OpenVPN-connectie is 'traag'

Een server die ik gebruik heeft een 1 Gbits/s connectie (aansluiting en 'gegarandeerde' up- en downloadsnelheid). Ik heb sinds een aantal maanden een OpenVPN-server draaiende en dit ging min-of-meer goed. De downloadsnelheden waren niet super, maar ook niet slecht. Ik heb ook na veel zoek en probeerwerk IPv6 werkend gekregen via de VPN-connectie.

Sinds een aantal dagen merk ik dat mijn VPN-connecties last krijgen van vertraagde snelheden. Ik heb al de nodige standaard-procede uitgevoerd, zoals herstarten OpenVPN-service, server zelf, clients herverbinden etc. Verder had ik wat gevonden om de MTU te verbeteren per client. Dit moest d.m.v. de optie "mssfix" aan de client-config. toe te voegen. Helaas bleek dit niet te helpen.

Ik maak gebruikt van speedtest.net en speedof.me om de snelheden te testen, alsook een Torrent-client. Allen geven een tergend 'lage' downloadsnelheid weer. 1/3 van mijn normale internetsnelheid. Ik zit rond de 180 - 200 Mbits/s, terwijl ik nu via de VPN-connectie nog zo'n maximum van 50 Mbits/s haal. LZO encryptie staat aan (uit blijkt niet echt veel verschil te maken), en ik ondervind deze serieus verminderde snelheden op alle clients die aan die OpenVPN-server hangen, en dit vanaf meerdere verschillende locaties.

De snelheden blijken daarbij ook heel instabiel. Denk maar aan een wifi-verbinding die onstabiel is. De snelheid schommelt op en neer. Ik zit nu al een tijdje te zoeken wat het exacte probleem kan zijn (of het nu echt nog maar een paar dagen is weet ik niet. Toen ik de server voor het eerst had waren de snelheden nu ook niet zo super, en daarbij haal ik soms wel gewoon een redelijke snelheid (120 Mbit/s b.v.), maar kan het niet meteen vinden. Ik hoop dus goede raad op te doen op het Tweakers-forum.

Ik heb het probleem nog altijd niet kunnen oplossen, ik hoop nog steeds op hulp of een tip van iemand anders. Verder werkt de VPN-verbinding goed, maar de snelheid blijft niet constant en is in veel gevallen een stuk lager dan wat mijn ISP aankan (200 Mbits/s download, 10 Mbits/s upload).

Bedankt voor de reacties! De load blijft gewoon super laag (load5min staat gewoon op 0.1). Tijdens een client speedtest zie je dit nooit omhoog gaan. Bij een speedtest op de server zelf haal ik soms 800 Mbits/s. De server hangt aan een 1 Gbit/s lijn in het datacenter, dus in theorie zou dat geen probleem mogen zijn. Het betreft hier inderdaad om een virtuele server (VM), ik zal eens nagaan of de bovengenoemde feature (per ongeluk) uitgezet staat.

EDIT: Even een wget van bovenstaande download (via TransIP): (102 MB/s = 816 Mbits/s) - '1000mb.bin' saved [1048576000/1048576000].

EDIT2: Ik heb het even opgezocht, en mijn server (virtuele CPU) ondersteund AES-encryption-instructieset. Ik weet alleen niet hoe of waar ik dit moet gaan inschakelen.

[ Voor 24% gewijzigd door Qlii256 op 18-10-2015 10:01 ]

Xudonax schreef op zondag 18 oktober 2015 @ 09:58:
Het is relatief eenvoudig zelf te controleren, vooral als je Linux gebruikt. Op Linux kun je grep aes /proc/cpuinfo draaien, en als hier output uit komt dan heb je AES versnelling. Voor Windows kan ik zo 1-2-3 geen tooltjes hiervoor vinden

Bedankt! Ik had dit net uitgevoerd en ik zie aes in het rood staan (wat betekend dat mijn CPU het ondersteund?). Maar hoe activeer ik dit voor de VPN-server?

Xudonax schreef op zondag 18 oktober 2015 @ 10:02:
Dat had één Google zoekopdracht je kunnen vertellen
Als je naar https://doc.pfsense.org/index.php/Are_cryptographic_accelerators_supported#OpenVPN gaat dan zeggen zij dat er geen speciale configuratie voor nodig is, maar dat je wel een supported cipher moet kiezen.

Dan heb ik waarschijnljke en verkeerde cipher gekozen bij de set-up van de server. Ik zal dus elk client certificaat moeten gaan aanpassen alsook het server certificaat? En welke cipher kies ik dan best?

Blijkt nu uit mijn server.conf dat ik geen enkele cipher geselecteerd heb, wat waarschijnlijk resulteerd in een non-AES-NI standaard cipher?

Xudonax schreef op zondag 18 oktober 2015 @ 10:09:
Dat durf ik niet te zeggen, dat zou de documentatie van OpenVPN je kunnen vertellen. Trouwens, iets meer zelf uitzoeken zou je leven makkelijker maken

Hartelijk dank voor de informatie! Ik ben nu al een stap verder en zal even uittesten hoe het nu zit met de snelheden! Verder wil ik ook even melden voor anderen die toevallig dit topic zouden lezen dat je ook de cipher (cipher AES-128-CBC) aan de client-configuratie moet toevoegen, of het zal niet werken.

Na verdere tests en veel configuratie-bestanden bewerkt te hebben zit ik nog steeds met de lagere snelheid. Ik heb ondertussen een nieuwe server ter beschikking (geen AES-NI support), maar ook deze blijft steken tussen de 40 - 50 Mbps downloadsnelheid.

Heb proberen de tun-mtu aan te passen maar dit lijkt niet veel te helpen. Wat me wel opgevallen is, is dat openssl heel weinig cpu gebruikt. Als ik een 1 GB bestand download met een client over de VPN-verbinding, dan zit het cpu gebruik op 1 core maar rond de 16 %. Het lijkt me toch zo dat de load hoger zou moeten gaan? Ook het aanpassen van de cipher geeft geen enkel invloed op CPU gebruik of snelheid van de download.

Ik hoop dat iemand mij kan verder helpen want ik ben ten einde raad.

EDIT: Ik heb ter test even volgende commando uitgevoerd: openssl speed aes-128-cbc. Daarbij merk ik op dat het CPU gebruik (load) echt wel de hoogte in gaat. Beide cores gaan af en toe tot 100 % belasting. Wat mij eigenlijk wel blij maakt, want dan ligt het niet aan een slechte OpenSSL-package. Het moet dus toch iets zijn met de OpenVPN-server zelf waarbij hij overheat krijgt neem ik aan? maar ik kan nergens meer wat vinden op internet wat blijkt te helpen.

[ Voor 23% gewijzigd door Qlii256 op 01-11-2015 15:21 ]