Wireguard LAN-LAN Kopplung langsam

[Schorsch64]

Hallo,

bevor AVM Wireguard in seine Software integriert hatte, waren meine beiden Standorte mittels zweier Raspberry PI Rechner gekoppelt auf denen Wireguard aktiv war. Nachdem LAN-LAN Kopplungen via Wireguard direkt auf der Fritzbox verfügbar waren habe ich meine zwei Fritzboxen (4060 und 7590) an unterschiedlichen Standorte damit verbunden und die beiden Raspberry PI ausser Dienst gestellt. Auf beiden Seiten wird DynDNS von myfritz.net genutzt um die Verbindung herzustellen.

In der ersten Zeit nach der Umstellung auf Wireguard LAN-LAN auf den Fritzboxen war die Geschwindigkeit zwischen den Netzen nicht von der zu unterscheiden, die ich vorher mit den beiden Raspi hatte. Seit einigen Tagen hat die Geschwindigkeit zwischen den Netzen jedoch sehr abgenommen, um genauer zu sind z.B. die Antwortzeiten bei Zugriff auf die Administrationsoberfläche der jeweils entfernten Fritzbox, oder auch bei SSH Zugriffen auf Server am entfernten Standort, deutlich länger als am Anfang bzw. bei Kopplung mittels der Raspis.

Die Internetauslastung im Online Monitor der beiden Fritzboxen liegt dabei bei ca. 10% des maximal möglichen Wertes, daran sollte es also nicht liegen.

Hat jemand eine Idee wo man ansetzen sollte um der Ursache auf die Spur zu kommen?

Danke Euch schon einmal für jede Art von Hilfe!

 

[blurrrr]

Hi,

kannst einmal via ping/traceroute extern schauen (externe IP Remote-MyFritz-Adresse) + einmal intern (durch den VPN-Tunnel, interne IP Remote-Fritzbox).

EDIT: Hast Du mal beide beteiligten Fritzboxen neugestartet und dann nochmal getestet?

 

[Schorsch64]

Traceroute auf die interne IP Adresse der entfernten Fritzbox zeigt 1 Hop (excl, des Hop 1) mit response times zwischen 959ms und 1165ms, tracert auf die myFritz DynDNS Adresse der entfernten Fritzbox geht über 6 Hops mit mehreren Zeitüberschreitungen und response times zwischen 545ms und 1066ms

Neustart habe ich noch nicht gemacht, versuche ich auch mal.

Ob ein Wechsel von myfritz.net auf einen anderen DynDNS Provider vielleicht etwas bringen kann, oder sollte es daran eher nicht liegen?

 

[blurrrr]

Bei MyFritz geht es lediglich um die DNS-Auflösung (FQDN -> IP), das ist völlig egal, wichtig ist die Strecke (IP-Routing). Als einfaches Gegenbeispiel könnte man sagen: Auf der Strecke zwischen Hamburg und München ist Stau, ändert es etwas, wenn ich nun eine andere Adresse in München anpeile? Dadurch wird der Stau (das eigentliche Problem) auf der Strecke ja nicht vermieden

response times zwischen 959ms und 1165ms

response times zwischen 545ms und 1066ms

Das kann mal so, mal so sein. Wie sieht es denn zu dem ersten "öffentlichen" Hop bei Dir aus. Du startest in Richtung Remote-MyFritz-Adresse (öffentlich).

1. Hop: Deine Fritzbox (z.B. 192.168.178.1, oder was auch immer Du da nutzt)

Da sollte noch irgendwas mit kleiner/gleich 1ms stehen. Wie sieht es mit dem 2. Hop aus (also der Verbindung zwischen Deinem Router und dem nächsten Router des Providers)? Sind da schon sehr hohe Werte vorhanden, oder ergibt sich das erst irgendwo auf der Strecke?

Falls es zwischen Deinem Router und Deinem Provider sein sollte, kannst Du auch mal auf die Fehlerzähler in der jeweiligen Fritzbox schauen und - je nachdem - ggf. auch mal ein Ticket bei entsprechenden Provider aufmachen (je nachdem, welcher Anschluss ggf. Fehler wirft).

Es kann auch sein, dass eine Verbindung zwischen zwei Providern gestört ist, da kannst Du aber nichts dran ändern und das wird sich auch erst ändern, wenn die Provider das Problem untereinander ausgemacht und behoben haben.

 

[Schorsch64]

Meinst du mit Fehlerzähler der Fritz!boxen das, was unter System > Ereignisse zu finden ist? Falls ja, in welcher der Unterkategorien sollte dort etwas stehen?

 

[blurrrr]

Internet / DSL / Fehler - das wäre die richtige Anlaufstelle, musst ggf. etwas runterscrollen

 

[Schorsch64]

Ah ok … hätte ich schon von Anfang an dazu schreiben sollen… die Fritz!box 7590 hängt zwar an einer 100er DSL Leitung (1&1), die Fritz!box 4060 aber an einem 400er Glasfaser Anschluss (Deutsche Glasfaser).

Hatte auf der 4060 nach dem Fehlerzähler gesucht und natürlich nicht gefunden, da ja kein DSL

Die 7590 zeigt nur bei „korrigierte DTU“ einen Wert von 0.2 pro Minute sowohl in Empfangs- als auch in Senderichtung, alles andere steht auf 0

 

[blurrrr]

Najo, das sieht ja nicht so verkehrt aus. Beim Glasfaser-Anschluss könntest Du mal schauen, ob Du da ggf. auf das Glasfaser-Modem kommst (weiss ich nicht, falls Dir Zugangsdaten vorliegen, kannst Du ja mal schauen).

Aber so oder so: Latenzen zwischen 500-1000ms sind schon "echt" übel.... Pingzeiten für einen Host auf der anderen Seite der Welt belaufen sich bei mir auf ca. 200ms. Entweder stimmt da irgendwas bei einem Deiner Provider nicht, oder zwischen den Providern, solche Werte sind definitiv "viel" zu hoch.

Die meisten Provider haben ein "Looking Glas"-Tool, damit kannst Du ggf. auch mal schauen, bei 1und1 wäre es hier: https://lg.1und1.net/. Da kannst Du auch nochmal einen ping + traceroute absetzen (auf Deine öffentliche IP bei Deutsche Glasfaser eben, bei denen hab ich sowas aber nicht gefunden).

Solltest halt erstmal schauen, auf welcher Seite sich das Problem befindet (bei Dir, 1und1, Deutsche Glasfaser, oder ggf. auch bei einem Provider, welcher zwischen 1und1 und Deutsche Glasfaser sitzt). Wenn das geklärt ist, ein entsprechendes Ticket aufmachen - vorher würde ich aber erstmal alles gründlich durchprüfen.

 

[Schorsch64]

traceroute geht beim LG Tool von 1&1 nicht, das bringt eine Fehlermeldung. Ein Ping von dort auf meine öffentliche IP bei Deutsche Glasfaser hat eine 80% success rate und min/avg/max. Zeiten von 14/15/16 ms

 

[blurrrr]

80%

Heisst, dass 8 von 10 Paketen durchgegangen sind, das ist schon eher ziemlich semi-nett (Paketverlust ist halt nie nett)... Traceroute lief hier problemlos durch. Teste vielleicht nochmal von beiden Standorten via https://www.speedtest.net/de. Ruhig mal ein paar Tests hintereinander machen, ggf. auch mal den Server wechseln und mal schauen, wie es sich dann verhält.

Ansonsten kannste auch mal mit PingPlotter schauen, mit der kostenlosen Variante gibt es zwar nur die letzten 10 Minuten, aber das sollte auch ausreichen.

 

[Schorsch64]

Ich hab nochmal ein Traceroute von einem Linux Rechner im Netzwerk der 1&1 DSL Fritzbox auf die IPv6 Adresse meiner Glasfaser Fritzbox gemacht, hier die Ergebnisse (meine ip6 Adresse habe ich darin anonymisiert):

1 fritz.box (xxxx:xxxx:xxxx:x:xxxx:xxxx:xxxx:xxxx) 0.786 ms 1.026 ms 0.997 ms
2 2002:c058:6301::1 (2002:c058:6301::1) 12.040 ms 12.013 ms 14.340 ms
3 * * *
4 * * eth1-49.dcsw1.nkhf-asd.dg-w.de (2001:7f8:1::a506:294:1) 845.486 ms
5 2a00:6020:0:b::2 (2a00:6020:0:b::2) 843.527 ms 845.429 ms 2a00:6020:0:a::2 (2a00:6020:0:a::2) 848.966 ms
6 yyyy:yyyy:yyyy:yy::yyy (yyyy:yyyy:yyyy:yy::yyy) 844.342 ms !X 839.795 ms !X 842.464 ms !X

 

[blurrrr]

2 2002:c058:6301::1 (2002:c058:6301::1) 12.040 ms 12.013 ms 14.340 ms
3 * * *
4 * * eth1-49.dcsw1.nkhf-asd.dg-w.de (2001:7f8:1::a506:294:1) 845.486 ms

Tjo, mehr muss man da auch schon garnicht mehr wissen, Problem liegt beim Anbieter Deutsche Glasfaser, Support-Ticket bei denen aufmachen Kannst natürlich auch vorher nochmal auf die Website mit Störungen/Wartungen bei denen schauen, findest Du hier: https://www.deutsche-glasfaser.de/service/stoerungen-und-wartung/

 

[Schorsch64]

Jepp, Support Anfrage ist schon raus - mal sehen ob bzw was da kommt. Erfahrung habe ich bisher mit Support Tickets bei DG noch nicht da bisher alles störungsfrei lief. Auf der Störungsliste steht jedenfalls nichts was in die Richtung deuten könnte

 

[blurrrr]

Hoffe, Du hast die paar Zeilen...

2 2002:c058:6301::1 (2002:c058:6301::1) 12.040 ms 12.013 ms 14.340 ms
3 * * *
4 * * eth1-49.dcsw1.nkhf-asd.dg-w.de (2001:7f8:1::a506:294:1) 845.486 ms

...im Ticket mitgeschickt? Das macht den Leuten im Support auch deutlich einfacher

 

[Schorsch64]

Jepp habe ich, klaro - genau so wie hier

 

[blurrrr]

Top! Dann drück ich mal die Daumen, dass der Spuk bald ein Ende hat

 

[Schorsch64]

Danke ich werde berichten ....

 

[Barungar]

Das könnte aber auch ein Problem bei "1&1" sein, von wo der traceroute ja gestartet wurde.
Denn wenn ich einen PING auf den 1. Hop des Traceroutes absetzt, bekomme ich auch grottenschlechte PING-Zeiten.
Darüberhinaus und das macht mich noch stutziger, ist der 1. Hop eine 6to4-Adresse ?! Kann es sein, dass dieser Protokollübersetz aber einfach überlastet ist?

Das aber wiederrum heißt... es wird von einem 1&1 DSL-Anschluss (IPv4?) ein DG-Fibre-Anschluss (IPv6) angetraced und es kommt eine Protokoll-Übersetzung zum Einsatz?! What the f**k?! Spricht der 1&1 DSL-Anschluss kein natives IPv6? Warum muss da von IPv4 übersetzt werden?!

Für mich sieht da eher die 1&1-Seite (das 6to4-Gateway) miserabel aus und nicht der DG-Hop.

64 bytes from 2001:7f8:1::a506:294:1: icmp_seq=1 ttl=60 time=15.5 ms
64 bytes from 2001:7f8:1::a506:294:1: icmp_seq=2 ttl=60 time=15.4 ms
64 bytes from 2001:7f8:1::a506:294:1: icmp_seq=3 ttl=60 time=12.3 ms
64 bytes from 2001:7f8:1::a506:294:1: icmp_seq=4 ttl=60 time=16.3 ms
64 bytes from 2001:7f8:1::a506:294:1: icmp_seq=5 ttl=60 time=13.0 ms
------
64 bytes from 2002:c058:6301::1: icmp_seq=1 ttl=58 time=698 ms
64 bytes from 2002:c058:6301::1: icmp_seq=2 ttl=58 time=741 ms
64 bytes from 2002:c058:6301::1: icmp_seq=3 ttl=58 time=704 ms
64 bytes from 2002:c058:6301::1: icmp_seq=4 ttl=58 time=651 ms
64 bytes from 2002:c058:6301::1: icmp_seq=5 ttl=58 time=677 ms

 

[blurrrr]

Ups, *hüstl* hatte ich glatt überlesen, dass vom 1und1-Anschluss gestartet wurde, ich hab nur "in nächster Nähe" den DG-FQDN gesehen Also direkt nochmal das gleiche Ticket an 1und1. Mal ruhig die Leute ein bisschen scheuchen.... Mitunter stimmt auch einfach zwischen den beiden Parteien einfach etwas nicht.

Kann es sein, dass dieser Protokollübersetz aber einfach überlastet ist?

Die "Sparsamkeit" der Provider ist ja durchaus bekannt... vllt ist aber auch nur einer ausgefallen und ein anderer muss nun doppelt soviel klotzen

 

[Schorsch64]

Guter Punkt - ich nehme auch mal Kontakt zum 1und1 Support auf. Anscheinend gibt es da aber keine Support Email-Adresse, nur Telefon oder Chat der grade nicht aktiv ist bzw. beim Absenden der Nachricht mit einer Fehlermeldung abbricht . Man wird wohl nicht gerne kontaktiert ... also werde ich sie kommende Woche wenn ich Zeit habe mal am Tel vollquatschen