier said:

Eine zweite DynDNS Verbindung wie in einigen Videos gesehen via DuckDNS ist nicht möglich.

 

Bin nicht sicher ob ich Dich richtig verstehe. DuckDNS mit Fritzbox funktioniert bei Dir generell nicht?

 

Hier meine EInstellungen in der Fritzbox bzgl. DuckDNS:

 

Subdomain bei DuckDNS: derhansel.duckdns.org
Dein DuckDNS Token: DeinToken
Dein DuckDNS Account: [email protected]

Update-URL: https://www.duckdns.org/update?domains=derhansel&token=DeinToken&ip=<ipaddr>
Domainname: derhansel.duckdns.org
Benutzername: [email protected]
Kennwort: ********

 

Zu dem anderen Thema kann ich nicht viel sagen, da Wireguard bei mir normal performant läuft. Auf unseren Android Geräten ist Wireguard z.B. permanent angeschaltet. Der gesamte Netzwerk-Verkehr der Android Geräte wird somit via VPN über unseren Unraid Server geleitet.

 

 

Edited by hawihoney
  • Like 1
Link to comment

Danke für dein Feedback.

In der FritzBox ist bei Internet --> Freigaben --> "DynDNS" ein Eintrag mit "no-ip" als Anbieter hinterlegt da ich diese für den Fernzugriff der FritzBox und für die VPN Verbindung der Synology DS via OpenVPN eingerichtet habe und auch in der Synology läuft.

Da ja in der FritzBox bekanntlich nur ein DynDNS Dienst eingetragen werden kann hab ich die bestehende gelassen und die Daten vom Anbieter "No-ip" also die public ip bei den WireGuard VPN Einstellungen eingetragen.

WireGuard VPN und OpenVPN sind also quasi über die selbse ip von außen erreichbar, richtig?


DuckDNS kann ich also so quasi nicht nutzen bzw. könnte ich mit der Prämisse, dass ich in der Synology, auf allen endgeräten etc. alles ändern müsste.

Evtl. Ist es Anhang dieser Ausführungen auch für andere besser nachvollziehbar?

Schönes WE

Gesendet von meinem SM-G781B mit Tapatalk

Link to comment
Ah, verstehe.
 
Bzgl. 2 DynDNS Anbieter: Das wäre kein Problem. Einfach No-Ip über Fritzbox belassen und für DuckDNS deren Docker Container verwenden.
 
Wireguard scheint bei Dir zu funktionieren, ist nur zu langsam? 
 

Genau das hab ich gemacht. Docker von DuckDNS installiert und alles eingetragen.

Nur dort bekomme ich keine Verbindung mit der DOMAIN/PubliciP

Und ja, mit der anderen ip von Der FritzBox, OpenVPN läuft wireguard, aber eben extremst langsam.


Gesendet von iPhone mit Tapatalk
Link to comment
2 minutes ago, mobilfunk-maier said:


Jap, den Standard Port 51820 bzw. 51821 bei Tunnel wg1 in der FritzBox mit UDP Protokoll.


Gesendet von iPhone mit Tapatalk

Das sind doch die wireguard Ports oder nicht?!

Der duckdns Container muss aber ja auch von außen erreichbar sein, oder? Hab ich selbst nicht im Einsatz deswegen bin ich mir da nicht absolut sicher.

Aber das würde halt erklären warum du da keine Verbindung bekommst

Link to comment
32 minutes ago, hawihoney said:

 

Wieso Port-Freigabe für einen DynDNS Dienst? Die IP wird nach draußen gemeldet. Die Port-Freigabe brauchst Du doch nur für Inbound?

 

Deswegen schrieb ich ja ich nutze das nicht und es ist nur eine Vermutung.

Tatsächlich also eine reine Einbahnstraße?

Aber wenn die "Duckdns-IP" nicht erreichbar ist muss es ja einen Grund geben

Link to comment
1 hour ago, mobilfunk-maier said:

öffentliche ip der Synology VPN

 

Jetzt verstehe ich nix mehr. Du hast doch nur eine öffentliche IP, oder? Die kannst Du doch, aus welchen Gründen auch immer, auf x DynDNS Anbieter verteilen.

 

xyz.duckdns.org zeigt dann genauso wie abc.noip.bla auf die selbe öffentliche IP.

 

Der Rest wird über die Ports geregelt. Und im VPN-Manager trägst Du einen der beiden ein (xyz.duckdns.org, abc.noip.bla).

 

Edited by hawihoney
Link to comment
 
Jetzt verstehe ich nix mehr. Du hast doch nur eine öffentliche IP, oder? Die kannst Du doch, aus welchen Gründen auch immer, auf x DynDNS Anbieter verteilen.
 
xyz.duckdns.org zeigt dann genauso wie abc.noip.bla auf die selbe öffentliche IP.
 
Der Rest wird über die Ports geregelt. Und im VPN-Manager trägst Du einen der beiden ein (xyz.duckdns.org, abc.noip.bla).
 

Ich habe und kann in der FritzBox nur einen DynDNS Anbieter eintragen, das ist aktuell no-ip. No-ip bzw. diese public ip wird auch in der Synology für die OpenVPN verwendet. Hierzu ist in der FritzBox der entsprechende Port bei der Synopogy via UPD freigegeben.

Dieselbe iP benutze ich damit die Wireguard VPN Verbindung überhaupt funktioniert, aber halt eben unterirdisch langsam…

DuckDNS funktioniert nicht wie gesagt mit Docker nicht (zieht sich die öffentliche ip von der FritzBox anstatt der öffentlichen ip die DuckDNS zuweist).


Gesendet von iPhone mit Tapatalk
Link to comment
 
Also doch zwei verschiedene öffentliche IPs. Da kann ich nicht helfen.
 

Ne, eben nicht. Es kann in der FritzBox ja nur ein DynDNS Anbieter hinterlegt werden (bei mir aktuell wegen der Synology mit dem Anbieter no-ip für OpenVPN).

In Unraid wäre ja nur die DuckDNS Public ip eingetragen, diese wird aber ja wie erwähnt bei der Portweiterleitung in der FB nicht angezeigt sonder die der no-ip..

Irgendwo muss der Fehler doch sein? Oder die FB gibt sowas einfach nicht her?


Gesendet von iPhone mit Tapatalk
Link to comment
7 minutes ago, mobilfunk-maier said:

Ne, eben nicht

 

Wie gesagt, ich verstehe Deine Ausführungen nicht. Ich verstehe auch nicht wieso dauernd eine Synology ins Spiel gebracht wird. Und spätestens beim folgenden Satz war ich raus. Ist halt mein Problem. Wenn es netzwerktechnisch zu komplex wird, müssen andere ran:

 

Quote

zieht sich die öffentliche ip von der FritzBox anstatt der öffentlichen ip die DuckDNS zuweist

 

Link to comment
16 hours ago, mgutt said:

Kann es sein, dass du die selbe öffentliche IP bei zwei verschiedenen DDNS Adressen verwenden möchtest?

 

s. Anhang.

DuckDNS zieht sich, wieso auch immer jetzt die "public ip" welche in der Synology/FritzBox hinterlegt ist und vergibt quasi keine zweite, public ip...?!

 

Es wird quasi immer (FritzBox, Synology, Unraid) Beispiel iP genommen: 123.12.12.112

 

Evtl. haber ich ja einen Denkfehler, bitte korrigiert mich wenn ich mit meiner Theorie falsch liege.

1. Einstellungen FritzBox: Der dort hinterlegte DynDNS Dienst (no-ip.com) generiert die 123.12.12.112 in sämtlichen Freigaben (FritzBox-Dienste, Portfreigaben der jeweiligen iP`s/Ports der Geräte, u.a auch Unraid)

2. Die in Unraid via DuckDNS (wenn ich wieder eine andere public-ip gneriert bekomme) genierte iP benutze ich für die hinterlegung in WireGuard/Tunneleinstellungen

3. Über die Portfreigabe (51820- default) schaffe ich in der FritzBox den Zugang der public-ip die von DuckDNS weitergeleitet wird

 

Was mich wundert, im DuckDNS Docker werden keinerlei Info`s/Aktivitäten in den Reitern "Port Mappings (App to Host) oder Volume Mappings (App to Host)" angezeigt.

 

So, evtl. ist es jetzt klarer :-)

 

 

 

202106_Übersicht.jpg

Link to comment
10 minutes ago, mobilfunk-maier said:

DuckDNS zieht sich, wieso auch immer jetzt die "public ip" welche in der Synology/FritzBox hinterlegt ist und vergibt quasi keine zweite, public ip...?!

Da ich davon ausgehe, dass du nur einen Internetanschluss hast, ist das auch logisch. Du hast nur eine öffentliche IP pro Internetanschluss.

 

Mehrere Domains nutzt man nur, wenn man über einen Proxy verschiedene Dienste pro Domain darstellen möchte. Die dahinterliegende IP-Adresse ist aber immer gleich.

 

10 minutes ago, mobilfunk-maier said:

Der dort hinterlegte DynDNS Dienst (no-ip.com) generiert die 123.12.12.112 in sämtlichen Freigaben

Nein. Die IP bekommt dein Router von deinem Internetanbieter und der DDNS übernimmt sie einfach nur 1:1.

 

10 minutes ago, mobilfunk-maier said:

Die in Unraid via DuckDNS (wenn ich wieder eine andere public-ip gneriert bekomme) genierte iP benutze ich für die hinterlegung in WireGuard/Tunneleinstellungen

Die kannst du dir sparen. Du kannst einfach die Domain von no-ip.com nehmen.

 

10 minutes ago, mobilfunk-maier said:

Über die Portfreigabe (51820- default) schaffe ich in der FritzBox den Zugang der public-ip die von DuckDNS weitergeleitet wird

Dies gilt für beide DDNS. Alle Anfragen über deine öffentliche IP-Adresse, egal über welche Domain sie auf deinen Router zielen, haben nun die Freigabe über 51820. Deine Fritz!Box interessiert sich nicht für irgendwelche Domains. Die sieht nur "ah eine Anfrage aus dem Internet, darf ich die durchlassen? Moment, auf Port 51820.. ja darf durch".

 

10 minutes ago, mobilfunk-maier said:

im DuckDNS Docker werden keinerlei Info`s/Aktivitäten in den Reitern "Port Mappings (App to Host) oder Volume Mappings (App to Host)" angezeigt.

Ja, weil dieser Container ziemlich primitiv ist. Der ruft einfach nur alle 5 Minuten einen Link von DuckDNS auf um die öffentliche IP-Adresse von deinem Anschluss zu aktualisieren. Da geht also kein Internetverkehr oder sowas durch.

 

Wenn du zB den Port 51820 auf die IP deines Servers freigegeben hast, dann geht der Internetverkehr zu Unraid selbst bzw zu dem Wireguard Daemon, der auf diesem Port auf eingehende Anfragen wartet.

 

Wenn du zB den Port 80 freigeben würdest (machst du nicht ^^), würdest du sowohl über die http://DuckDNS- also auch über die http://NoIP-Domain die Unraid WebGUI sehen.

  • Like 1
Link to comment

Danke für deine Rückmeldung.

 

Das DynDNS die ständig wechselnde iP übermimmt war mir klar, für mich ist die iP die von no-ip kommt halt immer dieselbe, das meinte ich damit.

 

Zur Info:

Ich hab jetzt die no-iP Domain/ip in der WireGuard Verbindung in Unraid hinterlegt und bekomme dasselbe Ergebnis:

VPN-Verbindung klappt auf Anhieb, Geschwindikeit nach wie vor miserabel (Ping: 140ms, Down: 0-1,1 Mbit`s, Up:1-2 Mbit`s).

CPU-Auslastung während Speedtest in Unraid ohne krasse Veränderungen.

 

Muss ich wohl mit Leben und weiterhin auf die OpenVPN setzen, wobe ich wie gesagt gerne mit WireGuard ne alternative VPN Verbindung gehabt hätte.

Danke nochmals an alle, evtl. testet jemand ähnlich und findet noch "die" Lösung 🙂

Link to comment
37 minutes ago, mobilfunk-maier said:

für mich ist die iP die von no-ip kommt halt immer dieselbe, das meinte ich damit.

Dann stimmt was nicht beim Aktualisieren der IP. Dann würde ich in der Fritz!Box einen anderen Dienst hinterlegen, wenn das unzuverlässig ist.

 

37 minutes ago, mobilfunk-maier said:

Ich hab jetzt die no-iP Domain/ip in der WireGuard Verbindung in Unraid hinterlegt und bekomme dasselbe Ergebnis

Was logisch ist, weil die DDNS damit nichts zu tun hat.

 

37 minutes ago, mobilfunk-maier said:

CPU-Auslastung während Speedtest in Unraid ohne krasse Veränderungen.

Wer ist der Client und wie ist dessen Auslastung? Gilt das auch für andere Clients?

 

Hast du die Geschwindigkeitsprobleme in beide Richtungen?

 

Womit überträgst du überhaupt Dateien? SMB? Schon mal unverschlüsseltes FTP probiert (verursacht die geringste CPU Last)?

 

Hat dein Provider evtl die Wireguard Ports gedrosselt? Teste mal Port 53 (DNS), 123 (Zeitserver), 500 (Schlüsseltausch) oder 563 (Zeitserver, verschlüsselt). Diese standardisierten Ports sind in der Regel "unangetastet".

 

Steht die MTU auf automatic? Häufig ist eine falsche MTU Ursache für eine schlechte Übertragungsrate. Am besten mal beim Server und beim Client als festen MTU Wert 1420 ausprobieren.

  • Like 1
Link to comment

Client: Notebook und zwei Smartphones und ein Tablet

Beide Richtungen? Wie meinst du das?

SMB/FTP: Weder noch, bisher nur mit Speedtest, Webtraffic probiert und die Probleme festgestellt

Guter Tip, werde ich als erstes versuchen. Provider: Vodafone

MTU steht auf 1500, ist default so eingestellt


Gesendet von iPhone mit Tapatalk

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.