OpenVPN Durchsatz - wie 200Mbit schaffen?
-
@Rico said in OpenVPN Durchsatz - wie 200Mbit schaffen?:
Ein Atom C3558 drückt bei dir an die 500Mbit/s OpenVPN Single Thread?
Das kann ich mir wir wiederum nicht vorstellen. :-)Jap. Problemlos. Und das sind Werte die sich mit denen von Netgate bestätigen lassen:
https://www.netgate.com/blog/sg-5100-desktop-available-for-pre-order.htmlZitat:
Genau deshalb haben wir die Messungen nochmals mit IPerf und einem neuen Gerät ohne große Einstellungen getestet. Wir kommen auf ähnliche Zahlen. Natürlich kommt es immer drauf an, was man an Daten drüberschiebt, viele kleine Pakete oder große, da gibts immer mal Abweichungen. Aber wir kommen bei Tunnel-Setups mit der SG-5100 oder scope7-1510 auf Werte ~400-450Mbit/s in IPerf Messungen und haben selbst mit dem Vorgänger scope7-7525 (Atom C2558) schon 150-200Mbps in OpenVPN Site2Site Tunneln geschafft.
Dass du dann mit einem Xeon Gold also aktueller HW nur 450 schaffst, kann da eigentlich nur was falsch laufen :) Da unser(e) Kunden das so im Einsatz haben und tagtäglich nutzen, kann ich da an der Stelle ganz einfach "doch" sagen ;)
-
Hier meine Werte von der XG-7100
Testaufbau gleich dem DL380 G10...und so weit bin ich von dem Netgate Wert OpenVPN AES-GCM-128 ja nicht weg (pf On).256-cbc 266 Mbit/s
256-gcm 288 Mbit/s
128-cbc 278 Mbit/s
128-gcm 290 Mbit/s-Rico
-
Die 7100 hat ja den gleichen SOC wie die 5100. Ist das ein IPerf oder schiebst du wieder Daten per FTP ;)
Ansonsten Gerät resettet? Crypto an etc.? Wir sehen da dann durchaus deutlichere Unterschiede zwischen CBC und GCM. Allerdings kenne ich deine restlichen Settings ja leider nicht. Bei uns sind das bspw.
(Gegenstelle ist ein Xeon D mit 4-Kernen, ähnlich der XG-1541)
AES-128-CBC mit SHA256: 357 / 432 (je nachdem welche Seite aktiv ist)
AES-128-GCM mit SHA256: 446 / 499
AES-256-CBC mit SHA256: 353 / 415
AES-256-GCM mit SHA256: 448 / 496Werte im Bereich 260/280 hatten wir nur bei OVPN Remote Access Einwahl bei dem IPerf direkt auf dem Client lief. Tests immer gegen Rechner hinter den etwaigen Zielen, nicht auf die Kisten direkt. Also jeweils hinter dem Xeon-D und der 3558 einen aktuellen Rechner stehen, der locker Gigabit fluppen kann :)
-
Settings immer
TLS Encryption and Authentication
DH 2048
Auth Digest SHA256Crypto AES-NI in den System Settings natürlich an.
...und ja getestet mit mehreren FTP Streams.-Rico
-
Hmm, dann kann ich nur auf IPerf verweisen um mal damit zu testen. Wir sehen zumindest bei den IPerf Tests auch durchaus, dass der Xeon-D bspw. CPU technisch noch Luft hat, der C3558 aber dann ab und an mal an die 100% auf einem Kern anstößt, also wie erwartet. Zumal wie gesagt der kleinere Atom bislang auch einen Tunnel mit ~200Mbps problemlos rüber wuppert, da hätte es mich mehr als irritiert, wenn der neue Atom da nur ~50Mbps mehr im Tunnel schaffen würde :)
Bei IPSec sind wir bei den GCMs auch problemlos bis über 500 gekommen. Bei 256GCM warens ~550, bei 128GCM mit SHA256 waren wir in Spitzen bei 575Mbps.
Gruß Jens
-
Dass IPsec mehr Durchsatz schafft ist nichts neues, aber wir sind hier ja im OpenVPN Thread. :-)
-Rico
-
Völlig richtig, die Werte zeigten mir nur, dass wir a) uns in den "ballpark numbers" von den Tests von Netgate befinden und die nicht aus der Luft gegriffen sind und b) dass die Werte von OVPN einerseits nicht so schlecht dagegen aussehen und ebenfalls kein Glückswert sind, sondern durchaus Sinn machen. Auch wenn sie OVPN durch den Userland Access auf OpenSSL natürlich anders verhält.
Wie sind denn deine Einstellungen? Crypto nur auf
AES-NIoder aufAES-NI + CryptoDev(adv. settings)? Crypto beim VPN Server ausgewählt oder aufNonebelassen?Vielleicht finden wir ja was, wo da Geschwindigkeit verloren geht. :)
-
System > Advanced > Misc
aesni, cryptodevOpenVPN
No Hardware Crypto-Rico
-
Wir hatten da nur AESNI ohne Cryptodev und in OpenVPN das gleiche (also no crypto).
-
Intel Core i7-7700
pfSense 2.4.5-RELEASEAES-256-GCM 519 Mbit/s
AES-128-GCM 522 Mbit/s
AES-256-CBC 477 Mbit/s
AES-128-CBC 479 Mbit/s-Rico
