Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN : problème bande passante (site to site)

    Scheduled Pinned Locked Moved Français
    20 Posts 7 Posters 6.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      skymaster369
      last edited by

      Salut Dodo25, merci pour ce retour bien fournis,

      Déja maintenant tu peux acter que ta fibre est impeccable, le débit est plus que correct pour du mux et tu n'a aucune perte de paquet.
      Donc les modules SFP font le taf (rapport qualité prix c'est top !)

      Concernant les tests iperf, peux tu me dire à quel niveau ils ont été effectué,

      PC Site 1 -> Swicth site 1> Fibre noire ->Switch site 2 -> PC Site 2

      Ou

      PFsense site 1(Via le package iperf) -> Switch site 1 -> Fibre noire -> Switch Site 2 -> PFsense site 2 (via le package iperf)

      Ou encore

      PFsense site 1(Via le package iperf) -> Switch site 1 -> Fibre noire -> Switch Site 2 -> PC site 2 ?

      Quel débit tu as si tu dialogue entre 2 LAN séparé par ton pfsense ?
      Quel débit tu obtiens si tu désactive la partie cryptage de ton VPN ?
      Bien à toi.

      PS : je suis en train de comparer ma configuration pfsense et openVPN avec la mienne, pour info j'ai 20 Mo/s en roadwarrior (via l'internet),
      Mais j'avais un peu le même problème que toi, j'avais seulement 35 Mo/s entre 2 LAN, et je me suis aperçu ensuite que c'etait l'intel ATOM qui limitait, mais c'etait les vieux (Lanner LEC-2126 avec Intel® Atom™ Dual Core D510 1.66 GHz).

      1 Reply Last reply Reply Quote 0
      • D
        Dodo25
        last edited by

        Salut,

        Oui c'est déjà ça  ;)

        Les tests ont été réalisés via:
        PFsense site 1(Via le package iperf) -> Switch site 1 -> Fibre noire -> Switch Site 2 -> PFsense site 2 (via le package iperf)

        Entre 2 PC sur le LAN je n'ai pas testé avec iperf, mais avec du transfert de fichier entre deux Windows,
        Je suis à 28Mo/s (~220Mbps).
        Sans cryptage je suis dans les 60Mo/s (~480Mbps).

        En utilisant iperf3 entre les 2PC
        (PC1(Via le package iperf3) -> PFsense site 1 -> Switch site 1 -> Fibre noire -> Switch Site 2 -> PFsense site 2 -> PC2 (via le package iperf3)),
        j'obtient aussi 220Mbps en moyenne même avec 4 connexion simultanées.

        Ce serait étonnant que le CPU limite dans mon cas vu son usage (~20%) non ?

        1 Reply Last reply Reply Quote 0
        • S
          skymaster369
          last edited by

          @Dodo25:

          Salut,

          Oui c'est déjà ça  ;)

          Les tests ont été réalisés via:
          PFsense site 1(Via le package iperf) -> Switch site 1 -> Fibre noire -> Switch Site 2 -> PFsense site 2 (via le package iperf)

          Entre 2 PC sur le LAN je n'ai pas testé avec iperf, mais avec du transfert de fichier entre deux Windows,
          Je suis à 28Mo/s (~220Mbps).
          Sans cryptage je suis dans les 60Mo/s (~480Mbps).

          En utilisant iperf3 entre les 2PC
          (PC1(Via le package iperf3) -> PFsense site 1 -> Switch site 1 -> Fibre noire -> Switch Site 2 -> PFsense site 2 -> PC2 (via le package iperf3)),
          j'obtient aussi 220Mbps en moyenne même avec 4 connexion simultanées.

          Ce serait étonnant que le CPU limite dans mon cas vu son usage (~20%) non ?

          Salut dodo,

          Si t' as obtenu les résultat précédent (778 et 997) entre les 2 sense, ton problème n'est pas hardware,
          Pour la partie VPN, essaye d'utilisé un cryptage moins fort pour voir si ton débit augmente sensiblement,
          Pour la partie partage de fichier, vérifie que tes règles ne soit pas trop lourde et ne se chevauche pas.
          Dans tout les cas pense à faire des backups avant de touché les réglages, et fais le hors horaires de prod ;)

          Pour la limitation du CPU si tu as 4 coeur c'est pas étonnant, mon pfsense perso est sur un core 2 duo, et depuis qu'il remplace ma livebox je suis passé de 987 mb/s à 680, et mon proc reste bloqué à 45-50 %, en contre partie, mon dhcp ne plante plus, ma box ne redemarre plus 10 fois par jours etc ^^

          Bon courage et tiens nous au courant de tes tests et résultats.

          1 Reply Last reply Reply Quote 0
          • O
            olivier
            last edited by

            Les performances avec OpenVPN seront en général deux fois moindre qu'avec IPSec: OpenVPN tournant en espace utilisateur et IPSec en noyaux.
            De plus l'algorithme de chiffrage le plus efficace a utiliser lorsque la CPU supporte AESNI est un algo AEAD style AES-GCM.
            La différence entre 128 ou 256 bits étant mineure avec AESNI.
            Vous trouverez ici quelques bench IPSec vs OpenVPN sur différents matériel: 4 cœurs Xeon suffisent pour chiffrer 1Gb/s en IPSec AES-GCM, donc… je n'ai pas testé, mais avec 8 cœurs Atom on devrai approcher cette valeur.

            1 Reply Last reply Reply Quote 0
            • T
              trixbox
              last edited by

              Bonjour,
              Essayez en rajoutant dans les paramètres avancés client et serveur :

              tun-mtu 6000;
              mssfix 0;
              fragment 0;

              Il convient de renseigner également dans le configuration WAN  MTU 1500 et MSS 1400

              1 Reply Last reply Reply Quote 0
              • D
                Dodo25
                last edited by

                Pour avancé, j'ai contacté le support technique fin janvier, ils m'ont fait tester quelques manipulations tel que trixbox tu le décris, cependant malgré tout, je n'ai jamais réussi à dépasser les 250Mbps.
                J'ai donc envoyé ma configuration pour qu'ils la test de leur côté, et leurs tests se sont conclus avec les mêmes résultats sur le même matériel.
                Pour l'instant aucun pilote FreeBSD n'existe, permettant d'utiliser l'accélération matériel sur ces routeurs, c'est pour cela que les résultats sont si bas.
                J'avais fait des essais avec IPsec, j'était dans les mêmes eaux.
                En attente de mieux … :(
                En tout cas merci, pour votre temps  ;)

                1 Reply Last reply Reply Quote 0
                • chopisophi3C
                  chopisophi3
                  last edited by

                  This post is deleted!
                  J 1 Reply Last reply Reply Quote 0
                  • J
                    jdh @chopisophi3
                    last edited by

                    This post is deleted!
                    1 Reply Last reply Reply Quote 0
                    • chopisophi3C
                      chopisophi3
                      last edited by stephenw10

                      This post is deleted!
                      J 1 Reply Last reply Reply Quote 0
                      • J
                        jdh @chopisophi3
                        last edited by

                        This post is deleted!
                        1 Reply Last reply Reply Quote 0
                        • stephenw10S stephenw10 locked this topic on
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.