VPN-TOR-VPN - Wird die Leistung technisch von dem schwächsten Glied in der Kette gedrosselt?

Szene VPN
1

Moin Liebe Freunde,

Ich habe folgendes Setup:

  1. Einen Router, auf dem ein VPN (inkl. Killswitch) läuft über den OpenVPN Client (vorinstalliert).
  2. nach dem VPN wird das Internet nochmal durch das Tor Netzwerk geleitet, diese Einstellung ist auch schon vorinstalliert und muss auf meinem Router nur aktiviert werde.

dann bekommt mein Rechner mittels LAN Verbindung Internet von der Box und auf meinem Rechner läuft nochmal ein VPN (ein anderer Anbieter).

Nun habe ich folgendes Problem, welches mich etwas stutzig macht:

  • Ich habe eine 200 Mb/s Leitung ohne den ganzen Spaß

  • Aktiviere ich nur den den VPN auf dem Router habe ich etwa 60 Mb/s

  • Aktiviere ich nun die Tor Funktion auf meinem Router habe ich noch etwa 5 Mb/s

  • Wenn ich nun allerdings den zweiten VPN über den VPN Clienten auf meinem Rechner verbinde habe ich plötzlich eine Internetgeschwindigkeit von 50 Mb/s.

Ich bin leider absolut kein Experte, kann mir allerdings mit meinem Verständnis schwer erklären wie das technisch allerdings möglich sein sollte und habe daher Sorge, dass die Tor Funktion oder eventuell sogar die Tor+VPN(Router) beim aktivieren meines VPNs über den Client auf dem Rechner deaktiviert wird. Was ich mir allerdings auch schwer erklären kann, da mein VPN Client ja schwer die Möglichkeit hat Konfigurationen meines Routers zu ändern.

Würde mich sehr herzlich über eine Expertenmeinung bzw. über eine kleine Aufklärung freuen.

Beste Grüße und ein tolles Wochenende,
Satoshi

2

tor isn’t the fastests of protocols… i take it you use it with transparant proxy, nat rules into the thing, and hardware accelleration on and in as far as it is a client, you made sure it’s running in clientonly mode :stuck_out_tongue: and even then it’s still ehm, relatively slow :stuck_out_tongue:
running 10 or 20 of em at the same time and then just have the nat rule round robin connections over them probably speeds things up significantly.

the ‚tor function on your router‘ ?! what kind of backwards cpu would be in your router :stuck_out_tongue: ofcourse we assume a proper cpu with proper cache and a proper amount of ram for tor to pay with. and even then it’s ehm ‚mildly slow‘ :stuck_out_tongue: to the point that you want multiple sessions in parallel :stuck_out_tongue:

oh btw ofcourse -that- only works if ‚what is behind it is not just 1 program trying to make 1 connection‘ but like… 200 computers or so, trying to make 100000 connections :stuck_out_tongue: else there is little loadbalancing over multiple of them will do for you. you can see the tor daemons all the way on top of ‚top‘ lined up right under each other at a shitload of cpu time each all day long. even on a good day. so one can only imagine what it would be like running it on some 200mhz arm thingy in some ‚router‘ :stuck_out_tongue: lol. that stuff is -really- quite cpu intensive. usually more so than anything else running on those boxes other than mysql doing some big things. lol. doing all that ‚i just want quick client only response‘ stuff in torrc kinda ‚lowers privacy‘ tho. no more connection padding. etc. :stuck_out_tongue: but then again, just doing round robin loadbalacing over 10 to 20 to them increases privacy again :stuck_out_tongue: as they’d all have different entryguards and what not.

if you are using socks… which for normal workstation use, you probably should not (transparant proxy port is better for that ;)… then switch your code to socks4a instead of socks5… saves 1 useless interaction with the server… it’s like socks4. but with a hostname at the end (so .onion works :wink:

3

as for ‚running tor over a vpn‘ ??? what the hell for. would anyone. do that :stuck_out_tongue: the vpn has paper trail (payments etc) the vpn does not pad connections to hide usage peaks at certain timestamps. and most of all. the vpn people -themselves-… may just give nice mr. fbi officer all he wants to know :stuck_out_tongue: with or without tor :stuck_out_tongue: LOL.

congrats. you have just successfully -increased- the number of attack vectors on which foreign adversaries can link you to certain events. not decreased them :stuck_out_tongue: ‚how did you pay for said vpn‘ :stuck_out_tongue:

oh that. and as it is all, or mostly, TCP… you may wanna read up on ‚tcp slow start‘ :stuck_out_tongue: tcp isn’t really good at the ‚stuff that doesn’t last all that long‘ so yeah it’s being ratelimited. not by ‚tor‘ not by the ‚vpn‘ but kinda by your own kernel and tcp stack :stuck_out_tongue: tcp basically always starts slowly on a fresh connect() and then speeds up later. which on ‚most stuff‘ it never gets to do as it isn’t enough data to last that long :stuck_out_tongue: (doesn’t go for the connections between the tor nodes on the tor layer 2 stuff :P… goes for anything that goes in or out of it on both ends :stuck_out_tongue: anyway if this ‚tor function‘ is ‚built into your router‘ that’s probably the major part of your problem right there. router cpus usually suck :stuck_out_tongue: (in fact they suck so bad that in warmer climates you basically need a new router every few months :stuck_out_tongue: lol. it’s not just the speed. it’s the entire design of the things :stuck_out_tongue:

oh besides… routers not reaching wire speed for the interfaces they have, is not limited to ‚tor‘ slurping cpu cycles. quite a lot of them cannot saturate their own interfaces even when doing plain straightforward ipv4 or ipv6 routing :stuck_out_tongue: ‚muh it’s got gigabit connections‘… yeah… but when it’s doing like 50-500 it craps up already :stuck_out_tongue: LOL. (same with your cisco 2600xm’s not reacing anything above 52mbit back in the days… :stuck_out_tongue:

just take some ‚old‘ i7 or so pc with like 4gb ram or so and use that for the tor routing thing… -that- can probably handle ‚enough of them‘ without overheating or catching fire or crapping up at just 5mbit/s :stuck_out_tongue: lol. it can also fully saturate at least 2 10ge ethernet connections while doing straightforward routing :stuck_out_tongue: probably more. depending on the bus and interfaces used. thing doesn’t even need disks or ssds. just have tor store it’s tempfiles to a ramdisk (you seriously don’t want it to store and keep that entryguard for a week :stuck_out_tongue:

oh while doing the iptables stuff. also make sure the dns requests do end up at the tor ‚fake dns server‘ it’s got built in and do NOT enter the tor network (as larger dns stuff is handled over tcp :wink: or else it simply comes out one of the exit nodes and is handled like normal dns :stuck_out_tongue: and thus .onion is not gonna work :stuck_out_tongue: etc. lol.

4

HER ROYAL HIGHNESS OF CB - cb3rob hat da wohl recht bei seinen Aussagen dazu :bangbang: :sweat_smile:

5

Ich bin sehr dankbar für CB3ROBs ausführliche Antwort, die mir auch durchaus viel neuen Input gegeben hat. Nur hat mir das leider nicht meine Frage beantwortet oder ich hab es nicht ganz verstanden. Wäre sehr dankbar wenn mir jemand das in einfacheren Wörtern erklären kann.

6

Die Funktion wird nicht deaktiviert, sondern einfach umgangen. Der VPN-Client auf dem PC nutzt einen virtuellen Netzwerkadapter (Stichwort: TAP v9 bei Windows). Dieser baut den Tunnel zum Provider-Server auf einer eigenständigen Route auf, bei der die Ports am Router einfach durchgereicht werden.
Wenn du eine Verbindung zum Router (inkl. dem internen VPN / TOR) ohne den VPN-Client am PC, über die Standard-Netzwerkkarte aufbaust, kommt natürlich auch ein anderer Port ins Spiel, der nicht einfach durchgereicht wird, sondern mit dem internen Router-VPN / TOR eine Connection eingeht.
Im Ergebnis hast du also vom gleichen Startpunkt (PC) aus, zwei komplett unterschiedliche Routings zur gleichen Zieladresse (z.B. guuble.com).