OpenVPN грузит процессор под 100%
-
OpenVPN грузит процессор под 100%.
Как побороть?
pfSense 2.2.6Причем из трех ПК с pfSense проблема наблюдается на двух. На одном проблемном клиент OpenVPN, на другом сервер и к нему цепляется два клиента (в том числе один из проблемных).
-
Трафик по каналу в это время передается?
-
Да, трафик идет.
Сбросил настройки шейпера и настроил заново.
Ситуация стала лучше. Посмотрю как будет вести себя. -
На одном из ПК с pfSense OpenVPN грузит процессор на 100%.
Трафик конечно идет, но совсем немного…Как с этим бороться?
-
OpenVPN сильно грузит процессор при загрузке канала, близкой к максимальной. Пробуйте ослабить шифрование (128 бит вместо 256, например).
-
Сильной загрузки канала нет.
На OpenVPN клиенте где идет загрузка 100% трафик где-то пол мегабита. Да и как я понял в моём случае от трафика это не зависит.
На OpenVPN сервере настроено два подключения. Судя по диспетчеру задач грузит именно один из них, второй слабо грузит процессор…Просто мистика...
-
А не ломится ли через него какой-нибудь торрент\мультикаст\броадкаст? Трафика как бы немного, а пакетов может быть порядочно.
-
Ослабил шифрование - полегчало. Нагрузка на CPU теперь прыгает, но уже не держится как раньше все время в районе 100%. Видать AMD Sempron Processor LE-1150 слабоват...
-
А не ломится ли через него какой-нибудь торрент\мультикаст\броадкаст? Трафика как бы немного, а пакетов может быть порядочно.
Торрентов нет.
Сюдя по RRD кол-во пакетов в районе 600 p/s. -
Ослабил шифрование - полегчало. Нагрузка на CPU теперь прыгает, но уже не держится как раньше все время в районе 100%. Видать AMD Sempron Processor LE-1150 слабоват...
На Atom CPU 230 @ 1.60GHz при закачке в 1 поток со скоростью 40-50 Мегабит
CPU 100%
Load average 1.32, 0.54, 0.29, Шифрование - AES-128-CBC
Пакетов\сек при таком трафике около 1000Pentium III-1000 более 12-15 Мегабит не осиливал.
Ваши 600 p/s, если трафик при этом отсутствует\невелик IMHO, не совсем нормально.
-
А этот CPU на аппаратном уровне умеет с AES работать ?
-
А этот CPU на аппаратном уровне умеет с AES работать ?
Для OPEN-VPN аппаратную поддержку AES обещают с версии 2.4 (не уверен) и для начала вроде только для AES GCM.
Для IPSEC она вроде доступна уже и для большего списка алгоритмов шифрования. -
Спустя какое-то время нагрузка снова становится 100% и не падает. Помогает перезапуск тунелей…
Что еще можно посмотреть?
-
Пробовал делать туннель без шифрования: Encryption algorithm - None , и если копирую файл через туннель, то нагрузка возрастает где-то до 90%, как только завершается копирование файла, нагрузка падает. Выходит что дело вовсе не в шифровании? А в чем тогда?
-
Торрентов нет.
Сюдя по RRD кол-во пакетов в районе 600 p/s.Ваши 600 p/s, если трафик при этом отсутствует\невелик IMHO, не совсем нормально.
У меня на 2-х OVPN серверах (нагрузка - десятка полтора RDP-сессий) число пакетов\сек в среднем 2-40, пиками до 100.
Запретите правилами весьтрафик через туннель и понаблюдайте.
-
На компе который грузил проц, отказала встроенная сетевуха, и материнка начала глючить (после установки внешней сетевой взамен встроенной).
Перевел pfSense в виртуалку MS HyperV.Теперь другая напасть: процесс cam{doneq0} стал сильно грузить проц после того как настроил шейпер (приоритет по очередям). Шейпер удалил, но нагрузка осталась.
last pid: 11754; load averages: 0.75, 1.08, 1.29 up 0+03:52:19 10:32:07 737 processes: 3 running, 717 sleeping, 17 waiting Mem: 283M Active, 509M Inact, 227M Wired, 152M Buf, 435M Free Swap: 4096M Total, 4096M Free PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND 11 root 155 ki31 0K 16K RUN 1 208:40 78.96% [idle{idle: cpu1}] 11 root 155 ki31 0K 16K CPU0 0 208:38 68.99% [idle{idle: cpu0}] 4 root -16 - 0K 16K - 0 12:11 28.96% [cam{doneq0}] 12 root -88 - 0K 136K WAIT 1 4:30 13.96% [intr{irq14: ata0}] 9792 root 20 0 12732K 4300K select 0 14:18 0.00% /usr/local/sbin/openvpn --config /var/etc/ 12 root -60 - 0K 136K WAIT 0 3:39 0.00% [intr{swi4: hv_event}] 12 root -72 - 0K 136K WAIT 0 0:51 0.00% [intr{swi1: netisr 0}] 0 root -16 0 0K 184K swapin 0 0:39 0.00% [kernel{swapper}] 12 root -60 - 0K 136K WAIT 0 0:23 0.00% [intr{swi4: clock}] 9612 root 20 0 12732K 4316K select 0 0:23 0.00% /usr/local/sbin/openvpn --config /var/etc/ 15 root -16 - 0K 8K - 0 0:18 0.00% [rand_harvestq] 3005 proxy 20 0 26840K 20056K wdrain 1 0:18 0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi 18 root 20 - 0K 16K wdrain 1 0:17 0.00% [bufdaemon{bufdaemon}] 4194 proxy 20 0 26840K 20056K wdrain 1 0:16 0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi 546 proxy 20 0 26840K 20056K wdrain 1 0:16 0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi 4579 proxy 20 0 26840K 20056K wdrain 0 0:16 0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi 97189 proxy 20 0 26840K 20056K wdrain 1 0:16 0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi 96832 proxy 20 0 26840K 20056K wdrain 1 0:15 0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi
Что это за процесс такой: cam{doneq0} ?
Только сейчас увидел, пакет squidGuard я удалил, почему он в процессах висит?
-
Процесс: cam - это системный процесс отвечающий за дисковый ввод/вывод.
squidGuard - через 1,5-2 часа пропал из процессов.