OpenVPN грузит процессор под 100%



  • OpenVPN грузит процессор под 100%.
    Как побороть?
    pfSense 2.2.6

    Причем из трех ПК с pfSense проблема наблюдается на двух. На одном проблемном клиент OpenVPN, на другом сервер и к нему цепляется два клиента (в том числе один из проблемных).



  • Трафик по каналу в это время передается?



  • Да, трафик идет.

    Сбросил настройки шейпера и настроил заново.
    Ситуация стала лучше. Посмотрю как будет вести себя.



  • На одном из ПК с pfSense OpenVPN грузит процессор на 100%.
    Трафик конечно идет, но совсем немного…

    Как с этим бороться?



  • OpenVPN сильно грузит процессор при загрузке канала, близкой к максимальной. Пробуйте ослабить шифрование (128 бит вместо 256, например).



  • Сильной загрузки канала нет.
    На OpenVPN клиенте где идет загрузка 100% трафик где-то пол мегабита. Да и как я понял в моём случае от трафика это не зависит.
    На OpenVPN сервере настроено два подключения. Судя по диспетчеру задач грузит именно один из них, второй слабо грузит процессор…

    Просто мистика...



  • А не ломится ли через него какой-нибудь торрент\мультикаст\броадкаст? Трафика как бы немного, а пакетов может быть порядочно.



  • Ослабил шифрование - полегчало. Нагрузка на CPU теперь прыгает, но уже не держится как раньше все время в районе 100%. Видать AMD Sempron™ Processor LE-1150 слабоват...



  • @pigbrother:

    А не ломится ли через него какой-нибудь торрент\мультикаст\броадкаст? Трафика как бы немного, а пакетов может быть порядочно.

    Торрентов нет.
    Сюдя по RRD кол-во пакетов в районе 600 p/s.



  • @Angel_19:

    Ослабил шифрование - полегчало. Нагрузка на CPU теперь прыгает, но уже не держится как раньше все время в районе 100%. Видать AMD Sempron™ Processor LE-1150 слабоват...

    На  Atom CPU 230 @ 1.60GHz при закачке в 1 поток со скоростью 40-50 Мегабит
    CPU 100%
    Load average 1.32, 0.54, 0.29, Шифрование - AES-128-CBC
    Пакетов\сек при таком трафике около 1000

    Pentium III-1000 более 12-15 Мегабит не осиливал.

    Ваши  600 p/s, если трафик при этом отсутствует\невелик IMHO, не совсем нормально.



  • А этот CPU на аппаратном уровне умеет с AES работать ?



  • @werter:

    А этот CPU на аппаратном уровне умеет с AES работать ?

    Для OPEN-VPN аппаратную поддержку AES обещают с версии  2.4 (не уверен)  и для начала вроде только для AES GCM.
    Для IPSEC она вроде доступна уже и для большего списка алгоритмов шифрования.



  • Спустя какое-то время нагрузка снова становится 100% и не падает. Помогает перезапуск тунелей…

    Что еще можно посмотреть?



  • Пробовал делать туннель без шифрования: Encryption algorithm - None , и если копирую файл через туннель, то нагрузка возрастает где-то до 90%, как только завершается копирование файла, нагрузка падает. Выходит что дело вовсе не в шифровании? А в чем тогда?



  • Торрентов нет.
    Сюдя по RRD кол-во пакетов в районе 600 p/s.

    Ваши  600 p/s, если трафик при этом отсутствует\невелик IMHO, не совсем нормально.

    У меня на 2-х OVPN серверах (нагрузка - десятка полтора RDP-сессий) число пакетов\сек в среднем 2-40, пиками до 100.

    Запретите правилами весьтрафик через туннель и понаблюдайте.



  • На компе который грузил проц, отказала встроенная сетевуха, и материнка начала глючить (после установки внешней сетевой взамен встроенной).
    Перевел pfSense в виртуалку MS HyperV.

    Теперь другая напасть: процесс cam{doneq0} стал сильно грузить проц после того как настроил шейпер (приоритет по очередям). Шейпер удалил, но нагрузка осталась.

    
    last pid: 11754;  load averages:  0.75,  1.08,  1.29  up 0+03:52:19    10:32:07
    737 processes: 3 running, 717 sleeping, 17 waiting
    
    Mem: 283M Active, 509M Inact, 227M Wired, 152M Buf, 435M Free
    Swap: 4096M Total, 4096M Free
    
      PID USERNAME PRI NICE   SIZE    RES STATE   C   TIME    WCPU COMMAND
       11 root     155 ki31     0K    16K RUN     1 208:40  78.96% [idle{idle: cpu1}]
       11 root     155 ki31     0K    16K CPU0    0 208:38  68.99% [idle{idle: cpu0}]
        4 root     -16    -     0K    16K -       0  12:11  28.96% [cam{doneq0}]
       12 root     -88    -     0K   136K WAIT    1   4:30  13.96% [intr{irq14: ata0}]
     9792 root      20    0 12732K  4300K select  0  14:18   0.00% /usr/local/sbin/openvpn --config /var/etc/
       12 root     -60    -     0K   136K WAIT    0   3:39   0.00% [intr{swi4: hv_event}]
       12 root     -72    -     0K   136K WAIT    0   0:51   0.00% [intr{swi1: netisr 0}]
        0 root     -16    0     0K   184K swapin  0   0:39   0.00% [kernel{swapper}]
       12 root     -60    -     0K   136K WAIT    0   0:23   0.00% [intr{swi4: clock}]
     9612 root      20    0 12732K  4316K select  0   0:23   0.00% /usr/local/sbin/openvpn --config /var/etc/
       15 root     -16    -     0K     8K -       0   0:18   0.00% [rand_harvestq]
     3005 proxy     20    0 26840K 20056K wdrain  1   0:18   0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi
       18 root      20    -     0K    16K wdrain  1   0:17   0.00% [bufdaemon{bufdaemon}]
     4194 proxy     20    0 26840K 20056K wdrain  1   0:16   0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi
      546 proxy     20    0 26840K 20056K wdrain  1   0:16   0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi
     4579 proxy     20    0 26840K 20056K wdrain  0   0:16   0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi
    97189 proxy     20    0 26840K 20056K wdrain  1   0:16   0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi
    96832 proxy     20    0 26840K 20056K wdrain  1   0:15   0.00% /usr/local/bin/squidGuard -c /usr/pbi/squi
    
    

    Что это за процесс такой: cam{doneq0} ?

    Только сейчас увидел, пакет squidGuard я удалил, почему он в процессах висит?



  • Процесс: cam - это системный процесс отвечающий за дисковый ввод/вывод.
    squidGuard - через 1,5-2 часа пропал из процессов.


Log in to reply