OpenVPN Durchsatz - wie 200Mbit schaffen?
-
wenn der anschluss schon 200Mbit hergibt soll das auch möglich sein.
muss ab und zu größere videofiles etc rumscheffeln da macht das über faktor 3 aus... ned gut .... -
@exordium und @sensemann
Ja CPU wirds nicht sein und i7 ist ziemlicher overkill ;)
Wahrscheinlich könnte es auch konfig-bedingt sein. Wie viel schaffst du zu im Downstream? Wie und hast du Crypto Support eingeschaltet?
Und ganz wichtig: welchen Standort hat der Remote Server? -
jetzt habe ich 110Mbit down, 20up im wieistmeineip.de speedtest.
hideme server ist frankfurt.
und ja, 50Mbit upstream schaffen alle gegenstellen :) down auch.
eigene server, derren IPs ich ja kenne, können direkt geroutet werden... aber sowas wie dropbox, gdrive, wetransfer ist nicht möglich alles zu definieren. -
Den letzten Teil deiner Aussage versteht ich nicht. Was willst du wie routen?
-
Benutze mal testweise hide.me nl
-
@mufflon besagte server übver gateway auswahl in den rules route ich direkt über das WAN interface, also nicht über VPN.
-
HPE ProLiant DL380 Gen10
Intel Xeon Gold 6136 CPU @ 3.00GHz
pfSense 2.4.4-p2AES-256-CBC 441,4 Mbit/s
AES-256-GCM 463,8 Mbit/s
AES-128-CBC 441,4 Mbit/s
AES-128-GCM 481,9 Mbit/s-Rico
-
@sensemann Überlege mir die gleiche Box (q575g6) zuzulegen. Hast du schon die Performance mit dem Bench getestet? Bist du allgemein mit der Box zufrieden?
br
-
@rico said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
HPE ProLiant DL380 Gen10
Intel Xeon Gold 6136 CPU @ 3.00GHz
pfSense 2.4.4-p2AES-256-CBC 441,4 Mbit/s
AES-256-GCM 463,8 Mbit/s
AES-128-CBC 441,4 Mbit/s
AES-128-GCM 481,9 Mbit/s-Rico
Darf ich fragen mit welcher Gegenstelle du das getestet hast? Und mit welchem Tool oder mit welcher Messung den Durchsatz? Damit man die Zahlen in Context bringen kann :)
-
Gegenstelle auch HPE ProLiant DL380 Gen10 :-)
Beide WANs direkt verbunden, OpenVPN Peer to Peer (SSL/TLS). Auf beiden Seiten ein Client an LAN, dann Daten über FTP geschoben mit mehreren Gleichzeitigen Streams.-Rico
-
Dann ist da definitiv was komisch. Ich bezweifle massiv, dass du bei einem DL380 G10 mit Xeon Gold CPU kein Gigabit bekommst. Das ist so ziemlich unmöglich bei der Hardware. Wenn wir in den einfachsten Tests ohne Optimierung oder sonstwie bei OpenVPN problemlos mit einem Denverton C3558 schon ähnliche Zahlen durch IPerf wuppern, kann das einfach nicht korrekt gelaufen sein. Nicht dass du wissentlich/willentlich was falsch gemacht hast, aber es kann technisch einfach nicht sein. Ein IPerf zum Vergleich wäre zwar noch schöner aber selbst mit nem tumben FTP sollte da mehr rausgekommen sein.
Gruß :)
-
Ein Atom C3558 drückt bei dir an die 500Mbit/s OpenVPN Single Thread?
Das kann ich mir wir wiederum nicht vorstellen. :-)
Mit welchen Settings denn? Z.B. UDP Fast I/O und Send/Receive Buffer hatte ich auf default.-Rico
-
@Rico said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Ein Atom C3558 drückt bei dir an die 500Mbit/s OpenVPN Single Thread?
Das kann ich mir wir wiederum nicht vorstellen. :-)Jap. Problemlos. Und das sind Werte die sich mit denen von Netgate bestätigen lassen:
https://www.netgate.com/blog/sg-5100-desktop-available-for-pre-order.htmlZitat:
Genau deshalb haben wir die Messungen nochmals mit IPerf und einem neuen Gerät ohne große Einstellungen getestet. Wir kommen auf ähnliche Zahlen. Natürlich kommt es immer drauf an, was man an Daten drüberschiebt, viele kleine Pakete oder große, da gibts immer mal Abweichungen. Aber wir kommen bei Tunnel-Setups mit der SG-5100 oder scope7-1510 auf Werte ~400-450Mbit/s in IPerf Messungen und haben selbst mit dem Vorgänger scope7-7525 (Atom C2558) schon 150-200Mbps in OpenVPN Site2Site Tunneln geschafft.
Dass du dann mit einem Xeon Gold also aktueller HW nur 450 schaffst, kann da eigentlich nur was falsch laufen :) Da unser(e) Kunden das so im Einsatz haben und tagtäglich nutzen, kann ich da an der Stelle ganz einfach "doch" sagen ;)
-
Hier meine Werte von der XG-7100
Testaufbau gleich dem DL380 G10...und so weit bin ich von dem Netgate Wert OpenVPN AES-GCM-128 ja nicht weg (pf On).256-cbc 266 Mbit/s
256-gcm 288 Mbit/s
128-cbc 278 Mbit/s
128-gcm 290 Mbit/s-Rico
-
Die 7100 hat ja den gleichen SOC wie die 5100. Ist das ein IPerf oder schiebst du wieder Daten per FTP ;)
Ansonsten Gerät resettet? Crypto an etc.? Wir sehen da dann durchaus deutlichere Unterschiede zwischen CBC und GCM. Allerdings kenne ich deine restlichen Settings ja leider nicht. Bei uns sind das bspw.
(Gegenstelle ist ein Xeon D mit 4-Kernen, ähnlich der XG-1541)
AES-128-CBC mit SHA256: 357 / 432 (je nachdem welche Seite aktiv ist)
AES-128-GCM mit SHA256: 446 / 499
AES-256-CBC mit SHA256: 353 / 415
AES-256-GCM mit SHA256: 448 / 496Werte im Bereich 260/280 hatten wir nur bei OVPN Remote Access Einwahl bei dem IPerf direkt auf dem Client lief. Tests immer gegen Rechner hinter den etwaigen Zielen, nicht auf die Kisten direkt. Also jeweils hinter dem Xeon-D und der 3558 einen aktuellen Rechner stehen, der locker Gigabit fluppen kann :)
-
Settings immer
TLS Encryption and Authentication
DH 2048
Auth Digest SHA256Crypto AES-NI in den System Settings natürlich an.
...und ja getestet mit mehreren FTP Streams.-Rico
-
Hmm, dann kann ich nur auf IPerf verweisen um mal damit zu testen. Wir sehen zumindest bei den IPerf Tests auch durchaus, dass der Xeon-D bspw. CPU technisch noch Luft hat, der C3558 aber dann ab und an mal an die 100% auf einem Kern anstößt, also wie erwartet. Zumal wie gesagt der kleinere Atom bislang auch einen Tunnel mit ~200Mbps problemlos rüber wuppert, da hätte es mich mehr als irritiert, wenn der neue Atom da nur ~50Mbps mehr im Tunnel schaffen würde :)
Bei IPSec sind wir bei den GCMs auch problemlos bis über 500 gekommen. Bei 256GCM warens ~550, bei 128GCM mit SHA256 waren wir in Spitzen bei 575Mbps.
Gruß Jens
-
Dass IPsec mehr Durchsatz schafft ist nichts neues, aber wir sind hier ja im OpenVPN Thread. :-)
-Rico
-
Völlig richtig, die Werte zeigten mir nur, dass wir a) uns in den "ballpark numbers" von den Tests von Netgate befinden und die nicht aus der Luft gegriffen sind und b) dass die Werte von OVPN einerseits nicht so schlecht dagegen aussehen und ebenfalls kein Glückswert sind, sondern durchaus Sinn machen. Auch wenn sie OVPN durch den Userland Access auf OpenSSL natürlich anders verhält.
Wie sind denn deine Einstellungen? Crypto nur auf
AES-NIoder aufAES-NI + CryptoDev(adv. settings)? Crypto beim VPN Server ausgewählt oder aufNonebelassen?Vielleicht finden wir ja was, wo da Geschwindigkeit verloren geht. :)
-
System > Advanced > Misc
aesni, cryptodevOpenVPN
No Hardware Crypto-Rico
