Wireguard bei großen Übertragrungen langsam

[Piktogramm]

Zusammenfassung:
Größere Übertragungen über den Wireguard Tunnel brechen nach nur ~100MB massiv ein. SSH übers Internet zwischen den beiden Knoten schafft es an der Grenze der verfügbaren Bandbreite.

Lang:
Ich habe zwei Rechner mit Wireguard verbunden, der Tunnel selbst wird über den Rechner lokal initialisiert, der auf server.com verbindet. In der Regel löst server.com zu IPv6 auf. Die beiden Knoten sprechen die Verbinung jeweils über das Netzwerkgerät wg0 an. Die Erreichbarkeit untereinander ist problemlos möglich (ping über v4 und v6 mit ~20ms mit 0 Paketverlusten). Was jedoch problematisch ist, sind größere Datenverbindungen über den Tunnel. Konkret geht es um:

Lokal initialisiert Übertragung:
user@lokal:~$ ssh user@fe80::1%wg0 -C " echo 'password' | sudo -S btrfs send /snapshots/@server_root_2020-10-14_01:55" | pv | dd of=/media/storage/Backup/server/@server_root_2020-10-14_01:55.btrfs

server initialisiert:
sudo -s btrfs send /snapshots/@server_root_2020-10-14_01\:55/ | pv | ssh "user@fe80::2%wg0" -C -i /home/user/.ssh/id_ed25519 dd of=/media/storage/Backup/server/@server_root_2020-10-14_01\:55.btrfs

Das Ergebnis schaut meist so aus, dass die ersten 50-150MB mit ~6MB/s stattfinden. Da lokal.local an einer 50Mbit Verbindung hängt ist das voll in Ordnung. Danach sackt die Geschwindigkeit jedoch massiv ab und das in den Pipes eingefügte pv vermeldet 253MiB 0:30:36 [91.1KiB/s] und zwischenzeitlich auch KiB/s. Pings die über v4 und v6 über das Interface wg0 zwischen den Geräten laufen klappen jedoch problemlos.

Eine Übertragung über SSH, die von lokal.local ausgeht und nicht über den Tunnel läuft wickelt die Übertragung problemlos ab und schafft über einige Stunden den Durchsatz, den mir die anderen Nutzer des lokalen Netzwerks übrig lassen. Es ändert sich dabei nur das Ziel vom SSH im ersten Beispiel also:
user@fe80::2%wg0 in user@server.com%bond0

Ergo es liegt irgendwie am WireGuardTunnel und ich würde es gern korrigieren :=).

• Betriebssysteme: Ubuntu 20.04 mit aktiviertem HWE 5.4.0-51 Kernel
• Das Log enthält auf beiden Rechnern nur Meldungen zu Verbindungsaufbau/Initialisierung des Interface wg0
• Firewalls:

** Server nutzt eine ufw Firewall, lässt Ports für https, wireguard, ssh offen
** lokal nutzt keine eigene Firewall, der Router hat keine Firewall aktiv ist aber Kernschrott (Telekom Speedport 721V).

Noch nicht getestet sind andere Anschlüsse/Router.

 

[lokon]

Könnte genauso an einer DPI Regel beim Provider /im Internet liegen.

SSH = "guter" Traffic bzw. kann klassifiziert werden,
Wireguard = "schlechter" Traffic , wird nach 100MB gedrosselt.

Es kann zB der UDP Traffic "limitiert" aka gedrosselt sein - Wireguard nutzt UDP (genauso wie böses Bittorrent uTP).
Oder es soll "Serverbetrieb" verhindert werden.

Der Provider / Internet wird vermutlich keine Transparenz bzgl. seiner Firewallregeln zeigen.
Um ein Ausprobieren von verschiedenen "Lösungen" mittels mehrere Verbindungen/Ports offen (Limit pro Verbindung), Tunnel , TLS / HTTPS , Obfuscation, OpenVPN wirst du nicht herumkommen.
siehe auch hackernews

 

[Piktogramm]

Jetzt wo du es sagst, Torrents sind an dem Anschluss mitunter auch schwierig und führen bis Abbruch des Anschlusses.
Wenn dem so wäre, würde ich ja kotzen. Internet bestellen aber nicht bekommen..

 

[lokon]

Keine Ahnung wieviel Lust / Probleme bzw. auch Alternativen zum Provider es an deinem Standort gibt, aber
es gibt ja Produktinformationsblatt gem. § 1 TK-Transparenzverordnung und die AGBs.

• Wird der minimale Standard eingehalten
• Was ist mit der durchschnittl. Übertragungsrate

ältere Übersicht via winfuture

Iperf über einen SSH Tunnel, Iperf direkt TCP/UDP ausprobieren.

Bei den vielen Youtubern und Streamern sind Uploadlimits irgendwie lächerlich.
Der ganze 4K Iphone-Selfie-Content will auch irgendwie sicher hochgeladen werden und soll nicht unverschlüsselt auf einem Server liegen, der jemand anderem gehört (= "Die Cloud ist der Computer von jemand anderem")

An den Knotenpunkten des Breitbandkabelnetzes werden automatisch Gesamt-Verkehrsvolumen- messungen durchgeführt. Grundsätzlich wird jede Art von Verkehr gleichmäßig durchgeleitet. Nur wenn die Gefahr einer Überlastung des Netzes besteht, ist Vodafone berechtigt, in den betroffenen Netzsegmenten den Verkehr zur Sicherung der Servicequalität folgendermaßen zu priorisieren: 1) Zeitkritische Anwendungen (z.B. Video-Streaming, Internet-/Videotelefonie, Online-Gaming) erhalten Vorrang vor allen anderen Anwendungen, 2) alle anderen Anwendungen (z.B. Internetsurfen, Social Network) haben immer Vorrang vor File-Sharing-Anwendungen (z.B. Peer-to-Peer, One-Click-Hoster und Net-News).

aus: Vodafone AGB Internet & Phone Kabel 04.08.2020

VPN steht da zB nicht - "gute" DPIs erkennen auch "verpackten" Traffic

Bei der Hotline anrufen und fragen ob du auch mal eben 0,1% des Tarifs bezahlen kannst - oder ob sie dich runterstufen, weil du ja nicht mehr als 100kB/s nutzen kannst.

 

[Piktogramm]

So mal mit netcat getestet, da hängt irgendwo eine Firewall dazwischen, netcat will über udp und tcp auch nicht so richtig. Egal ob es übers Internet geht über den VPN-Tunnel.