Ergebnis 1 bis 9 von 9
  1. #1
    Obergefreiter
    Registriert seit
    13.11.2013
    Beiträge
    102


    • Systeminfo
      • Motherboard:
      • ASUS Rampage IV Black Edition, Intel X79
      • CPU:
      • INTEL i7-4930k - 4.5GHz
      • Systemname:
      • Mein Baby :)
      • Kühlung:
      • Derzeit noch Luft
      • Gehäuse:
      • Phanteks Enthoo Primo
      • Handy:
      • Oppo Find 5

    Standard OpenVPN-Server trotz AES-NI schwacher Durchsatz

    Hallo Leute,
    vor paar Tagen kam mein QOTOM mit i5-7300u. Vorgesehen war es ihn mit Proxmox laufenzulassen jedoch merkte ich, dass pfSense über OpenVPN nur 90k durchließ trotz einer CPU-Auslastung von unter 6%
    Daraufhin habe ich pfSense direkt installiert (eigenständig ohne ProxMox) und ich habe genau daselbe Problem. Komischerweise erreicht mein Upload 200k aber Download ist bei 91k

    Lange Rede kurzer Sinn...

    Verwendete Hardware:
    dfgfdg.JPG
    Mit AES-NI CPU Crypto: Yes (active)

    pfSense Version: 2.4.4-RELEASE-p3 sowie 2.5.0-DEVELOPMENT

    Umgebung:

    --- [WAN]FritzBox[LAN] ---- [WAN Port 1] QOTOM [LAN Port 6] --- PC(Win10) [i7 6700k OC 4,8GHz]


    - Die Ports laufen alle mit 1Gbit da ich über lang durch die QOTOM meine normale Leitung von 500k erreichen kann also daran liegt es schonmal nicht.
    - OpenVPN sowohl über LAN als auch über WAN als Eingang getestet mit demselben Ergebnis.


    Wenn ich "Hardware Crypto" auf "Intel RDRAND engine - RAND" setze, dann ist der Durchsatz noch geringer sprich 61k.

    Ausgaben einiger Befehle:
    Code:
    Shell Output - openvpn --show-engines
    
    OpenSSL Crypto Engines
    
    Intel RDRAND engine [rdrand]
    Dynamic engine loading support [dynamic]
    Code:
    Shell Output openssl engine -t -c
    
    (rdrand) Intel RDRAND engine
     [RAND]
         [ available ]
    (dynamic) Dynamic engine loading support
         [ unavailable ]
    Code:
    Shell Output dmesg | grep AESNI
    
     Features2=0x7ffafbff<SSE3,PCLMULQDQ,DTES64,MON,DS_CPL,VMX,SMX,EST,TM2,SSSE3,SDBG,FMA,CX16,xTPR,PDCM,PCID,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,TSCDLT,AESNI,XSAVE,OSXSAVE,AVX,F16C,RDRAND>
     Features2=0x7ffafbff<SSE3,PCLMULQDQ,DTES64,MON,DS_CPL,VMX,SMX,EST,TM2,SSSE3,SDBG,FMA,CX16,xTPR,PDCM,PCID,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,TSCDLT,AESNI,XSAVE,OSXSAVE,AVX,F16C,RDRAND>
     Features2=0x7ffafbff<SSE3,PCLMULQDQ,DTES64,MON,DS_CPL,VMX,SMX,EST,TM2,SSSE3,SDBG,FMA,CX16,xTPR,PDCM,PCID,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,TSCDLT,AESNI,XSAVE,OSXSAVE,AVX,F16C,RDRAND>
     Features2=0x7ffafbff<SSE3,PCLMULQDQ,DTES64,MON,DS_CPL,VMX,SMX,EST,TM2,SSSE3,SDBG,FMA,CX16,xTPR,PDCM,PCID,SSE4.1,SSE4.2,x2APIC,MOVBE,POPCNT,TSCDLT,AESNI,XSAVE,OSXSAVE,AVX,F16C,RDRAND>

    Code:
    Shell Output openssl speed -evp aes-256-gcm
    
    Doing aes-256-gcm for 3s on 16 size blocks: 73271905 aes-256-gcm's in 3.01s
    Doing aes-256-gcm for 3s on 64 size blocks: 43419016 aes-256-gcm's in 3.01s
    Doing aes-256-gcm for 3s on 256 size blocks: 19236696 aes-256-gcm's in 3.01s
    Doing aes-256-gcm for 3s on 1024 size blocks: 7259618 aes-256-gcm's in 3.15s
    Doing aes-256-gcm for 3s on 8192 size blocks: 1021731 aes-256-gcm's in 3.03s
    OpenSSL 1.0.2o-freebsd  27 Mar 2018
    built on: date not available
    options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx)
    compiler: clang
    The 'numbers' are in 1000s of bytes per second processed.
    type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
    aes-256-gcm     389768.47k   923866.44k  1637267.67k  2361123.20k  2761243.83k
    Code:
    dev tun
    persist-tun
    persist-key
    cipher AES-128-GCM
    ncp-disable
    auth SHA256
    tls-client
    client
    resolv-retry infinite
    remote 192.168.1.1 1197 udp
    verify-x509-name "OpenVPN-Server" name
    auth-user-pass
    pkcs12 pfSense-UDP4-1197-vpn.p12
    tls-auth pfSense-UDP4-1197-vpn-tls.key 1
    remote-cert-tls server
    Ich weiss nicht aber habe ich da irgendwas verpasst einzustellen oder sonstiges?
    Hat da jemand eine Idee?
    Geändert von ShinigamiLY (14.07.19 um 11:17 Uhr)

  2. Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

  3. #2
    Korvettenkapitän
    Registriert seit
    07.07.2007
    Beiträge
    2.120


    Standard

    Mal testen, ob UDP oder TCP eine bessere Performance bringen (eigentlich läuft UDP besser). Oder mal Wireguard testen. Die schlechte Performance von openVPN ist mir leider auch nicht unbekannt.

  4. #3
    Obergefreiter
    Registriert seit
    13.11.2013
    Beiträge
    102
    Themenstarter


    • Systeminfo
      • Motherboard:
      • ASUS Rampage IV Black Edition, Intel X79
      • CPU:
      • INTEL i7-4930k - 4.5GHz
      • Systemname:
      • Mein Baby :)
      • Kühlung:
      • Derzeit noch Luft
      • Gehäuse:
      • Phanteks Enthoo Primo
      • Handy:
      • Oppo Find 5

    Standard

    Nun.. UDP wird ja wie in der Config zu sehen ist bereits verwendet. Ich probiere schon den ganzen Tag verschiedene Einstellungskombinationen etc. nur leider ohne Erfolg.
    Wireguard kenne ich nur ist mir dies noch zu unsicher da es weder auditiert wurde noch wirklich veröffentlicht wurde.

  5. #4
    Korvettenkapitän
    Registriert seit
    07.07.2007
    Beiträge
    2.120


    Standard

    Dann weiß ich leider auch keine Lösung. Ich habe mit den Optionen wie MTU, MRU usw. herumprobiert, aber auch keine zufriedenstellende Kombination gefunden. Auch wurden bei mir settings diesbezüglich ignoriert. Warum das so ist, habe ich nicht verstanden. Fakt ist jedenfalls, dass openVPN auch bei mir vom Handy zum Server unter Performance-Problemen leidet.

  6. #5
    Matrose
    Registriert seit
    09.11.2018
    Beiträge
    3


    Standard

    Also es gibt jetzt verschiedene Problemursachen.

    Entweder wirklich die Config des Servers / Client
    Teste bitte mal aes-128-cbc als verschlüsselung mit sha1 auth mit deaktiverter kompression
    aber normal sollte bei i3 und höher genügend leistung da sein.

    Was ist die gegenstelle ? Wer ist dein Internet anbieter ? eventuell wird hier gedrosselt ?
    Bitte mache einmal einen FTP Upload/Download auf einen Server mit einer Verbindung. Openvpn kann/hat auch nur eine Verbindung.

    Willst du einfach nur auf deine lokale Installtion zugreifen oder willst du dort wieder Pakete nach draussen routen ?

  7. #6
    Obergefreiter
    Registriert seit
    13.11.2013
    Beiträge
    102
    Themenstarter


    • Systeminfo
      • Motherboard:
      • ASUS Rampage IV Black Edition, Intel X79
      • CPU:
      • INTEL i7-4930k - 4.5GHz
      • Systemname:
      • Mein Baby :)
      • Kühlung:
      • Derzeit noch Luft
      • Gehäuse:
      • Phanteks Enthoo Primo
      • Handy:
      • Oppo Find 5

    Standard

    Hi und danke für die Antworten.

    Ich werde demnächst mal den aes-128-cbc testen. Komprimierung ist standardmässig deaktiviert.

    Wie bereits erwähnt teste ich es derzeit aus dem lan sprich mein pc ist direkt an dem openvpn angeschlossen. Somit sollte meiner Meinung nach alle Zwischenstellen die ein Flaschenhals sein könnten entfernt werden.
    Wenn ich somit über die normale Leitung also ohne VPN bei Speedtest z.B. die 500k Leitung packen, dann müsste es über den VPN genauso sein.

    Die Pakete werden somit ja direkt an die OpenVPN aus dem LAN gehen und darüber direkt raus.
    Mehrheitlich auf die lokalten Daten zugreifen. Nichtsdestotrotz benötige ich auch für meine Geräte wie Handy die Möglichkeit die Pakete nach draussen zu routen. Derzeit ist dies auch so eingerichtet.

    Mein Asusrouter ist seit nem Jahr dafür zuständig nur reicht mir langsam die Leistung nicht mehr. Beim Asus Router kommen nur 40k durch und der Prozessor ist am Anschlag. Das er nicht mehr packt ist mir schon klar weshalb ich eben ein miniPC dafür gekauft habe nur geht da nicht mehr als 100k obschon die Leistung locker reicht und wie gesagt... CPU Auslastung von unter 8%. (SingleCore)

    Hier noch ein Bild da es irgendwie nicht klar ist wie es aufgebaut ist. Ausserdem dient dies erst einmal nur zur Testzwecke damit ich sicher gehen kann, dass die Leistung ausreichen sollte und alle anderen Fehlerquellen ausgeschlossen werden können.
    Angehängte Grafiken Angehängte Grafiken
    Geändert von ShinigamiLY (15.07.19 um 18:05 Uhr)

  8. #7
    Matrose
    Registriert seit
    09.11.2018
    Beiträge
    3


    Standard

    Hast du dir mal den ASUS AC86U angeschaut ? der kann AES in Hardware.

    500k beim TCP Speedtest heisst nicht das 500k beim einer einzelnen UDP Verbindung.

    Kannst du mal direkt zum Server im Lan mit Cyberduck und SSH eine große Datei hin und her spielen, damit wir wissen, dass die Leistung erreicht wird ?

    Es gibt auch noch mehr faktoren wie z.b. Puffergrößen des Lanadapters.


    Kennst du das ? Gigabit_Networks_Linux – OpenVPN Community

  9. #8
    Obergefreiter
    Registriert seit
    13.11.2013
    Beiträge
    102
    Themenstarter


    • Systeminfo
      • Motherboard:
      • ASUS Rampage IV Black Edition, Intel X79
      • CPU:
      • INTEL i7-4930k - 4.5GHz
      • Systemname:
      • Mein Baby :)
      • Kühlung:
      • Derzeit noch Luft
      • Gehäuse:
      • Phanteks Enthoo Primo
      • Handy:
      • Oppo Find 5

    Standard

    Ich verwende seit Jahren den RT-AC87U mit Merlin und manchmal auch mit ddwrt. Sie verrichtet derzeit bzw. seit langem den OpenVPN Server. Leider erreicht sie ihre Grenzen @ 100% Auslastung eines Cores bei 40k
    Dennoch habe ich so viele Router im Haus, das ich mir keine neuen kaufen möchte. Deswegen habe ich auch diese QOTOM gekauft mit dem i5 7300u.
    Vorallem sollte für all mein Vorhaben diese CPU locker reichen. Ich bin selbst jetzt noch überrascht wie Leistungsstark die ist für eine 15W CPU. Und erstaunt... das ich eigentlich bei aliexpress mir die mit einem i5 7200u bestellt hatte und stattdessen die 7300 bekommen hab

    Das mitm SSH stimmt... Wieso bin ich nicht auf die Idee gekommen... Ja, das sollte ich aufbauen können und testen. Werde ich mal die Tage versuchen.
    Danke für den Link, kannte ich nicht.

  10. #9
    Bootsmann
    Registriert seit
    18.07.2016
    Beiträge
    721


    • Systeminfo
      • Betriebssystem:
      • Fedora 28, Gentoo
      • Notebook:
      • Thinkpad W520

    Standard

    Nimm IPSec OpenVPN-Leistung ist selbst mit aktueller High-End Hardware mickrig.
    Hier mal etwas Lektüre: https://www.net.in.tum.de/fileadmin/...erformance.pdf

    AMD Epyc 7351P|Noctua NH-U14S|Asus KNPA-U16|4x 32GB Samsung DDR4-2666 RDIMM|LSI SAS9300-8i|8x HUS726040AL421 4TB 4Kn RAID-Z2|Samsung 970 Evo L2ARC|Intel X520-DA2|ESXi 6.7|napp-it Pro Complete @ Solaris 11.4
    HP Microserver Gen8|E3-1220Lv2|2x8 GB Kingston KVR16E11/8|4x HGST HUS723030ALS640|Dell PERC H310@9211-8i IT Mode (P19)
    HP Aruba 2920-24G PoE+ Switch (J9727A) & 2 Port 10 GbE SFP+ Modul (J9731A), 2x 10GbE via MMF/LC-D w/ fs.com #11559 SFP+ (HP J9150A comp.)
    Brocade ICX6610-24P-E Switch, Full licensed, 1x QSFP+ to 4x SFP+ DAC (fs.com #69909), 8x 10GbE via MMF/LC-D w/ 57-0000075-01 SFP+
    Mikrotik CRS326-24G-2S+RM Switch, 2x 10GbE via MMF/LC-D w/ S+85DLC03D SFP+

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •