OpenVPN Durchsatz - wie 200Mbit schaffen?

Exordium

hide.me hat normalerweise richtig Dampf auf'm VPN Kessel. Über die hide.me NL Server kamen wir bei ner OVPN Single-Instanz (pfSense i3-Cpu aus 2015) bei 200MBit Unitymedia auf 18-20 MB/s Durchsatz. Das entspricht nahezu der vollen theoretischen Bandbreite. Dummerweise weiss man aber gerade bei Unitymedia nie so genau, was für einen Anschluss man angedreht bekommt. Einmal von den Parametern, andererseits wie er technisch ausgeführt wurde...

sensemann

Die Spalte C steht für Core? dann läuft je ein Ovpn auf C1 und C2. (APU 1D4)
wie geht das mit ps ?

Damit erhöht man den Speed generell wenn man mehrere clients / downloads hat.. aber der Speed EINER Verbindung wird dadurch auch nicht höher.

  PID USERNAME    THR PRI NICE   SIZE    RES STATE   C   TIME    WCPU COMMAND
12495 root          1  22    0  6392K  2556K select  1   1:57   8.99% syslogd
49863 root          1  21    0 10200K  6704K select  2   1:00   7.07% openvpn
 3231 root          1  52    0 95436K 39112K ppwait  2   0:34   7.05% php-fpm
  567 root          1  52    0 95564K 38900K accept  2   0:57   5.12% php-fpm
  566 root          1  52    0 95692K 39588K accept  3   0:57   3.58% php-fpm
49053 root          1  52    0 95436K 38992K accept  2   0:58   3.50% php-fpm
60015 root          1  38    0 93260K 38312K accept  1   0:51   2.90% php-fpm
93724 root          1  52    0 95436K 39336K accept  2   0:56   2.90% php-fpm
 9899 root          1  52    0 95308K 38752K accept  2   0:51   2.51% php-fpm
99662 root          1  20    0 23592K  9772K kqread  3   0:10   0.57% nginx
67336 root          2  20    0   186M   143M bpf     0   0:16   0.53% snort
29387 root          1  20    0  7812K  3456K CPU0    0   0:00   0.20% top
81384 root          2  20    0   104M 64732K CPU1    1   0:14   0.18% snort
26692 root          1  20    0 10200K  6692K select  1   0:02   0.16% openvpn

Ich würde gerne mit einer firewall auf ca 200MBit down kommen. Ohne VPN gehen ca 220Mbit. Derzeit maximal 60Mbit im Speedtest mit VPN.

Auf dem i5 rechner sind beide in C1

60272 root 1 20 0 10200K 6692K select 1 0:00 0.03% openvpn
2632 root 1 20 0 10200K 6688K select 1 0:00 0.02% openvpn

Mufflon

@sensemann
Sieht so aus, ja jeweils auf einem Core ein Client. Dass die Speed pro Client durch diese Technik nicht höher wird ist logisch. Die wirst du nur erhöhen können, wenn die cores einzeln stärker sind und zb AES-NI Crypto supporten. Ich hab bei meinem System auf einem Client ca 200 Mbit. Die CPU ist da sehr ausschlaggebend

sensemann

Du hast ein i5 6600 - ich hoffe nicht dass es an meinem i5 6200 liegt - oder hätte ich doch lieber die i7 version nehmen sollen? verzweifelt so langsam

Exordium

Ist sichergestellt, dass der Gegenüber die 200MBits VPN Traffic auch im Upstream für Dich bereitstellen kann?
An der CPU liegt es garantiert nicht.

Gladius

@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:

Derzeit maximal 60Mbit im Speedtest mit VPN.

Damit kann man nach meiner bescheidenen Meinung gut leben.

sensemann

@gladius

wenn der anschluss schon 200Mbit hergibt soll das auch möglich sein.
muss ab und zu größere videofiles etc rumscheffeln da macht das über faktor 3 aus... ned gut ....

Mufflon

@exordium und @sensemann

Ja CPU wirds nicht sein und i7 ist ziemlicher overkill ;)
Wahrscheinlich könnte es auch konfig-bedingt sein. Wie viel schaffst du zu im Downstream? Wie und hast du Crypto Support eingeschaltet?
Und ganz wichtig: welchen Standort hat der Remote Server?

sensemann

jetzt habe ich 110Mbit down, 20up im wieistmeineip.de speedtest.
hideme server ist frankfurt.
und ja, 50Mbit upstream schaffen alle gegenstellen :) down auch.
eigene server, derren IPs ich ja kenne, können direkt geroutet werden... aber sowas wie dropbox, gdrive, wetransfer ist nicht möglich alles zu definieren.

Mufflon

Den letzten Teil deiner Aussage versteht ich nicht. Was willst du wie routen?

Exordium

Benutze mal testweise hide.me nl

sensemann

@mufflon besagte server übver gateway auswahl in den rules route ich direkt über das WAN interface, also nicht über VPN.

Rico

HPE ProLiant DL380 Gen10
Intel Xeon Gold 6136 CPU @ 3.00GHz
pfSense 2.4.4-p2

AES-256-CBC 441,4 Mbit/s
AES-256-GCM 463,8 Mbit/s
AES-128-CBC 441,4 Mbit/s
AES-128-GCM 481,9 Mbit/s

-Rico

evgenij

@sensemann Überlege mir die gleiche Box (q575g6) zuzulegen. Hast du schon die Performance mit dem Bench getestet? Bist du allgemein mit der Box zufrieden?

br

JeGr

@rico said in OpenVPN Durchsatz - wie 200Mbit schaffen?:

HPE ProLiant DL380 Gen10
Intel Xeon Gold 6136 CPU @ 3.00GHz
pfSense 2.4.4-p2

AES-256-CBC 441,4 Mbit/s
AES-256-GCM 463,8 Mbit/s
AES-128-CBC 441,4 Mbit/s
AES-128-GCM 481,9 Mbit/s

-Rico

Darf ich fragen mit welcher Gegenstelle du das getestet hast? Und mit welchem Tool oder mit welcher Messung den Durchsatz? Damit man die Zahlen in Context bringen kann :)

Rico

Gegenstelle auch HPE ProLiant DL380 Gen10 :-)
Beide WANs direkt verbunden, OpenVPN Peer to Peer (SSL/TLS). Auf beiden Seiten ein Client an LAN, dann Daten über FTP geschoben mit mehreren Gleichzeitigen Streams.

-Rico

JeGr

Dann ist da definitiv was komisch. Ich bezweifle massiv, dass du bei einem DL380 G10 mit Xeon Gold CPU kein Gigabit bekommst. Das ist so ziemlich unmöglich bei der Hardware. Wenn wir in den einfachsten Tests ohne Optimierung oder sonstwie bei OpenVPN problemlos mit einem Denverton C3558 schon ähnliche Zahlen durch IPerf wuppern, kann das einfach nicht korrekt gelaufen sein. Nicht dass du wissentlich/willentlich was falsch gemacht hast, aber es kann technisch einfach nicht sein. Ein IPerf zum Vergleich wäre zwar noch schöner aber selbst mit nem tumben FTP sollte da mehr rausgekommen sein.

Gruß :)

Rico

Ein Atom C3558 drückt bei dir an die 500Mbit/s OpenVPN Single Thread?
Das kann ich mir wir wiederum nicht vorstellen. :-)
Mit welchen Settings denn? Z.B. UDP Fast I/O und Send/Receive Buffer hatte ich auf default.

-Rico

JeGr

@Rico said in OpenVPN Durchsatz - wie 200Mbit schaffen?:

Ein Atom C3558 drückt bei dir an die 500Mbit/s OpenVPN Single Thread?
Das kann ich mir wir wiederum nicht vorstellen. :-)

Jap. Problemlos. Und das sind Werte die sich mit denen von Netgate bestätigen lassen:
https://www.netgate.com/blog/sg-5100-desktop-available-for-pre-order.html

Zitat: Bild Text

Genau deshalb haben wir die Messungen nochmals mit IPerf und einem neuen Gerät ohne große Einstellungen getestet. Wir kommen auf ähnliche Zahlen. Natürlich kommt es immer drauf an, was man an Daten drüberschiebt, viele kleine Pakete oder große, da gibts immer mal Abweichungen. Aber wir kommen bei Tunnel-Setups mit der SG-5100 oder scope7-1510 auf Werte ~400-450Mbit/s in IPerf Messungen und haben selbst mit dem Vorgänger scope7-7525 (Atom C2558) schon 150-200Mbps in OpenVPN Site2Site Tunneln geschafft.

Dass du dann mit einem Xeon Gold also aktueller HW nur 450 schaffst, kann da eigentlich nur was falsch laufen :) Da unser(e) Kunden das so im Einsatz haben und tagtäglich nutzen, kann ich da an der Stelle ganz einfach "doch" sagen ;)

Rico

Hier meine Werte von der XG-7100
Testaufbau gleich dem DL380 G10...und so weit bin ich von dem Netgate Wert OpenVPN AES-GCM-128 ja nicht weg (pf On).

256-cbc 266 Mbit/s
256-gcm 288 Mbit/s
128-cbc 278 Mbit/s
128-gcm 290 Mbit/s

-Rico