OpenVPN Durchsatz - wie 200Mbit schaffen?

Mufflon

Servus. Warum wollt ihr teure Hardware kaufen, wenn es Link Aggregation gibt? https://de.wikipedia.org/wiki/Link_Aggregation

Ich komme an meiner 500 Mbit Leitung auf ca 450-490 Mbit. CPU ist ein i5 6600.
Die Architektur von OpenVPN ist Singlethread basiert; selbst mit dem genannten teuren i7 wird man nur eher einen Stromverbrauch wie ein Fußballstadion haben ^^
Wenn man Link Aggregation betreibt (zb 4 Clients zu einer Gateway Group zusammengefasst), kann man den Traffic auf zb 4 client aufteilen und somit arbeitet die CPU auch effizienter, da zb alle 4 cores (wenn so viele vorhanden) genutzt werden.
Wichtig ist nur, dass die Remote Server alle dieselbe IP haben (der VPN Provider sollte feste IPs ermöglichen!), da manche Websites nicht mit verschiedenen IPs umgehen können. Dann kann man den Traffic round-robin durch die vpn Gateways schicken.

sensemann

Hi! ja, guter Ansatz, das wollte ich dann auch machen.
Das ist aber kein echtes Link-Bonding (kein "logischer Kanal", wie in deinem Wikipedia-Artikel), sondern eben round-robin Verteilung der einzelnen Verbindungen auf unterschiedliche VPN-Verbindungen.

Nun läuft die Kiste, komme aber auch "Nur" auf ca 60Mbit down.

Mufflon

@sensemann
Naja gut. Stimmt, Link Aggregation ist das nicht im engen Sinne.
Was für ne Leitung hast du denn und wie viele Clients laufen gebündelt? Ich hab 4 Clients zusammen.
Was für eine CPU?

sensemann

Kann man sich zu zwei OpenVPN Servern bei hide.me mit dem selben Interface und der selben quell-IP verbinden?

Intel(R) Core(TM) i5-6200U CPU @ 2.30GHz
Current: 2200 MHz, Max: 2301 MHz
4 CPUs: 1 package(s) x 2 core(s) x 2 hardware threads
AES-NI CPU Crypto: Yes (active)

Mufflon

@sensemann
Hide.me ist einer der wenigen VPN Providern, der feste IPs anbietet. Deshalb musst du dort zb 2 Geräte anlegen mit jeweils derselben IP zb. nl-xy.hide.me und IP XXX.XXX.XXX.XXX und entsprechend 2 Clients auf der Firewall (Remote Server zb nl.xy.hide.me). Die musst du zu einer Gateway Group zusammenfassen.
Du hast ja 4 CPUs, versuche mal mehr als zwei Clients zu bündeln. Einziger Nachteil ist halt, dass du nicht mehr soviele Geräte frei hast. 5 gehen aber. Ich würde mal 3-4 versuchen. Die CPU sollte das schaffen.

sensemann

also absolut gleiche config?
gleicher VPN Server und im hideme backend auch die gleiche, feste IP?

mit gleicher quell-IP? habe ja nur einen Unitymedia Anschluss.

Mufflon

Ja genau.

Exordium

hide.me hat normalerweise richtig Dampf auf'm VPN Kessel. Über die hide.me NL Server kamen wir bei ner OVPN Single-Instanz (pfSense i3-Cpu aus 2015) bei 200MBit Unitymedia auf 18-20 MB/s Durchsatz. Das entspricht nahezu der vollen theoretischen Bandbreite. Dummerweise weiss man aber gerade bei Unitymedia nie so genau, was für einen Anschluss man angedreht bekommt. Einmal von den Parametern, andererseits wie er technisch ausgeführt wurde...

sensemann

Die Spalte C steht für Core? dann läuft je ein Ovpn auf C1 und C2. (APU 1D4)
wie geht das mit ps ?

Damit erhöht man den Speed generell wenn man mehrere clients / downloads hat.. aber der Speed EINER Verbindung wird dadurch auch nicht höher.

  PID USERNAME    THR PRI NICE   SIZE    RES STATE   C   TIME    WCPU COMMAND
12495 root          1  22    0  6392K  2556K select  1   1:57   8.99% syslogd
49863 root          1  21    0 10200K  6704K select  2   1:00   7.07% openvpn
 3231 root          1  52    0 95436K 39112K ppwait  2   0:34   7.05% php-fpm
  567 root          1  52    0 95564K 38900K accept  2   0:57   5.12% php-fpm
  566 root          1  52    0 95692K 39588K accept  3   0:57   3.58% php-fpm
49053 root          1  52    0 95436K 38992K accept  2   0:58   3.50% php-fpm
60015 root          1  38    0 93260K 38312K accept  1   0:51   2.90% php-fpm
93724 root          1  52    0 95436K 39336K accept  2   0:56   2.90% php-fpm
 9899 root          1  52    0 95308K 38752K accept  2   0:51   2.51% php-fpm
99662 root          1  20    0 23592K  9772K kqread  3   0:10   0.57% nginx
67336 root          2  20    0   186M   143M bpf     0   0:16   0.53% snort
29387 root          1  20    0  7812K  3456K CPU0    0   0:00   0.20% top
81384 root          2  20    0   104M 64732K CPU1    1   0:14   0.18% snort
26692 root          1  20    0 10200K  6692K select  1   0:02   0.16% openvpn

Ich würde gerne mit einer firewall auf ca 200MBit down kommen. Ohne VPN gehen ca 220Mbit. Derzeit maximal 60Mbit im Speedtest mit VPN.

Auf dem i5 rechner sind beide in C1

60272 root 1 20 0 10200K 6692K select 1 0:00 0.03% openvpn
2632 root 1 20 0 10200K 6688K select 1 0:00 0.02% openvpn

Mufflon

@sensemann
Sieht so aus, ja jeweils auf einem Core ein Client. Dass die Speed pro Client durch diese Technik nicht höher wird ist logisch. Die wirst du nur erhöhen können, wenn die cores einzeln stärker sind und zb AES-NI Crypto supporten. Ich hab bei meinem System auf einem Client ca 200 Mbit. Die CPU ist da sehr ausschlaggebend

sensemann

Du hast ein i5 6600 - ich hoffe nicht dass es an meinem i5 6200 liegt - oder hätte ich doch lieber die i7 version nehmen sollen? verzweifelt so langsam

Exordium

Ist sichergestellt, dass der Gegenüber die 200MBits VPN Traffic auch im Upstream für Dich bereitstellen kann?
An der CPU liegt es garantiert nicht.

Gladius

@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:

Derzeit maximal 60Mbit im Speedtest mit VPN.

Damit kann man nach meiner bescheidenen Meinung gut leben.

sensemann

@gladius

wenn der anschluss schon 200Mbit hergibt soll das auch möglich sein.
muss ab und zu größere videofiles etc rumscheffeln da macht das über faktor 3 aus... ned gut ....

Mufflon

@exordium und @sensemann

Ja CPU wirds nicht sein und i7 ist ziemlicher overkill ;)
Wahrscheinlich könnte es auch konfig-bedingt sein. Wie viel schaffst du zu im Downstream? Wie und hast du Crypto Support eingeschaltet?
Und ganz wichtig: welchen Standort hat der Remote Server?

sensemann

jetzt habe ich 110Mbit down, 20up im wieistmeineip.de speedtest.
hideme server ist frankfurt.
und ja, 50Mbit upstream schaffen alle gegenstellen :) down auch.
eigene server, derren IPs ich ja kenne, können direkt geroutet werden... aber sowas wie dropbox, gdrive, wetransfer ist nicht möglich alles zu definieren.

Mufflon

Den letzten Teil deiner Aussage versteht ich nicht. Was willst du wie routen?

Exordium

Benutze mal testweise hide.me nl

sensemann

@mufflon besagte server übver gateway auswahl in den rules route ich direkt über das WAN interface, also nicht über VPN.

Rico

HPE ProLiant DL380 Gen10
Intel Xeon Gold 6136 CPU @ 3.00GHz
pfSense 2.4.4-p2

AES-256-CBC 441,4 Mbit/s
AES-256-GCM 463,8 Mbit/s
AES-128-CBC 441,4 Mbit/s
AES-128-GCM 481,9 Mbit/s

-Rico