Nie jesteś zalogowany. Proszę się zalogować lub zarejestrować.
eko.one.pl → Oprogramowanie / Software → Wydajność serwerów OpenVPN i WireGuard
Strony Poprzednia 1 2
Zaloguj się lub zarejestruj by napisać odpowiedź
To ja przedstawie po krótce swoje testy. Na moim produkcyjnym APU2 nic to nie przyspieszyło, utknęło na ok 80Mb/s, zmienił się tylko proces obciążający CPU z openvpn na kworker_wg* (nie pamiętam dokładnej nazwy). Natomiast testy na hyper-v - jedna maszyna to openwrt a druga to windows10 spięte ze sobą siecią prywatną, przyspieszyły z ok 300Mb/s bez DCO do ponad 940Mb/s z aktywnym DCO
Niestety, nie jestem w stanie sprawdzić. Wywala mi się z
kern.err kernel: [ 1078.427389] ovpn_decrypt_one: error during decryption for peer 0, key-id 0: -74Więc coś nie chce mi się mój ubunciak dogadać z openvpn jeżeli chodzi o DCO.
Jakie mtu ustawiasz dla wireguarda?
100Mb/s - 25Gb/sNie było ustawione, leciał na standardowym. Ale jeżeli odnosisz się do poprzedniego posta to to było o openvpn z dco a nie wireguardzie.
W WG klient ma mieć inną podsieć, niż serwer? Pamiętam, że przy openvpn taki wymógł był.
Z definicji lan peera ma mieć inna adresację niż wg.
Mam sieć jak na obrazku: 
Rutery mają zestawiony między sobą tunel wireguard i udostępniają swoje sieci LAN drugiej stronie.
Moje pytanie dotyczy bardzo niskich prędkości uzyskiwanych w ruchu, którego źródłem są rutery Chorzów i Katowice. Oba rutery to Netgear Nighthawk R7800.
Pingi, zawsze z 10 próbek wydają się ok:
Chorzów (192.168.1.1) -> Katowice (192.168.2.1): round-trip min/avg/max = 13.230/18.153/25.507 ms
Chorzów (192.168.1.1) <- Katowice (192.168.2.1): round-trip min/avg/max = 13.539/19.199/21.791 ms
Chorzów (10.0.0.1) -> Katowice (10.0.0.10): round-trip min/avg/max = 14.650/17.748/22.915 ms
Chorzów (10.0.0.1) <- Katowice (10.0.0.10): round-trip min/avg/max = 13.491/17.857/25.231 ms
Iperf między komputerami wpiętymi w sieci Chorzów i Katowice.
Z komputera z sieci 192.168.2.123: iperf3 -c 192.168.1.151 -p 5000 -R
Reverse mode, remote host 192.168.1.151 is sending
[ 4] local 192.168.2.123 port 64512 connected to 192.168.1.151 port 5000
[ 4] 0.00-1.00 sec 8.08 MBytes 67.7 Mbits/sec
[ 4] 1.00-2.00 sec 8.30 MBytes 69.7 Mbits/sec
[ 4] 2.00-3.00 sec 8.26 MBytes 69.3 Mbits/sec
[ 4] 3.00-4.00 sec 7.71 MBytes 64.7 Mbits/sec
[ 4] 4.00-5.00 sec 8.45 MBytes 70.9 Mbits/sec
[ 4] 5.00-6.00 sec 7.81 MBytes 65.5 Mbits/sec
[ 4] 6.00-7.00 sec 7.86 MBytes 65.9 Mbits/sec
[ 4] 7.00-8.00 sec 8.46 MBytes 71.0 Mbits/sec
[ 4] 8.00-9.00 sec 8.05 MBytes 67.5 Mbits/sec
[ 4] 9.00-10.00 sec 6.95 MBytes 58.2 Mbits/sec
Spodziewałbym się czegoś koło ~140Mb. Speedtest tego łącza daje ok. 152Mb.
Z komputera z sieci Katowice: iperf3 -c 192.168.1.151 -p 5000
Connecting to host 192.168.1.151, port 5000
[ 4] local 192.168.2.123 port 64490 connected to 192.168.1.151 port 5000
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 1.50 MBytes 12.6 Mbits/sec
[ 4] 1.00-2.00 sec 2.75 MBytes 23.0 Mbits/sec
[ 4] 2.00-3.00 sec 2.88 MBytes 24.1 Mbits/sec
[ 4] 3.00-4.00 sec 2.75 MBytes 23.1 Mbits/sec
[ 4] 4.00-5.00 sec 2.88 MBytes 24.1 Mbits/sec
[ 4] 5.00-6.00 sec 2.75 MBytes 23.1 Mbits/sec
[ 4] 6.00-7.00 sec 2.75 MBytes 23.1 Mbits/sec
[ 4] 7.00-8.00 sec 2.88 MBytes 24.1 Mbits/sec
[ 4] 8.00-9.00 sec 2.75 MBytes 23.1 Mbits/sec
[ 4] 9.00-10.00 sec 2.75 MBytes 23.1 Mbits/sec
Wysycony uplink łącza do internetu rutera Katowice. OK.
Najgorsze rezultaty są w momencie kiedy źródłem ruchu jest którykolwiek z ruterów.
iperf ruter -> VPN -> ruter - ok. 2-3Mbps. Całkiem źle. O co chodzi?
iperf komputer w sieci Chorzów (192.168.1.151) -> VPN -> ruter Katowice = ~150Mb. Idealnie. Ruter Katowice przy odbiorze tych 150Mb ma CPU load: Core0 ok. 60%, głównie kernel, Core1 ok. 45%, głównie kernel. Najpewniej proces wireguard.
Ruter Chorzów jako samba server: jacykolwiek klienci przez VPN (przez ruter Katowice czy klient na androidzie przez LTE) 2-3Mbps.
Wiem, że samba przez opóźnienia może mieć bardzo słabą wydajność, ale iperf/ftp/sftp zachowują się praktycznie identycznie.
Na moje oko wygląda wszystko normalnie. Pomiędzy routerami jest zestawione łącze 150/25 Mbps, więc iperf3 pokazuje wg. mnie optymalne prędkości.
Tak, z łącza korzystam już od miesięcy i stale trzyma pewnie uplink 150Mb.
Próbowałem już z offloadem włączając go i wyłączając. Zmniejszałem też MTU na interfejsach wireguard ze standardowego 1420 na 1360, 1250, 1000.
Robiłem również zmiany w firewallu przy obsłudze ruchu wireguard. Albo dodatkowa zona z interfejsem wg0 i wszystkimi możliwymi przejściami, wg instrukcji Cezarego albo dodanie interfejsu wg0 do zony lan.
Najbardziej zaskakuje stała praktycznie jak stół prędkość 2-3Mb w przypadku obsługi ruchu samby/ftp/sftp oraz iperf, którego źródłem jest sam ruter. Na potrzeby samby mam podłączony szybki (rzędu 100MBps read) pendrive. Telefon po LTE daje 2Mb praktycznie cały czas równo, inne komputery z "przeciwnej" strony VPN to samo. Coś tu jest na rzeczy, ale nie wiem jeszcze co.
Obecnie oba rutery pracują z 23.05.0, zrobię upgrade do najnowszego 23.05.2, ale mam swoje wątpliwości czy to pomoże.
Czy czasami nie masz podłączonego do choćby jednego routera, urządzenia na 100 Mbps albo 10 Mbps? Wszystkie mają sprzętowy problem, gdy do switcha (LAN lub WAN) podłączony jest wolniejszy sprzęt.
Najbardziej zaskakuje stała praktycznie jak stół prędkość 2-3Mb w przypadku obsługi ruchu samby/ftp/sftp oraz iperf, którego źródłem jest sam ruter. Na potrzeby samby mam podłączony szybki (rzędu 100MBps read) pendrive. Telefon po LTE daje 2Mb praktycznie cały czas równo, inne komputery z "przeciwnej" strony VPN to samo. Coś tu jest na rzeczy, ale nie wiem jeszcze co.
Już tu gdzieś pisałem że jeśli pendrive ma 100MBs odczyt w jakiś mocnym laptopie to nie znaczy że tyle będzie maił w routerze.
Warto jakiś test zrobić, hdparm lub zwykłe dd to się dowiemy jak router sobie radzi z tym pendrivem.
Czy czasami nie masz podłączonego do choćby jednego routera, urządzenia na 100 Mbps albo 10 Mbps? Wszystkie mają sprzętowy problem, gdy do switcha (LAN lub WAN) podłączony jest wolniejszy sprzęt.
Istotnie, miałem podłączone 2 urządzenia fast eth 100Mb: drukarka i cubieboard1. Odłączyłem oba, reboot rutera, rezultat bez zmian, 2-3Mbps.
rycerstwo napisał/a:Najbardziej zaskakuje stała praktycznie jak stół prędkość 2-3Mb w przypadku obsługi ruchu samby/ftp/sftp oraz iperf, którego źródłem jest sam ruter. Na potrzeby samby mam podłączony szybki (rzędu 100MBps read) pendrive. Telefon po LTE daje 2Mb praktycznie cały czas równo, inne komputery z "przeciwnej" strony VPN to samo. Coś tu jest na rzeczy, ale nie wiem jeszcze co.
Już tu gdzieś pisałem że jeśli pendrive ma 100MBs odczyt w jakiś mocnym laptopie to nie znaczy że tyle będzie maił w routerze.
Warto jakiś test zrobić, hdparm lub zwykłe dd to się dowiemy jak router sobie radzi z tym pendrivem.
Wiadoma sprawa.
Pendrive po sieci lokalnej (wifi, w ogóle bez VPN) daje ok 30MBps (ok. 250Mbps). Po RJ45 ok. 65MBps.
Dziwna sprawa - zmieniłem ruter z Netgear Nethawk po stronie chorzowskiej na BananaPi Rp3.
Teraz przepływności po wireguard są z całymi prędkościami łącz.
Jest jeszcze kilka innych aspektów jak domyślne MTU dla WG 1420 dla OVPN 1500.
Możliwości łowienia kluczy z początkowymi znakami w WG zapomocną narzedzia wireguard vanity keygen.
W OVPN brak tego. Ja osobiście uzywam tego estetycznie wyglądają konfigi wtedy.
WG został wybrany przez guru od kernela dawno temu już jako lider i nieprędko się to chyba zmieni.
WG jest tak lekki ze w okrojonej specjalnej wersji działa nawet z ESP32 - tanie mikrokontrolery go udzwigną!
Bezpieczeństwo hmm pewnie jest lżej szyfrowany ale z drugiej strony jakie jest prawdopodobieństwo ... po co sie męczyc skoro szybciej działa i prościej skonfigurować.
Jesli chcemy ekstremalnie bezpiecznego VPNa, a nie wiem komu by na tym az tak zależało, to chyba wcale OVPN nie powinien być brany pod uwage tylko jeszcze jakiś czas krążyły pogłoski, że aktualne to projekt strongswan jest najbezpieczniejszy.
Zalezy też do czego chcemy VPNa używac bo jeśli do wypuszczania np. klientów zza nata na świat - przekierowanie portów przez serwer z zewnętrznym IP (ja do tego głównie go używam) to równie dobrze możnaby raczej modlić się o rozwój i wsparcie IPv6 przez wszystkich operatorów
Zamiast zielonego ładu inie mogliby tak tego wymyslić? Dać termin i karami walic kto z ISPów nie wyda mozliwości klientowi do dnia sądu xDDD
Może jakieś testy jak to się ma do openvpn z dco?
100Mb/s - 25Gb/sStrony Poprzednia 1 2
Zaloguj się lub zarejestruj by napisać odpowiedź
eko.one.pl → Oprogramowanie / Software → Wydajność serwerów OpenVPN i WireGuard
Forum oparte o PunBB, wspierane przez Informer Technologies, Inc
