Frage zur Hardwarebeschleunigung bei OpenVPN



  • Ich habe vorhin ein wenig mit den Einstellungen herumgespielt und ich verstehe die Resultate beim Datendurchsatz mit den unterschiedlichen Einstellungen nicht so ganz.

    Hardware: Lanner NCA-1010B mit Intel E3825 Dual Core 1.33 GHz
    Software: pfSense 2.3.2
    OpenVPN:  AES-256-CBC (256 bit)

    Bei der Übertragung einer einzelnen großen Datei im LAN über VPN sehe ich folgende Geschwindigkeiten (ca. Werte):

    Cryptographic Hardware (System/Advanced/Miscellaneous): 'none'
    Hardware Crypto (VPN/OpenVPN/Servers): 'No Hardware Crypto Acceleration)'
    => ca. 54 MBit/s

    Cryptographic Hardware(System/Advanced/Miscellaneous): 'none'
    Hardware Crypto (VPN/OpenVPN/Servers): 'BSD cryptodev engine'
    => ca. 58 MBit/s

    Cryptographic Hardware(System/Advanced/Miscellaneous): 'AES-NI CPU based Acceleration'
    Hardware Crypto (VPN/OpenVPN/Servers): 'BSD cryptodev engine'
    => ca. 50 MBit/s

    Ich verstehe nicht, warum die Einstellung 'AES-NI CPU based Acceleration' zu einer deutlichen Reduzierung der Übetragungsrate führt. Was ist der Grund dafür und könnte ich mit einer noch anderen Einstellung die Geschwindigkeit weiter erhöhen?

    Gruß  Jürgen


  • LAYER 8 Moderator

    Ich weiß ja nicht an welcher Gegenstelle du das testest, aber aus der NCA hatten wir ein klein wenig noch mehr rauskitzeln können, allerdings:

    OpenVPN ist momentan auf 2.3 recht "skurril" was die Performance Enhancements angeht. Gemessen haben verschiedene Leute so wie du auch, dass die besten Werte mit "none" unter Crypto Hardware sowie bei No Hardware bei OpenVPN Setting erreicht werden. Dazu noch ein wenig Interface Tuning und evtl Anpassung des Tunnels je nachdem, aber damit sollten die Maximalwerte für OpenVPN drin sein. Dazu kommt dass OpenVPN single-core bound ist, sprich eben auf einem Kern läuft und nicht skaliert. Das ist auch der Grund, warum es momentan schlechter "skaliert" als IPsec bspw.

    Mit OpenVPN 2.4 soll/wird sich das (hoffentlich) noch weiter bessern, zum einen verschwindet dort das irreführende Cryptodev Device, zum anderen unterstützt OpenVPN dann den GCM Cipher zusätzlich zum CBC, mit dem dann auch die AES-NI Unterstützung besser und damit die Performance ansteigen sollte. Sollte, weil momentan die Implementation von OpenVPN 2.4 in pfSense 2.4 noch ein wenig hakelt. Aber hier wird es kurzfristig wohl bald mehr Performance geben :)

    Grüße



  • @JeGr:

    Sollte, weil momentan die Implementation von OpenVPN 2.4 in pfSense 2.4 noch ein wenig hakelt. Aber hier wird es kurzfristig wohl bald mehr Performance geben :)

    Wo genau hakt es denn und was kann behoben werden, damit die Perfomance besser wird?


Log in to reply