Volle Prozessorlast bei download & OpenVPN

(info: Ich glaube diese Frage ist doch besser hier aufgehoben als in https://www.efw-forum.de/www/forum/view…mp;p=2030#p2030 )

Hallo liebe Endian Gemeinde!
Ich hoffe dies ist der richtige Platz für mein Problem/Frage, an der ich schon beinahe verzweifel:

Zunächst meine Systemangaben:
AMD Phenom II X4 920 (4*2,8GHz)
8 Gb DDR2 RAM
MSI K9N2 Platinum Board (NVIDIA nForce 750a SLI)
Raid-1 Sata II Platten 320 GB
3 * 1Gb/s Netzwerkkarten (eine onboard)

dann noch meine Konfiguration:
Host Betriebssystem: Windows Server 2008 R2 (Datacenter) mit aktivierten Hyper-V
Gast Endian efw 2.3
Gast Windows Server 2008 R2 (Datacenter)

Das Problem:

Also Endian bekomme ich zum laufen und kann es auch wunderbar Konfigurieren für das ich diese Firewall liebe.
(Komisch am Rande: nur wenn ich in dem Hyper-V manager Endian "ältere Netzwerkkarte"n hinzufüge erkennt diese sie)
Ich habe schon beihnahe alles ausprobiert und weiß nich woran es liegen könnte, aber meine vdsl 50 Leitung lastet die Endian firewall komplett aus. Mit komplett meine ich, dass obgleich ich so ein schnelles System habe, die Geschwindigkeit so stark abfällt,dass das was an meinem PC noch ankommt nicht mal die Hälfte ( ca. max 20mbits) von dem ist wofür ich bei der Telekom bezahle.
Wenn ich den Rechner direkt an den mistigen Speedport den sie mir mitgeliefert haben hänge bekomme ich volle Geschwindigkeit!
Es kann doch nicht sein dass die in dem Speedport bessere Hardware verbauen als ich oben angeführt besitze?!!

Schulterzuckend und Dienste testweise ausschaltend habe ich keine Verbesserung erwirken können. Endian bekommt genügend Arbeitsspeicher (1-4 Prozessor Kerne) aber immer das selbe Problem und je weniger Prozessoren desto schlimmer. :?
Nebenbei mit "top" habe ich beim download eine Auslastung von ca =100% (!) einer der Kerne und beim 2ten so um die 30-40% und beim dritten so gut wie keine genauso beim vierten keine.
(Zusatz: Wenn ich am Host den Taskmanager starte sehe ich bei keinem der Kerne eine derart hohe Auslastung. In der overall-Anzeige des Hyper-V managers sehe ich eine zu dem genannten Problem plausible 25% Auslastung der insg 4 Kerne)

Das Gleiche Problem in "Grün" im wahrsten Sinne des Wortes, denn nämlich wenn ich eine VPN-Verbindung herstelle und von meinem anderen (ebenfalls virtuellen) Server Daten hin und her schicke (im (vpn)-LAN , also von grün nach grün, oder violett nach violett in efw-farben) erreiche ich eine maximale Geschwindigkeit von <1 mb/s (meist um die 700 kb/s)

Ich verzweifel und hoffe mir kann einer im Forum helfen der sich mit der Materie auskennt oder das gleiche Problem hat(te)

Vielen Dank und einen schönen Abend noch

Hallo!
Danke erstmal für die schnellen Antworten,
Folgende Konfiguration (Hardware) ist vorhanden:

Blaue (Wlan AP von D-link dahinter) und Rote Netzzwerkadapter sollen sein:

2 mal "Digitus Netzwerkkarte 1000BaseTX 10/100/1000 Mbps, PCI" (DIGITUS DN-1011 mit Realtek Semiconductor)

Grünes Netzwerk die on Board Netzwerkkarte des Bords "MSI K9N2 SLI Platinum - Motherboard - ATX - nForce 750a SLI" :

Realtek RTL8211BL - Ethernet, Fast Ethernet, Gigabit Ethernet

mschoen
Naja andere Virtualisierungen hab ich nur so ausprobiert:
Windoof Server 2008 R2 virtualisiert und darauf VirtualBox installiert und damit dann Endian aufgesetzt, aber glaube das hat nichts gebracht... bin mir grad garnicht sicher, weil ich soviele sachen ausprobiert habe und bei nem Freund das Endian in Hyper-V ja auch stabil und schnell (allerdings nur DSL-16k) läuft.
Wie gesagt erkennt Endian auch nur Netzwerkkarten wenn diese im Hyper-V (virtuelle Netzwerkkarten) als "alte Netzwerkkarte" deklariert und hinzugefügt wird.
Welche da genau emuliert wird habe ich keine Ahnung, aber das würde sich noch herausfinden lassen.

Im Prinzip könnte ich auch komplett auf die Virtualisierung von Endian verzichten, was mir natürlich auch am liebsten wäre, aber dabei besteht noch das Problem, das ich für meinen Dateiserver dann einen extra 2ten Rechner aufbauen müsste, um Windows Netzwerkfreigaben ins Netzwerk einzubinden. (kostet ja auch ne Menge Strom und ich denke der Rechner wäre bisschen Oversized nur für Endian )

VM ware habe ich noch nicht ausprobiert. Ich glaube ich muss dazu die VM-Server Version nehmen, die angeblich kostenlos ist. Aber Ich finde das ja nur eine Notlösung mit VMware zu arbeiten. Als GastOS des Hostes (WinS-2008R2) würdet ihr welches Windows empfehlen um auf ihr VM ware aufzusetzen ?

Vielen Dank schon mal , aber ich hoffe ich bekomme doch noch eine Lösung um das direkt mmit Hyper-V zu machen!
P.S: Mir ist noch eingefallen auf meinem Host habe ich nur die Windows Updates Installert. keine Programme/Treiber... warum auch wird ja alles erkannt, aber könnte darin der Hund begraben sein?

Also Bei V;ware habe ich mich regestriert und mir ESXi runtergleaden. Nur kann ich das leider nicht installieren da meine Hardware komplett nicht erkannt wird und dann der Installationsprozess abgebrochen wird.
Bleibt also nur Windows mit Hyper-V und VMware Server zu installieren auch auf dem Host.... und da dann es mal mit Endian versuchen.
Hab im übrigen des Host grade neu aufgesetzt und hatte das gleiche Problem wieder, das die CPU auslastung eines meiner 4 Kerne bei normalen DSL6000 download schon zu 75-80% ausgelastet wird.
Naja ich werde jetzt mal diese unsaubere aber anscheinend einzige lösung ausproberen Vware als programm zu installieren und da Endian reinzupacken.
Falls euch noch irgendwas einfällt zu meinem Problem, bitte bescheit sagen.

Zwischenbericht:

Nachdem ich mir jetzt die ganze Nacht (und Tag) um die Ohren gehauen habe und dachte irgendeine Lösung wird es wohl geben habe ich schließlich ein workarround gefunden.

Zunächt möchte ich aufzählen was ich alles probiert, im Lan (VPN-VPN) ausgetestet und soweit ich mich noch entsinnen kann dann doch gelassen habe:
Nachfolgend immer in der vom Werk aus Standardconfig & Windowsübertragungsratenanzeige

-Hyper-V kann man für Endian komplett vergessen wegen oben beschriebener Probleme (zumindestens mit meiner Hardware und der jetzigen Version 2.3)
=> Datendurchsatz von VPN zu VPN < 1MB/s bei voller CPU Auslastung

- Virtual Box ist da schon eine bessere weil schnellere Virtualisierung im Zusammenspiel mit Endian
=> VPN-Datendurchsatz von VPN zu VPN ~1,5-2 MB/s bei voll ausgelastetem CPUkern den Endian anzeigt und damit der Durchsatz begrenzt wird

- VMware Workstation ist bis jetzt das beste was ich gefunden habe. Neben anfänglicher Schwierigkeiten und kleiner Einarbeitung ins Programm zwecks ungewohntem Aufbau der Bridged-Adapter-Konfiguration und Ausschaltung der Automatik-bridge-Funktion klappt in ersten Tests soweit alles ( bis dato nur OpenVPN ausprobiert... Rest schreibe ich noch als Endresultat ins Forum)

=> VPN-Datendurchsatz von stabilen x,y MB/s und abwechselnder Lastverteilung (wechselnde CPU mit 100%Last) im Normalbetrieb und den Einstellung x CPUs,y Kernen beim Ziehen eines 2,5 GB grossen Windows Images vom Host als VPN User zu einem Windows 7 PC als VPN User über ROT nach GRÜN:

(AMD-V):
4,3 MB/s mit Spitzen zu 5 MB/s 4 Prozessoren, 1 Kern
5,1 MB/s mit Spitzen zu 5,9 MB/s 1 Prozessor, 4 Kerne
5,7 MB/s mit Spitzen zu 7 MB/s 2 Prozessoren, 2 Kerne
6,7 MB/s mit Spitzen zu 6,8 MB/s 1 Prozessor,1 Kern
9,2 MB/s mit Spitzen zu 9,4 MB/s 2 Prozessoren,1 Kern
8,5 MB/s mit Spitzen zu 8,7 MB/s 1 Prozessor, 2 Kerne

(AMD-V/RVI):
8,6 MB/s mit Spitzen zu 8,8 MB/s 2 Prozessoren, 1 Kern
4,7 MB/s mit Spitzen zu 5,2 MB/s 4 Prozessoren, 1 Kern
_________________________________________________________________
Ich entscheide mich für (AMD-V,2CPUs & 1Core each)

Anmerkung: die VMware Workstation piept irgendwie beim hoch und runterfahren über den PC-Lautsprecher... sollen wahrscheinlich irgendwelche Statusmeldungen des Hdd mountens sein.. hat mich bisschen irritiert, dass der Server auf einmal das piepsen anfängt (Schreck am Morgen), aber nun gut haupt Sache es läuft

Zum Schluss noch ein paar offene Fragen in die Runde:

-Zu den emulierten Netzwerkkarten weiß ich grad nicht wo ich das nachschauen kann bei VMware, aber Endian zeigt mir eine 100baseTx-FD an. Wo kann man die umstellen auf NIC e1000 ???
Warum unterstützt eigentlich Endian keine 1000 Mbit karten ?
Ich hab ja welche drinn! Aber das wird wahrscheinlich durch den Router an ROT kommen, da ich mich mit meinem anderen WindowsPC über den ich mich mit VPN von Rot her connecte, der Switch des Routers und die Tests mache ich nur mit 0,1 Gb/s .

- Was wäre das bessere/sicherere/schnellere Protokoll für OpenVPN TCP oder UDP ?

-Wie stark hängt die Geschwindigkeit von der verwendeten Schlüsselstärke ab? Und wie sicher sind Schlüsselstärken < 2048 Bit ?
Vielleicht falsches Forum hierfür *sorry*

-Kann man die Endian aus Angreifer Sicht eventuell umgehen wenn sie in der VMware läuft und gebridged ist und beim Host alle bis auf das Brückenprotokoll ausgeschaltet sind (Abgesehen von manuellen Eingreifen physisch oder Software einschmuggelnd auf den Host)?

-Kann ich durch 2 Router einen Port Forwarden ohne Probleme?

So soweit so gut getestet, die Nacht war auch lange genug für nen Physikstudenten
Ich probier evtl noch IPCOP aus ob das unter Hyper-V läuft, aber eigentlich wie schon gesagt bin ich mit Endian bis auf die nachzubessernde Unterstützung mit Treibern/Plattformen ect.. SEHR zufrieden.

Grüße und Gut Nacht

Nun, ich verwende die 3072Bit Verschlüsselung. Vielleicht probier ich dann mal nen kurzen durchsatztest mit ner 2024er aber meine Werte scheinen ja wirklcih mehr als ok zu sein :-).

Wegen der Sicherheit und dem Ausbrecher:
Damit es einen Ausbrecher überhaupt geben kann müsste ein Angreifer doch erst das Gastsystem unter seine Kontrolle bringen und dann verscuhen auszubrechen, oder sehe ich da was falsch?!? Das heißt also dass er erstmal Endian kapern müsste, naja wenn er das schafft dann respekt, ist ja geFIREwalled und mit Kennwort und ohne SSH ausgestattet...aber prinzipiell haste natürlich recht!

Zitat von &quot;mschoen&quot;

Hab gerade meine efw virtualisiert auf meinen ESXi 4 U1 und ich muss sagen, dass ding langweilt sich ohne Ende. Ich hab 2 CPUs und 1 GB zugeordnet. OpenVPN läuft und ist super schnell...

Herzlichen Glückwunsch !
Welche Hardware hast du verwendet? weil ESKi ja nur angeblich spezielle Hardware verkraftet!
Ich muss sagen mit vmware workstation 7 läuft das vdsl50 auch recht schnell und stabil und open vpn klappt auch wunderbar, das einzige was ich gerne noch wissen wollte ist wegen snort.

SNORT eingeschalten und der downstream sinkt auf 20000kbit/s (und geringer aber meist so um die). Schalte ich hingegen Snort aus so steigt der Downloadspeed auf über 35-40000kbit/s.
Gibt es irgendwelche Tipps wie man nur das Wichtigste von snort verwendet? Also welche Regeln muss man unbeding anhaben und welche kann man in hinblick auf verformance Gewinn vernachlässigen?
Ich würde ja gerne die Protokollierung auschalten, aber das geht irgendwie nich
Grüße und schönen Montag

/edit:
Ergänzug : auch wenn ich snort zwar aktiviert habe aber alle Regeln deaktiv markiert habe bemerke ich starke Geschwindigkeitseinbusen. Also für wie wichtig haltet ihr snort in Bezug auf Sicherheit des Netzwerkes.
Endian ist ja obendrein noch hinter einer Routerfirewall (bzw. NAT, ich weiß nicht ob der Speedport von der Telekom SPI macht oder nicht). Kann ich das in meinem Fall deaktiviert lassen? In unserem Netzwerk gibts ja eh nichts für Hacker interessantes, was den Aufwand durch das Speedport und die Endianfirewall einzudringen rechtfertigen würde. Da gibts meiner Meinung nach interessantere und leichter zu kapernde Ziele. Bin ich mit meiner Ansicht so falsch?