Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Скорость работы OpenVPN на Sprinter (KN-3711) EAEU

Fedro
 Поделиться

Рекомендуемые сообщения

Fedro Новичок

Fedro

Опубликовано
Опубликовано

Добрый день!
Попала мне в руки пара Sprinter (KN-3711)  и пока есть немного времени я решил потестить новую платформу на примере этих чудесных машинок особенно по части работы различных VPN серверов, потому что на боевых системах делать это довольно неудобно, чтобы понять стоит ли экономить на шифровании, какие пределы скоростей. Был приятно удивлен работой аппаратного ускорения ipsec site2site, который почти не уступает в скорость Wireguard, а вот с OpenVPN что-то непонятное. Как бы я не менял конфигурацию, какие бы алгоритмы шифрования/проверки целостности (AES128/256/chacha20-poly1305, SHA1/SHA256) я не использовал в самых разных комбинациях -  скорость всегда одна и та же  - 50Мбит, что меня несколько удивило. Она такая если на одном устройстве клиент, а на другом сервер и точно такая же если клиента запускать на Win10 (я попробовал 3 шт 2.5.10, 2.6.7 и 2.6.11), я пробовал ставить последнюю версию ОС для разработчиков, ресетить роутер и восстанавливал прошивку спец утилитой. Никакого эффекта. Точно такой же конфиг сервера OpenVPN у меня стоит на KN 2710 работает в разы быстрее (100Мбит точно, больше канал проверить не позволяет), а в моем понимании производительность новой платформы не должна уступать предыдущей, по крайней мере существенно отличаться. Я что то делаю не то или так на этой конкретно модели задумано?

Условия теста: роутеры подключены в один гигабитный коммутатор WAN-портами, тестовые машины подключены в lan-порты на роутере.  Все интерфейсы ПК 1Гбит. 

Denis P Старожил

Denis P

Опубликовано
Опубликовано (изменено)
1 час назад, Fedro сказал:

Добрый день!
Попала мне в руки пара Sprinter (KN-3711)  и пока есть немного времени я решил потестить новую платформу на примере этих чудесных машинок особенно по части работы различных VPN серверов, потому что на боевых системах делать это довольно неудобно, чтобы понять стоит ли экономить на шифровании, какие пределы скоростей. Был приятно удивлен работой аппаратного ускорения ipsec site2site, который почти не уступает в скорость Wireguard, а вот с OpenVPN что-то непонятное. Как бы я не менял конфигурацию, какие бы алгоритмы шифрования/проверки целостности (AES128/256/chacha20-poly1305, SHA1/SHA256) я не использовал в самых разных комбинациях -  скорость всегда одна и та же  - 50Мбит, что меня несколько удивило. Она такая если на одном устройстве клиент, а на другом сервер и точно такая же если клиента запускать на Win10 (я попробовал 3 шт 2.5.10, 2.6.7 и 2.6.11), я пробовал ставить последнюю версию ОС для разработчиков, ресетить роутер и восстанавливал прошивку спец утилитой. Никакого эффекта. Точно такой же конфиг сервера OpenVPN у меня стоит на KN 2710 работает в разы быстрее (100Мбит точно, больше канал проверить не позволяет), а в моем понимании производительность новой платформы не должна уступать предыдущей, по крайней мере существенно отличаться. Я что то делаю не то или так на этой конкретно модели задумано?

Условия теста: роутеры подключены в один гигабитный коммутатор WAN-портами, тестовые машины подключены в lan-порты на роутере.  Все интерфейсы ПК 1Гбит. 

Включите dco и цифры будут намного веселее

enable-dco

Добавить в конфиг. 

Изменено пользователем Denis P
  • Спасибо 2
Fedro Новичок

Fedro

Опубликовано
  • Автор
Опубликовано (изменено)
В 02.11.2024 в 20:19, Denis P сказал:

Включите dco и цифры будут намного веселее

enable-dco

Добавить в конфиг. 

Спасибо.  Помогло. Но только при условии отключенного сжатия данных, если оставить включенным ситуация остается неизменной. Я мягко говоря недооценивал степень влияния этого параметра на возможную скорость работы сервиса. Замеры производительности туннеля по данным iperf3 (Мбит/с) в режиме и клиент и сервер запущены на Sprinter (KN-3711)

AES256-GCM/SHA256  без DCO 43
AES128-GCM/SHA256  без DCO 43
CHACHA20-POLY1305  без DCO 43
AES256-GCM/SHA256   c DCO без компрессии 237
AES128-GCM/SHA256   c DCO без компрессии 238
CHACHA20-POLY1305    c DCO без компрессии 152

 И если клиентскую часть запускать на win10 (2.6.11) а серверную на Keenetic  Sprinter (KN-3711) в режиме AES256-GCM/SHA256   c DCO без компрессии то скорость 352Мбит/с. 

 

Изменено пользователем Fedro
  • Спасибо 1
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

Более того, официально сжатие не рекомендуется еще и из-за проблем безопасности, потому разработчики его давно перевели в категорию "нерекомендуемых настроек".

  • Спасибо 1
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

На следующей версии 4.3 скорость работы openvpn + dco на ARM-процессорах должна быть примерно как у wireguard. На KN-1012 у меня получилось в идеальных условиях по 450+ мегабит на прием получать, на отдачу по 300.

  • Спасибо 3
  • Лайк 3
krass Старожил

krass

Опубликовано
Опубликовано
34 минуты назад, Le ecureuil сказал:

На следующей версии 4.3 скорость работы openvpn + dco на ARM-процессорах должна быть примерно как у wireguard. На KN-1012 у меня получилось в идеальных условиях по 450+ мегабит на прием получать, на отдачу по 300.

А с какими параметрами openvpn у вас получились такие скорости? 
CHACHA20-POLY1305 ?

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
2 часа назад, krass сказал:

А с какими параметрами openvpn у вас получились такие скорости? 
CHACHA20-POLY1305 ?

Нет, с AES-GCM. Сейчас таких скоростей нет, я только сегодня добавил многопроцессорную обработку.

  • Спасибо 5
Fedro Новичок

Fedro

Опубликовано
  • Автор
Опубликовано
В 06.11.2024 в 18:18, Le ecureuil сказал:

На следующей версии 4.3 скорость работы openvpn + dco на ARM-процессорах должна быть примерно как у wireguard. На KN-1012 у меня получилось в идеальных условиях по 450+ мегабит на прием получать, на отдачу по 300.

Придется менять наш офисный KN-1011 на KN-1012, уж больно заманчива перспектива работать с openvpn на скорости канала :))))  Спасибо!

krass Старожил

krass

Опубликовано
Опубликовано
В 06.11.2024 в 21:33, Le ecureuil сказал:

Нет, с AES-GCM. Сейчас таких скоростей нет, я только сегодня добавил многопроцессорную обработку.

А когда в планах добавить в стабильную версию прошивки? KeenOS 4.3 или уже 4.4 ?

 

  • Лайк 1
  • 4 недели спустя...
zugov Новичок

zugov

Опубликовано
Опубликовано
В 05.11.2024 в 15:57, Fedro сказал:

Спасибо.  Помогло. Но только при условии отключенного сжатия данных, если оставить включенным ситуация остается неизменной. Я мягко говоря недооценивал степень влияния этого параметра на возможную скорость работы сервиса. Замеры производительности туннеля по данным iperf3 (Мбит/с) в режиме и клиент и сервер запущены на Sprinter (KN-3711)

AES256-GCM/SHA256  без DCO 43
AES128-GCM/SHA256  без DCO 43
CHACHA20-POLY1305  без DCO 43
AES256-GCM/SHA256   c DCO без компрессии 237
AES128-GCM/SHA256   c DCO без компрессии 238
CHACHA20-POLY1305    c DCO без компрессии 152

 И если клиентскую часть запускать на win10 (2.6.11) а серверную на Keenetic  Sprinter (KN-3711) в режиме AES256-GCM/SHA256   c DCO без компрессии то скорость 352Мбит/с. 

 

А как включили со сжатием? Не могу найти как задать параметр в конфиге

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
17 часов назад, zugov сказал:

А как включили со сжатием? Не могу найти как задать параметр в конфиге

Со сжатием не работает, нужно его выключить явно.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю