Отказоустойчивый ipsec vpn через multiwan
-
Поставил 2.4. Скорость без шифрования - 35-37 МБайт/c (такая же, как и на proxmox с pf 2.3.2-1), с AES-128-CBC 33-35 МБайт/c
-
Поставил 2.4
В вашей сборке уже обновлен OpenVPN до версии 2.4?
В OpenVPN 2.4 появилось много нового, в частности поддерживается (полноценно?) аппаратное ускорение при выборе AES-GCMWe added OpenVPN 2.4 to pfSense 2.4 snapshots this week and have added a number of new features around it as well (NCP, ECDH, TLS Encryption+Authentication, pushing IPv6 DNS, IPv6 in status output, LZ4 compression…)
И наконец:
The native OpenVPN-GUI uses the new service in OpenVPN 2.4 for managing connections, meaning unprivileged users can use OpenVPN and it will add routes properly. (Note that admin access is still required to install the OpenVPN client)https://www.reddit.com/r/PFSENSE/comments/5l45jk/openvpn_240_is_now_available_on_pfsense_24/
https://www.reddit.com/r/PFSENSE/comments/5lzq5o/openvpn_client_export_package_with_openvpn_24/
https://www.reddit.com/r/PFSENSE/comments/5lric3/aesni_not_selectable_in_24_beta/ -
В вашей сборке уже обновлен OpenVPN до версии 2.4?
Нет.
После выхода на работу обновлю сборку до последней версии, посмотрю что нового появилось в настройках, протестирую скорость и нагрузку на проц.
-
Отпишитесь, плз, о результатах.
-
Разумеется ;)
-
Обновил. Что касается скорости, то после обновления она ничуть не изменилась. Изменения в настройки никакие не вносил.
Теперь что касается настроек. Сделал скриншоты изменений.
-
Пункт Advanced - Miscellaneous
Теперь доступно для выбора только AES-NI CPU-based acceleration
Не знаю, может быть, при наличии камня от AMD были бы другие настройки. -
Скрины изменений в настройках сервера openvpn тоже прикладываю.
Если нужно, могу заняться тестами скорости при определённо выставленных настройках. Только говорите, какие именно параметры нужно выставить. Перебирать вслепую все варианты и изучать что именно какой параметр что значит пока совсем нет времени - после НГ завал.
-
-
Только говорите, какие именно параметры нужно выставить
По идее рассчитывать на ускорение с AES-NI можно только при выборе кодеков AES-GCM
С собственно включением поддержки тоже как-то не очень понятно:
https://www.reddit.com/r/PFSENSE/comments/5lric3/aesni_not_selectable_in_24_beta/Потестировал бы сам, но нет свободных ресурсов - не чем собрать стенд.
-
Выбрал AES-128-GCM. Опять 32,9-34,2 МБайт.
Выключил шифрование вообще и перезагрузил - скорость не поменялась. На декабрьской сборке без шифрования скорость была чуть побыстрее, кстати.Кстати, ради интереса, быстренько поднял IPSEC. Результат вновь такой же….
Так что, возможно, что тут дело в Hyper-V. И на proxmox или без использования виртуализации мы получили бы совсем другой результат.
-
2 Igor Filth
Спасибо за крины.Оффтоп :
Для Мозиллы есть хорошее дополнение для скриншотов - FireShot. Чтобы веб-страницы с прокруткой не резать кусками.
Для ОС в целом пользую GreenShot (есть еще lightshot и др.) -
В конце этой/начале следующей недели постараюсь выкроить время для тестов производительности канала ovpn 2.4 при установке pf на комп без виртуализации. Попробую разные алгоритмы шифрования и сжатия. Результаты выложу.
2 werter
Спасибо за совет. А то я по старинке всё ножницами или связкой PrintScreen+Paint пользуюсь) -
Прошу прощения, только сегодня смог протестировать скорость vpn канала при установке pf без виртуалок.
IPSEC:
- Phase1 AES (128 bits), SHA1, DH2; Phase 2 - AES (128 bits), SHA1 - 50-51 МБ/с
2) Phase1 AES256-GCM(128 bits), SHA1, DH2; Phase 2 - AES256-GCM (auto), SHA1 - 76-79 МБ/с
OVPN:
Без шифрования - 75-79 МБ/c
AES-128-CBC - 70-72 МБ/c
AES-128-GCM - 75-76 МБ/c
AES-256-CBC - сначала 68-70 МБ/c, через пару минут упала до 62-63 и больше не поднялась
AES-256-GCM - 72-74 МБ/c - Phase1 AES (128 bits), SHA1, DH2; Phase 2 - AES (128 bits), SHA1 - 50-51 МБ/с
-
Спасибо. Чем тестировалась скорость? iperf\samba\NFS?
Похоже, что AES-NI все же подхватился, если можно - включали ли вы явно его поддержку?
Меняется ли загрузка CPU в зависимости от выбора CBC\GCM?Цифры с AES-128-GCM весьма достойные, IMHO.
Потестировал новую версию Open VPN 2.4 на WIN-клиенте.
Из плюсов:
1. Не нужны права админа для запуска
2. Конфиги по умолчанию теперь лежат в профиле юзера, старое расположение (C:\Program Files (x86)\OpenVPN\config) тоже работает
3. Появился импорт конфига
4. Инсталлятор единый для x86\x64Клиента 2.4. для ХР нет.
-
Samba.
iperf я раньше пробовал тестировать и почему-то были слишком разные результаты. Либо пользуюсь неправильно.
Первый раз может показать 400+ мбит, второй, третий, четвертый уже в районе 80 мбит. Потом опять за 400мбит скорость прыгнула, затем опять резко упала.Похоже, что AES-NI все же подхватился, если можно - включали ли вы явно его поддержку?
В Advanced-Miscellaneous-Cryptographic Hardware AES-NI включен.
Насчёт проца завтра отвечу.
-
К сожалению, мне так и не удалось протестировать загрузку CPU, т.к. компьютер пришлось отдать сотрудникам на постоянной основе.
