OpenVPN Durchsatz - wie 200Mbit schaffen?
-
Das war zu Ende letzten Jahres. Mittlerweile hat sich das vielleicht auch geändert.
Und der zuständige Richter würde wohl in China sitzen...Bislang läuft sie ganz fein.
Lg
-
@viragomann was sind denn die werte auf deiner china-kiste nach diesem bench?
https://forum.netgate.com/topic/94091/asus-n3050i-c-for-openvpn-100mbit-wan/10
Hole mir dann das QOTOM Mini PC Q575G6 mit i7-7500U, 6x Eth, dann ist "Ruhe"
-
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Erkenntnis: Diese kleinen Atom-Stinker und kastrierten, Lowtakt-CPUs taugen nichts für anständige OVPN-Performance.
Also wo DIE Erkenntnis herkommt, habe ich keine Ahnung, sie stimmt allerdings schlichtweg nicht. Soviel sei gesagt, wir haben bei einem Kunden einen Cluster aus 2 Atom 2558er Kisten und die wuppern locker mehr als 100MBit/s mit OpenVPN. Warum ich das genau weiß? Wir mussten bei dem Kunden via remote physikalische Server in virtuelle überführen (P2V) und haben daher nen ziemlich konstanten Traffic über den Tunnel gehabt - und hatten da locker 18-20 MB/s (Byte, nicht Bit). Das sind dann zwischen 150 und 200Mbps.
Nur weil eine Kiste Atom heißt (die N Kisten auch), sind die nicht gleich mies oder gut :)
Gruß
Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!
If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.
-
@sensemann
Müsste ich austesten, wenn ich zuhause bin.
Ich schätzte mal, so um die 200. Aber hat dieses Ergebnis tatsächlich mit der praktischen Realität zu tun? -
@gladius said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Das Testszenarium ist leider unklar. Sind diesbezüglich Angaben möglich?
Ziemlich straight forward, OpenVPN RAS mit default Settings aufgesetzt, eine potente Kiste an den WAN Port gehängt und eine an LAN.
Von WAN Seite aus mit dem RAS verbunden und dann über verschiedene Protokolle Daten auf den Rechner im LAN geprügelt, hauptsächlich über FTP.
Dann zwischen den gängigen Encryption Algorithm wie oben beschrieben getestet.-Rico
-
Die SG-3100 kann nach den hier übermittelten Werten von weder vom Preis noch von der OpenVPN Leistung
mit meiner "Bastellösung" mithalten. Ich hatte so einTeil nie in die engere Wahl einbezogen als es um
die Ablösung meiner AP1D. ging. Bauchgefühle haben manchmal auch ihr Gutes.Für den Hausgebrauch aber ist so ein Teil vermutlich doch leistungsfähiger bzgl. OpenVPN als eine APU2xyz.
ARM auf dem Vormarsch?
LG -
Ich habe im professionellen Bereich die Schnauze voll von Bastellösungen. ;-) Stabilität und maximal guter Support sind mir da wichtiger als die letzten paar MBit aus den Euros zu quetschen.
Außerdem ist OpenVPN ja leider nicht das Performance Monster und einiges hinter IPsec. Multi-Core Support muss endlich mal her.
Die Werte von oben sind natürlich Single Thread/Instance.-Rico
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
@viragomann was sind denn die werte auf deiner china-kiste nach diesem bench?
Auf der virtualisierten pfSense:
11,8 s
271 Mbit/sAm Basissystem (OpenSUSE Leap 42.3):
7,63 s
419 Mbit/sBesser als ich erwartet hatte.
Grüße
-
hah, habe meinen Zettel mit den Benchmarks wieder gefunden. Hier mal diverse Kombinationen, darunter auch paar Router mit Linux und OVPN:
Meine Box pfsense mit i3 5005U: 233 MBit
Firewall Firma: SuperMicro mit Xeon D-1518: 257 MBit
TestFW Firma: Atom C2550: 136 MBit
Netgear R7000 Router: 50 MBit
WRT 1900 AC: 58 MBit
Mein PC Intel i7 4790k: 640MBit
Supermicro FW Appliance mit Intel N3700: 93 MBitSo weit die Theorie...
Mangels High-Speed Internet kann ich die theoretischen Werte zu Hause aber nicht überprüfen.
Der Netgear R7000 brachte aber beim Freund der über 200MBit Downstream verfügt, ziemlich genau die errechneten 50 MBit/s. Ein Netgear R4300 brachte 18MBit in der Praxis.
-
@jegr said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Erkenntnis: Diese kleinen Atom-Stinker und kastrierten, Lowtakt-CPUs taugen nichts für anständige OVPN-Performance.
Also wo DIE Erkenntnis herkommt, habe ich keine Ahnung, sie stimmt allerdings schlichtweg nicht. Soviel sei gesagt, wir haben bei einem Kunden einen Cluster aus 2 Atom 2558er Kisten und die wuppern locker mehr als 100MBit/s mit OpenVPN. Warum ich das genau weiß? Wir mussten bei dem Kunden via remote physikalische Server in virtuelle überführen (P2V) und haben daher nen ziemlich konstanten Traffic über den Tunnel gehabt - und hatten da locker 18-20 MB/s (Byte, nicht Bit). Das sind dann zwischen 150 und 200Mbps.
Nur weil eine Kiste Atom heißt (die N Kisten auch), sind die nicht gleich mies oder gut :)
Gruß
Der 2558 liegt vermutlich tatsächlich in dem Bereich bis 200MBit, davon ausgehend dass er nen Tacken schneller als ein 2550 ist, der auf die errechneten 136 MBit kommt.
Die "Sparbrötchen" Appliances sind ja nicht verkehrt. Benötige ich allerdings die volle Kapazität durch einen verschlüsselten Tunnel, ist das was anderes als bisserl Paket-Filter und Proxy auf der Kiste. Und dann möchte man ja auch nicht immer am Limit kratzen, sondern noch kleinwenig Luft nach oben haben. Sparen ok, aber nicht um jeden Preis :-)
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Cool, danke dir für diesen Link!
Auf dem SuperMicro board A1SRM-LN7F-2358 mit Atom C2358 kommt immerhin: 100 raus. Aber in der Praxis nur ca. 27...Auf dem APU 4B4 sind es laut diesem Test theoretisches maximum 40.. Praxis höchstens 20.
Was wäre deine board/Cpu empfehlung (was auch in ein 1HE gehäuse passt), mit mind 4x Ethernet, gerne auch ein paar mehr?
Puh, ich kann die fertige SuperMicro Appliance 1HE (oder Nachfolger) aus meine Signature empfehlen.
Die hat nen Xeon, 6 Ethernet, 2 Optical. Inzwischen 5 x verbaut. Das Board gibts sicher auch einzeln. In einem älteren Post habe ich die Dinger auch vorgestellt.
- pfSense Gold Subscriber -
Sense 1: Shuttle DS57U3 (private)
Sense 2: Supermicro Atom Barebone (Company Test)
Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office) -
Die Telekom liefert mir stabil 80 MBit/s down und 40 MBit/s up. Meine "Bastellösung" (siehe Signatur)
hat in Kombination mit meinem VPN-Anbieter keinerlei Probleme über den OpenVPN-Tunnel
Daten in der höchstmöglichen Geschwindigkeit zu liefern. Es wird mit AES-256-GCM verschlüsselt.Die CPU-Auslastung liegt bei ca. 15% laut pfSense GUI.
Diese in der Praxis erzielten Werte interpretiere ich nun dahin gehend, daß das Ende der
Fahnenstange noch nicht erreicht ist. In Ermangelung eines schnelleren Internetanschlußes
kann ich diesbezüglich keine weiteren Informationen liefern.Können diese von mir genannten belastbaren Informationen anderen eine
Orientierungshilfe geben?LG
-
Ja, das stimmt. Bei einer Dualcore-CPU und voll ausgenutztem OVPN-Tunnel zeigt das System 50% an. Ein Tool das die Cpu-Core Last anzeigt bescheinigt dies. Ein Core ist dann zu 100% "belegt", der andere setzt Spinnweben an.
-
Genau DAS ist ja leider der Pferdefuß bei OpenVPN.
-Rico
-
So richtig schlau werde ich da auch nicht. Scheinbar ist es zu aufwändig auf Basis des bestehenden Quellcodes eine multithreaded Version zu basteln. D.h. alles muss neu gemacht werden. Die letzten OVPN Roadmapinfos sind scheinbar auch aus der Steinzeit (2010).
-
Kann mich nicht entscheiden ...soll ich den China-MiniPC mit i5-7200U oder mit i7-7500U nehmen? TDP scheint bei beiden gleich zu sein... preisdifferenz 50€... OpenVPN 256bit 200Mbit down wäre das Ziel:)
-
Also, schon der i5 sollte dicke ausreichen und noch genügend Reserven haben.
-
okay, habe jetzt die i5 Version bestellt. der Vorteil daran ist auch, dass es die mit 16GB RAM gibt. Die 8GB mehr als bei der i7 Version halte ich für wichtiger. Ich berichte dann! Kann ja aber etwas dauern ;)
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Die 8GB mehr als bei der i7 Version halte ich für wichtiger.
Auszug aus:
https://www.netgate.com/docs/pfsense/book/hardware/hardware-sizing-guidance.htmlLarge State Table RAM Consumption
States Connections RAM Required
8,000,000 4,000,000 ~7800 MBFür den Hausgebrauch wohl mehr als genug.
LG
-
Hehe. Wenn man jetzt pfBlockerNG, Squid mit Caching und ClamAV und vielleicht noch ein IDS drauf hat, ist es nie verkehrt genügend RAM zu haben. Allerdings würden für den Hausgebrauch auch 8 GB locker ausreichen.
Ohne ein IDS, aber mit allen anderen Features braucht es bei mir 15-20% von 8GB derzeit.
