Beantwortet: Server wahnsinnig langsam

[Florian2833z]

Hallo,

Benutze derzeit den Server in Strasbourg und obwohl da irgendwie 500 Mbit frei sind, kann ich nicht mal ordentlich 4k Videos schauen und mein Ping ist auch immer bei 60 ms. Auch bei anderen Servern ist das nicht wirklich anders. Gibt es irgendeine Drosselung per Client?

 

[Florian2833z]

Ich bin bei o2 Deutschland per DSL bis zum Verteilerkasten angeschlossen, darauf folgt Glasfaser. Wie gesagt, ich würde das ja auch befürworten, dass es an meinem Anschluss liegt, jedoch bekomme ich wie gesagt bei Mullvad über UDP auch bei Port 11irgendwas meine vollen 100 Mbit/s. @PP Frank hast du eventuell einen 100 Mbit Heimanschluss (oder schneller) und könntest mal schauen, was du bei dem geographisch nächsten Server per OpenVPN bekommst?

 

[PP Frank]

Ich habe hier Glasfaser 100 MBit direkt und ich bekomme bei OpenVPN meist so 70 bis 80 MBit auf den europäischen Servern. Mit Ipsec Fullspeed. StealthVPN macht bei mir jedenfalls keinen Unterschied. Allerdings hatte ich das schon von etlichen Kunden gehört das da StealthVPN bissl nachbessert. Da sind auch die Ergibnisse mit den verschiedenen Stealth-Protokollen unterschiedlich. Die Meisten haben die besten Ergebnisse mit OBFS3.
Ich habe keine Ahnung was andere wie MullVad für Einstellungen nutzen für OpenVPN. Das kann höchst unterschiedlich sein: Wir sind da eher auf Sicherheit optimiert. Allerdings können viele Optionen beim Nutzer höchst unterschiedliche Ergebnisse liefern. Wir hatten damit auch experimentiert. Eine Option geändert und einige Nutzer hatten auf einmal höheren Speed und andere plötzlich nur noch die Hälfte. Von daher.....

 

[Florian2833z]

europäischen Servern

Bitte mal einen spezifischen Server nennen, den du verwendest und bei dem du 80 Mbit erzielst und was dein Client ist und wie die Config aussieht, falls du sie manuell geändert hast

 

[Florian2833z]

OBFS3

Wann kommt bei euch eigentlich Obfs4proxy?
Habt ihr eine Anleitung, wie ich mir einen eigenen Server mit Obfs4proxy aufsetzen kann, um eure Server noch erreichen zu können, wenn alle IP-Adressen gesperrt sind?

 

[PP Frank]

Das unterscheidet sich nicht gross bei den meisten europäischen Servern. Von daher habe ich eben auch europäische Server gesagt

Nein, zu OBFS4 hab ich jetzt keine Infos und kann dazu nichts sagen.

 

[Florian2833z]

Ich hab auch bereits versucht, mich auf meinem Rootserver im netcup RZ per ovpn zum PP Frankfurt server zu verbinden. Damit bekomm ich auch nur 70 Mbit, obwohl die Anbindung von dem Ding 1 Gbit/s symmetrisch ist.

 

[PP Frank]

Mehr als 100 MBit sind bei OpenVPN soweit mir bekannt eh nicht drin. Und das ist eher theoretisch. Bei IPSEC ist das anders, da ist deutlich mehr drin

 

[Florian2833z]

Mehr als 100 MBit sind bei OpenVPN soweit mir bekannt eh nicht drin. Und das ist eher theoretisch. Bei IPSEC ist das anders, da ist deutlich mehr drin

Ja, bei IPsec bin ich mir aber leider nicht sicher, wie schwer/einfach es ist, IPsec Verbindungen zu kompromittieren. Ich hab mal gelesen, dass es mit dem PSK gehen soll, die Verbindung zu spoofen.

 

[bohumil]

We do not recommend using Pre-Shared Keys (PSKs), Group Domain of Interpretation (GDOI), and other approaches for establishing shared keys across multiple devices. However, we recognise that Pre-Shared Keys are widely used in site-to-site VPNs. In this case we recommend that keys are generated in a cryptographically secure manner to ensure that the they have a high level of entropy to help mitigate brute force attacks.

Quelle:
ncsc.gov.uk/guidance/using-ipsec-protect-data
Die müssten es ja eigentlich am besten wissen...

 

[bigplayer]

OpenVPN ist nun mal langsamer, aber halt sicherer als IPsec.

ncsc.gov.uk/guidance/using-ipsec-protect-data

Deine Quelle bezieht sich aber auf einfches Ipsec1, PP dagegen benutzt in der Zwischenzeit schon eine ganze Weile Ipsec/Ikev2 wo es keine Preshared Keys gibt.
Ipsec/Ikev2 gilt als sicher und bisher nicht geknackt, von daher verstehe ich die ganze Aufregung nicht und dieses bestehen auf in meinen Augen (wenn auch sicheren) aber veralteten OpenVPN Protokoll.

Aber selbst das alte Ipsec ist jetzt nicht einfach mal so schnell zu knacken und on the fly schon mal garnicht. solange man kein Terrorist ist wird sich die NSA nicht für einen interressieren die in der Lage wären dies zu tun.
Dazu kommt noch dass die Verschlüsselung erst der zweite Schritt ist was die Anonymität angeht. Die Verschlüsselung wird erst ab dem Zeitpunkt notwendig wenn schon ein Anfangsverdacht gegen einen besteht und schon gegen einen ermittelt wird. Hat man jedoch vorher schon alles über VPN oder selbst nur über unverschlüsselten Proxy gemacht weiss die andere Seite, also die Behörden nicht wer Du bist. Sie haben ja nur die IP von PP gesehen, ob Du jetzt mit PP verschlüsselt oder unverschlüsselt verbunden bist spielt an diesem Punkt noch überhaupt keine Rolle weil das die Behörden nicht sehen können.

Wer Angst hat das zum Beispiel der Internetanbieter mitliest ist auch selbst schon mit dem relativ leicht knackbaren PPTP genug abgesichert.
Warum? Ganz einfach, der Internetprovider sieht erst einmal nur ganz viele Zahlen und Buchstaben und weiss erst einmal noch garnicht was das fuer ne Verschluesselung ist. Ohne Grund wird er auch ganz bestimmt nicht versuchen die PPTP Verschluesselung zu knacken und einfach jede PPTP on the fly mitlesen geht auch nicht.

Um zum eigentlichen Thema zurueckzukommem. Ich selber habe die Erfahrung gemacht, dass bei OpenVPN die Entfernung zum VPN Server eine viel groessere Rolle spielt, als bei Ipsec.
Bei Servern die sehr nah drann sind bekomme ich auch mit OpenVPN ueber die 100mbit. Gehe ich von Nordamerika nach Europa mit IPsec komme ich immer ueber 100mbit, mit Openvpn hier nur noch 30-40mbit. OpenVPN verliert über grössere Entfernung viel mehr an Speed im Gegensatz yu Ipsec/Ikev2

 

[Florian2833z]

Wer Angst hat das zum Beispiel der Internetanbieter mitliest ist auch selbst schon mit dem relativ leicht knackbaren PPTP genug abgesichert.
Warum? Ganz einfach, der Internetprovider sieht erst einmal nur ganz viele Zahlen und Buchstaben und weiss erst einmal noch garnicht was das fuer ne Verschluesselung ist. Ohne Grund wird er auch ganz bestimmt nicht versuchen die PPTP Verschluesselung zu knacken und einfach jede PPTP on the fly mitlesen geht auch nicht.

Dafür hätte ich gerne eine Quelle

Bei Servern die sehr nah drann sind bekomme ich auch mit OpenVPN ueber die 100mbit.

Ich bekomm leider selbst da nur 40 Mbit

 

[bigplayer]

Dafür hätte ich gerne eine Quelle

glaubst Du im Ernst Telekom oder Vodaphone stellen extra Hacker ein um PPTP oder ander Verschluesselungssysteme ihrer Kunden zu knacken?
Was hätten sie den davon? Denen geht es doch nur darum möglichst viel an Ihren Kunden zu verdienen. Dass einzige was die höchstens machen, ist automatisch den Traffic auf z. Bsp. Torrents oder bestimmte Filehoster zu analysieren um diesen Traffic zu Drosseln und das auch nur zur Gewinnmaximierung damit sie ihr Netz nicht weiter ausbauen müssen. Was die Leute runterladen interressiert die auch sowiso nicht, da bräuchten die wieder eine Hundertschaft an Personal dafür um das überhaupt zu überwachen und die kostet Geld. Personal wird bekanntlichermassen aber eher abgebaut als aufgestockt.
Warum sollten die auch den Traffic versuchen mehr zu überwachen. Dadurch entsteht kein Gewinn sondern nur Kosten. Weder der BND noch die Kontentindustrie bezahlt die Internetanbieter dafür Ihre Kunden zu überwachen. Wenn sowas rauskommen würde wäre dies auch ein riesiger Skandal.

 

[bohumil]

@bigplayer
Ich danke dir für deine Antwort.
Was ich nicht wusste, dass IKEv2 keine Preshared Keys benötigt.
Könntest du so lieb sein , um mir das zu bestätigen?

 

[bigplayer]

bei Ikev2 ist beides moeglich.
PP benutzt hier aber keine Preshared Keys sondern Zeritifikate. Erkennst Du auch schoen wenn Du Ipsec/Ikev2 manuell einrichten willst. Dann musst Du erst einmal die Zertifikate installieren. Der Client macht das automatisch im Hintergrund.
https://www.perfect-privacy.com/de/manuals/windows_10_ipsec_ikev2\
Hier ist das Ganze auch noch einmal recht gut verständlich erklärt:
http://www.corex.at/whitepapers/wp_bin_vpn_preshared_keys.pdf
Der wichtigste Teil betreffend PP steht ziemlich am Schluss auf der letzten Seite

Um jedoch wirklich sicher zu sein, sollten VPNs Stand heute mit Zertifikaten arbeiten. Dies ist zwar initial etwas aufwändiger und verlangt dem Administrator ein höheres Know how ab, bietet aber die notwendige Sicherheit. Bei einem VPN aufBasis von Zertifikaten besitzt jeder Kommunikationspartner sein jeweils eigenesZertifikat und ist damit eindeutig identifiziert.