Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Frage zur Hardwarebeschleunigung bei OpenVPN

    Deutsch
    3
    3
    735
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      cantor last edited by

      Ich habe vorhin ein wenig mit den Einstellungen herumgespielt und ich verstehe die Resultate beim Datendurchsatz mit den unterschiedlichen Einstellungen nicht so ganz.

      Hardware: Lanner NCA-1010B mit Intel E3825 Dual Core 1.33 GHz
      Software: pfSense 2.3.2
      OpenVPN:  AES-256-CBC (256 bit)

      Bei der Übertragung einer einzelnen großen Datei im LAN über VPN sehe ich folgende Geschwindigkeiten (ca. Werte):

      Cryptographic Hardware (System/Advanced/Miscellaneous): 'none'
      Hardware Crypto (VPN/OpenVPN/Servers): 'No Hardware Crypto Acceleration)'
      => ca. 54 MBit/s

      Cryptographic Hardware(System/Advanced/Miscellaneous): 'none'
      Hardware Crypto (VPN/OpenVPN/Servers): 'BSD cryptodev engine'
      => ca. 58 MBit/s

      Cryptographic Hardware(System/Advanced/Miscellaneous): 'AES-NI CPU based Acceleration'
      Hardware Crypto (VPN/OpenVPN/Servers): 'BSD cryptodev engine'
      => ca. 50 MBit/s

      Ich verstehe nicht, warum die Einstellung 'AES-NI CPU based Acceleration' zu einer deutlichen Reduzierung der Übetragungsrate führt. Was ist der Grund dafür und könnte ich mit einer noch anderen Einstellung die Geschwindigkeit weiter erhöhen?

      Gruß  Jürgen

      1 Reply Last reply Reply Quote 0
      • JeGr
        JeGr LAYER 8 Moderator last edited by

        Ich weiß ja nicht an welcher Gegenstelle du das testest, aber aus der NCA hatten wir ein klein wenig noch mehr rauskitzeln können, allerdings:

        OpenVPN ist momentan auf 2.3 recht "skurril" was die Performance Enhancements angeht. Gemessen haben verschiedene Leute so wie du auch, dass die besten Werte mit "none" unter Crypto Hardware sowie bei No Hardware bei OpenVPN Setting erreicht werden. Dazu noch ein wenig Interface Tuning und evtl Anpassung des Tunnels je nachdem, aber damit sollten die Maximalwerte für OpenVPN drin sein. Dazu kommt dass OpenVPN single-core bound ist, sprich eben auf einem Kern läuft und nicht skaliert. Das ist auch der Grund, warum es momentan schlechter "skaliert" als IPsec bspw.

        Mit OpenVPN 2.4 soll/wird sich das (hoffentlich) noch weiter bessern, zum einen verschwindet dort das irreführende Cryptodev Device, zum anderen unterstützt OpenVPN dann den GCM Cipher zusätzlich zum CBC, mit dem dann auch die AES-NI Unterstützung besser und damit die Performance ansteigen sollte. Sollte, weil momentan die Implementation von OpenVPN 2.4 in pfSense 2.4 noch ein wenig hakelt. Aber hier wird es kurzfristig wohl bald mehr Performance geben :)

        Grüße

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • A
          athurdent last edited by

          @JeGr:

          Sollte, weil momentan die Implementation von OpenVPN 2.4 in pfSense 2.4 noch ein wenig hakelt. Aber hier wird es kurzfristig wohl bald mehr Performance geben :)

          Wo genau hakt es denn und was kann behoben werden, damit die Perfomance besser wird?

          1 Reply Last reply Reply Quote 0
          • First post
            Last post