Отказоустойчивый ipsec vpn через multiwan
-
Развернул виртуалки на proxmox
Скорость без шифрования - 36-38 МБайт/c, с шифрованием AES-128-CBC - 31-32 МБайт/c
Нагрузка i3 ~ 80 процентов.Т.е. медленнее, чем вообще без виртуалки, но значительно быстрее, чем на Hyper-V
-
Странно, проц не на 100% что мешает раскрутиться до 98-100МБайт/сек (1gb), неужели какое железное ограничение?
-
Только резервирование vpn-канала неизвестно как делать, т.к. туннельный режим не поддерживает multicast, который необходим для
В настройках ipsec-туннеля можно выбрать tap.
-
Может быть Вы имеете в виду transport, а не tap? По-крайней мере, я tap нигде не могу найти.
Но если выбрать режим transport, то придётся ещё использовать gre или l2tp, чего мне пока не хочется.
Но, хорошо, сейчас попробую… -
Может быть Вы имеете в виду transport, а не tap? По-крайней мере, я tap нигде не могу найти.
Но если выбрать режим transport, то придётся ещё использовать gre или l2tp, чего мне пока не хочется.
Но, хорошо, сейчас попробую…Нет, есть два режима тунелирования TUN и TAP, TUN это когда два разных диапазона соединяют тунелем, а TAP это когда диапазон один сквозь тунель (LAN находится в Bridge режиме с тунелем).
-
Нет, есть два режима тунелирования TUN и TAP, TUN это когда два разных диапазона соединяют тунелем, а TAP это когда диапазон один сквозь тунель (LAN находится в Bridge режиме с тунелем).
в ovpn они так называются - tun/tap, а в ipsec уже tunnel/transport.
-
2 Igor Filth
Важно.
Если пф работает в вирт. среде, то в настр. System: Advanced: Networking поставить галки на Disable hardware checksum offload, Disable hardware TCP segmentation offload, Disable hardware large receive offload. После обязательно перезагр. пф. И протестировать скорость передачи.P.s. В настр. вирт. маш. на proxmox исп. virtio-сетевые и virtio-hdd для достижения макс. произ-ти.
-
@Bansardo:
Странно, проц не на 100% что мешает раскрутиться до 98-100МБайт/сек (1gb), неужели какое железное ограничение?
Почитайте ссылку, которую я приводил выше.
По ней тесты скоростей в сетях 1G/10G от разработчиков OVPN.
ТС, похоже, ее тоже читать не стал. -
ТС, похоже, ее тоже читать не стал.
Я её прочитал ещё до того, как спрашивать начал)))
Толку от этой статьи я получил немного, кроме понимания, что такие скорости достижимы и что они зависит как от типа шифрования, так и от mtu… + эти тесты явно были без использования KVM)
Поэтому написал сюда, чтобы получить конкретные советы и рекомендации)2 werter
Завтра выставлю эти настройки, потестирую. Спс!
-
2 werter
При выставленной галочке Disable hardware checksum offload постоянно рвётся связь c WAN даже при небольшой активности - при попытке скачать что-то с инета, или передать какой-то файл между компьютерами по туннелю.
Остальные галочки уже были выставлены по умолчанию.Уточню, что я пока опять тестирую на Hyper-V, т.к. proxmox мне "забраковали".
P.s. В настр. вирт. маш. на proxmox исп. virtio-сетевые и virtio-hdd для достижения макс. произ-ти.
На proxmox так и сделал сразу :)
-
Уточню, что я пока опять тестирую на Hyper-V, т.к. proxmox мне "забраковали".
Я обычно таким "браковщикам" предлагаю самим тогда настраивать, а то хотим много, да еще и тыкаем инженеру какими инструментами работать.
Напоминает ситуацию, "на забей гвоздь сотку, а молоток тебе на для ювелирки -
Галочка Disable hardware checksum offload оказалась невиновной в обрывах связи. Когда Hyper-V заново поставил, забыл дрова на сетевушку обновить - в этом и была причина обрывов. ::)
Но и никакого увеличения производительности от этой галочки я не получил.Сейчас, исключительно ради эксперимента, попробую поставить последний снапшот pf 2.4.
-
Поставил 2.4. Скорость без шифрования - 35-37 МБайт/c (такая же, как и на proxmox с pf 2.3.2-1), с AES-128-CBC 33-35 МБайт/c
-
Поставил 2.4
В вашей сборке уже обновлен OpenVPN до версии 2.4?
В OpenVPN 2.4 появилось много нового, в частности поддерживается (полноценно?) аппаратное ускорение при выборе AES-GCMWe added OpenVPN 2.4 to pfSense 2.4 snapshots this week and have added a number of new features around it as well (NCP, ECDH, TLS Encryption+Authentication, pushing IPv6 DNS, IPv6 in status output, LZ4 compression…)
И наконец:
The native OpenVPN-GUI uses the new service in OpenVPN 2.4 for managing connections, meaning unprivileged users can use OpenVPN and it will add routes properly. (Note that admin access is still required to install the OpenVPN client)https://www.reddit.com/r/PFSENSE/comments/5l45jk/openvpn_240_is_now_available_on_pfsense_24/
https://www.reddit.com/r/PFSENSE/comments/5lzq5o/openvpn_client_export_package_with_openvpn_24/
https://www.reddit.com/r/PFSENSE/comments/5lric3/aesni_not_selectable_in_24_beta/ -
В вашей сборке уже обновлен OpenVPN до версии 2.4?
Нет.
После выхода на работу обновлю сборку до последней версии, посмотрю что нового появилось в настройках, протестирую скорость и нагрузку на проц.
-
Отпишитесь, плз, о результатах.
-
Разумеется ;)
-
Обновил. Что касается скорости, то после обновления она ничуть не изменилась. Изменения в настройки никакие не вносил.
Теперь что касается настроек. Сделал скриншоты изменений.
-
Пункт Advanced - Miscellaneous
Теперь доступно для выбора только AES-NI CPU-based acceleration
Не знаю, может быть, при наличии камня от AMD были бы другие настройки. -
Скрины изменений в настройках сервера openvpn тоже прикладываю.
Если нужно, могу заняться тестами скорости при определённо выставленных настройках. Только говорите, какие именно параметры нужно выставить. Перебирать вслепую все варианты и изучать что именно какой параметр что значит пока совсем нет времени - после НГ завал.
-
-
Только говорите, какие именно параметры нужно выставить
По идее рассчитывать на ускорение с AES-NI можно только при выборе кодеков AES-GCM
С собственно включением поддержки тоже как-то не очень понятно:
https://www.reddit.com/r/PFSENSE/comments/5lric3/aesni_not_selectable_in_24_beta/Потестировал бы сам, но нет свободных ресурсов - не чем собрать стенд.
-
Выбрал AES-128-GCM. Опять 32,9-34,2 МБайт.
Выключил шифрование вообще и перезагрузил - скорость не поменялась. На декабрьской сборке без шифрования скорость была чуть побыстрее, кстати.Кстати, ради интереса, быстренько поднял IPSEC. Результат вновь такой же….
Так что, возможно, что тут дело в Hyper-V. И на proxmox или без использования виртуализации мы получили бы совсем другой результат.
