Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Lentitud con OpenVPN entre 2 casas al ver HD o enviar archivos desde PC

Jeronimo17

He conectado la red local de la casa de mis padres con la mía con OpenWRT y OpenVPN.

En ambas casas hay Finetwork 100/100. El servidor en casa de mis padres es un Observa VH4032N con OpenWrt 19.07.1, allí está de 2º router por ethernet y tiene entre otras cosas un receptor satélite Freesat conectado directamente. El de Finetwork tiene conectado directamente por ethernet un PC de mesa.

Lo raro es que los canales SD se ven bien, pero si pongo un HD, como RT-HD supera el ancho de banda, se entrecorta. Y enviar archivos desde el PC de mesa por la VPN a mi también va superlento (todos los pcs tienen Linux mint) [por ssh y por samba ~300kb/s]. Aquí en la imagen se ve que no es falta de CPU del router. Esta al 50% y no encuentro el cuello de botella.

Si uso el PC de casa de mis padres para enviarme el stream por ssh no hay problema. La CPU del router servidor llega cercano al 100% y el video HD llega perfecto porque el ancho de banda es cercano a 8Mb/s y abrir el enlace directamente es 3 o 4Mb/s (si lo hago por ssh en el propio router también funciona).

ssh root@192.168.3.100 curl http://192.168.3.159:81/202_0_1627_22000_0_1_1021_1022_1020_1021_2.ts | vlc -

Contenido de /etc/OpenVPN/server.conf

root@OpenWrt:~# cat /etc/openvpn/server.conf 
;tls_server
port 1194
proto udp
dev tap0
duplicate-cn
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
server-bridge 192.168.3.1 255.255.255.0 192.168.3.220 192.168.3.229
;ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
push "redirect-gateway def1"
keepalive 10 120
cipher AES-256-CBC
client-to-client
persist-key
persist-tun
status openvpn-status.log
crl-verify crl.pem
;explicit-exit-notify
openvpn.webp

¿Alguna sugerencia?

Gracias

BocaDePez
BocaDePez

Según mi experiencia,

Si el equipo que hace el túnel VPN va justito de HW, la CPU se pondrá al 100% y no da pa más.

Aparte de esto, por ejemplo Movistar limita el tamaño por conexión, es decir, si tu tiras a ver un video a YouTube te da lo que tengas contratado, pero como sea una VPN lo ve como una única conexión y no te da el 100% de la conexión, y da igual lo que metas por ahí que tendrás esa conexión limitada. El que menos problemas da para levantar túneles suele sen Orange, incluso en NEBA. Desconozco como está la res de VF (La que usa Fi) configurada para estos casos.

🗨️ 1
rbetancor

pero como sea una VPN lo ve como una única conexión y no te da el 100% de la conexión, y da igual lo que metas por ahí que tendrás esa conexión limitada

¿Tu que yerba fumas? … Movistar no limita un carajo la conexión, te irá a lo que tus equipos aguanten.

Pues anda que no tengo yo VPN's montadas con FTTH's de Movistar y van al tope de la línea.

BocaDePez
BocaDePez
1

SI hay dos núcleos y está la cpu al 50% significa que tiene un núcleo a tope, no creo que OpenVPN soporte multihilo en una conexión.

🗨️ 3
BocaDePez
BocaDePez
2

totalmente de acuerdo, el OpenVPN justito en rendimiento, prueba wireguard. Suele dar mejor rendimiento.

🗨️ 1
chucko
1

Exacto, OpenVPN para punto a punto no es el mejor en rendimiento, pon Wireguard y verás como la velocidad se multiplica por 4 o 5

Jeronimo17

No es eso, como se ve en la imagen ningún núcleo esta al 100% ni de lejos, y si uso ssh sobre red local con el túnel OpenVPN entonces si alcanzo toda la velocidad y la cpu si llega al 100% del router

BocaDePez
BocaDePez

Si quieres asegurarte de que es por CPU (casi seguro), pon "cipher none" y "auth none" en lugar de AES… y SHA… en ambos extremos.

🗨️ 2
Jeronimo17

Ya se que seria una prueba, pero es meter la red local sin seguridad en internet ¿no?

🗨️ 1
pepejil

Ni se te ocurra exponer SMB sin cifrado. No le hagas caso.

vukits

más allá de lo que han dicho los compañeros sobre Wireguard

¿me puedes explicar por qué tiene que ser punto a punto?

¿no puedes tener el servicio OpenVPN en un sólo sitio? (pregunto)

Y también, ¿por qué usas tap en vez de tun ? (tap deja pasar un montón de tráfico broadcast)

🗨️ 22
Jeronimo17

Wireguard no lo conozco…

De punto a punto no se ¿a que te refieres?

El servicio esta en la casa remota, solo en un sitio y yo conecto en mi casa Linux Mint y un router que me da servicio VoIP por la VPN

Con tun no conseguía acceder mas que al router servidor remoto y yo quiero acceso a toda la red local (lo mismo es desconocimiento mio y se puede con tun)

🗨️ 21
pepejil

Con tun no conseguía acceder mas que al router servidor remoto y yo quiero acceso a toda la red local (lo mismo es desconocimiento mio y se puede con tun)

Porque debes poner todos los rangos que quieres tener acceso y autorizar expresamente salida a gateway con redirect-gateway def1 si quieres Internet desde la conexión de la VPN.

vukits

para acceder a la red local de tus padres, no tiene sentido tunelar todo el tráfico por ahi… con añadir las rutas, vas sobrado.

dime el rango IP de casa de tus padres, (192.168.-)

🗨️ 19
Jeronimo17

192.168.3.0/24

y mi casa 192.168.2.0/24

🗨️ 18
vukits
🗨️ 17
BocaDePez
BocaDePez
🗨️ 14
vukits
🗨️ 12
vukits
🗨️ 10
vukits
🗨️ 8
vukits
🗨️ 5
vukits
🗨️ 3
vukits
🗨️ 1
pepejil

Para todos esos que decís que OpenVPN es lento por diseño… ¿En qué os basáis?

Yo con un servidor OpenVPN en una línea Movistar 300/300 y el cliente en Lowi con 120/100 y muevo perfectamente el tráfico VPN con los 120/100 sin bajones de velocidad en ningún momento. Incluso con LZO activado.

Teniendo en cuenta eso, tienes un error de configuración. Péganos la config del cliente también, porque si no tienes la misma config que el servidor, puedes tener problemas de rendimiento… Y si, mejor TUN que TAP y UDP only.

🗨️ 2
pepejil

La teoría es muy bonita, pero en la práctica es diferente.

Jeronimo17
ssh jeronimo@192.168.3.117 curl http://192.168.3.159:81/202_0_1627_22000_0_1_1021_1022_1020_1021_2.ts | vlc -

Así va bien la TV en HD no se corta en ningún momento

ssh.webp

Sin embargo me extraña que por samba y por ssh la trasferencia desde el mismo PC sea tan lenta y usándolo de intermediario para enviarme el trafico de Freesat no tenga problemas (el PC es el mas moderno de todos, todos tienen disco SSD y la cpu y consumo de red de ambos es nulo en ese momento)

copiasamba.webpesquema.webp
🗨️ 11
vukits

VLC usa paquetes UDP, que no sobrecargan al router…

mientras que samba y ssh usan TCP (por defecto), que supone mucha más carga.

es mi teoría

🗨️ 1
Jeronimo17

Pero justo lo 1º que pongo es que si uso el PC que trasfiere lento para trasmitirme el trafico de video por ssh va genial, si conecto directamente a Freesat no, si uso el router mismo para enviarme el video por ssh también funciona (se satura cpu por codificar OpenVPN y ssh pero aun así va mejor que conectar directamente con Freesat)

scp jeronimo@192.168.3.117:/home/jeronimo/Escritorio/1.mkv .
jeronimo@192.168.3.117's password: 
1.mkv                                           0% 6448KB 215.4KB/s 3:46:30 ETA
ssh jeronimo@192.168.3.117 curl http://192.168.3.159:81/202_0_1627_22
000_0_1_1021_1022_1020_1021_2.ts | vlc -

  2 2502M    2 57.7M    0     0   947k      0  0:45:03  0:01:02  0:44:01  949k
pepejil

SMB de por si es horroroso. Yo a veces ni saliendo de la red local, tengo unas transferencias horripilantes.

Si usas Linux en ambos extremos, mejor NFS.

🗨️ 8
Jeronimo17

Si, pero por SCP también va a la misma velocidad

🗨️ 6
rbetancor

Con SCP, estás cifrando, sobre el cifrado … normal que no obtengas un rendimiento alto.

🗨️ 5
rbetancor
🗨️ 3
rbetancor
🗨️ 1
rbetancor

El SMB, en Linux, con los ajustes adecuados, va bien … desde luego hay protocolos mucho mejores, pero el principal problema de SMB es la configuración "by default" … tanto de los equipos Windows, como cualquier Linux que intentes conectar o que haga de servidor, y si hablamos de los típicos NAS que comparten por SMB, ya ni te cuento la mierda de rendimiento que les sacas.

vukits

en el enlace que te puse, el compi había instalado el servicio OpenVPN directamente en el Decodificador.

¿no lo has considerado?

🗨️ 1
Jeronimo17

Era el deco mas básico que había no parece tener Linux o al menos accesible

Jeronimo17

Mi sospecha final creo que se debe a la latencia, el Freesat (Server: mini_httpd/1.19 19dec2003) funciona tan cogido de los pelos que no han tomado en cuenta una alta latencia en la red local (creo que pasa lo mismo con samba), por eso al usar como un proxy local (como nc o ssh) ya apenas tiene latencia con el receptor y me trasmite correctamente el HD.

Me gustaría comprobarlo en el sitio sin VPN creando una latencia artificial creo que con tc se puede

unix.stackexchange.com/questions/83936/i…high-latency