Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSec Performance

    Scheduled Pinned Locked Moved Deutsch
    9 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      Wexxler
      last edited by

      Hallo zusammen,

      nutzt ihr für Site-to-Site Verbindungen IPSec? Was habt ihr für Performancen?

      Aktuell habe ich eine Site-to-Site laufen welche auf beiden Seiten einen 10Mbit Upload hat, doch diese Perfomance bekomme ich nicht hin. Mir ist durchaus bewusst das ich nie den vollen Upload bekommen werde, doch habe ich bei einem simplen FTP Transfer maximale 2-3Mbit und das sehr schwankend.

      Woran kann die Perfomance leiden? Die Verschlüsselung?

      Das es an der Hardware liegt mag ich hier vorab schonmal bezweifeln, Site1 läuft mit einem ProLiant DL380 G5, 8GB Ram und Site2 mit einem Alix Board (Intel CPU), 4GB Ram.
      Auf beiden Maschinen läuft die 2.1.4

      Ich nutze folgende Verschlüsselung aktuell da ich dachte diese wäre nicht so Anspruchsvoll.

      P1: AES 128Bit MD5, Group 2
      P2: AES 128Bit MD5, Group off. Protocoll ESP

      Für jeden Tipp wäre ich dankbar.

      LG
      Chris

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Ahoi Chris,

        deine Hardware passt nicht. Also das was du über die Site2 schreibst. Es gibt kein Alix Board, das 4GB RAM hat, deshalb kann das entweder nur eine neuere APU T40e sein oder eine alte ALIX, die hätte aber max. 512MB RAM.

        Davon abgesehen, selbst die alte ALIX hat laut pfSense Store Site: http://store.pfsense.org/VK-2D13/ bei IPSec rund 20Mbps und das sind etwas mehr als 2,5MB/s
        Ich vermute da was anderes im Argen. Wenn du einen langen Transfer machst, stabilisiert sich die Verbindung dann? Auf welche Werte?

        Nichts desto trotz müsste egal mit Alix oder APU wesentlich mehr rauskommen und die 10MBit/s eigentlich fast ausgenutzt werden. Wie verhalten sich während des Transfers denn die CPUs auf beiden Seiten? Irgendeine Maschine ausgemaxt?

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • W
          Wexxler
          last edited by

          Ja, du hast Recht, es ist ein APU1C T40e - Ich sage irgendwie grundsätzlich zu den kleinen Kisten Alix Boards -_- Blöde macht der gewohnheit.

          Nach circa 2 Minuten pendelt sich der Datentransfer bei etwa 215kb/s ein. Die CPUs bleiben unbekümmert, auf dem APU1C ist die CPU während des Transfers kurzzeitig auf 34% gestiegen aber das waren maximal 5 Sekunden. Auch den RAM juckt der Transfer relativ wenig.

          Ich befürchte langsam echt das es einfach eine simple IPSec Einstellung ist.

          im Anhang nochmal zwei Screenshots der Settings.

          snap1.PNG
          snap1.PNG_thumb
          snap2.PNG
          snap2.PNG_thumb

          1 Reply Last reply Reply Quote 0
          • ?
            Guest
            last edited by

            Ich habe wegen grottenschlechter Latenzen zwischen den sites manchmal Performance (IPsec oder openVPN, spielt keine Rolle) im Bereich von 56k Modem aus der Quietschgeräusche-Ära des Internets.

            Die Kapazitäten der NSA für on-the-fly knacken von VPN sind halt auch begrenzt…

            1 Reply Last reply Reply Quote 0
            • W
              Wexxler
              last edited by

              Das habe ich zwischen den zwei Standorten.

              Pakete: Gesendet = 1000, Empfangen = 1000, Verloren = 0
                  (0% Verlust),
              Ca. Zeitangaben in Millisek.:
                  Minimum = 21ms, Maximum = 47ms, Mittelwert = 24ms

              1 Reply Last reply Reply Quote 0
              • ?
                Guest
                last edited by

                Für viele Anwendungen ist die Latenz sehr wichtig, v.a. die Ausreisser nach oben bremsen erheblich den Durchsatz. Und die Hardware ist es m.E. nicht, ich habe statt meinen Atom-boxen mal 2 Xeon Workstations versucht, die wurden nicht mal richtig warm, aber der Durchsatz blieb mau…

                1 Reply Last reply Reply Quote 0
                • W
                  Wexxler
                  last edited by

                  Jetzt hat mich das Thema doch zusehr gepackt…

                  Mittlerweile konnte ich herausfinden das es an der ProLiant Maschine muss.  :-\ :'( :-\ :'( >:( >:(
                  Und es betrifft auch nur die Senderichtung von der Kiste aus.

                  Folgendes habe ich nun getestet um den Fehler auf die Site1 zu schließen.

                  Site1 (ProLiant) -> WAN -> 10Mbit FTP Upload
                  Site2 -> Site1 -> 10Mbit FTP Upload
                  Site2 -> Site1 -> 2Mbit FTP Download

                  Habe auch eine dritte Site mit ins Boot genommen und eine identische Verbindung zwischen Site2 und Site3 aufgebaut, in beide Richtungen habe ich die 10Mbit.

                  Ich berichte wenn ich den Fehler gefunden habe bzw. mehr in Erfahrung bringen konnte.
                  Warum zum Teufel geht es ins WAN Problemlos aber ins IPSec nicht.

                  Kann es ein Hardwaredefekt sein? Die Verschlüsselung passiert doch auf nem unteren Layer oder?
                  Kommende Woche will ich als erstes mal die Kiste neu aufsetzen, auch mit einer neuen Config.

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator
                    last edited by

                    Whoa. Das ist doch seltsam, zumal bei Generation 5… öhm... irgendwas um Xeons L/E/X5xxxer verbaut sein müssten, und die sollten nicht mal ohne AES-NI ins schwitzen kommen. Eindeutiger Fall für

                    Krscht... "Houston, we have a Whiskey, Tango, Foxtrott!" ...Krschschhht

                    Und ja, IPSEC bist du je nach Phase und Gutdünken eigentlich auf Layer 2 und höher unterwegs.

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 0
                    • W
                      Wexxler
                      last edited by

                      Erholt aus dem Urlaub habe ich mich nochmal an das Problem rangesetzt und konnte feststellen das es eindeutig nicht an der Hardware liegt. Also eigentlich schon. Das Problem macht unser Gateway des Providers, eine Frotzbox im Unitymedia Netz.

                      Die Techniker von Unitymedia schauen sich das Problem nun an.

                      Habe exakt die gleiche Config und Hardware an einem Cisco3208 Modem zum selben Ziel getesetet und ich habe sofort die 10MBit bekommen.

                      Bin auf die Lösung gespannt

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.