OpenVPN и DCO

[vitalik6243]

Заметил такую ситуацию что на наших кинетиках стоит пакет OpenVPN 2.6
Но почему то не добавлен пакет DCO который значительно разгружает процессор при использовании DCO + повышает эффективность работы OpenVPN за счет более высокой скорости передачи данных.
Было бы не плохо увидеть такой пакет в будущих прошивках.
Да и вроде как есть что-то типо готового решения: kmod-ovpn-dco(судя по всему было когда то реализовано на OpenWRT, но могу ошибаться.)

[Tyman]

Поддерживаю!!!!

[Denis P]

 

1 час назад, vitalik6243 сказал:

не добавлен пакет DCO

да что вы говорите
OpenVPN0: OpenVPN 2.6.7 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL][MH/PKTINFO] [AEAD] [DCO]

[vitalik6243]

13 часа назад, Denis P сказал:

 

да что вы говорите
OpenVPN0: OpenVPN 2.6.7 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL][MH/PKTINFO] [AEAD] [DCO]

DCO version: N/A то что вы написали выше это указано что версия 2.6.7 поддерживает DCO.
Вот такой ответ должен быть при опросе: DCO version: 0.2.20240712(взято где используется OpenVPN с DCO)

[Denis P]

8 минут назад, vitalik6243 сказал:

DCO version: N/A то что вы написали выше это указано что версия 2.6.7 поддерживает DCO.
Вот такой ответ должен быть при опросе: DCO version: 0.2.20240712(взято где используется OpenVPN с DCO)

ну, значит и в названии модуля опечатка

Изменено 25 августа, 2024 пользователем Denis P

[vitalik6243]

2 минуты назад, Denis P сказал:

ну, значица и в названии модуля опечатка

Ну тогда в двойне интересно почему компонент стоит с завода, но при этом не используется в пару с OpenVPN.

[vitalik6243]

1 час назад, Denis P сказал:

ну, значит и в названии модуля опечатка

вообщем почитал информацию я для включения DCO необходим AES-xxx-GCM

условия все выполнил, результата не дано, возможно в telnet его возможно включить в entware
modprobe ovpn_dco
результата не дает, включение должно быть на уровне ядра...

[Le ecureuil]

DCO поддерживается, но до конца не оттестирован, потому не включен по-умолчанию.

Добавьте в конфиг
enable-dco

включите debug на интерфейсе:
interface OpenVPN0 debug
и приложите self-test после того, как соединится.

Посмотрим, работает оно или нет.

[vitalik6243]

В 26.08.2024 в 11:46, Le ecureuil сказал:

DCO поддерживается, но до конца не оттестирован, потому не включен по-умолчанию.

Добавьте в конфиг
enable-dco

включите debug на интерфейсе:
interface OpenVPN0 debug
и приложите self-test после того, как соединится.

Посмотрим, работает оно или нет.

Увы не в CLI не в самом конфиге enable-dco не принимается...
Если в сам конфиг в Interface OpenVPN0 enable-dco пропал.
Попробовал в корень закинуть, аналогично.
В Entware включения DCO тоже не увидел.
Прошивка: 4.2 Beta 2
Протестировано на Ultra 2 и Keenetic Giant KN-2610

[Denis P]

добавил enable-dco в конфиг

ничего не потерялось, конфиг применился, интерфейс с dco поднялся

I [Aug 28 12:55:47] OpenVPN1: net_iface_new: add tun1 type ovpn-dco
I [Aug 28 12:55:47] OpenVPN1: DCO device tun1 opened
интерфейс  tun1  наряду с ovpn_br1 присутстсвует, пакетики бегают.

Прироста в скорости не замечено

Hopper SE fw 4.2b2

Изменено 28 августа, 2024 пользователем Denis P

[vitalik6243]

11 минуту назад, Denis P сказал:

добавил enable-dco в конфиг

ничего не потерялось, конфиг применился, интерфейс с dco поднялся

I [Aug 28 12:55:47] OpenVPN1: net_iface_new: add tun1 type ovpn-dco
I [Aug 28 12:55:47] OpenVPN1: DCO device tun1 opened
интерфейс  tun1  наряду с ovpn_br1 присутстсвует, пакетики бегают.

Прироста в скорости не замечено

Hopper SE fw 4.2b2

На какой прошивке тестировал? В конфиг к подключению добавил enable-dco?

[vitalik6243]

А стоп щас скачал файл конфига enable-dco есть, странно почему в CLI через sh run не выдал. странно.

[Denis P]

2 минуты назад, vitalik6243 сказал:

странно почему в CLI через sh run не выдал. странно.

потому что там только настройки интерфейса, а не сам конфиг ovpn

[vitalik6243]

14 минуты назад, Denis P сказал:

потому что там только настройки интерфейса, а не сам конфиг ovpn

Так действительно, я чет не то сделал походу
Да DCO завелся протестирую.
[I] Aug 28 13:33:52 OpenVPN0: DCO device tun1 opened 

[vitalik6243]

Увеличения скорости нет, но заметно снижена загрузка CPU. С 60-70% до 40 упала.
Такое ощущение что скорость на интерфейсе сама подрезана, как будто бы упирается ровно в 25 мбит +-

[vitalik6243]

Завтра протестирую Giant, там проц все таки по бодрее. Отпишусь по результату.

[Le ecureuil]

Тестировать стоит на arm. На mips все упрется или в eip93, или в низкую скорость CPU.

[vitalik6243]

28 минут назад, Le ecureuil сказал:

Тестировать стоит на arm. На mips все упрется или в eip93, или в низкую скорость CPU.

ну вот на mips я отключил DCO, т.к. при потоковых данных начинаются траблы с вечной подгрузкой и все начинает сильно тупить хотя разрывов в self-log не вижу. Завтра буду дома где стоит giant с arm процессором, для полноты картины там и протестирую.

[Denis P]

6 часов назад, Le ecureuil сказал:

Тестировать стоит на arm. На mips все упрется или в eip93, или в низкую скорость CPU.

Решил проверить на другом "сервере"

Важный момент - используется TCP

iperf3 -c <host> -P 8 -t 300 -R

Скрытый текст

iperf3 -c <host> -P 8 -t 300
 

Скрытый текст

без DCO
iperf3 -c <host> -P 8 -t 300 -R

Скрытый текст

iperf3 -c <host> -P 8 -t 300

Скрытый текст

 

значит всё таки работает

 

Изменено 28 августа, 2024 пользователем Denis P

[drugold]

3 часа назад, vitalik6243 сказал:

где стоит giant с arm процессором

У KN-2610 CPU=MT7621AT (mipsel).

Изменено 28 августа, 2024 пользователем drugold

[Le ecureuil]

2 часа назад, Denis P сказал:

Решил проверить на другом "сервере"

Важный момент - используется TCP

iperf3 -c 10.8.0.1 -P 8 -t 300 -R

  Скрыть содержимое

iperf3 -c <host> -P 8 -t 300
 

  Скрыть содержимое

без DCO
iperf3 -c 10.8.0.1 -P 8 -t 300 -R
 

  Скрыть содержимое

iperf3 -c 10.8.0.1 -P 8 -t 300

  Скрыть содержимое

 

значит всё таки работает

 

Работает однозначно, другой вопрос - насколько профит есть на 7628 и 7621.

[Denis P]

на 7621 (1010)

без DCO

Скрытый текст

C DCO

Скрытый текст

 

процу вроде как полегче немного, но скорости +- те же

UPD

не уверен что оно вообще сработало, никаких упоминаний о DCO в логах нет

self-test в следующем сообщении

Изменено 28 августа, 2024 пользователем Denis P

[vitalik6243]

3 часа назад, drugold сказал:

У KN-2610 CPU=MT7621AT (mipsel).

Да вот походу заметил, чет думал что он на arm... ошибся тогда чутка.
Тогда на arm щас нет устройства dco проверить. Но проверил на mips.
С DCO на mips разницы в скорости увы нет никакой, есть проблемы с подключением по UDP, но пока описать не могу в self-test чисто WinMTR потерь пакетов тоже не дает. Но к примеру если взять тест скорости или просто сайты все ок. Включаем YouTube будто бы связь с сервером каждые 5-7 секунд теряется. Оставил пока затею решил проверить TCP
По TCP проблем нет загрузка проца упала, скорость в пределах 20 мбит/сек.
В целом даже того что упала загрузка CPU это уже не плохо.
По UDP пока что я не разобрался куда копать и в чем может быть беда.

[Le ecureuil]

14 часа назад, vitalik6243 сказал:

Да вот походу заметил, чет думал что он на arm... ошибся тогда чутка.
Тогда на arm щас нет устройства dco проверить. Но проверил на mips.
С DCO на mips разницы в скорости увы нет никакой, есть проблемы с подключением по UDP, но пока описать не могу в self-test чисто WinMTR потерь пакетов тоже не дает. Но к примеру если взять тест скорости или просто сайты все ок. Включаем YouTube будто бы связь с сервером каждые 5-7 секунд теряется. Оставил пока затею решил проверить TCP
По TCP проблем нет загрузка проца упала, скорость в пределах 20 мбит/сек.
В целом даже того что упала загрузка CPU это уже не плохо.
По UDP пока что я не разобрался куда копать и в чем может быть беда.

По UDP, вероятно, есть вопрос с фрагментацией. Попробуйте MTU поставить пониже на OpenVPN, скажем 1300.

[vitalik6243]

45 минут назад, Le ecureuil сказал:

По UDP, вероятно, есть вопрос с фрагментацией. Попробуйте MTU поставить пониже на OpenVPN, скажем 1300.

На mips еще одну проблему заметил, зависание роутера при включенном dco.
Начал вчера тестировать работу WireGuard в схожей конфигурации.
И нужно было тушить OVPN включать аналогично и WG роутер зависал на мертво ребут только через CLI помогал. И как назло я не сохранил конфиг после включение debug на интерфейс чтобы посмотреть, и в логах и SelfLog логично что ничего нет...
Но тестировал я все это добро на старой доброй Ultra 2.
Сегодня протестирую на Giant тоже на mips может не совместимость какая либо с моим роутером...
Правда жаль что наши Keenetic при Wireguard подключении не дают авто-маршрутизацию при Allowed IPs отличающемся от стандартного 0.0.0.0/0, маршруты ручками нужно делать)

Изменено 29 августа, 2024 пользователем vitalik6243

[hondaspb]

В 29.08.2024 в 12:20, Le ecureuil сказал:

По UDP, вероятно, есть вопрос с фрагментацией. Попробуйте MTU поставить пониже на OpenVPN, скажем 1300.

Добрый день. Еще вот такое в логе непрерывно валится после включения dco и включенной опции keepalive на удаленном сервере.

 

Сен 15 23:07:54 

kernel 

tun0: ovpn_peer_ping: sending ping to peer 1 

Сен 15 23:07:54 

kernel 

tun0: ovpn_decrypt_one: ping received from peer with id 1 

Сен 15 23:07:56 

kernel 

tun0: ovpn_peer_ping: sending ping to peer 1 

 

 

[Le ecureuil]

10 часов назад, hondaspb сказал:

Добрый день. Еще вот такое в логе непрерывно валится после включения dco и включенной опции keepalive на удаленном сервере.

 

Сен 15 23:07:54 

kernel 

tun0: ovpn_peer_ping: sending ping to peer 1 

Сен 15 23:07:54 

kernel 

tun0: ovpn_decrypt_one: ping received from peer with id 1 

Сен 15 23:07:56 

kernel 

tun0: ovpn_peer_ping: sending ping to peer 1 

 

 

На это пока не обращайте внимания, со временем уберем.

[zugov]

 

Hopper SE (KN-3812) EAEU  Версия ОС4.2.3

DCO version: N/A но DCO device tun0 opened

по приросту скорости как будто бы нет

[Le ecureuil]

17 часов назад, zugov сказал:

 

Hopper SE (KN-3812) EAEU  Версия ОС4.2.3

DCO version: N/A но DCO device tun0 opened

по приросту скорости как будто бы нет

Сколько была скорость до, и сколько после?

[vitalik6243]

В 11.12.2024 в 12:04, Le ecureuil сказал:

Сколько была скорость до, и сколько после?

Вообщем удалось мне протестировать dco в разных конфигурациях на mips Keenetic Giant KN-2610  и arm роутере Keenetic Giga KN-1012
Есть как положительные моменты так и отрицательные.
При использовании dco на tcp сессии все работает отлично и проблем вообще никаких нет, при разрыве соединения все восстанавливается и скоростные показатели как на arm так и на mips роутере отличные. прошивка при тестировании была на обоих роутерах 4.2.6
Но вот возникли проблемы с udp сессией, при любом разрыве соединения роутер не понимает что сессия разорвалась и продолжает поддерживать мертвое подключение хотя сервер был перезапущен, если перезапустить интернет соединение сессия перезапускается и работает нормально. В логах при этом перестает идти kernel tun0: ovpn_peer_ping: sending ping to peer 1 
По скорости mips по tcp скорость с 15 мбит/сек поднялась до 30 мбит/сек. По udp скорость с 15 мбит/сек поднялась до 25 мбит/сек
По скорости arm по tcp скорость с 91 мбит/сек поднялась до 160 мбит/сек(возможно упор в сервер или канал), по udp с 73 мбит/сек. поднялась до 155 мбит/сек.
Цифры понятное дело примерные т.к. отталкиваются от множества факторов.
На текущий момент dco можно без проблем использовать при tcp подключении, но с udp подключением есть явные проблемы, и скорее всего эти проблемы идут от роутера чем от сервера.

[Leshiyart]

17 минут назад, vitalik6243 сказал:

при любом разрыве соединения роутер не понимает что сессия разорвалась и продолжает поддерживать мертвое подключение хотя сервер был перезапущен

Тут есть повод посмотреть на эту ситуацию разработчикам.
Так же можно попробовать повесить пинг чек на такое соединение через cli
судя по всему udp не выигрывает в скорости, принципиально надо udp?