USG Schnelleres VPN durch weniger/keine Sicherheit?

[mensa]

Hallo,

ich nutzee momentan ein Site-to-Site VPN mit jeweils einem USG 3P an beiden Standorten.
Der Upload an Standort 1 beträgt 50 Mbit. An Standort 2 kommen über VPN aber leider nur 25 bis 28 Mbit über Site-to-Site VPN an. Das ist vermutlich auf Grund der lahmen Hardware der kleinen USGs.
Mit einem Windows Client und L2TP kommen immerhin gut 45 Mbit an Standort 2 an.

Da mir in diesem Fall die Sicherheit egal wäre habe ich überlegt, ob evtl. ein reiner VPN Tunnel ohne Verschlüsselung / Sicherheit nicht deutlich schneller wäre.
Wisst ihr zufällig, ob das unterstützt wird? Aktuell ist eingetellt: SHA1, AES128, IKEv1. Gibt's da was schnelleres evtl. über Command Line?

 

[conga]

VPN ohne Verschlüsselung ist mir nicht bekannt, würde der VPN Definition widersprechen und es macht auch kein Sinn. Die USG 3P hat verschiedene VPN Protokolle, IPsec, L2TP und OpenVPN. Probier mal ob es, mit den verschieden Protokolle unterschiede bei der Geschwindigkeit gibt.

Wenn es um Geschwindigkeit geht, kannst du dich mit WireGuard mal auseinander setzen, soll einfach zu konfigurieren sein und schnell. Siehe

Sie müssen registriert sein, um Links zu sehen.

 

[mensa]

Danke. IPSec und L2TP habe ich wie gesagt schon probiert. OpenVPN kann ich mir sparen, weil das sowieso noch langsamer ist.
Ich glaube nämlich schon mal was von VPN ohne Verschlüsselun gelesen zu haben, finde es nur leider gerade nicht...

 

[conga]

Bei L2TP hast du 45 vom 50 Mbit/s, das ist doch OK. Der Overhad liegt gerade bei 10 %. Verstehe jetzt nicht das Problem.

 

[mensa]

Ja, das wäre natürlich OK!
Habe leider vergessen zu erwähnen, dass die USG kein Site-to-Site VPN mit L2TP können. Nicht mal ein USG kann Client mittels L2TP sein.
Also blieb eh nur IPSec und deshalb möcht ich da jetzt die Sicherheit / Verschlüsselung runterschrauben um evtl. mehr Durchsatz zu bekommen.

 

[conga]

Wird schwierig, die USG hat dafür nicht so viele Optionen und du hast schon alles runter geschraubt.

 

[mensa]

USG hat dafür nicht so viele Optionen

Im GUI ja, auf der Command Line ist deutlich mehr möglich.

In der GUI weiß ich z.B. auch nicht, ob SHA1 oder MD5 performanter wäre, oder IKEv1 oder IKEv2, oder AES oder 3DES.

Vielleicht hat damit jemand Erfahrung bzw. Tipps für die Command Line?

 

[conga]

Das sind die erweiterten Optionen, wie auf der Unifi Seite beschrieben:

Sie müssen registriert sein, um Links zu sehen.

mehr kann nicht konfiguriert werden.

Spoiler

Manual IPsec: Advanced Options

ADVANCED: These settings are meant to be configured by advanced users with networking knowledge. They apply to phase 1 and phase 2 of the IPsec process.
Key Exchange Version: Select either IKEv1 or IKEv2.
Encryption: Select AES-128, AES-256, or 3DES encryption.
Hash: Select either SHA1 or MD5
DH (Diffie-Hellman) Group: DH Groups 2, 5, 14, 15, 16, 19, 20, 21, 25, 26 are available.
PFS (Perfect Forward Secrecy): Enable or disable. When PFS is enabled the phase 2 DH group is hardcoded to the same group that is selected in DH Group.

Dynamic Routing: Enable or disable the use of a virtual tunnel interface (VTI). This will specify that the VPN configuration is either policy based (off) or route based (on). (Note: manual VPN VTI interfaces start with vti64 and increment as vti65, vti66, etc. as more manual VPNs are added)

NOTE: The use of larger algorithms is more secure, but they come with the cost of a CPU overhead increase. For example, AES-256 will use more CPU resources than AES-128. AES-128 is the recommended encryption for most use-cases.

 

[mensa]

Es kann über CLI sehr wohl mehr konfiguriert werden!
ZB kannst du darüber ein S2S VPN erstellen, obwohl ein USG hinter NAT ist und auch ein S2S mit nicht statischen IPs.
Es geht noch deutlich mehr, also bitte winke hier nicht mit der GUI Anleitung herum...

 

[conga]

Weist du was: RTFM (Read The Fine Manual) und frag nicht nach Hilfe!

 

[mensa]

Nur weil dein Horizont am Ende der GUI aufhört und du nicht weiterhelfen kannst reagierst du so? Ist das so schwer zu verkraften? Habe ich dich beleidigt, oder was??
Ich habe das Forum um Hilfe gefragt und nicht dich als Einzelperson.

 

[conga]

Hör mal, selbst wenn mein Horizont hinter GUI aufhören würde, was er nicht tut, ist es kein Grund so patzig zu werden. Glaub es mir, dass die CLI mein Freund ist. Mal davon abgesehen, sind das die Optionen die du an der GUI und an der CLI setzen kannst. Lies einfach mal und informiere dich.

 

[mensa]

Sorry, aber das sind bei weitem nicht alle VPN Optionen für die CLI.

 

[conga]

Dann lass uns doch teilhaben an allen Optionen, die an dem Gerät fürs VPN eingestellt werden können. Ich bin immer gerne bereit dazu zu lernen. ;-)

 

[mensa]

Ja ich kenne ja leider selbst nicht alle und habe auch keine Liste dafür, deshalb frage ich ja. Möchte nicht streiten mit dir, das hilft doch keinem.