26

Odp: Słaba wydajność VPN Wireguard

iptables -I INPUT -p tcp --dport 5001 -j ACCEPT
iptables -I INPUT -p udp --dport 5001 -j ACCEPT

Jeżeli otworzyłeś na wan to na vpn robi się tak samo tylko zmieniasz strefe z wan na vpn czy jak tam ją nazwałeś w firewallu.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

27

Odp: Słaba wydajność VPN Wireguard

Przy okazji coś nagrzebałem, bo po podłączeniu VPN nie mam internetu, więc nie mam również dostępu do iperfa.


config/firewall:

config defaults
        option syn_flood '1'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        option masq '1'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option output 'ACCEPT'
        option mtu_fix '1'
        option input 'REJECT'
        option forward 'REJECT'
        option masq '1'

config forwarding
        option src 'lan'
        option dest 'wan'

config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
        option target 'ACCEPT'

config include
        option path '/etc/firewall.user'

config rule
        option src 'wan'
        option target 'ACCEPT'
        option name 'wireguard'
        option proto 'tcp udp'
        option dest_port '55055'

config zone
        option name 'wg'
        option input 'ACCEPT'
        option forward 'ACCEPT'
        option output 'ACCEPT'
        option network 'wg0'
        option masq '1'

config forwarding
        option src 'wg'
        option dest 'wan'

config forwarding
        option src 'wan'
        option dest 'wg'

config forwarding
        option src 'wg'
        option dest 'lan'

config forwarding
        option src 'lan'
        option dest 'wg'

config redirect
        option dest_port '55066'
        option src 'wan'
        option name 'wireguard'
        option src_dport '55066'
        option target 'DNAT'
        option dest_ip '10.21.92.100'
        option dest 'lan'
        option proto 'tcp udp'

config rule
        option dest_port '5001'
        option name 'iperf'
        option target 'ACCEPT'
        option proto 'tcp udp'
        option src '*'
        option enabled '0'

28

Odp: Słaba wydajność VPN Wireguard

Cały czas nie wiem jak dopuścić ruch po iperf - po TCP o dziwo działa, po UDP nie ma odpowiedzi z serwera do klienta.

W każdym razie - przeprowadziłem dodatkowy test - mam maszynę ustawioną na DigitalOcean.

- test klient windows - brak utraconych pakietów, łącze wysycone
- klient android po LTE -90% utraconych pakietów, prędkość 3Mbit/s
- klient android po wifi, używający tego samego routera co klient windows - 85% utraconych pakietów, prędkość 12Mbit/s

Tak jak zobaczyłem, że po LTE jest źle to się nie zdziwiłem, ale jak to możliwe, że po wifi mam tyle utraconych pakietów? Wifi 5GHz, 0,5m od routera (siedze przy biurku na którym stoi router)?

29

Odp: Słaba wydajność VPN Wireguard

Krukosz napisał/a:

Cały czas nie wiem jak dopuścić ruch po iperf - po TCP o dziwo działa, po UDP nie ma odpowiedzi z serwera do klienta.

W każdym razie - przeprowadziłem dodatkowy test - mam maszynę ustawioną na DigitalOcean.

- test klient windows - brak utraconych pakietów, łącze wysycone
- klient android po LTE -90% utraconych pakietów, prędkość 3Mbit/s
- klient android po wifi, używający tego samego routera co klient windows - 85% utraconych pakietów, prędkość 12Mbit/s

Tak jak zobaczyłem, że po LTE jest źle to się nie zdziwiłem, ale jak to możliwe, że po wifi mam tyle utraconych pakietów? Wifi 5GHz, 0,5m od routera (siedze przy biurku na którym stoi router)?

Ja mam postawiony serwer na RPI3, robiąc podstawowe speedtesty, na łączu Orange 300/50 to wyciągałem na maksa to co moze mój internet dac , czyli wprzypadku mojego UPC upload 30 [ 3.6 MB/s] oraz ruch w strone serwera WG zna łączu Oorange czyli 50 mbps [6MB/s] .

30

Odp: Słaba wydajność VPN Wireguard

Porobiłem więcej testów, wireguard stoi cały czas na Celeronie J1800. Jeżeli klient jest podłączony po kablu to iperf pokazuje 100Mbit/s, jeżeli po WIFI/3G to wydajność leci na łeb (Wifi 5Ghz od 15 do 30Mbit/s).
Czy wireguard tak ma, że jest bardzo czuły na jakość połączenia?

Zauważyłem inny problem - nie mogę wyciągnąć więcej jak 100Mbit/s. Łącze mam po obu testowanych stronach 300/300 przez światłowód i i bez wg osiągam tyle.
Wykorzystanie procesora badałem - jest znikome, więc to raczej nie throttling.