Synology DS115J als VPN-Client legt FritzBox 7490 lahm

[arenk]

Hallo zusammen,

nachdem ich mein Problem in den letzten 2 Wochen nicht selbst lösen konnte, hoffe ich hier auf Unterstützung.

Auch mithilfe der Anleitungen aus dem Forum habe ich folgendes Setting aufgesetzt:

Standort A (DSL 50.000 kbit/s mit 10.000 Upload):
- Synology NAS DS115J als VPN-Client mit OpenVPN
- Die Synology wird produktiv eingesetzt, d.h. an diesem Standort werden neue Daten erzeugt
- DSL-Router ist eine FritzBox 7490

Standort B (DSL 15.000 kbit/s mit 4.000 Upload):
- Synology NAS DS115J als VPN Server mit OpenVPN
- Auf dieser Box sollen per HyperBackup und rsync verschiedene Daten gesichert werden
- DSL Router ist ein Speedport, Portforwarding und DynDNS eingerichtet

Folgendes Problem:
- Die Sicherung von A nach B ohne VPN Tunnel direkt über die DynDNS-Adresse läuft mit ca. 1 MByte/s, das ist gegeben der Internetverbindungen in Ordnung. Selbst nebenher Surfen etc. ist mit minimalen Einschränkung möglich

- Sobald ich die Daten aber durch den VPN Tunnel schicke (Backup-Server in HyperBackup oder rsync auf die lokale IP ändere), bricht der Upload auf 300 KByte/s ein
- Das Seltsame daran ist, dass wohl die FritzBox der Engpass zu sein scheint: CPU Auslastung extrem hoch, Internet kaum noch benutzbar, selbst WLAN Verbindungen schwierig.
- Die Synology hingegen, die ja eigentlich die Verschlüsselung der VPN Verbindung übernimmt, hat eine CPU-Auslastung von < 50 %

-> Synology NAS als VPN Client hinter der FritzBox 7490 legt die FritzBox lahm.


Hat irgendjemand ein Ansatzpunkt, woran das liegen könnte? Was für Informationen braucht ihr noch?

Vielen Dank und viele Grüße
Alex

 

[Fusion]

Falls es dir nur um die verschlüsselte Übertragung geht, Transportvershclüsselung geht ja auch mit Hyper Backup / rsync selber schon.

Bezüglich VPN Passthrough und Fritte CPU habe ich leider keine Idee.

 

[arenk]

Erstmal danke für die Antwort!

Habe mich etwas zu VPN-Passthrough informiert, sollte aber wohl bei OpenVPN kein Thema sein und wenn, dann dürfte die VPN-Verbindung erst gar nicht zustande kommen.

Zur Frage der Verschlüsselung: VPN wird zwischen den beiden Standorten ohnehin benötigt, ich fände es deshalb deutlich angenehmer, diese eine Verbindung für alles zu verwenden, anstatt mehrere Ports zu öffnen.

Irgendwelche anderen Ideen noch? Für die FritzBox sollte das ja ganz normaler Traffic sein, der nur durchgeroutet werden muss?!

 

[Fusion]

Passthrough ist kein Problem, das können beide Router. Und besonders viel CPU sollte das nicht kosten, da die Pakete ja nur durchgereicht werden. Von dieser Seite meinte ich, dass ich nicht weiß, wo die CPU Last herkommt.
Dumm, dass Standort B ein Speedport hat, sonst hätte man einfach zwischen den Routern ein VPN-Tunnel aufbauen können.

VPN vs Transportverschlüsselung, ja, kann ich nachvollziehen, würde ich denke ich auch bevorzugen in dem Fall.

 

[Andy14]

Könnte mir nur noch vorstellen da ein Filter in der Fritzbox "greift"?
Falls OpenVPN z.B. über UDP läuft könnten da Filter eingerichtet sein die beim rsync TCP nicht beachtet wird.
Schon mal im Log geschaut ob die Fritzbox irgend etwas protokolliert?

 

[arenk]

Bisher nur in die Standard Log auf der Weboberfläche, vielleicht muss ich da mal per SSH drauf. Dein letzter Punkt bringt mich aber auf die Idee, dass vielleicht die MTU Size ein Problem sein könnte und die FritzBox die Pakete vor der Übertragung per PPPoE splitten o.ä. muss. Werde hier mal mit 1400 testen und berichten, falls es daran lag.

 

[Andy14]

Ja, da bin ich auch drüber gestolpert!
Wenn UDP eingestellt ist, vielleicht auch mal mit TCP probieren, obwohl das bei Übertragungsproblemen meiner Meinung nach eher in OpenVPN, also auf der Synology zu mehr Arbeit führen sollte.

 

[arenk]

Also ich habe jetzt etwas experimentiert und es lag tatsächlich an der MTU Size: Pakete splitten überfordert die Fritzbox 7490 wohl komplett.

Hier mal die Lösung für andere, der Use-Case 2 Synology NAS über OpenVPN und Fritzbox ist vermutlich nicht ganz exotisch:

Server-Config anpassen:
- Systemsteuerung -> Terminal -> SSH aktivieren
- mit admin Rechten per SSH verbinden
- vi /var/packages/VPNCenter/etc/openvpn/openvpn.conf
- „i“ für insert
- Zeile „link-mtu 1400“ einfügen
- VPN-Service neu starten (wer nicht weiß wie, einfach das NAS neu starten)

Client-Config anpassen:
- Auf Server OpenVPN-Konfig exportieren
- in openvpn.conf Server-IP anpassen
- Ebenfalls Zeile „link-mtu 1400“ einfügen
- Neue OpenVPN-Verbindung im Netzwerkbereich einrichten, wichtig: über .config Datei!


Das wars, danach hat sich bei mir die Geschwindigkeit von 300 kBit/s auf 1,1 MBit/s erhöht und die Fritzbox hat wieder eine völlig normale CPU Auslastung.

 

[mb01]

Muss ich bei mir mal schauen, eigentlich läuft bei mir etwas Ähnliches: Meine DS415+ an Standort A (T-VDSL50 mit 7490) baut eine OpenVPN-Verbindung zu einer DS216j an Standort B (T-VDSL50 mit 7490) auf, der VPN-Server läuft auf der DS216j, soweit alles mit "Default-Config". Die DS415+ sichert dann auf die DS216j, der Upload ist in Hyper Backup auf 1024 kByte/s ("8 MBit/s") begrenzt. Bislang hatte ich beim Sichern immer diesen vollen Speed und auch sonst keine "Auffälligkeiten", die auf eine überlastete Fritzbox hindeuten. Ich schaue mal beim nächsten Sichern auf die Fritzbox, aber ich würde mal sagen, dass das kein allgemeines Problem bei dir war, sondern irgendwie noch ein zusätzlicher Faktor reingeruscht ist.

 

[Iarn]

Danke arenk für das Teilen der Lösung!