VPN Speed APU1D4, IPsec u. OpenVPN
-
Hallo, kann mir jemand einen Tipp zum VPN Speed in Verbindung mit einer APU1D4 geben?
Habe nun einige Test durchgeführt, ich bin dabei etwas überrascht gewesen.
Bei einer Site-to-Site über IPsec zwischen zwei APU1D4 (Über einen Switch verbunden, 1000MBit)
Komme ich auf max. 8MB/sAES-256bits
Bei OpenVPN Site-to-Site sieht es genau so aus.
AES-256-CBC
Wie viel Datendurchsatz müsste ich erreichen, kann das Board überhaupt mehr?
Kann ich etwas verändern?Ich möchte in der nächsten Zeit zwei Standorte so vernetzen (200MBit Anschlüsse, Glasfaser)
Software: pfSense 2.3.1
-
8MB/s = 64Mbits ;D
-
Was soll mir deine Antwort sagen? :-)
Das es ~65MBit sind konnte ich mir fast denken :o -
Ahoi comtel,
die Antwort von Bordi ist etwas kurz - stimmt schon ;)
Aber ums ebenfalls kurz zu machen: eine APU erster Generation wirst du mit IPsec nicht höher bekommen als die rund 65MBit/s die du schon erreicht hast. Mehr schafft die kleine APU einfach nicht. Zumal ganz ohne Crypto Hardware.http://bsdrp.net/documentation/examples/ipsec_performance_of_a_pc_engines_apu
Wenn du von 200MBit/s synchron sprichst, die du verbinden willst, dann solltest du dich eher Richtung APU2 oder NCA1010 bewegen von der Hardware, hier hilft allein AES-NI und Quickassist dir mit IPsec zumindest wesentlich mehr Durchsatz zu erreichen (OpenVPN hängt da noch ein wenig von den Einstellungen und der Unterstützung von OpenSSL etc. ab)
Grüße
-
Bei allem Respekt vor dir, einer Aussage und der APU2, bezweifle ich doch das es die APU2Cx auf 200Mbits schaffen würde. Ich denke da ist irgendwann nach 100-120Mbits die Luft raus.
Anhängen möchte ich mich noch für die zu Kurz formulierte Antwort endschuldigen. :)
Grüsse Bordi
-
Hallo, danke für die Antworten.
Ich habe eine APU2B4 hier. Hatte diese heute mal testweise installiert. Ich hatte AES-NI aktiviert, leider merke ich keinen Unterschied. Ich dachte schon ggf. daran das die APU2B4 noch keine Cryptographic Hardware Unterstützung freigeschaltet hat. (Aktuelle Firmware habe ich drauf)
Zumindest zeigt pfSense die Auswahl an ???Ich denke, da werde ich in etwas "bessere" Hardware investieren müssen
-
Hallo comtel
Hab ich jetzt richtig gelesen, du entnimmst deinem Dashboard die unten angegeben Werte?
Platform pfSense CPU Type AMD GX-412TC SOC, 4 CPUs: 1 package(s) x 4 core(s) Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICMWäre dem so, müsste eigentlich schon mehr drin sein als 65Mbits.
-
Hi Bordi,
ja, folgendes steht bei mir:
Platform pfSense CPU Type AMD GX-412TC SOC 4 CPUs: 1 package(s) x 4 core(s) Hardware crypto AES-CBC,AES-XTS,AES-GCM,AES-ICMUnter OpenVPN habe ich folgendes:
Siehe Screenshot
Ich komme nicht über 7,5MB/s
Egal ob Site-to-Site oder Remote Access
-
Hallo Bordi, comtel,
da wir in dem Thread anscheinend munter APU1 und 2 durcheinander werfen, nochmal zu meiner Aussagen:
Laut pcEngines Forum
-> http://www.pcengines.info/forums/?page=post&id=FF05AF29-15FD-4501-AAC9-CD669CBB5077&fid=DF5ACB70-99C4-4C61-AFA6-4C0E0DB05B2A
ist da durchaus noch etwas Unsicherheit, was nun tatsächliche Werte sind, die man von der Crypto erwarten darf. Das Problem dürfte aber an der Stelle eher sein, dass sowohl das verwendete OpenSSL sowie das OS da sauber mitspielen müssen, damit das alles klappt. Die Werte, die aber angegeben sind und die wir auch u.a. hier gemessen haben
-> https://forum.pfsense.org/index.php?topic=101373.90
deuten aber darauf hin, dass 100-120MBit/s problemlos machbar sind (egal WAS - also IPSec & OpenVPN). Da aber bekanntlich pfSense und FreeBSD Devs zusammen mit Intel bezüglich AES-NI und Quickassist Unterstützung arbeiten und mit IPSec und AES-GCM ein deutlich schnelleres Crypto Verfahren nutzbar ist, komme ich auf die ziemlich gut geschätzte Annahme, dass via IPSec und AES-GCM auch locker 200-250MBit/s drin sein können, da bspw. der Atom C2000 SOC mittels dieser Technik es auch schafft, das Gigabit grob zu sättigen, was er ohne AES-GCM auch nicht mal annähernd geschafft hatte (da lagen soweit ich mich recht erinnere die Werte irgendwo im halben Gigabit Mittelfeld).Grüße
-
Ich habe eine APU1D4 bei meinen Eltern installiert, aber erreiche nur via OpenVPN Site to Site 10 MBit/s. Jemand eine Idee warum?
-
@comtel said in VPN Speed APU1D4, IPsec u. OpenVPN:
Bei einer Site-to-Site über IPsec zwischen zwei APU1D4 (Über einen Switch verbunden, 1000MBit)
Komme ich auf max. 8MB/s
AES-256bits
Bei OpenVPN Site-to-Site sieht es genau so aus.
AES-256-CBCVor Jahren hatte ich eine APU1 im Einsatz. Die gemessenen Werte kann ich bzgl. OpenVPN bestätigen. Mehr schafft das Teil nicht.
Für die geplanten 200Mbit Anschlüsse wird auch eine APU2xy nicht reichen wenn OpenVPN genutzt werden soll. Selbst mit IPsec könnte es knapp werden. Die letzte Aussage ist allerdings aus der Hüfte geschossen, da ich IPsec nur zu Testzwecken verwende und ich mir Messungen auch für meine jetzt im Einsatz befindliche Hardware (siehe Signatur) erspart habe.
LG
-
Merkwürdig ist, wenn ich OpenVPN nicht als Site to Site nutze, sondern via Export einen Client direkt verbinde, gehen gute 30 MBit/s durch. Damit wäre ich schon zufrieden.
-
@mrsunfire said in VPN Speed APU1D4, IPsec u. OpenVPN:
Ich habe eine APU1D4 bei meinen Eltern installiert, aber erreiche nur via OpenVPN Site to Site 10 MBit/s. Jemand eine Idee warum?
Ohne die Netzwerkstruktur zu kennen stochert man im Heuhaufen.
Die APU1D4 zum Beispiel mit pfSense an einem VDSL100 Anschluß hinter einem Modem sollte ca. 60 MBit/s im OpenVPN-Downstream leisten. Mehr sollte man nicht erwarten von dem Teil.
LG
-
Davor hängt eine Fritzbox im Routermodus. Diese teilt der pfSense statisch eine 192.168.178.100 zu. Die pfSense hängt nur mit ihrem WAN Port am der Fritzbox. Von dort geht der Traffic sozusagen über den Tunnel zu mir. Hierfür ist in der Fritzbox eine statische Route für mein Subnetz eingetragen.
Bei mir hängt die pfSense hinter einem Modem und liefert 880 MBit/s OpenVPN Durchsatz netto. Ich meine auch, dass die APU1D4 bei meinen Eltern noch letzte Woche mit der 2.4.5 um die 40 MBit/s geliefert hat, vielleicht täusche ich mich aber auch.Hier die Serversettings auf der APU1D4:
Und hier der Client auf meiner pfSense:
Das ist das Ergebnis:
-
Interessant ist auch, dass die andere Richtung, also von der APU1D4 zu meiner pfSense die Geschwindigkeit konstant da ist (10 MBit/s). Es betrifft also nur meine Richtung. Jemand eine Erklärung dafür?
-
Wozu ich nichts sagen kann ist die Nutzung von pfSense hinter einer Fritte. Diese Konfiguration wäre NICHT meine erste Wahl. Die Meinungen dazu im Forum sind allerdings nicht eindeutig.
Wie ist denn die APu1D4 bzgl. OpenVPN ausgelastet? Nach meiner Meinung sollte der Kern für OpenVPN nicht am Anschlag laufen. Das kann man leicht überprüfen. Bringt OpenVPN über UDP bessere Werte?
LG
-
@mrsunfire said in VPN Speed APU1D4, IPsec u. OpenVPN:
Interessant ist auch, dass die andere Richtung, also von der APU1D4 zu meiner pfSense die Geschwindigkeit konstant da ist (10 MBit/s). Es betrifft also nur meine Richtung. Jemand eine Erklärung dafür?
Ja du sprichst mit der Steinalt Hardware AES-256-CBC. CBC ist eh schon belastender für jede Berechnung in Crpyto und dann noch 256 auf alter Hardware die KEINE AES-NI Crypto hat. Also keinerlei Beschleunigung, alles in CPU. Also kommt es komplett drauf an, was die CPU wegverpackt bekommt und was sie sonst noch zu tun hat. Alte Hardware schafft eben leider keine tolle Performance. Dass der OP ~60Mbps drüber bekommen hat, ist ohne Zusatz der Info WAS, WO und welcher Einstellungen und was sonst noch läuft leider wenig aussagekräftig, genausowenig wie deine Konfig bekannt ist :)
Läuft ja nicht nur OpenVPN und sonst nix auf der Box ;)Und ja, während der Übertragung kann man mit nem Top o.ä. auf der Büchse durchaus mal schauen ob die am Limit klebt was den CPU Kern angeht.
-
Ich hatte hier im LAN auch locker 60-80 MBit/s durchbekommen. Das Teil macht schließlich gar nichts, nicht mal Firewall. Der Download vom Tunnel ist flott, nur der Upload in den Tunnel ist so unfassbar schwergängig.
Liegt es nun an der Box, oder an der Config, oder am ISP? -
Es liegt wohl auch am Provider und welchen Download/Upload die Leitung so kann.
Telekom z.B. 100/40 im VDSL und 250/40 im SVDSL, aber halt immer nur max 40Mbit im Upload, DSL ist leider in allen normalen Angeboten immer sehr asymetrisch hin zum Download und nicht zum Upload.
-
Ich möchte von Vodafone mit 50 MBit/s Upload auf einen VDSL Anschluss mit 50 MBit/s Download übertragne. Hier kommen nun nur noch 3-6 MBit/s durch heute. Umgekehrt gehen die 10 MBit/s durch, was der VDSL im Upload kann.
Ich habe nun auch mal Server und Client getauscht, sprich bei mir (Vodafone) den Server gestartet und die VDSL ist der Client. Exakt selbes Ergebnis. Von mir zum Client lahm, umgekehrt "flott".
-
Ich habe nun mal eine Verbindung von einem anderen ISP aus aufgebaut und komme so auf 38 MBit/s netto, ohne groß optimiert zu haben. Ebenfalls mit AES256 und SHA512. Es liegt also an der Vodafoneleitung.
Hat hier jemand einen Tipp?
-
Nein, außer ein Ticket aufzumachen und dran zu bleiben. Als ich weiter oben schon gelesen hatte Vodafone Kabel wollte ich das schon schreiben.
Es ist aktuell einfach "normal" auch wenns miserabel ist. Alle ISPs machen Überbuchung und die Kabel trifft es jetzt am meisten wenn viel zu Hause hocken. Dass immer noch viele Homeoffice machen, sehe ich an meinem Kabelverteiler. Letzte 2 Wochen im Logging sieht man gut ab 8:00 wird die Leitung und Bandbreite schlechter oder schwankender. Vor 8h Speedtest -> 50 Up kein Thema. Ab 8h testen -> ~35, ab 9h ~20 ab 10h spätestens nur noch ~6-12.
Downstream sind die Kapazitäten wohl da, Upstream ist hart überbucht. Da hilft es auch nichts, wenn das Kabel mit ~54Mbps Up synchronisiert, wenn es eben einfach nicht durch den Verteiler durchkommt weil zu viel dran hängt.Wird übrigens meist ab 22-23h abends erst wieder besser, dann sieht man die Kurve hart wieder abfallen und die Werte schnellen hoch. Da ich sowas am Kabel aber schonmal auch als Routing Fehler hatte der nach 2-3 Wochen dann behoben wurde (tatsächlich sehbar), würde ich einfach immer wieder Ticket aufmachen mit Problem. Vorher Speedtests machen die zeigen, dass der Upstream nicht ankommt. Gerade bei den 500/50er Tarifen ist die Toleranz m.W. bei ~20%. Schlechter als 38-40Mbps darf es dann nicht sein (im Zweifel in den Vertrag schauen, da stehen die Toleranzen drin). Speedtests helfen aber zu belegen zu verschiedenen Zeiten, dass nicht das ankommt was bezahlt wird und das bitte gefixt gehört.
-
Es ist kein Auslastungsproblem des Segments. Der Upstream ist ohne VPN voll da (52 MBits netto). Auch der Downstream ist lediglich von 19-22 Uhr mit mehr als 1 GBit/s ausgelastet. Mein Segment hat dabei eine Kapazität von 2,1 GBit/s.
Es liegt an Vodafone, irgendwas wird gedrosselt.Ich habe mal den Tunneltraffic mitgeschnitten. Was sagt mir/euch das?
Wenn ich die DSL Leitung nutze, sieht das so aus:
In regelmäßigen Abständen, kommt dann mal so ein Schwung mit durch, aber dort bleibt der Speed konstant:
-
Achja, der Tunnel ist UDP. Warum sehe ich hier aber nur TCP Traffic?
-
Laut deinen Einstellungen ist der auf der APU1D4 Tunnel TCP only angelegt.
-
@mrsunfire said in VPN Speed APU1D4, IPsec u. OpenVPN:
Achja, der Tunnel ist UDP.
Die OpenVPN Konfiguration ist aber wie oben zu sehen TCP oder ist das jetzt anders? OpenVPN über UDP würde ich mal probieren. Keine Ahnung ob das zielführend ist.
LG
-
Beide Tunnelseiten sind UDP4. Ich hatte nur zwischenzeitlich in meiner Verzweiflung auch TCP probiert, darum ist es oben anders! Aktuell ist es immer UDP, aber Wireshark zeigt mit TCP im Tunnel. Plus eben diese Meldungen, die nur im Upstream (also das was mein Problem ist) so auftreten! Auch im Downstream kommen sie so nicht und der flutscht ja.
APU:
Bei mir:
Hier auch noch mal ein Test von eben um andere Probleme auszuschließen:
-
Erfolg! Bei Vodafone Kabel, muss man wohl die Senden und Empfangenpuffer fest auf 0 setzen. Das brachte den Erfolg dass fast keine Retransmission oder Duplicated TCP Pakete mehr zurück kamen. Dann noch etwas an der MTU und MSS gespielt und die Leitung läuft, zumindest bis die CPU auf der APU an 50% anschlägt.
Ich habe im Server und Client nun das eingetragen:
link-mtu 1400
mssfix 1360
sndbuf 0
rcvbuf 0Mit 5 gleichzeitigen Verbindungen in iPerf3, erreiche ich nun auch die 50 MBit/s (brutto)!
