VPN Speed APU1D4, IPsec u. OpenVPN



  • Hallo, kann mir jemand einen Tipp zum VPN Speed in Verbindung mit einer APU1D4 geben?

    Habe nun einige Test durchgeführt, ich bin dabei etwas überrascht gewesen.

    Bei einer Site-to-Site über IPsec zwischen zwei APU1D4 (Über einen Switch verbunden, 1000MBit)
    Komme ich auf max. 8MB/s

    AES-256bits

    Bei OpenVPN Site-to-Site sieht es genau so aus.

    AES-256-CBC

    Wie viel Datendurchsatz müsste ich erreichen, kann das Board überhaupt mehr?
    Kann ich etwas verändern?

    Ich möchte in der nächsten Zeit zwei Standorte so vernetzen (200MBit Anschlüsse, Glasfaser)

    Software: pfSense 2.3.1



  • 8MB/s = 64Mbits  ;D



  • Was soll mir deine Antwort sagen? :-)
    Das es ~65MBit sind konnte ich mir fast denken :o


  • Moderator

    Ahoi comtel,

    die Antwort von Bordi ist etwas kurz - stimmt schon ;)
    Aber ums ebenfalls kurz zu machen: eine APU erster Generation wirst du mit IPsec nicht höher bekommen als die rund 65MBit/s die du schon erreicht hast. Mehr schafft die kleine APU einfach nicht. Zumal ganz ohne Crypto Hardware.

    http://bsdrp.net/documentation/examples/ipsec_performance_of_a_pc_engines_apu

    Wenn du von 200MBit/s synchron sprichst, die du verbinden willst, dann solltest du dich eher Richtung APU2 oder NCA1010 bewegen von der Hardware, hier hilft allein AES-NI und Quickassist dir mit IPsec zumindest wesentlich mehr Durchsatz zu erreichen (OpenVPN hängt da noch ein wenig von den Einstellungen und der Unterstützung von OpenSSL etc. ab)

    Grüße



  • Bei allem Respekt vor dir, einer Aussage und der APU2, bezweifle ich doch das es die APU2Cx auf 200Mbits schaffen würde. Ich denke da ist irgendwann nach 100-120Mbits die Luft raus.

    Anhängen möchte ich mich noch für die zu Kurz formulierte Antwort endschuldigen.  :)

    Grüsse Bordi



  • Hallo, danke für die Antworten.
    Ich habe eine APU2B4 hier. Hatte diese heute mal testweise installiert. Ich hatte AES-NI aktiviert, leider merke ich keinen Unterschied. Ich dachte schon ggf. daran das die APU2B4 noch keine Cryptographic Hardware Unterstützung freigeschaltet hat. (Aktuelle Firmware habe ich drauf)
    Zumindest zeigt pfSense die Auswahl an  ???

    Ich denke, da werde ich in etwas "bessere" Hardware investieren müssen



  • Hallo comtel

    Hab ich jetzt richtig gelesen, du entnimmst deinem Dashboard die unten angegeben Werte?

    Platform 	        pfSense
    CPU Type                AMD GX-412TC SOC, 4 CPUs: 1 package(s) x 4 core(s)
    Hardware crypto 	AES-CBC,AES-XTS,AES-GCM,AES-ICM
    

    Wäre dem so, müsste eigentlich schon mehr drin sein als 65Mbits.



  • Hi Bordi,

    ja, folgendes steht bei mir:

    
    Platform 	pfSense
    CPU Type 	AMD GX-412TC SOC 4 CPUs: 1 package(s) x 4 core(s)
    Hardware crypto 	AES-CBC,AES-XTS,AES-GCM,AES-ICM
    
    

    Unter OpenVPN habe ich folgendes:

    Siehe Screenshot

    Ich komme nicht über 7,5MB/s
    Egal ob Site-to-Site oder Remote Access



  • Moderator

    Hallo Bordi, comtel,

    da wir in dem Thread anscheinend munter APU1 und 2 durcheinander werfen, nochmal zu meiner Aussagen:

    Laut pcEngines Forum
    -> http://www.pcengines.info/forums/?page=post&id=FF05AF29-15FD-4501-AAC9-CD669CBB5077&fid=DF5ACB70-99C4-4C61-AFA6-4C0E0DB05B2A
    ist da durchaus noch etwas Unsicherheit, was nun tatsächliche Werte sind, die man von der Crypto erwarten darf. Das Problem dürfte aber an der Stelle eher sein, dass sowohl das verwendete OpenSSL sowie das OS da sauber mitspielen müssen, damit das alles klappt. Die Werte, die aber angegeben sind und die wir auch u.a. hier gemessen haben
    -> https://forum.pfsense.org/index.php?topic=101373.90
    deuten aber darauf hin, dass 100-120MBit/s problemlos machbar sind (egal WAS - also IPSec & OpenVPN). Da aber bekanntlich pfSense und FreeBSD Devs zusammen mit Intel bezüglich AES-NI und Quickassist Unterstützung arbeiten und mit IPSec und AES-GCM ein deutlich schnelleres Crypto Verfahren nutzbar ist, komme ich auf die ziemlich gut geschätzte Annahme, dass via IPSec und AES-GCM auch locker 200-250MBit/s drin sein können, da bspw. der Atom C2000 SOC mittels dieser Technik es auch schafft, das Gigabit grob zu sättigen, was er ohne AES-GCM auch nicht mal annähernd geschafft hatte (da lagen soweit ich mich recht erinnere die Werte irgendwo im halben Gigabit Mittelfeld).

    Grüße