Отказоустойчивый ipsec vpn через multiwan

Igor Filth

Поставил 2.4. Скорость без шифрования - 35-37 МБайт/c (такая же, как и на proxmox с pf 2.3.2-1), с AES-128-CBC 33-35 МБайт/c

pigbrother

Поставил 2.4

В вашей сборке уже обновлен OpenVPN до версии 2.4?
В OpenVPN 2.4 появилось много нового, в частности поддерживается (полноценно?) аппаратное ускорение при выборе AES-GCM

We added OpenVPN 2.4 to pfSense 2.4 snapshots this week and have added a number of new features around it as well (NCP, ECDH, TLS Encryption+Authentication, pushing IPv6 DNS, IPv6 in status output, LZ4 compression…)

И наконец:
The native OpenVPN-GUI uses the new service in OpenVPN 2.4 for managing connections, meaning unprivileged users can use OpenVPN and it will add routes properly. (Note that admin access is still required to install the OpenVPN client)

https://www.reddit.com/r/PFSENSE/comments/5l45jk/openvpn_240_is_now_available_on_pfsense_24/
https://www.reddit.com/r/PFSENSE/comments/5lzq5o/openvpn_client_export_package_with_openvpn_24/
https://www.reddit.com/r/PFSENSE/comments/5lric3/aesni_not_selectable_in_24_beta/

Igor Filth

В вашей сборке уже обновлен OpenVPN до версии 2.4?

Нет.

После выхода на работу обновлю сборку до последней версии, посмотрю что нового появилось в настройках, протестирую скорость и нагрузку на проц.

pigbrother

Отпишитесь, плз, о результатах.

Igor Filth

Разумеется ;)

Igor Filth

Обновил. Что касается скорости, то после обновления она ничуть не изменилась. Изменения в настройки никакие не вносил.

Теперь что касается настроек. Сделал скриншоты изменений.

Пункт Advanced - Miscellaneous
Теперь доступно для выбора только AES-NI CPU-based acceleration
Не знаю, может быть, при наличии камня от AMD были бы другие настройки.
Скрины изменений в настройках сервера openvpn тоже прикладываю.

Если нужно, могу заняться тестами скорости при определённо выставленных настройках. Только говорите, какие именно параметры нужно выставить. Перебирать вслепую все варианты и изучать что именно какой параметр что значит пока совсем нет времени - после НГ завал.

ovpn1.jpg_thumb

misc.jpg_thumb

ovpn2.jpg_thumb

ovpn3.jpg_thumb

ovpn4.JPG_thumb

ovpn5.jpg_thumb

ovpn6.jpg_thumb

pigbrother

Только говорите, какие именно параметры нужно выставить

По идее рассчитывать на ускорение с AES-NI можно только при выборе кодеков AES-GCM
С собственно включением поддержки тоже как-то не очень понятно:
https://www.reddit.com/r/PFSENSE/comments/5lric3/aesni_not_selectable_in_24_beta/

Потестировал бы сам, но нет свободных ресурсов - не чем собрать стенд.

Igor Filth

Выбрал AES-128-GCM. Опять 32,9-34,2 МБайт.
Выключил шифрование вообще и перезагрузил - скорость не поменялась. На декабрьской сборке без шифрования скорость была чуть побыстрее, кстати.

Кстати, ради интереса, быстренько поднял IPSEC. Результат вновь такой же….

Так что, возможно, что тут дело в Hyper-V. И на proxmox или без использования виртуализации мы получили бы совсем другой результат.

werter

2 Igor Filth
Спасибо за крины.

Оффтоп :
Для Мозиллы есть хорошее дополнение для скриншотов - FireShot. Чтобы веб-страницы с прокруткой не резать кусками.
Для ОС в целом пользую GreenShot (есть еще lightshot и др.)

Igor Filth

В конце этой/начале следующей недели постараюсь выкроить время для тестов производительности канала ovpn 2.4 при установке pf на комп без виртуализации. Попробую разные алгоритмы шифрования и сжатия. Результаты выложу.

2 werter
Спасибо за совет. А то я по старинке всё ножницами или связкой PrintScreen+Paint пользуюсь)

Igor Filth

Прошу прощения, только сегодня смог протестировать скорость vpn канала при установке pf без виртуалок.

IPSEC:

Phase1 AES (128 bits), SHA1, DH2; Phase 2 - AES (128 bits), SHA1 - 50-51 МБ/с
2) Phase1 AES256-GCM(128 bits), SHA1, DH2; Phase 2 - AES256-GCM (auto), SHA1 - 76-79 МБ/с

OVPN:
Без шифрования - 75-79 МБ/c
AES-128-CBC - 70-72 МБ/c
AES-128-GCM - 75-76 МБ/c
AES-256-CBC - сначала 68-70 МБ/c, через пару минут упала до 62-63 и больше не поднялась
AES-256-GCM - 72-74 МБ/c

pigbrother

Спасибо. Чем тестировалась скорость? iperf\samba\NFS?
Похоже, что AES-NI все же подхватился, если можно - включали ли вы явно его поддержку?
Меняется ли загрузка CPU в зависимости от выбора CBC\GCM?

Цифры с AES-128-GCM весьма достойные, IMHO.

Потестировал новую версию Open VPN 2.4 на WIN-клиенте.

Из плюсов:
1. Не нужны права админа для запуска
2. Конфиги по умолчанию теперь лежат в профиле юзера, старое расположение (C:\Program Files (x86)\OpenVPN\config) тоже работает
3. Появился импорт конфига
4. Инсталлятор единый для x86\x64

Клиента 2.4. для ХР нет.

Igor Filth

Samba.
iperf я раньше пробовал тестировать и почему-то были слишком разные результаты. Либо пользуюсь неправильно.
Первый раз может показать 400+ мбит, второй, третий, четвертый уже в районе 80 мбит. Потом опять за 400мбит скорость прыгнула, затем опять резко упала.

Похоже, что AES-NI все же подхватился, если можно - включали ли вы явно его поддержку?

В Advanced-Miscellaneous-Cryptographic Hardware AES-NI включен.

Насчёт проца завтра отвечу.

Igor Filth

К сожалению, мне так и не удалось протестировать загрузку CPU, т.к. компьютер пришлось отдать сотрудникам на постоянной основе.