WireGuard: Eingehender Traffic unter Windows langsam

WireGuard gilt gemein hin als schnelles und schlankes VPN-Protokoll, dennoch kann es Szenarien und Situationen geben in denen es nicht so ist wie erwartet.

Ich mag nicht meckern, WireGuard funktioniert für uns und einen Teil unserer Kunden sehr gut. Schneller Verbindungsaufbau, leicht einzurichten, läuft (meistens). Eine Sache ist mir allerdings schon vor geraumer Zeit aufgefallen und zwar das eingehender Datenverkehr unter Windows irgendwie bei um die 10 Mbit/s rumdümpelt. Es spielt dabei keine Rolle wie schnell die Gegenseite ist, da kann ein Upload von 10, 40 oder 100 Mbit/s möglich sein, es kommt einfach nicht mehr durch.

Der erste Gedanke “liegt an der MTU” war’s leider nicht, wenn gleich das durchaus einen Einfluss haben kann. Allerdings ist das Problem nur auf den Empfang unter Windows beschränkt, Versenden wiederum geht schnell. Um die Sache weiter einzugrenzen wurde mal mit verschiedenen Anschlüssen und Gegenstellen getestet. Das zugrundeliegende Szenario ist dabei immer das Selbe und das wäre: Roadwarrior-VPN. Also ein Mitarbeiter oder in diesem Testlauf eben ich selbst, verbindet sich und lädt eine große Datei von einem Server herunter.

An Gegenstellen gibt es folgendes:

  • Securepoint UTM (RC100 und RC300)
  • AVM FRITZ!Boxen (7590)
  • WireGuard-Server unter Windows Server 2022

Auf Roadwarrior-Seite gibt es Windows 10 Pro und Windows 11 Pro mit dem zu diesem Zeitpunkt aktuellem WireGuard 0.5.3 an einem Glasfaser 600/300-Anschluss. An Anschlüssen ist alles von VDSL50/10 bis Glasfaser 300/100 dabei. Sofern kein QoS oder irgendein Speedlimit zum tragen kommt, sollte also immer pro Anschluss die maximale Upload-Bandbreite ausgenutzt werden können, bei VDSL100 wären das beispielsweise um die 40 Mbit/s.

Hier die Ergebnisse:

  • GF100/40 – Securepoint UTM RC100 – ca. 10 Mbit/s
  • GF300/100 – Securepoint UTM RC300 –  ca. 13 Mbit/s
  • VDSL100/40 – AVM FRITZ!Box 7590 – ca. 6 Mbit/s
  • VDSL50/10 – Windows Server mit WireGuard – ca. 7 Mbit/s

Beim letzten Anschluss könnte man noch sagen, der kann nur 10 Mbit/s maximal im Upload, die Leitung gibt die sogar her, aber es kommt einfach nicht mehr durch. Anders sieht die Sache aus wenn man Site-to-Site VPN nutzt. Für alle habe ich das kurzfristig nicht testen können, beim ersten Anschluss in der Liste ist es allerdings in der Tat so, das dann die 40 Mbit/s ausgenutzt werden.

Bei der Recherche nach diesem Verhalten fand sich dieser etwas ältere Beitrag:

serverfault – Wireguard slow but only for windows upload

Allerdings geht es dort um die falsche Richtung (Upload statt Download), ferner spricht für das in meinem Beitrag aufgezeigte Verhalten dagegen, das es eben auch mit einem Windows-basierten WireGuard-Server genau so ist.

Für die bei uns durchschnittliche Roadwarrior-Verbindung spielt das aktuell keine Rolle, meist werden eh nur RDP-Verbindungen darüber gemacht. Dennoch seltsam und es wäre wünschenswert wenn man das gelöst bekommt.

Kennt ihr dieses Verhalten? Habt ihr eine Idee oder gar eine Lösung dazu? Dann her damit, schreibt mir einfach ein Kommentar.

Update 21.08.2023

Nachdem in den Kommentaren der Hinweis kam, man solle mal mit Securepoint sprechen wurde entsprechend ein Ticket eröffnet, das Problem ist dort nicht bekannt und intern konnte man dies auch nicht nachstellen. Da es der Testreihe nach auch nicht auf Securepoint-Gegenstellen begrenzt ist, scheint das auch eher ein WireGuard/Windows-Thema zu sein.

Ferner wurde mal mit der älteren WireGuard-Version 0.4.7 getestet, auch hier zeigt sich das genannte Verhalten.

4 Kommentare

  1. Andreas Mey

    Guten Morgen
    das gleiche Problem hatten wir.
    Lösung von Securepoint Workerprozesse erhöhen

  2. Andy

    Hallo Andreas,

    vielen Dank für den Tipp, hab’ das in Lüneburg mal angefragt.

  3. Andy

    Hallo Andreas,

    Securepoint hat gerade zurück gerufen und sich das angeschaut. Im Moment wüsste man jetzt nicht, woran das liegt und was man da tun kann, man klärt das intern ab. Mit Worker Prozessen war dem Supporter jetzt nur was wegen dem Proxy bekannt.

    Hast du evtl. noch mehr Infos?

  4. Andy

    Securepoint hat sich heute nochmal gemeldet und mitgeteilt, das sie das Problem nicht kennen und intern auch nicht reproduzieren konnten.
    Ich vermute mal, da es im Test ja auch mit Nicht-Securepoint-Gegenstellen aufgetreten ist, das es eine Angelegenheit zwischen WireGuard und Windows ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2023 Andy's Blog

Theme von Anders NorénHoch ↑