4. Frage zur Hardwarebeschleunigung bei OpenVPN

Frage zur Hardwarebeschleunigung bei OpenVPN

  • C

    Ich habe vorhin ein wenig mit den Einstellungen herumgespielt und ich verstehe die Resultate beim Datendurchsatz mit den unterschiedlichen Einstellungen nicht so ganz.

    Hardware: Lanner NCA-1010B mit Intel E3825 Dual Core 1.33 GHz
    Software: pfSense 2.3.2
    OpenVPN:  AES-256-CBC (256 bit)

    Bei der Übertragung einer einzelnen großen Datei im LAN über VPN sehe ich folgende Geschwindigkeiten (ca. Werte):

    Cryptographic Hardware (System/Advanced/Miscellaneous): 'none'
    Hardware Crypto (VPN/OpenVPN/Servers): 'No Hardware Crypto Acceleration)'
    => ca. 54 MBit/s

    Cryptographic Hardware(System/Advanced/Miscellaneous): 'none'
    Hardware Crypto (VPN/OpenVPN/Servers): 'BSD cryptodev engine'
    => ca. 58 MBit/s

    Cryptographic Hardware(System/Advanced/Miscellaneous): 'AES-NI CPU based Acceleration'
    Hardware Crypto (VPN/OpenVPN/Servers): 'BSD cryptodev engine'
    => ca. 50 MBit/s

    Ich verstehe nicht, warum die Einstellung 'AES-NI CPU based Acceleration' zu einer deutlichen Reduzierung der Übetragungsrate führt. Was ist der Grund dafür und könnte ich mit einer noch anderen Einstellung die Geschwindigkeit weiter erhöhen?

    Gruß  Jürgen

    0
  • LAYER 8 Moderator

    Ich weiß ja nicht an welcher Gegenstelle du das testest, aber aus der NCA hatten wir ein klein wenig noch mehr rauskitzeln können, allerdings:

    OpenVPN ist momentan auf 2.3 recht "skurril" was die Performance Enhancements angeht. Gemessen haben verschiedene Leute so wie du auch, dass die besten Werte mit "none" unter Crypto Hardware sowie bei No Hardware bei OpenVPN Setting erreicht werden. Dazu noch ein wenig Interface Tuning und evtl Anpassung des Tunnels je nachdem, aber damit sollten die Maximalwerte für OpenVPN drin sein. Dazu kommt dass OpenVPN single-core bound ist, sprich eben auf einem Kern läuft und nicht skaliert. Das ist auch der Grund, warum es momentan schlechter "skaliert" als IPsec bspw.

    Mit OpenVPN 2.4 soll/wird sich das (hoffentlich) noch weiter bessern, zum einen verschwindet dort das irreführende Cryptodev Device, zum anderen unterstützt OpenVPN dann den GCM Cipher zusätzlich zum CBC, mit dem dann auch die AES-NI Unterstützung besser und damit die Performance ansteigen sollte. Sollte, weil momentan die Implementation von OpenVPN 2.4 in pfSense 2.4 noch ein wenig hakelt. Aber hier wird es kurzfristig wohl bald mehr Performance geben :)

    Grüße

    0
  • A

    @JeGr:

    Sollte, weil momentan die Implementation von OpenVPN 2.4 in pfSense 2.4 noch ein wenig hakelt. Aber hier wird es kurzfristig wohl bald mehr Performance geben :)

    Wo genau hakt es denn und was kann behoben werden, damit die Perfomance besser wird?

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy