WireGuard VPN-server op Asus RT-AX86U halveert snelheid

Op mijn ASUS RT-AX86U is het met de nieuwe 388 firmware mogelijk om een WireGuard VPN-server te installeren. Echter, wanneer ik alleen nog maar het schuifje aanzet van de VPN-server, wordt mijn gigabit WAN-snelheid gehalveerd naar ~ 500 Mbit, op zijn meest. Dit geldt dan direct voor al het verkeer, want ik ben dan nog niet eens toegekomen aan het instellen en verbinden van de clients.



Hier de betreffende instellingen. Alleen het schuifje aan is dus al voldoende voor halvering, terwijl ik in de veronderstelling was dat WireGuard snel, licht en veilig zou zijn.

Bij de andere VPN-protocollen heb ik geen last.

Online kom ik o.a. dit topic tegen, waarin wordt gezegd dat het een hardwarelimiet is, maar is dat zo? Waarom heeft het verkeer buiten WireGuard om, hier dan ook last van?

Ik vind het niet erg dat clients verbonden met de VPN snelheid inleveren, maar daarbuiten wil ik gewoon gigabit behalen. Zou er een oplossing/workaround zijn (anders dan een ander protocol gebruiken)? Wat denken jullie?

iCore schreef op vrijdag 4 november 2022 @ 17:17:
WireGuard kan inderdaad heel snel zijn, het kost alleen best wat CPU kracht. Thuis op mijn PC met een Ryzen 5600X kan ik een gigabit connectie voltrekken maar wel tenkoste van hoog CPU gebruik. In die router zit natuurlijk een chip die veel langzamer is dan een Ryzen 5 5600X, lijkt mij dus inderdaad ook hardwarelimiet.


[...]


Krijg je met OpenVPN dan wel full gigabit VPN speeds?

En hoe bedoel je precies buiten wireguard om? De setting zou er toch voor zorgen: Devices -> Router (VPN on) -> Internet.
Dus alles wat met de router verbind zou via de vpn moeten gaan? of begrijp ik de VPN functie op de router verkeerd

Met buiten WireGuard om bedoel ik dat de server op de router wel draait maar nog geen actieve cliënten heeft. De schuifjes bij de andere protocollen hebben verder geen invloed op de snelheid als ik met mijn apparaten niet daarmee verbind zeg maar

Ik kan zoals nu bv rustig IPSec aan hebben staan, waarbij apparaten die niet daarmee verbonden zijn, gewoon gigabit halen. En apparaten die wel verbonden zijn, halen dan 300 Mbit. Zoiets wil ik ook met WireGuard.

Taab schreef op vrijdag 4 november 2022 @ 18:08:
Hoewel wireguard een stuk minder hongerig is dan OpenVPN heeft CPU kracht wel degelijk invloed op je prestaties. Ik vind 500 Mbit nog niet tegenvallen.

Ik gebruik zelf een pfSense router om mijn verbinding via OpenVPN dicht te trekken (200 Mbits), maar ik ben voor meer snelheid weer afhankelijk van de VPN provider.

Ik vind het ook niet erg dat verkeer via WireGuard wat minder snel gaat, maar ik wil wel graag het andere verkeer op gigabit houden. Maar het lijkt erop dat als de WireGuard-server actief is, dat àl het verkeer halveert qua snelheid.

Ondertussen ben ik met een workaround bezig, namelijk WireGuard in Docker op mijn Synology DS920+. Het installeren is gelukt, maar ik loop tegen het probleem aan dat ik geen internet heb als ik met de iOS app verbinding maak met de VPN. De verbinding lijkt goed te lukken, maar ik kan daarna alleen lokale IP-adressen benaderen. Ik gok dat ik het in de richting DNS of firewall rules moet zoeken, maar ik heb eigenlijk geen flauw idee waar te beginnen. Wellicht dat er ook een conflict is met AdGuard die op dezeflde NAS ook in Docker draait.

Situatie:
Router: ASUS RT-AX86U op 10.0.0.1. Via DHCP heb ik alle apparaten vastgezet, zo staat de DS920+ op 10.0.0.50.

Port forwading voor poort 51820 (UDP) ingesteld naar de DS920+.
De GUI is lokaal bereikbaar via http://10.0.0.50:51821:



Connecten via de iOS app gaat prima zo te zien:



Alleen nu weet ik het niet meer... Handmatig aanpassen van de DNS in de iOS app naar bv. 8.8.8.8 heeft geen resultaat.

Iemand een idee?

laurens0619 schreef op maandag 7 november 2022 @ 14:00:
@Saekerhett
even antwoord op je oorspronkelijke vraag:
Wat ik zo lees in dat gelinkte topic is dat HW NTA acceleratie compleet uitgezet wordt zodra je wireguard aan hebt staan, los van of die verbonden is.

Waarschijnlijk is wireguard ergens niet compatible met het HW nat stuk waardoor alles in CPU mode moet gaan draaien. Die 500mbit is dus niet wireguard speed limiet, maar NAT speed limiet zonder HW nat

Jep, dat is het inderdaad. De Broadcom chip wordt uitgeschakeld om WireGuard werkend te krijgen, maar dat betekent dat Flow Cache (onderdeel van NAT acceleration) niet meer werkt, waardoor de CPU alles moet doen, en dan krijg je dit dus.

Nu effe verder zoeken, want dat WireGuard ding op de Synology aan de praat krijgen zijn hoofdbrekens

laurens0619 schreef op maandag 7 november 2022 @ 14:10:
@Saekerhett al in de firewall van de synology gekeken?

edit:
misschien helpt dit nog?
https://www.reddit.com/r/...ology_to_a_wireguard_vpn/

In de firewall staat verder niks geks. Ik was ondertussen even verder aan het zoeken en wellicht moet er nog wat aangevuld worden in de settings, want ik kwam dit filmpje tegen:

YouTube: Setup WireGuard To Work With Pi-hole Running On The Same Synology NAS

Hier wordt Pi-Hole benoemd, maar goed, datzelfde zal wel gelden voor AdGuard. Ik zal ook even jouw linkje bekijken.

Ben(V) schreef op maandag 7 november 2022 @ 14:56:
Begrijp ik nu goed dat je vanaf het internet met IOS met een wireguard VPN naar je Nas wilt en dan vanaf je Nas weer het internet op?

Lijkt me handiger om op dat IOS device dan split tunnel aan te zetten.

Ja dat klopt. Ik heb het intussen voor elkaar denk ik, het bleek toch een firewall rule te zijn. WireGuard zit op een ander subnet en die mocht geen verbinding naar buiten maken o.i.d.. Ik snap het nog niet helemaal, maar deze settings werken.

Bridge:




En dan deze firewall rule:



Ik ga nu even duiken in dat split tunneling verhaal, want dat is me ook nog niet duidelijk. Waarom zou ik dat precies willen instellen?

[ Voor 6% gewijzigd door Saekerhett op 07-11-2022 17:05 ]

Ben(V) schreef op maandag 7 november 2022 @ 17:45:
Als je al op het internet zit en je gebruik een vpn om op je lan te komen is het is een beetje onzinnig om dan weer het internet op je gaan.

Als je op je lan en rechtstreeks het internet op wilt moet je vpn client split tunnel ondersteunen en dat moet je op die client dan ook aanzetten.

Maar ik wil toch juist via de Synology weer het internet op, want dan maak ik gebruik van de AdGuard DNS (en dus reclamevrij). Of wat begrijp ik niet?

Ben(V) schreef op maandag 7 november 2022 @ 18:17:
Aha dat had ik niet begrepen.
Beetje omslachtige manier van adblokken lijkt mij.

Waarom dan? WireGuard kan on demand verbinden, dus als ik van de WiFi naar 5G ga, schakelt WireGuard automatisch in en heb ik op de eerste plaats direct een veilige verbinding via thuis en op de tweede plaats direct een adblocker.

Even een update: het blijkt dus toch een bug in de firmware van de Asus te zijn!

Een nieuwe update (3.0.0.4.388.22068) heeft een aantal issues verholpen:

Firmware version 3.0.0.4.388_22068
- Release Note -

Bug Fixes and Enhancements:
1. Improved system stability.
2. Fixed the IPsec VPN compatibility issue with Win10.
3. Fixed the VPN fusion user interface issues under the HTTPS connection.
4. Fixed Client DOM Stored XSS vulnerability.
5. Improved Wireguard performance.

En nu haal ik de volle 1 Gbps voor cliënten buiten de VPN, en binnen de VPN tussen 400-500 Mbps, prima dus.