OpenVPN Durchsatz - wie 200Mbit schaffen?
-
Die SG-3100 kann nach den hier übermittelten Werten von weder vom Preis noch von der OpenVPN Leistung
mit meiner "Bastellösung" mithalten. Ich hatte so einTeil nie in die engere Wahl einbezogen als es um
die Ablösung meiner AP1D. ging. Bauchgefühle haben manchmal auch ihr Gutes.Für den Hausgebrauch aber ist so ein Teil vermutlich doch leistungsfähiger bzgl. OpenVPN als eine APU2xyz.
ARM auf dem Vormarsch?
LG -
Ich habe im professionellen Bereich die Schnauze voll von Bastellösungen. ;-) Stabilität und maximal guter Support sind mir da wichtiger als die letzten paar MBit aus den Euros zu quetschen.
Außerdem ist OpenVPN ja leider nicht das Performance Monster und einiges hinter IPsec. Multi-Core Support muss endlich mal her.
Die Werte von oben sind natürlich Single Thread/Instance.-Rico
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
@viragomann was sind denn die werte auf deiner china-kiste nach diesem bench?
Auf der virtualisierten pfSense:
11,8 s
271 Mbit/sAm Basissystem (OpenSUSE Leap 42.3):
7,63 s
419 Mbit/sBesser als ich erwartet hatte.
Grüße
-
hah, habe meinen Zettel mit den Benchmarks wieder gefunden. Hier mal diverse Kombinationen, darunter auch paar Router mit Linux und OVPN:
Meine Box pfsense mit i3 5005U: 233 MBit
Firewall Firma: SuperMicro mit Xeon D-1518: 257 MBit
TestFW Firma: Atom C2550: 136 MBit
Netgear R7000 Router: 50 MBit
WRT 1900 AC: 58 MBit
Mein PC Intel i7 4790k: 640MBit
Supermicro FW Appliance mit Intel N3700: 93 MBitSo weit die Theorie...
Mangels High-Speed Internet kann ich die theoretischen Werte zu Hause aber nicht überprüfen.
Der Netgear R7000 brachte aber beim Freund der über 200MBit Downstream verfügt, ziemlich genau die errechneten 50 MBit/s. Ein Netgear R4300 brachte 18MBit in der Praxis.
-
@jegr said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Erkenntnis: Diese kleinen Atom-Stinker und kastrierten, Lowtakt-CPUs taugen nichts für anständige OVPN-Performance.
Also wo DIE Erkenntnis herkommt, habe ich keine Ahnung, sie stimmt allerdings schlichtweg nicht. Soviel sei gesagt, wir haben bei einem Kunden einen Cluster aus 2 Atom 2558er Kisten und die wuppern locker mehr als 100MBit/s mit OpenVPN. Warum ich das genau weiß? Wir mussten bei dem Kunden via remote physikalische Server in virtuelle überführen (P2V) und haben daher nen ziemlich konstanten Traffic über den Tunnel gehabt - und hatten da locker 18-20 MB/s (Byte, nicht Bit). Das sind dann zwischen 150 und 200Mbps.
Nur weil eine Kiste Atom heißt (die N Kisten auch), sind die nicht gleich mies oder gut :)
Gruß
Der 2558 liegt vermutlich tatsächlich in dem Bereich bis 200MBit, davon ausgehend dass er nen Tacken schneller als ein 2550 ist, der auf die errechneten 136 MBit kommt.
Die "Sparbrötchen" Appliances sind ja nicht verkehrt. Benötige ich allerdings die volle Kapazität durch einen verschlüsselten Tunnel, ist das was anderes als bisserl Paket-Filter und Proxy auf der Kiste. Und dann möchte man ja auch nicht immer am Limit kratzen, sondern noch kleinwenig Luft nach oben haben. Sparen ok, aber nicht um jeden Preis :-)
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Cool, danke dir für diesen Link!
Auf dem SuperMicro board A1SRM-LN7F-2358 mit Atom C2358 kommt immerhin: 100 raus. Aber in der Praxis nur ca. 27...Auf dem APU 4B4 sind es laut diesem Test theoretisches maximum 40.. Praxis höchstens 20.
Was wäre deine board/Cpu empfehlung (was auch in ein 1HE gehäuse passt), mit mind 4x Ethernet, gerne auch ein paar mehr?
Puh, ich kann die fertige SuperMicro Appliance 1HE (oder Nachfolger) aus meine Signature empfehlen.
Die hat nen Xeon, 6 Ethernet, 2 Optical. Inzwischen 5 x verbaut. Das Board gibts sicher auch einzeln. In einem älteren Post habe ich die Dinger auch vorgestellt.
- pfSense Gold Subscriber -
Sense 1: Shuttle DS57U3 (private)
Sense 2: Supermicro Atom Barebone (Company Test)
Sense 3 : 2 x Supermicro SYS-5018D-FN8T (Company Office) -
Die Telekom liefert mir stabil 80 MBit/s down und 40 MBit/s up. Meine "Bastellösung" (siehe Signatur)
hat in Kombination mit meinem VPN-Anbieter keinerlei Probleme über den OpenVPN-Tunnel
Daten in der höchstmöglichen Geschwindigkeit zu liefern. Es wird mit AES-256-GCM verschlüsselt.Die CPU-Auslastung liegt bei ca. 15% laut pfSense GUI.
Diese in der Praxis erzielten Werte interpretiere ich nun dahin gehend, daß das Ende der
Fahnenstange noch nicht erreicht ist. In Ermangelung eines schnelleren Internetanschlußes
kann ich diesbezüglich keine weiteren Informationen liefern.Können diese von mir genannten belastbaren Informationen anderen eine
Orientierungshilfe geben?LG
-
Ja, das stimmt. Bei einer Dualcore-CPU und voll ausgenutztem OVPN-Tunnel zeigt das System 50% an. Ein Tool das die Cpu-Core Last anzeigt bescheinigt dies. Ein Core ist dann zu 100% "belegt", der andere setzt Spinnweben an.
-
Genau DAS ist ja leider der Pferdefuß bei OpenVPN.
-Rico
-
So richtig schlau werde ich da auch nicht. Scheinbar ist es zu aufwändig auf Basis des bestehenden Quellcodes eine multithreaded Version zu basteln. D.h. alles muss neu gemacht werden. Die letzten OVPN Roadmapinfos sind scheinbar auch aus der Steinzeit (2010).
-
Kann mich nicht entscheiden ...soll ich den China-MiniPC mit i5-7200U oder mit i7-7500U nehmen? TDP scheint bei beiden gleich zu sein... preisdifferenz 50€... OpenVPN 256bit 200Mbit down wäre das Ziel:)
-
Also, schon der i5 sollte dicke ausreichen und noch genügend Reserven haben.
-
okay, habe jetzt die i5 Version bestellt. der Vorteil daran ist auch, dass es die mit 16GB RAM gibt. Die 8GB mehr als bei der i7 Version halte ich für wichtiger. Ich berichte dann! Kann ja aber etwas dauern ;)
-
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Die 8GB mehr als bei der i7 Version halte ich für wichtiger.
Auszug aus:
https://www.netgate.com/docs/pfsense/book/hardware/hardware-sizing-guidance.htmlLarge State Table RAM Consumption
States Connections RAM Required
8,000,000 4,000,000 ~7800 MBFür den Hausgebrauch wohl mehr als genug.
LG
-
Hehe. Wenn man jetzt pfBlockerNG, Squid mit Caching und ClamAV und vielleicht noch ein IDS drauf hat, ist es nie verkehrt genügend RAM zu haben. Allerdings würden für den Hausgebrauch auch 8 GB locker ausreichen.
Ohne ein IDS, aber mit allen anderen Features braucht es bei mir 15-20% von 8GB derzeit.
-
ja, RAM ist nie verkehrt. ist wie mit hubraum ;)
ntop braucht auch ressourcen... daher sag ich mal, lieber 16 als 8GB RAM, dafür "nur" 64GB HDD anstatt 128..
-
@sensemann
wie ist die genaue bezeichnung des Qotom Teils, welches du jetzt bestellt hast. Habe aktuell ein Kettop (Qotom Ableger) mit einem Celeron J1900 und muss schon alleine wegen der 2.5er Version von pfSense mir langsam aber sicher Gedanken über eine neue Kiste machen. -
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Puh, ich kann die fertige SuperMicro Appliance 1HE (oder Nachfolger) aus meine Signature empfehlen.
Kann ich leider nicht. Fliegen bei uns raus (im Test/Office) weil zu lasche Performance für das was sie kosten. Die "Sparbrötchen" (keine Ahnung wo die Idee herkommt) Appliances sind spezialisiertere Netzwerkhardware. Wo eben nicht wie bei der Supermicro Torte einfach Server HW zusammengeklebt ist. Nachdem wir jetzt noch zwei andere Kunden haben wo die relativ unterirdisch performen, fliegen diese Metabrötchen ;) jetzt bei uns raus. Und kommen nur noch ordentliche Netzwerkhardware mit rein. Und die C3000er Denverton Atoms sind so gut wie fertig um die alten 2000er abzulösen - und das mit genug Luft nach oben :D Zum Sparen ist das nix, aber wie @Rico schon richtig sagt - und unsere Kunden auch - ist ne ordentliche Lösung und Hardware mit Support Vertrag denen lieber als irgendwas selbstgebautes/zusammengeschraubtes, wo nur die Einzelkomponenten (siehe Supermicro) Support haben. Und selbst Netgate scheint da jetzt was bemerkt zu haben, wenn man sich die SG-5100 scharf ansieht ;)
Genau DAS ist ja leider der Pferdefuß bei OpenVPN.
Jep, Single-Core bound. Dafür geht die Geschichte ja m.W. mit OVPN 3 in Richtung Multicore. Da was zu erfahren ist allerdings leider nicht so einfach.
und vielleicht noch ein IDS drauf hat, ist es nie verkehrt genügend RAM zu haben.
OK Butter bei die Fische: Warum will eigentlich jeder zu Hause ohne wirklich triftigen Grund irgendein Guffel-IDS/IPS ausrollen ohne dass das jemand braucht? Kann mir das mal jemand näherbringen? Warum muss ich meinen ausgehenden Mist, den ich selbst verbreche auch noch Tiefenfiltern auf Layer 7??
Entzieht sich mir einfach komplett, sorry ;)Gruß
-
Ich kann nur empfehlen, was ich auch schon selbst im Einsatz hatte und nachweislich das was vom TE gefordert wurde, auch kann. Ich habe zusätzlich kleine Atoms und Celerons in einigen "Netzappliances" und die schaffen das nicht. Punkt. Dass die neueste Generation an Atoms und Celeron Spar-CPUs inzwischen soweit ist, bestreite ich nicht.
Man liest hier oft genug, dass man sich mit völlig untermotorisierter HW dann ärgert, dass dies oder das nicht gescheit performed. Für das reine Firewalling / Packetfiltering reicht auch ein Pi ...
-
@exordium said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Man liest hier oft genug, dass man sich mit völlig untermotorisierter HW dann ärgert, dass dies oder das nicht gescheit performed.
Sicherlich richtig. Leider auch der Grund, warum diese Xeon-Ds rausflogen, die mögen beim Netzwerkdurchsatz noch ganz annehmbar gelaufen sein, aber die GUI war extrem langsam und bei vielen CARP IPs und Failover flogen die teilweise komplett mal 5-10min weg. Sowas nicht nur bei sich sondern auch beim Kunden zu sehen schreckt dann ab ;)
Ein Pi ist zwar sicher untertrieben aber für reines Filtern reicht sicher was kleines, gar keine Frage. Ich habe da lediglich gegen argumentiert, weil solche Posts und Threads gern aus dem Zusammenhang gerissen dann zitiert und kommentiert werden. Daher habe ich lediglich eingeworfen, dass andere Layouts/Setups durchaus funktionieren können.
Aber wie du schon sagst, das OT war: 200Mbps OpenVPN Durchsatz - richtig, da muss was größeres an CPU her. Völlig d'accord ;) Und unter nem i5 würde ich da auch nicht ansetzen, gerade wegen der bekannten oben diskutierten Limitationen (single core etc.) und da freut man sich dann sicher über Kisten mit i5/e5 oder höher und hoher Taktzahl :)OT: wenn endlich mal die dämlichen Test VMs allesamt ordentlich performen würden und sauber mit v4/v6 spielen, könnte ich auch endlich mal selbst testen und Werte beisteuern.
