VPN Speed APU1D4, IPsec u. OpenVPN
-
Hallo, kann mir jemand einen Tipp zum VPN Speed in Verbindung mit einer APU1D4 geben?
Habe nun einige Test durchgeführt, ich bin dabei etwas überrascht gewesen.
Bei einer Site-to-Site über IPsec zwischen zwei APU1D4 (Über einen Switch verbunden, 1000MBit)
Komme ich auf max. 8MB/sAES-256bits
Bei OpenVPN Site-to-Site sieht es genau so aus.
AES-256-CBC
Wie viel Datendurchsatz müsste ich erreichen, kann das Board überhaupt mehr?
Kann ich etwas verändern?Ich möchte in der nächsten Zeit zwei Standorte so vernetzen (200MBit Anschlüsse, Glasfaser)
Software: pfSense 2.3.1
-
8MB/s = 64Mbits ;D
-
Was soll mir deine Antwort sagen? :-)
Das es ~65MBit sind konnte ich mir fast denken :o -
Ahoi comtel,
die Antwort von Bordi ist etwas kurz - stimmt schon ;)
Aber ums ebenfalls kurz zu machen: eine APU erster Generation wirst du mit IPsec nicht höher bekommen als die rund 65MBit/s die du schon erreicht hast. Mehr schafft die kleine APU einfach nicht. Zumal ganz ohne Crypto Hardware.http://bsdrp.net/documentation/examples/ipsec_performance_of_a_pc_engines_apu
Wenn du von 200MBit/s synchron sprichst, die du verbinden willst, dann solltest du dich eher Richtung APU2 oder NCA1010 bewegen von der Hardware, hier hilft allein AES-NI und Quickassist dir mit IPsec zumindest wesentlich mehr Durchsatz zu erreichen (OpenVPN hängt da noch ein wenig von den Einstellungen und der Unterstützung von OpenSSL etc. ab)
Grüße
-
Bei allem Respekt vor dir, einer Aussage und der APU2, bezweifle ich doch das es die APU2Cx auf 200Mbits schaffen würde. Ich denke da ist irgendwann nach 100-120Mbits die Luft raus.
Anhängen möchte ich mich noch für die zu Kurz formulierte Antwort endschuldigen. :)
Grüsse Bordi
-
Hallo, danke für die Antworten.
Ich habe eine APU2B4 hier. Hatte diese heute mal testweise installiert. Ich hatte AES-NI aktiviert, leider merke ich keinen Unterschied. Ich dachte schon ggf. daran das die APU2B4 noch keine Cryptographic Hardware Unterstützung freigeschaltet hat. (Aktuelle Firmware habe ich drauf)
Zumindest zeigt pfSense die Auswahl an ???Ich denke, da werde ich in etwas "bessere" Hardware investieren müssen
-
Hallo comtel
Hab ich jetzt richtig gelesen, du entnimmst deinem Dashboard die unten angegeben Werte?
Platform pfSense CPU Type AMD GX-412TC SOC, 4 CPUs: 1 package(s) x 4 core(s) Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICMWäre dem so, müsste eigentlich schon mehr drin sein als 65Mbits.
-
Hi Bordi,
ja, folgendes steht bei mir:
Platform pfSense CPU Type AMD GX-412TC SOC 4 CPUs: 1 package(s) x 4 core(s) Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICMUnter OpenVPN habe ich folgendes:
Siehe Screenshot
Ich komme nicht über 7,5MB/s
Egal ob Site-to-Site oder Remote Access
-
Hallo Bordi, comtel,
da wir in dem Thread anscheinend munter APU1 und 2 durcheinander werfen, nochmal zu meiner Aussagen:
Laut pcEngines Forum
-> http://www.pcengines.info/forums/?page=post&id=FF05AF29-15FD-4501-AAC9-CD669CBB5077&fid=DF5ACB70-99C4-4C61-AFA6-4C0E0DB05B2A
ist da durchaus noch etwas Unsicherheit, was nun tatsächliche Werte sind, die man von der Crypto erwarten darf. Das Problem dürfte aber an der Stelle eher sein, dass sowohl das verwendete OpenSSL sowie das OS da sauber mitspielen müssen, damit das alles klappt. Die Werte, die aber angegeben sind und die wir auch u.a. hier gemessen haben
-> https://forum.pfsense.org/index.php?topic=101373.90
deuten aber darauf hin, dass 100-120MBit/s problemlos machbar sind (egal WAS - also IPSec & OpenVPN). Da aber bekanntlich pfSense und FreeBSD Devs zusammen mit Intel bezüglich AES-NI und Quickassist Unterstützung arbeiten und mit IPSec und AES-GCM ein deutlich schnelleres Crypto Verfahren nutzbar ist, komme ich auf die ziemlich gut geschätzte Annahme, dass via IPSec und AES-GCM auch locker 200-250MBit/s drin sein können, da bspw. der Atom C2000 SOC mittels dieser Technik es auch schafft, das Gigabit grob zu sättigen, was er ohne AES-GCM auch nicht mal annähernd geschafft hatte (da lagen soweit ich mich recht erinnere die Werte irgendwo im halben Gigabit Mittelfeld).Grüße
-
Ich habe eine APU1D4 bei meinen Eltern installiert, aber erreiche nur via OpenVPN Site to Site 10 MBit/s. Jemand eine Idee warum?
-
@comtel said in VPN Speed APU1D4, IPsec u. OpenVPN:
Bei einer Site-to-Site über IPsec zwischen zwei APU1D4 (Über einen Switch verbunden, 1000MBit)
Komme ich auf max. 8MB/s
AES-256bits
Bei OpenVPN Site-to-Site sieht es genau so aus.
AES-256-CBCVor Jahren hatte ich eine APU1 im Einsatz. Die gemessenen Werte kann ich bzgl. OpenVPN bestätigen. Mehr schafft das Teil nicht.
Für die geplanten 200Mbit Anschlüsse wird auch eine APU2xy nicht reichen wenn OpenVPN genutzt werden soll. Selbst mit IPsec könnte es knapp werden. Die letzte Aussage ist allerdings aus der Hüfte geschossen, da ich IPsec nur zu Testzwecken verwende und ich mir Messungen auch für meine jetzt im Einsatz befindliche Hardware (siehe Signatur) erspart habe.
LG
-
Merkwürdig ist, wenn ich OpenVPN nicht als Site to Site nutze, sondern via Export einen Client direkt verbinde, gehen gute 30 MBit/s durch. Damit wäre ich schon zufrieden.
-
@mrsunfire said in VPN Speed APU1D4, IPsec u. OpenVPN:
Ich habe eine APU1D4 bei meinen Eltern installiert, aber erreiche nur via OpenVPN Site to Site 10 MBit/s. Jemand eine Idee warum?
Ohne die Netzwerkstruktur zu kennen stochert man im Heuhaufen.
Die APU1D4 zum Beispiel mit pfSense an einem VDSL100 Anschluß hinter einem Modem sollte ca. 60 MBit/s im OpenVPN-Downstream leisten. Mehr sollte man nicht erwarten von dem Teil.
LG
-
Davor hängt eine Fritzbox im Routermodus. Diese teilt der pfSense statisch eine 192.168.178.100 zu. Die pfSense hängt nur mit ihrem WAN Port am der Fritzbox. Von dort geht der Traffic sozusagen über den Tunnel zu mir. Hierfür ist in der Fritzbox eine statische Route für mein Subnetz eingetragen.
Bei mir hängt die pfSense hinter einem Modem und liefert 880 MBit/s OpenVPN Durchsatz netto. Ich meine auch, dass die APU1D4 bei meinen Eltern noch letzte Woche mit der 2.4.5 um die 40 MBit/s geliefert hat, vielleicht täusche ich mich aber auch.Hier die Serversettings auf der APU1D4:
Und hier der Client auf meiner pfSense:
Das ist das Ergebnis:
-
Interessant ist auch, dass die andere Richtung, also von der APU1D4 zu meiner pfSense die Geschwindigkeit konstant da ist (10 MBit/s). Es betrifft also nur meine Richtung. Jemand eine Erklärung dafür?
Netgate 6100 MAX
-
Wozu ich nichts sagen kann ist die Nutzung von pfSense hinter einer Fritte. Diese Konfiguration wäre NICHT meine erste Wahl. Die Meinungen dazu im Forum sind allerdings nicht eindeutig.
Wie ist denn die APu1D4 bzgl. OpenVPN ausgelastet? Nach meiner Meinung sollte der Kern für OpenVPN nicht am Anschlag laufen. Das kann man leicht überprüfen. Bringt OpenVPN über UDP bessere Werte?
LG
-
@mrsunfire said in VPN Speed APU1D4, IPsec u. OpenVPN:
Interessant ist auch, dass die andere Richtung, also von der APU1D4 zu meiner pfSense die Geschwindigkeit konstant da ist (10 MBit/s). Es betrifft also nur meine Richtung. Jemand eine Erklärung dafür?
Ja du sprichst mit der Steinalt Hardware AES-256-CBC. CBC ist eh schon belastender für jede Berechnung in Crpyto und dann noch 256 auf alter Hardware die KEINE AES-NI Crypto hat. Also keinerlei Beschleunigung, alles in CPU. Also kommt es komplett drauf an, was die CPU wegverpackt bekommt und was sie sonst noch zu tun hat. Alte Hardware schafft eben leider keine tolle Performance. Dass der OP ~60Mbps drüber bekommen hat, ist ohne Zusatz der Info WAS, WO und welcher Einstellungen und was sonst noch läuft leider wenig aussagekräftig, genausowenig wie deine Konfig bekannt ist :)
Läuft ja nicht nur OpenVPN und sonst nix auf der Box ;)Und ja, während der Übertragung kann man mit nem Top o.ä. auf der Büchse durchaus mal schauen ob die am Limit klebt was den CPU Kern angeht.
-
Ich hatte hier im LAN auch locker 60-80 MBit/s durchbekommen. Das Teil macht schließlich gar nichts, nicht mal Firewall. Der Download vom Tunnel ist flott, nur der Upload in den Tunnel ist so unfassbar schwergängig.
Liegt es nun an der Box, oder an der Config, oder am ISP? -
Es liegt wohl auch am Provider und welchen Download/Upload die Leitung so kann.
Telekom z.B. 100/40 im VDSL und 250/40 im SVDSL, aber halt immer nur max 40Mbit im Upload, DSL ist leider in allen normalen Angeboten immer sehr asymetrisch hin zum Download und nicht zum Upload.
-
Ich möchte von Vodafone mit 50 MBit/s Upload auf einen VDSL Anschluss mit 50 MBit/s Download übertragne. Hier kommen nun nur noch 3-6 MBit/s durch heute. Umgekehrt gehen die 10 MBit/s durch, was der VDSL im Upload kann.
Ich habe nun auch mal Server und Client getauscht, sprich bei mir (Vodafone) den Server gestartet und die VDSL ist der Client. Exakt selbes Ergebnis. Von mir zum Client lahm, umgekehrt "flott".
