OpenVPN Durchsatz - wie 200Mbit schaffen?
-
Servus. Warum wollt ihr teure Hardware kaufen, wenn es Link Aggregation gibt? https://de.wikipedia.org/wiki/Link_Aggregation
Ich komme an meiner 500 Mbit Leitung auf ca 450-490 Mbit. CPU ist ein i5 6600.
Die Architektur von OpenVPN ist Singlethread basiert; selbst mit dem genannten teuren i7 wird man nur eher einen Stromverbrauch wie ein Fußballstadion haben ^^
Wenn man Link Aggregation betreibt (zb 4 Clients zu einer Gateway Group zusammengefasst), kann man den Traffic auf zb 4 client aufteilen und somit arbeitet die CPU auch effizienter, da zb alle 4 cores (wenn so viele vorhanden) genutzt werden.
Wichtig ist nur, dass die Remote Server alle dieselbe IP haben (der VPN Provider sollte feste IPs ermöglichen!), da manche Websites nicht mit verschiedenen IPs umgehen können. Dann kann man den Traffic round-robin durch die vpn Gateways schicken. -
Hi! ja, guter Ansatz, das wollte ich dann auch machen.
Das ist aber kein echtes Link-Bonding (kein "logischer Kanal", wie in deinem Wikipedia-Artikel), sondern eben round-robin Verteilung der einzelnen Verbindungen auf unterschiedliche VPN-Verbindungen.Nun läuft die Kiste, komme aber auch "Nur" auf ca 60Mbit down.
-
@sensemann
Naja gut. Stimmt, Link Aggregation ist das nicht im engen Sinne.
Was für ne Leitung hast du denn und wie viele Clients laufen gebündelt? Ich hab 4 Clients zusammen.
Was für eine CPU? -
Kann man sich zu zwei OpenVPN Servern bei hide.me mit dem selben Interface und der selben quell-IP verbinden?
Intel(R) Core(TM) i5-6200U CPU @ 2.30GHz
Current: 2200 MHz, Max: 2301 MHz
4 CPUs: 1 package(s) x 2 core(s) x 2 hardware threads
AES-NI CPU Crypto: Yes (active) -
@sensemann
Hide.me ist einer der wenigen VPN Providern, der feste IPs anbietet. Deshalb musst du dort zb 2 Geräte anlegen mit jeweils derselben IP zb. nl-xy.hide.me und IP XXX.XXX.XXX.XXX und entsprechend 2 Clients auf der Firewall (Remote Server zb nl.xy.hide.me). Die musst du zu einer Gateway Group zusammenfassen.
Du hast ja 4 CPUs, versuche mal mehr als zwei Clients zu bündeln. Einziger Nachteil ist halt, dass du nicht mehr soviele Geräte frei hast. 5 gehen aber. Ich würde mal 3-4 versuchen. Die CPU sollte das schaffen. -
also absolut gleiche config?
gleicher VPN Server und im hideme backend auch die gleiche, feste IP?mit gleicher quell-IP? habe ja nur einen Unitymedia Anschluss.
-
Ja genau.
-
hide.me hat normalerweise richtig Dampf auf'm VPN Kessel. Über die hide.me NL Server kamen wir bei ner OVPN Single-Instanz (pfSense i3-Cpu aus 2015) bei 200MBit Unitymedia auf 18-20 MB/s Durchsatz. Das entspricht nahezu der vollen theoretischen Bandbreite. Dummerweise weiss man aber gerade bei Unitymedia nie so genau, was für einen Anschluss man angedreht bekommt. Einmal von den Parametern, andererseits wie er technisch ausgeführt wurde...
-
Die Spalte C steht für Core? dann läuft je ein Ovpn auf C1 und C2. (APU 1D4)
wie geht das mit ps ?Damit erhöht man den Speed generell wenn man mehrere clients / downloads hat.. aber der Speed EINER Verbindung wird dadurch auch nicht höher.
PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND 12495 root 1 22 0 6392K 2556K select 1 1:57 8.99% syslogd 49863 root 1 21 0 10200K 6704K select 2 1:00 7.07% openvpn 3231 root 1 52 0 95436K 39112K ppwait 2 0:34 7.05% php-fpm 567 root 1 52 0 95564K 38900K accept 2 0:57 5.12% php-fpm 566 root 1 52 0 95692K 39588K accept 3 0:57 3.58% php-fpm 49053 root 1 52 0 95436K 38992K accept 2 0:58 3.50% php-fpm 60015 root 1 38 0 93260K 38312K accept 1 0:51 2.90% php-fpm 93724 root 1 52 0 95436K 39336K accept 2 0:56 2.90% php-fpm 9899 root 1 52 0 95308K 38752K accept 2 0:51 2.51% php-fpm 99662 root 1 20 0 23592K 9772K kqread 3 0:10 0.57% nginx 67336 root 2 20 0 186M 143M bpf 0 0:16 0.53% snort 29387 root 1 20 0 7812K 3456K CPU0 0 0:00 0.20% top 81384 root 2 20 0 104M 64732K CPU1 1 0:14 0.18% snort 26692 root 1 20 0 10200K 6692K select 1 0:02 0.16% openvpn
Ich würde gerne mit einer firewall auf ca 200MBit down kommen. Ohne VPN gehen ca 220Mbit. Derzeit maximal 60Mbit im Speedtest mit VPN.
Auf dem i5 rechner sind beide in C1
60272 root 1 20 0 10200K 6692K select 1 0:00 0.03% openvpn
2632 root 1 20 0 10200K 6688K select 1 0:00 0.02% openvpn -
@sensemann
Sieht so aus, ja jeweils auf einem Core ein Client. Dass die Speed pro Client durch diese Technik nicht höher wird ist logisch. Die wirst du nur erhöhen können, wenn die cores einzeln stärker sind und zb AES-NI Crypto supporten. Ich hab bei meinem System auf einem Client ca 200 Mbit. Die CPU ist da sehr ausschlaggebend -
Du hast ein i5 6600 - ich hoffe nicht dass es an meinem i5 6200 liegt - oder hätte ich doch lieber die i7 version nehmen sollen? verzweifelt so langsam
-
Ist sichergestellt, dass der Gegenüber die 200MBits VPN Traffic auch im Upstream für Dich bereitstellen kann?
An der CPU liegt es garantiert nicht. -
@sensemann said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Derzeit maximal 60Mbit im Speedtest mit VPN.
Damit kann man nach meiner bescheidenen Meinung gut leben.
-
wenn der anschluss schon 200Mbit hergibt soll das auch möglich sein.
muss ab und zu größere videofiles etc rumscheffeln da macht das über faktor 3 aus... ned gut .... -
@exordium und @sensemann
Ja CPU wirds nicht sein und i7 ist ziemlicher overkill ;)
Wahrscheinlich könnte es auch konfig-bedingt sein. Wie viel schaffst du zu im Downstream? Wie und hast du Crypto Support eingeschaltet?
Und ganz wichtig: welchen Standort hat der Remote Server? -
jetzt habe ich 110Mbit down, 20up im wieistmeineip.de speedtest.
hideme server ist frankfurt.
und ja, 50Mbit upstream schaffen alle gegenstellen :) down auch.
eigene server, derren IPs ich ja kenne, können direkt geroutet werden... aber sowas wie dropbox, gdrive, wetransfer ist nicht möglich alles zu definieren. -
Den letzten Teil deiner Aussage versteht ich nicht. Was willst du wie routen?
-
Benutze mal testweise hide.me nl
-
@mufflon besagte server übver gateway auswahl in den rules route ich direkt über das WAN interface, also nicht über VPN.
-
HPE ProLiant DL380 Gen10
Intel Xeon Gold 6136 CPU @ 3.00GHz
pfSense 2.4.4-p2AES-256-CBC 441,4 Mbit/s
AES-256-GCM 463,8 Mbit/s
AES-128-CBC 441,4 Mbit/s
AES-128-GCM 481,9 Mbit/s-Rico
-
@sensemann Überlege mir die gleiche Box (q575g6) zuzulegen. Hast du schon die Performance mit dem Bench getestet? Bist du allgemein mit der Box zufrieden?
br
-
@rico said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
HPE ProLiant DL380 Gen10
Intel Xeon Gold 6136 CPU @ 3.00GHz
pfSense 2.4.4-p2AES-256-CBC 441,4 Mbit/s
AES-256-GCM 463,8 Mbit/s
AES-128-CBC 441,4 Mbit/s
AES-128-GCM 481,9 Mbit/s-Rico
Darf ich fragen mit welcher Gegenstelle du das getestet hast? Und mit welchem Tool oder mit welcher Messung den Durchsatz? Damit man die Zahlen in Context bringen kann :)
-
Gegenstelle auch HPE ProLiant DL380 Gen10 :-)
Beide WANs direkt verbunden, OpenVPN Peer to Peer (SSL/TLS). Auf beiden Seiten ein Client an LAN, dann Daten über FTP geschoben mit mehreren Gleichzeitigen Streams.-Rico
-
Dann ist da definitiv was komisch. Ich bezweifle massiv, dass du bei einem DL380 G10 mit Xeon Gold CPU kein Gigabit bekommst. Das ist so ziemlich unmöglich bei der Hardware. Wenn wir in den einfachsten Tests ohne Optimierung oder sonstwie bei OpenVPN problemlos mit einem Denverton C3558 schon ähnliche Zahlen durch IPerf wuppern, kann das einfach nicht korrekt gelaufen sein. Nicht dass du wissentlich/willentlich was falsch gemacht hast, aber es kann technisch einfach nicht sein. Ein IPerf zum Vergleich wäre zwar noch schöner aber selbst mit nem tumben FTP sollte da mehr rausgekommen sein.
Gruß :)
-
Ein Atom C3558 drückt bei dir an die 500Mbit/s OpenVPN Single Thread?
Das kann ich mir wir wiederum nicht vorstellen. :-)
Mit welchen Settings denn? Z.B. UDP Fast I/O und Send/Receive Buffer hatte ich auf default.-Rico
-
@Rico said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Ein Atom C3558 drückt bei dir an die 500Mbit/s OpenVPN Single Thread?
Das kann ich mir wir wiederum nicht vorstellen. :-)Jap. Problemlos. Und das sind Werte die sich mit denen von Netgate bestätigen lassen:
https://www.netgate.com/blog/sg-5100-desktop-available-for-pre-order.htmlZitat:
Genau deshalb haben wir die Messungen nochmals mit IPerf und einem neuen Gerät ohne große Einstellungen getestet. Wir kommen auf ähnliche Zahlen. Natürlich kommt es immer drauf an, was man an Daten drüberschiebt, viele kleine Pakete oder große, da gibts immer mal Abweichungen. Aber wir kommen bei Tunnel-Setups mit der SG-5100 oder scope7-1510 auf Werte ~400-450Mbit/s in IPerf Messungen und haben selbst mit dem Vorgänger scope7-7525 (Atom C2558) schon 150-200Mbps in OpenVPN Site2Site Tunneln geschafft.
Dass du dann mit einem Xeon Gold also aktueller HW nur 450 schaffst, kann da eigentlich nur was falsch laufen :) Da unser(e) Kunden das so im Einsatz haben und tagtäglich nutzen, kann ich da an der Stelle ganz einfach "doch" sagen ;)
-
Hier meine Werte von der XG-7100
Testaufbau gleich dem DL380 G10...und so weit bin ich von dem Netgate Wert OpenVPN AES-GCM-128 ja nicht weg (pf On).256-cbc 266 Mbit/s
256-gcm 288 Mbit/s
128-cbc 278 Mbit/s
128-gcm 290 Mbit/s-Rico
-
Die 7100 hat ja den gleichen SOC wie die 5100. Ist das ein IPerf oder schiebst du wieder Daten per FTP ;)
Ansonsten Gerät resettet? Crypto an etc.? Wir sehen da dann durchaus deutlichere Unterschiede zwischen CBC und GCM. Allerdings kenne ich deine restlichen Settings ja leider nicht. Bei uns sind das bspw.
(Gegenstelle ist ein Xeon D mit 4-Kernen, ähnlich der XG-1541)
AES-128-CBC mit SHA256: 357 / 432 (je nachdem welche Seite aktiv ist)
AES-128-GCM mit SHA256: 446 / 499
AES-256-CBC mit SHA256: 353 / 415
AES-256-GCM mit SHA256: 448 / 496Werte im Bereich 260/280 hatten wir nur bei OVPN Remote Access Einwahl bei dem IPerf direkt auf dem Client lief. Tests immer gegen Rechner hinter den etwaigen Zielen, nicht auf die Kisten direkt. Also jeweils hinter dem Xeon-D und der 3558 einen aktuellen Rechner stehen, der locker Gigabit fluppen kann :)
-
Settings immer
TLS Encryption and Authentication
DH 2048
Auth Digest SHA256Crypto AES-NI in den System Settings natürlich an.
...und ja getestet mit mehreren FTP Streams.-Rico
-
Hmm, dann kann ich nur auf IPerf verweisen um mal damit zu testen. Wir sehen zumindest bei den IPerf Tests auch durchaus, dass der Xeon-D bspw. CPU technisch noch Luft hat, der C3558 aber dann ab und an mal an die 100% auf einem Kern anstößt, also wie erwartet. Zumal wie gesagt der kleinere Atom bislang auch einen Tunnel mit ~200Mbps problemlos rüber wuppert, da hätte es mich mehr als irritiert, wenn der neue Atom da nur ~50Mbps mehr im Tunnel schaffen würde :)
Bei IPSec sind wir bei den GCMs auch problemlos bis über 500 gekommen. Bei 256GCM warens ~550, bei 128GCM mit SHA256 waren wir in Spitzen bei 575Mbps.
Gruß Jens
-
Dass IPsec mehr Durchsatz schafft ist nichts neues, aber wir sind hier ja im OpenVPN Thread. :-)
-Rico
-
Völlig richtig, die Werte zeigten mir nur, dass wir a) uns in den "ballpark numbers" von den Tests von Netgate befinden und die nicht aus der Luft gegriffen sind und b) dass die Werte von OVPN einerseits nicht so schlecht dagegen aussehen und ebenfalls kein Glückswert sind, sondern durchaus Sinn machen. Auch wenn sie OVPN durch den Userland Access auf OpenSSL natürlich anders verhält.
Wie sind denn deine Einstellungen? Crypto nur auf
AES-NI
oder aufAES-NI + CryptoDev
(adv. settings)? Crypto beim VPN Server ausgewählt oder aufNone
belassen?Vielleicht finden wir ja was, wo da Geschwindigkeit verloren geht. :)
-
System > Advanced > Misc
aesni, cryptodevOpenVPN
No Hardware Crypto-Rico
-
Wir hatten da nur AESNI ohne Cryptodev und in OpenVPN das gleiche (also no crypto).
-
Intel Core i7-7700
pfSense 2.4.5-RELEASEAES-256-GCM 519 Mbit/s
AES-128-GCM 522 Mbit/s
AES-256-CBC 477 Mbit/s
AES-128-CBC 479 Mbit/s-Rico