OpenVPN Durchsatz - wie 200Mbit schaffen?
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Es läuft noch pfblocker-NG und snort.
pfBlocker sehe ich jetzt nicht dramatisch weil Layer 3 aber Snort mal ausgemacht?
ich hoffe aber bis Ende der Woche/Anfang nächster mal ein Labor endlich fertig zu haben, gegen das ich auch von extern mit Tunneln etc. testen kann, dann sind auch einige Dinge besser belegbar was Cipher/Codecs und Einstellungen angeht.
-
@jegr said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
ich hoffe aber bis Ende der Woche/Anfang nächster mal ein Labor endlich fertig zu haben, gegen das ich auch von extern mit Tunneln etc. testen kann
Das ist eine ausgezeichnete Idee. Liegt der Schwerpunkt auf IPsec oder OpenVPN?
Vielen Dank und LG
-
@gladius said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Das ist eine ausgezeichnete Idee. Liegt der Schwerpunkt auf IPsec oder OpenVPN?
Vielen Dank und LG
Der Schwerpunkt liegt darin überhaupt ein ordentliches Labor zu haben ;)
Wir haben zwar mitunter Testhardware oder Test VMs herumfliegen, die sind aber meist je nach Kunde oder User unterschiedlich. Außerdem müssen manche Sachen mal ordentlich in der Tiefe getestet werden. Jetzt mit 2.4.4 bspw. das neue Portal mal richtig durchleuchten, pfBNG in der Dev Fassung mal ausloten etc. Das macht man ungern auf Live-Kisten und wenn die Dev Hardware ständig mal für Kunden gebraucht wird, ist es dort auch schwer. Wir haben da jetzt aber einen extra (ehem.) HV-Host über gehabt, der nun ins Büro verfrachtet und dort als Labor HV mit VMs bespaßt wird. Das ganze dann so, dass wir uns bei Bedarf auch public IPs und IP6 drauf routen können um eben "prod" zu simulieren. Ich bin gerade im Aufbau dessen und sobald es (hoffentlich bis nächste Woche Beginn) steht, kann ich dann auch endlich gegen die Kiste von extern mal diverse VPN Tunnel & Settings testen und tweaken ohne den Produktivbetrieb zu beeinflussen. Bis zu 500Mbps sollten wir dann als Teststrecke frei haben, so dass ich mit meiner 400/20er dann auch mal schauen kann, was mit welchen Einstellungen an Appliance Hardware möglich ist. Eine Test-HW mit C2558 steht zumindest schon bereit, dann habe ich zumindest eine grobe Eintaktung, was der alte Atom bringen kann. Und eine APU2 sollte irgendwann nächsten Monat auch frei werden um damit zu testen. :)Gruß
-
@jegr said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Eine Test-HW mit C2558 steht zumindest schon bereit, dann habe ich zumindest eine grobe Eintaktung, was der alte Atom bringen kann. Und eine APU2 sollte irgendwann nächsten Monat auch frei werden um damit zu testen.
Da bin schon mal ich auf die Ergebnisse gespannt . Als Nutzer zu Hause hat man ja nicht die breite Auswahl,
muß gelegentlich aus der Hüfte schießen und auf Treffer hoffen.LG
-
Ich hatte für das HW Measuring für die pfSense eines Freundes ein ähnliches Problem.
Ich hatte glücklicherweise Zugriff auf diverse Boxen mit unterschiedlichen CPUs und bin nach diesem Performancetest vorgegangen, der erschreckend realistische OpenVPN Resultate lieferte:
https://forum.netgate.com/topic/94091/asus-n3050i-c-for-openvpn-100mbit-wan/10
Erkenntnis: Diese kleinen Atom-Stinker und kastrierten, Lowtakt-CPUs taugen nichts für anständige OVPN-Performance.
200MBit+ VPN Durchsatz gab es z.B. mit nem i3 5005U 2.0GHz
Er hat jetzt ein aktuelles Mini-ITX mit stromsparenden i3 und kann über seinen VPN Provider seine 200MBit im Downstream voll nutzen.
- pfSense Gold Subscriber -
Sense 1: Shuttle DS57U3 (private)
Sense 2: Supermicro Atom Barebone (Company Test)
Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office) -
Cool, danke dir für diesen Link!
Auf dem SuperMicro board A1SRM-LN7F-2358 mit Atom C2358 kommt immerhin: 100 raus. Aber in der Praxis nur ca. 27...Auf dem APU 4B4 sind es laut diesem Test theoretisches maximum 40.. Praxis höchstens 20.
Was wäre deine board/Cpu empfehlung (was auch in ein 1HE gehäuse passt), mit mind 4x Ethernet, gerne auch ein paar mehr?
-
Es gibt ja inzwischen auch diverse ARM-Teile (SG-1000, SG-3100) von Netgate.
Denen traue in Bezug auf eine befriedigende OpenVPN Leistung nicht viel zu
und habe nie über einem Einsatz bei mir zu Hause nachgedacht. Dieser
Entschluß beruht aber nicht (Bauchgefühl) auf belastbaren Meßwerten.Wem gelingt es mit nachvollziehbaren Argumenten und Fakten
mich vom Gegenteil zu überzeugen?LG
-
Der Werte zur SG-3100 habe ich oben geschrieben, die sind selbst getestet.
-Rico
-
@rico said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Der Werte zur SG-3100 habe ich oben geschrieben, die sind selbst getestet.
Das Testszenarium ist leider unklar. Sind diesbezüglich Angaben möglich?
Unklar ist auch warum AEAD-Ciphers nicht besser abschneiden.
Meine eigenen Tests geben das nicht her.LG
DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)
-
Ich habe zuhause solch eine chinesische QOTOM-Kiste, Q350G4, mit einem i5-4200U. Die hat 4 NICs und 8GB RAM und kostet mit SSD knapp 300 Euro.
Die Lieferung dauert aber 3 Wochen.Ich habe auf diesem die pfSense und einen Cloudserver virtualisiert laufen, ausgeliefert wurde die Kiste aber mit vorinstallierter pfSense .
Der Durchschnittsverbrauch liegt bei etwa 7 Watt.Die VPN-Performance habe ich allerdings noch nicht getestet, die wäre wohl eher durch meine 16 Mbit/s-Anbindung eingeschränkt.
Aber wenn es um die CPU-Leistung geht, lässt sich der Prozessor wohl gut einschätzen. -
@viragomann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
QOTOM-Kiste, Q350G4
@viragomann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
ausgeliefert wurde die Kiste aber mit vorinstallierter pfSense .
Sehr zur Freude von Netgate. Wo kein Kläger, da kein Richter.
Naja, wenn die Kiste ihr Geld wert ist.LG
-
Das war zu Ende letzten Jahres. Mittlerweile hat sich das vielleicht auch geändert.
Und der zuständige Richter würde wohl in China sitzen...Bislang läuft sie ganz fein.
Lg
-
@viragomann was sind denn die werte auf deiner china-kiste nach diesem bench?
https://forum.netgate.com/topic/94091/asus-n3050i-c-for-openvpn-100mbit-wan/10
Hole mir dann das QOTOM Mini PC Q575G6 mit i7-7500U, 6x Eth, dann ist "Ruhe"
-
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Erkenntnis: Diese kleinen Atom-Stinker und kastrierten, Lowtakt-CPUs taugen nichts für anständige OVPN-Performance.
Also wo DIE Erkenntnis herkommt, habe ich keine Ahnung, sie stimmt allerdings schlichtweg nicht. Soviel sei gesagt, wir haben bei einem Kunden einen Cluster aus 2 Atom 2558er Kisten und die wuppern locker mehr als 100MBit/s mit OpenVPN. Warum ich das genau weiß? Wir mussten bei dem Kunden via remote physikalische Server in virtuelle überführen (P2V) und haben daher nen ziemlich konstanten Traffic über den Tunnel gehabt - und hatten da locker 18-20 MB/s (Byte, nicht Bit). Das sind dann zwischen 150 und 200Mbps.
Nur weil eine Kiste Atom heißt (die N Kisten auch), sind die nicht gleich mies oder gut :)
Gruß
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@sensemann
Müsste ich austesten, wenn ich zuhause bin.
Ich schätzte mal, so um die 200. Aber hat dieses Ergebnis tatsächlich mit der praktischen Realität zu tun? -
@gladius said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Das Testszenarium ist leider unklar. Sind diesbezüglich Angaben möglich?
Ziemlich straight forward, OpenVPN RAS mit default Settings aufgesetzt, eine potente Kiste an den WAN Port gehängt und eine an LAN.
Von WAN Seite aus mit dem RAS verbunden und dann über verschiedene Protokolle Daten auf den Rechner im LAN geprügelt, hauptsächlich über FTP.
Dann zwischen den gängigen Encryption Algorithm wie oben beschrieben getestet.-Rico
-
Die SG-3100 kann nach den hier übermittelten Werten von weder vom Preis noch von der OpenVPN Leistung
mit meiner "Bastellösung" mithalten. Ich hatte so einTeil nie in die engere Wahl einbezogen als es um
die Ablösung meiner AP1D. ging. Bauchgefühle haben manchmal auch ihr Gutes.Für den Hausgebrauch aber ist so ein Teil vermutlich doch leistungsfähiger bzgl. OpenVPN als eine APU2xyz.
ARM auf dem Vormarsch?
LG -
Ich habe im professionellen Bereich die Schnauze voll von Bastellösungen. ;-) Stabilität und maximal guter Support sind mir da wichtiger als die letzten paar MBit aus den Euros zu quetschen.
Außerdem ist OpenVPN ja leider nicht das Performance Monster und einiges hinter IPsec. Multi-Core Support muss endlich mal her.
Die Werte von oben sind natürlich Single Thread/Instance.-Rico
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
@viragomann was sind denn die werte auf deiner china-kiste nach diesem bench?
Auf der virtualisierten pfSense:
11,8 s
271 Mbit/sAm Basissystem (OpenSUSE Leap 42.3):
7,63 s
419 Mbit/sBesser als ich erwartet hatte.
Grüße
-
hah, habe meinen Zettel mit den Benchmarks wieder gefunden. Hier mal diverse Kombinationen, darunter auch paar Router mit Linux und OVPN:
Meine Box pfsense mit i3 5005U: 233 MBit
Firewall Firma: SuperMicro mit Xeon D-1518: 257 MBit
TestFW Firma: Atom C2550: 136 MBit
Netgear R7000 Router: 50 MBit
WRT 1900 AC: 58 MBit
Mein PC Intel i7 4790k: 640MBit
Supermicro FW Appliance mit Intel N3700: 93 MBitSo weit die Theorie...
Mangels High-Speed Internet kann ich die theoretischen Werte zu Hause aber nicht überprüfen.
Der Netgear R7000 brachte aber beim Freund der über 200MBit Downstream verfügt, ziemlich genau die errechneten 50 MBit/s. Ein Netgear R4300 brachte 18MBit in der Praxis.
