IPSec Performance



  • Hallo zusammen,

    nutzt ihr für Site-to-Site Verbindungen IPSec? Was habt ihr für Performancen?

    Aktuell habe ich eine Site-to-Site laufen welche auf beiden Seiten einen 10Mbit Upload hat, doch diese Perfomance bekomme ich nicht hin. Mir ist durchaus bewusst das ich nie den vollen Upload bekommen werde, doch habe ich bei einem simplen FTP Transfer maximale 2-3Mbit und das sehr schwankend.

    Woran kann die Perfomance leiden? Die Verschlüsselung?

    Das es an der Hardware liegt mag ich hier vorab schonmal bezweifeln, Site1 läuft mit einem ProLiant DL380 G5, 8GB Ram und Site2 mit einem Alix Board (Intel CPU), 4GB Ram.
    Auf beiden Maschinen läuft die 2.1.4

    Ich nutze folgende Verschlüsselung aktuell da ich dachte diese wäre nicht so Anspruchsvoll.

    P1: AES 128Bit MD5, Group 2
    P2: AES 128Bit MD5, Group off. Protocoll ESP

    Für jeden Tipp wäre ich dankbar.

    LG
    Chris


  • LAYER 8 Moderator

    Ahoi Chris,

    deine Hardware passt nicht. Also das was du über die Site2 schreibst. Es gibt kein Alix Board, das 4GB RAM hat, deshalb kann das entweder nur eine neuere APU T40e sein oder eine alte ALIX, die hätte aber max. 512MB RAM.

    Davon abgesehen, selbst die alte ALIX hat laut pfSense Store Site: http://store.pfsense.org/VK-2D13/ bei IPSec rund 20Mbps und das sind etwas mehr als 2,5MB/s
    Ich vermute da was anderes im Argen. Wenn du einen langen Transfer machst, stabilisiert sich die Verbindung dann? Auf welche Werte?

    Nichts desto trotz müsste egal mit Alix oder APU wesentlich mehr rauskommen und die 10MBit/s eigentlich fast ausgenutzt werden. Wie verhalten sich während des Transfers denn die CPUs auf beiden Seiten? Irgendeine Maschine ausgemaxt?



  • Ja, du hast Recht, es ist ein APU1C T40e - Ich sage irgendwie grundsätzlich zu den kleinen Kisten Alix Boards -_- Blöde macht der gewohnheit.

    Nach circa 2 Minuten pendelt sich der Datentransfer bei etwa 215kb/s ein. Die CPUs bleiben unbekümmert, auf dem APU1C ist die CPU während des Transfers kurzzeitig auf 34% gestiegen aber das waren maximal 5 Sekunden. Auch den RAM juckt der Transfer relativ wenig.

    Ich befürchte langsam echt das es einfach eine simple IPSec Einstellung ist.

    im Anhang nochmal zwei Screenshots der Settings.






  • Ich habe wegen grottenschlechter Latenzen zwischen den sites manchmal Performance (IPsec oder openVPN, spielt keine Rolle) im Bereich von 56k Modem aus der Quietschgeräusche-Ära des Internets.

    Die Kapazitäten der NSA für on-the-fly knacken von VPN sind halt auch begrenzt…



  • Das habe ich zwischen den zwei Standorten.

    Pakete: Gesendet = 1000, Empfangen = 1000, Verloren = 0
        (0% Verlust),
    Ca. Zeitangaben in Millisek.:
        Minimum = 21ms, Maximum = 47ms, Mittelwert = 24ms



  • Für viele Anwendungen ist die Latenz sehr wichtig, v.a. die Ausreisser nach oben bremsen erheblich den Durchsatz. Und die Hardware ist es m.E. nicht, ich habe statt meinen Atom-boxen mal 2 Xeon Workstations versucht, die wurden nicht mal richtig warm, aber der Durchsatz blieb mau…



  • Jetzt hat mich das Thema doch zusehr gepackt…

    Mittlerweile konnte ich herausfinden das es an der ProLiant Maschine muss.  :-\ :'( :-\ :'( >:( >:(
    Und es betrifft auch nur die Senderichtung von der Kiste aus.

    Folgendes habe ich nun getestet um den Fehler auf die Site1 zu schließen.

    Site1 (ProLiant) -> WAN -> 10Mbit FTP Upload
    Site2 -> Site1 -> 10Mbit FTP Upload
    Site2 -> Site1 -> 2Mbit FTP Download

    Habe auch eine dritte Site mit ins Boot genommen und eine identische Verbindung zwischen Site2 und Site3 aufgebaut, in beide Richtungen habe ich die 10Mbit.

    Ich berichte wenn ich den Fehler gefunden habe bzw. mehr in Erfahrung bringen konnte.
    Warum zum Teufel geht es ins WAN Problemlos aber ins IPSec nicht.

    Kann es ein Hardwaredefekt sein? Die Verschlüsselung passiert doch auf nem unteren Layer oder?
    Kommende Woche will ich als erstes mal die Kiste neu aufsetzen, auch mit einer neuen Config.


  • LAYER 8 Moderator

    Whoa. Das ist doch seltsam, zumal bei Generation 5… öhm... irgendwas um Xeons L/E/X5xxxer verbaut sein müssten, und die sollten nicht mal ohne AES-NI ins schwitzen kommen. Eindeutiger Fall für

    Krscht... "Houston, we have a Whiskey, Tango, Foxtrott!" ...Krschschhht

    Und ja, IPSEC bist du je nach Phase und Gutdünken eigentlich auf Layer 2 und höher unterwegs.



  • Erholt aus dem Urlaub habe ich mich nochmal an das Problem rangesetzt und konnte feststellen das es eindeutig nicht an der Hardware liegt. Also eigentlich schon. Das Problem macht unser Gateway des Providers, eine Frotzbox im Unitymedia Netz.

    Die Techniker von Unitymedia schauen sich das Problem nun an.

    Habe exakt die gleiche Config und Hardware an einem Cisco3208 Modem zum selben Ziel getesetet und ich habe sofort die 10MBit bekommen.

    Bin auf die Lösung gespannt


Log in to reply