WireGuard gilt gemein hin als schnelles und schlankes VPN-Protokoll, dennoch kann es Szenarien und Situationen geben in denen es nicht so ist wie erwartet.

Ich mag nicht meckern, WireGuard funktioniert für uns und einen Teil unserer Kunden sehr gut. Schneller Verbindungsaufbau, leicht einzurichten, läuft (meistens). Eine Sache ist mir allerdings schon vor geraumer Zeit aufgefallen und zwar das eingehender Datenverkehr unter Windows irgendwie bei um die 10 Mbit/s rumdümpelt. Es spielt dabei keine Rolle wie schnell die Gegenseite ist, da kann ein Upload von 10, 40 oder 100 Mbit/s möglich sein, es kommt einfach nicht mehr durch.

Der erste Gedanke “liegt an der MTU” war’s leider nicht, wenn gleich das durchaus einen Einfluss haben kann. Allerdings ist das Problem nur auf den Empfang unter Windows beschränkt, Versenden wiederum geht schnell. Um die Sache weiter einzugrenzen wurde mal mit verschiedenen Anschlüssen und Gegenstellen getestet. Das zugrundeliegende Szenario ist dabei immer das Selbe und das wäre: Roadwarrior-VPN. Also ein Mitarbeiter oder in diesem Testlauf eben ich selbst, verbindet sich und lädt eine große Datei von einem Server herunter.

An Gegenstellen gibt es folgendes:

• Securepoint UTM (RC100 und RC300)
• AVM FRITZ!Boxen (7590)
• WireGuard-Server unter Windows Server 2022

Auf Roadwarrior-Seite gibt es Windows 10 Pro und Windows 11 Pro mit dem zu diesem Zeitpunkt aktuellem WireGuard 0.5.3 an einem Glasfaser 600/300-Anschluss. An Anschlüssen ist alles von VDSL50/10 bis Glasfaser 300/100 dabei. Sofern kein QoS oder irgendein Speedlimit zum tragen kommt, sollte also immer pro Anschluss die maximale Upload-Bandbreite ausgenutzt werden können, bei VDSL100 wären das beispielsweise um die 40 Mbit/s.

Hier die Ergebnisse:

• GF100/40 – Securepoint UTM RC100 – ca. 10 Mbit/s
• GF300/100 – Securepoint UTM RC300 –  ca. 13 Mbit/s
• VDSL100/40 – AVM FRITZ!Box 7590 – ca. 6 Mbit/s
• VDSL50/10 – Windows Server mit WireGuard – ca. 7 Mbit/s

Beim letzten Anschluss könnte man noch sagen, der kann nur 10 Mbit/s maximal im Upload, die Leitung gibt die sogar her, aber es kommt einfach nicht mehr durch. Anders sieht die Sache aus wenn man Site-to-Site VPN nutzt. Für alle habe ich das kurzfristig nicht testen können, beim ersten Anschluss in der Liste ist es allerdings in der Tat so, das dann die 40 Mbit/s ausgenutzt werden.

Bei der Recherche nach diesem Verhalten fand sich dieser etwas ältere Beitrag:

serverfault – Wireguard slow but only for windows upload

Allerdings geht es dort um die falsche Richtung (Upload statt Download), ferner spricht für das in meinem Beitrag aufgezeigte Verhalten dagegen, das es eben auch mit einem Windows-basierten WireGuard-Server genau so ist.

Für die bei uns durchschnittliche Roadwarrior-Verbindung spielt das aktuell keine Rolle, meist werden eh nur RDP-Verbindungen darüber gemacht. Dennoch seltsam und es wäre wünschenswert wenn man das gelöst bekommt.

Kennt ihr dieses Verhalten? Habt ihr eine Idee oder gar eine Lösung dazu? Dann her damit, schreibt mir einfach ein Kommentar.

Update 21.08.2023

Nachdem in den Kommentaren der Hinweis kam, man solle mal mit Securepoint sprechen wurde entsprechend ein Ticket eröffnet, das Problem ist dort nicht bekannt und intern konnte man dies auch nicht nachstellen. Da es der Testreihe nach auch nicht auf Securepoint-Gegenstellen begrenzt ist, scheint das auch eher ein WireGuard/Windows-Thema zu sein.

Ferner wurde mal mit der älteren WireGuard-Version 0.4.7 getestet, auch hier zeigt sich das genannte Verhalten.

Andy

Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.