Lentitud con OpenVPN entre 2 casas al ver HD o enviar archivos desde PC

Jeronimo17 8 julio 2020 23:51 ✎

⋮

He conectado la red local de la casa de mis padres con la mía con OpenWrt y OpenVPN.

En ambas casas hay Finetwork 100/100. El servidor en casa de mis padres es un Observa VH4032N con OpenWrt 19.07.1, allí está de 2º router por ethernet y tiene entre otras cosas un receptor satélite Freesat conectado directamente. El de Finetwork tiene conectado directamente por ethernet un PC de mesa.

Lo raro es que los canales SD se ven bien, pero si pongo un HD, como RT-HD supera el ancho de banda, se entrecorta. Y enviar archivos desde el PC de mesa por la VPN a mi también va superlento (todos los pcs tienen Linux mint) [por ssh y por samba ~300kb/s]. Aquí en la imagen se ve que no es falta de CPU del router. Esta al 50% y no encuentro el cuello de botella.

Si uso el PC de casa de mis padres para enviarme el stream por ssh no hay problema. La CPU del router servidor llega cercano al 100% y el video HD llega perfecto porque el ancho de banda es cercano a 8Mb/s y abrir el enlace directamente es 3 o 4Mb/s (si lo hago por ssh en el propio router también funciona).

ssh root@192.168.3.100 curl http://192.168.3.159:81/202_0_1627_22000_0_1_1021_1022_1020_1021_2.ts | vlc -

Contenido de /etc/OpenVPN/server.conf

root@OpenWrt:~# cat /etc/openvpn/server.conf 
;tls_server
port 1194
proto udp
dev tap0
duplicate-cn
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
server-bridge 192.168.3.1 255.255.255.0 192.168.3.220 192.168.3.229
;ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
push "redirect-gateway def1"
keepalive 10 120
cipher AES-256-CBC
client-to-client
persist-key
persist-tun
status openvpn-status.log
crl-verify crl.pem
;explicit-exit-notify

¿Alguna sugerencia?

Gracias

BocaDePez 9 julio 2020 08:23

⋮

Según mi experiencia,

Si el equipo que hace el túnel VPN va justito de HW, la CPU se pondrá al 100% y no da pa más.

Aparte de esto, por ejemplo Movistar limita el tamaño por conexión, es decir, si tu tiras a ver un video a YouTube te da lo que tengas contratado, pero como sea una VPN lo ve como una única conexión y no te da el 100% de la conexión, y da igual lo que metas por ahí que tendrás esa conexión limitada. El que menos problemas da para levantar túneles suele sen Orange, incluso en NEBA. Desconozco como está la res de VF (La que usa Fi) configurada para estos casos.

✖

rbetancor 11 julio 2020 22:23

⋮

pero como sea una VPN lo ve como una única conexión y no te da el 100% de la conexión, y da igual lo que metas por ahí que tendrás esa conexión limitada

¿Tu que yerba fumas? … Movistar no limita un carajo la conexión, te irá a lo que tus equipos aguanten.

Pues anda que no tengo yo VPN's montadas con FTTH's de Movistar y van al tope de la línea.

BocaDePez 9 julio 2020 09:01

⋮

SI hay dos núcleos y está la cpu al 50% significa que tiene un núcleo a tope, no creo que OpenVPN soporte multihilo en una conexión.

✖

BocaDePez 9 julio 2020 09:28 ✎

⋮

totalmente de acuerdo, el OpenVPN justito en rendimiento, prueba wireguard. Suele dar mejor rendimiento.

✖

chucko 9 julio 2020 10:50

⋮

Exacto, OpenVPN para punto a punto no es el mejor en rendimiento, pon Wireguard y verás como la velocidad se multiplica por 4 o 5

Jeronimo17 9 julio 2020 14:29

⋮

No es eso, como se ve en la imagen ningún núcleo esta al 100% ni de lejos, y si uso ssh sobre red local con el túnel OpenVPN entonces si alcanzo toda la velocidad y la cpu si llega al 100% del router

BocaDePez 9 julio 2020 09:33

⋮

Si quieres asegurarte de que es por CPU (casi seguro), pon "cipher none" y "auth none" en lugar de AES… y SHA… en ambos extremos.

✖

Jeronimo17 9 julio 2020 14:31

⋮

Ya se que seria una prueba, pero es meter la red local sin seguridad en internet ¿no?

✖

pepejil 9 julio 2020 14:35

⋮

Ni se te ocurra exponer SMB sin cifrado. No le hagas caso.

vukits 9 julio 2020 14:19

⋮

más allá de lo que han dicho los compañeros sobre Wireguard

¿me puedes explicar por qué tiene que ser punto a punto?

¿no puedes tener el servicio OpenVPN en un sólo sitio? (pregunto)

Y también, ¿por qué usas tap en vez de tun ? (tap deja pasar un montón de tráfico broadcast)

✖

Jeronimo17 9 julio 2020 14:35

⋮

Wireguard no lo conozco…

De punto a punto no se ¿a que te refieres?

El servicio esta en la casa remota, solo en un sitio y yo conecto en mi casa Linux Mint y un router que me da servicio VoIP por la VPN

Con tun no conseguía acceder mas que al router servidor remoto y yo quiero acceso a toda la red local (lo mismo es desconocimiento mio y se puede con tun)

✖

pepejil 9 julio 2020 14:36

⋮

Con tun no conseguía acceder mas que al router servidor remoto y yo quiero acceso a toda la red local (lo mismo es desconocimiento mio y se puede con tun)

Porque debes poner todos los rangos que quieres tener acceso y autorizar expresamente salida a gateway con redirect-gateway def1 si quieres Internet desde la conexión de la VPN.

vukits 9 julio 2020 15:14

⋮

para acceder a la red local de tus padres, no tiene sentido tunelar todo el tráfico por ahi… con añadir las rutas, vas sobrado.

dime el rango IP de casa de tus padres, (192.168.-)

✖

Jeronimo17 9 julio 2020 15:17

⋮

192.168.3.0/24

y mi casa 192.168.2.0/24

✖

vukits 9 julio 2020 15:23

⋮

✖

Jeronimo17 9 julio 2020 15:38

⋮

Jeronimo17 9 julio 2020 18:34

⋮

✖

BocaDePez 9 julio 2020 18:55

⋮

✖

Jeronimo17 9 julio 2020 19:00

⋮

vukits 9 julio 2020 19:02

⋮

✖

Jeronimo17 9 julio 2020 19:11

⋮

✖

vukits 10 julio 2020 09:37

⋮

✖

Jeronimo17 10 julio 2020 16:37

⋮

✖

vukits 11 julio 2020 08:45

⋮

✖

Jeronimo17 11 julio 2020 11:47

⋮

✖

Jeronimo17 11 julio 2020 14:04

⋮

vukits 11 julio 2020 15:05

⋮

✖

Jeronimo17 11 julio 2020 17:32

⋮

✖

vukits 11 julio 2020 22:12

⋮

✖

Jeronimo17 12 julio 2020 12:10

⋮

✖

vukits 12 julio 2020 13:37

⋮

✖

Jeronimo17 12 julio 2020 14:20

⋮

pepejil 9 julio 2020 14:29

⋮

Para todos esos que decís que OpenVPN es lento por diseño… ¿En qué os basáis?

Yo con un servidor OpenVPN en una línea Movistar 300/300 y el cliente en Lowi con 120/100 y muevo perfectamente el tráfico VPN con los 120/100 sin bajones de velocidad en ningún momento. Incluso con LZO activado.

Teniendo en cuenta eso, tienes un error de configuración. Péganos la config del cliente también, porque si no tienes la misma config que el servidor, puedes tener problemas de rendimiento… Y si, mejor TUN que TAP y UDP only.

✖

BocaDePez 11 julio 2020 07:50

⋮

rendimiento

blog.entrostat.com/openvpn-vs-wireguard-…rmance-tests

✖

pepejil 12 julio 2020 00:57

⋮

La teoría es muy bonita, pero en la práctica es diferente.

Jeronimo17 9 julio 2020 15:30

⋮

ssh jeronimo@192.168.3.117 curl http://192.168.3.159:81/202_0_1627_22000_0_1_1021_1022_1020_1021_2.ts | vlc -

Así va bien la TV en HD no se corta en ningún momento

Sin embargo me extraña que por samba y por ssh la trasferencia desde el mismo PC sea tan lenta y usándolo de intermediario para enviarme el trafico de Freesat no tenga problemas (el PC es el mas moderno de todos, todos tienen disco SSD y la cpu y consumo de red de ambos es nulo en ese momento)

✖

vukits 9 julio 2020 15:33

⋮

VLC usa paquetes UDP, que no sobrecargan al router…

mientras que samba y ssh usan TCP (por defecto), que supone mucha más carga.

es mi teoría

✖

Jeronimo17 9 julio 2020 15:37

⋮

Pero justo lo 1º que pongo es que si uso el PC que trasfiere lento para trasmitirme el trafico de video por ssh va genial, si conecto directamente a Freesat no, si uso el router mismo para enviarme el video por ssh también funciona (se satura cpu por codificar OpenVPN y ssh pero aun así va mejor que conectar directamente con Freesat)

scp jeronimo@192.168.3.117:/home/jeronimo/Escritorio/1.mkv .
jeronimo@192.168.3.117's password: 
1.mkv                                           0% 6448KB 215.4KB/s 3:46:30 ETA

ssh jeronimo@192.168.3.117 curl http://192.168.3.159:81/202_0_1627_22
000_0_1_1021_1022_1020_1021_2.ts | vlc -

  2 2502M    2 57.7M    0     0   947k      0  0:45:03  0:01:02  0:44:01  949k

pepejil 9 julio 2020 17:01

⋮

SMB de por si es horroroso. Yo a veces ni saliendo de la red local, tengo unas transferencias horripilantes.

Si usas Linux en ambos extremos, mejor NFS.

✖

Jeronimo17 9 julio 2020 17:37

⋮

Si, pero por SCP también va a la misma velocidad

✖

rbetancor 11 julio 2020 22:27

⋮

Con SCP, estás cifrando, sobre el cifrado … normal que no obtengas un rendimiento alto.

✖

Jeronimo17 11 julio 2020 22:34

⋮

✖

rbetancor 12 julio 2020 00:30

⋮

✖

Jeronimo17 12 julio 2020 00:36

⋮

✖

rbetancor 12 julio 2020 00:49

⋮

✖

Jeronimo17 12 julio 2020 01:46

⋮

rbetancor 11 julio 2020 22:28

⋮

El SMB, en Linux, con los ajustes adecuados, va bien … desde luego hay protocolos mucho mejores, pero el principal problema de SMB es la configuración "by default" … tanto de los equipos Windows, como cualquier Linux que intentes conectar o que haga de servidor, y si hablamos de los típicos NAS que comparten por SMB, ya ni te cuento la mierda de rendimiento que les sacas.

vukits 12 julio 2020 10:22

⋮

en el enlace que te puse, el compi había instalado el servicio OpenVPN directamente en el Decodificador.

¿no lo has considerado?

✖

Jeronimo17 12 julio 2020 11:11

⋮

Era el deco mas básico que había no parece tener Linux o al menos accesible

Jeronimo17 13 julio 2020 19:22

⋮

Mi sospecha final creo que se debe a la latencia, el Freesat (Server: mini_httpd/1.19 19dec2003) funciona tan cogido de los pelos que no han tomado en cuenta una alta latencia en la red local (creo que pasa lo mismo con samba), por eso al usar como un proxy local (como nc o ssh) ya apenas tiene latencia con el receptor y me trasmite correctamente el HD.

Me gustaría comprobarlo en el sitio sin VPN creando una latencia artificial creo que con tc se puede

unix.stackexchange.com/questions/83936/i…high-latency