OpenVPN vs l2tp/ipsec?

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

OpenVPN vs l2tp/ipsec?

Hej,
Jag går i tankarna att försöka slänga upp en VPN igen, vad är att rekommendera?
OpenVPN eller l2tp/ipsec?

Jag kör en Windows Server 2016 med tämligen bra med kraft (xeon e3-1265lv2 + 16GB ram, ssd osv)

Det jag skall kunna ansluta med är laptop och iPhone.

Filsync kör jag med Resilio vilket fungerar helt underbart bra utom VPN kommer användas för att komma åt Arkiv m.m på servern och vid ev. problem kunna köra RDP m.m mot servern.

Trädvy Permalänk
Medlem
Registrerad
Nov 2010

OpenVPN i en Hyper-V Linux maskin. Är de bara du som ska ansluta kan du med fördel ta den kommerciella versionen. Den har två gratisanvändare och ett snyggt webgränssnitt. Community versionen är givetvis gratis men lite krångligare att sätta upp.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Dec 2002

@Calby:
openvpn är mer kompatibelt med prylar. Men l2tp/ipsec har bättre hastigheter. Många enheter har även hw offload för det.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av Hugligan:

OpenVPN i en Hyper-V Linux maskin. Är de bara du som ska ansluta kan du med fördel ta den kommerciella versionen. Den har två gratisanvändare och ett snyggt webgränssnitt. Community versionen är givetvis gratis men lite krångligare att sätta upp.

Okej, tänkte försöka undvika Hyper-V och köra det så som jag gör nu allt på en maskin tills jag får in min nya maskin som kommer snart då tänkte jag köra akrivering på den + VPN för att avlasta huvud servern lite, för skulle huvudservern gå ner så kommer jag inte åt t.ex iLO trots att jag har VPN så då gör inte VPN:n någon större nytta desvärre.

Skrivet av fragwolf:

@Calby:
openvpn är mer kompatibelt med prylar. Men l2tp/ipsec har bättre hastigheter. Många enheter har även hw offload för det.

Okej, ja det där med hastigheten har jag märkt av på OpenVPN fick endast ut 100/40 från en 1000/1000 lina detta pga. TAP enheten som den inte virtualization på rätt sätt som jag uppfattade det. Tydligen ett vanligt problem med OpenVPN dvs hastigheten.

Trädvy Permalänk
Medlem
Plats
Svea Rike
Registrerad
Jan 2017
Skrivet av Calby:

Okej, tänkte försöka undvika Hyper-V och köra det så som jag gör nu allt på en maskin tills jag får in min nya maskin som kommer snart då tänkte jag köra akrivering på den + VPN för att avlasta huvud servern lite, för skulle huvudservern gå ner så kommer jag inte åt t.ex iLO trots att jag har VPN så då gör inte VPN:n någon större nytta desvärre.

Okej, ja det där med hastigheten har jag märkt av på OpenVPN fick endast ut 100/40 från en 1000/1000 lina detta pga. TAP enheten som den inte virtualization på rätt sätt som jag uppfattade det. Tydligen ett vanligt problem med OpenVPN dvs hastigheten.

Jag har Bredbandsbolaget med 250/100 och får ut full hastighet med OpenVPN, igenom ovpn.se och då använder jag bredbandsbolagets skruttiga standard gateway / router. Att du får ut 100 på en 1gbps lina med openvpn känns som det kanske är något annat som kärvar.

Använd "@Klanders" när du pratar med mig, eller citera, annars är risken överhängande att jag missar ditt meddelande bland alla trådar.

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av Klanders:

Jag har Bredbandsbolaget med 250/100 och får ut full hastighet med OpenVPN, igenom ovpn.se och då använder jag bredbandsbolagets skruttiga standard gateway / router. Att du får ut 100 på en 1gbps lina med openvpn känns som det kanske är något annat som kärvar.

Men då hostar du inte din VPN server själv, men jag ska försöka att sätta upp en OpenVPN server på min MS burk absolut om det faller på OpenVPN igen eller om det faller på l2tp/ipsec jag är lite osäker på detta just nu.

Trädvy Permalänk
Medlem
Registrerad
Nov 2010

@Calby: Som nämnts tidigare ska det inte vara nå problem med hastighet på OpenVPN. En maskin med 1-2GB ram och 1-2 kärnor räcker gott.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Dec 2002

Jag såg inga hastigheter i TS post så jag utgick ifrån en generell syn på det Vill du ha typ 100 mbit så funkar openvpn. Men när man kommer upp i 500+ mbit så är det inte så enkelt med openvpn jämfört med ipsec/l2tp.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av fragwolf:

Jag såg inga hastigheter i TS post så jag utgick ifrån en generell syn på det Vill du ha typ 100 mbit så funkar openvpn. Men när man kommer upp i 500+ mbit så är det inte så enkelt med openvpn jämfört med ipsec/l2tp.

Det är de som jag behöver vill få ut minst 250/250MBit via VPN mot min server.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av Hugligan:

@Calby: Som nämnts tidigare ska det inte vara nå problem med hastighet på OpenVPN. En maskin med 1-2GB ram och 1-2 kärnor räcker gott.

Fick bara ut 100/40-60 med min e3-1265lv2 borde klarat av allt galant.

Börjar luta mer och mer mot l2tp/IPSec.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Svea Rike
Registrerad
Jan 2017
Skrivet av Calby:

Men då hostar du inte din VPN server själv, men jag ska försöka att sätta upp en OpenVPN server på min MS burk absolut om det faller på OpenVPN igen eller om det faller på l2tp/ipsec jag är lite osäker på detta just nu.

Det är sant. Tänkte mest på att det verkade lite lite hastighet du fick ut bara

Använd "@Klanders" när du pratar med mig, eller citera, annars är risken överhängande att jag missar ditt meddelande bland alla trådar.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016

Här jämför dom och förklara på vilka sätt dom är bra på för områden.

https://www.ivpn.net/pptp-vs-l2tp-vs-openvpn

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Jan 2009

Hastighet är inget större problem om man pratar under 500 mbit/s som @fragwolf nämde. hastigheten för både ipsec och openvpn är mest beroende på vilken typ av kryptering du kör. Båda kan köra AES, och jag skulle välja AES framför t ex blowfish som är betydligt långsammare och saknar hårdvaruaccelering.

Nedan är hur snabbt ett antal olika cpu:er är på att kryptera AES (256bitars) på en cpu tråd, notera att hastigheterna är i Megabyte, dvs ta gånger 8 för att få Megabit.

Intel(R) Core(TM) i7-3770S CPU @ 3.10GHz
80 MB/s utan acceleration
400 MB/s accelererat

Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz
69 MB/S utan acceleration
414 MB/s accelererat

Intel(R) Celeron(R) 3205U @ 1.50GHz
43 MB/s utan acceleration

AMD Athlon(tm) Dual Core Processor 4850e
51 MB/s utan acceleration

Intel(R) Xeon(R) CPU E3-1231 v3 @ 3.40GHz
110MB/s utan acceleration
563MB/s accelererat

Pentium E5200, 4x2048MB DDR2 667mhz, ATI RADEON HD4670 512MB.
AMD 4850E, 4x2048 DDR2 667Mhz. ATI RADEON HD3200.

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av petabyte.se:

Hastighet är inget större problem om man pratar under 500 mbit/s som @fragwolf nämde. hastigheten för både ipsec och openvpn är mest beroende på vilken typ av kryptering du kör. Båda kan köra AES, och jag skulle välja AES framför t ex blowfish som är betydligt långsammare och saknar hårdvaruaccelering.

Nedan är hur snabbt ett antal olika cpu:er är på att kryptera AES (256bitars) på en cpu tråd, notera att hastigheterna är i Megabyte, dvs ta gånger 8 för att få Megabit.

Intel(R) Core(TM) i7-3770S CPU @ 3.10GHz
80 MB/s utan acceleration
400 MB/s accelererat

Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz
69 MB/S utan acceleration
414 MB/s accelererat

Intel(R) Celeron(R) 3205U @ 1.50GHz
43 MB/s utan acceleration

AMD Athlon(tm) Dual Core Processor 4850e
51 MB/s utan acceleration

Intel(R) Xeon(R) CPU E3-1231 v3 @ 3.40GHz
110MB/s utan acceleration
563MB/s accelererat

Hur snabb är en e3-1265lv2?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Jan 2009
Skrivet av Calby:

Hur snabb är en e3-1265lv2?

Skickades från m.sweclockers.com

Mellan tummen och pekfingret så borde den prestera bättre än en E5-2670 men sämre än en E3-1231, så jag gissar runt 70MB/s, så åtminstone 500 Mbit/s.

Pentium E5200, 4x2048MB DDR2 667mhz, ATI RADEON HD4670 512MB.
AMD 4850E, 4x2048 DDR2 667Mhz. ATI RADEON HD3200.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2016
Skrivet av petabyte.se:

Hastighet är inget större problem om man pratar under 500 mbit/s som @fragwolf nämde. hastigheten för både ipsec och openvpn är mest beroende på vilken typ av kryptering du kör. Båda kan köra AES, och jag skulle välja AES framför t ex blowfish som är betydligt långsammare och saknar hårdvaruaccelering.

Nedan är hur snabbt ett antal olika cpu:er är på att kryptera AES (256bitars) på en cpu tråd, notera att hastigheterna är i Megabyte, dvs ta gånger 8 för att få Megabit.

Intel(R) Core(TM) i7-3770S CPU @ 3.10GHz
80 MB/s utan acceleration
400 MB/s accelererat

Intel(R) Xeon(R) CPU E5-2670 0 @ 2.60GHz
69 MB/S utan acceleration
414 MB/s accelererat

Intel(R) Celeron(R) 3205U @ 1.50GHz
43 MB/s utan acceleration

AMD Athlon(tm) Dual Core Processor 4850e
51 MB/s utan acceleration

Intel(R) Xeon(R) CPU E3-1231 v3 @ 3.40GHz
110MB/s utan acceleration
563MB/s accelererat

Så här ser min ut.

CPU: Intel(R) Xeon(R) CPU E3-1230 V2
pfsense version: 2.3.4-RELEASE

utan acceleration

Doing aes-256 cbc for 3s on 16 size blocks: 18151731 aes-256 cbc's in 3.01s Doing aes-256 cbc for 3s on 64 size blocks: 4850029 aes-256 cbc's in 3.00s Doing aes-256 cbc for 3s on 256 size blocks: 1234152 aes-256 cbc's in 3.01s Doing aes-256 cbc for 3s on 1024 size blocks: 677196 aes-256 cbc's in 3.00s Doing aes-256 cbc for 3s on 8192 size blocks: 85724 aes-256 cbc's in 3.01s OpenSSL 1.0.1s-freebsd 1 Mar 2016 built on: date not available options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx) compiler: clang The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes aes-256 cbc 96557.78k 103467.29k 105040.76k 231149.57k 233475.66k

accelererat

Doing aes-256-cbc for 3s on 16 size blocks: 1997692 aes-256-cbc's in 0.35s Doing aes-256-cbc for 3s on 64 size blocks: 1885205 aes-256-cbc's in 0.24s Doing aes-256-cbc for 3s on 256 size blocks: 1475777 aes-256-cbc's in 0.23s Doing aes-256-cbc for 3s on 1024 size blocks: 836086 aes-256-cbc's in 0.16s Doing aes-256-cbc for 3s on 8192 size blocks: 167686 aes-256-cbc's in 0.03s OpenSSL 1.0.1s-freebsd 1 Mar 2016 built on: date not available options:bn(64,64) rc4(16x,int) des(idx,cisc,16,int) aes(partial) idea(int) blowfish(idx) compiler: clang The 'numbers' are in 1000s of bytes per second processed. type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes aes-256-cbc 90917.18k 498180.62k 1667526.23k 5479373.21k 43957878.78k

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

Får pröva OpenVPN sen när man får tid över, sist så körde ja med 2048 och 4096 i kryptering får sänka de till 1024 som är "standard" då, eller borde min klara 250/250 med 2048 med?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Jun 2012
Skrivet av petabyte.se:

Mellan tummen och pekfingret så borde den prestera bättre än en E5-2670 men sämre än en E3-1231, så jag gissar runt 70MB/s, så åtminstone 500 Mbit/s.

Får pröva OpenVPN sen när man får tid över, sist så körde ja med 2048 och 4096 i kryptering får sänka de till 1024 som är "standard" då, eller borde min klara 250/250 med 2048 med?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Dec 2002
Skrivet av Calby:

Får pröva OpenVPN sen när man får tid över, sist så körde ja med 2048 och 4096 i kryptering får sänka de till 1024 som är "standard" då, eller borde min klara 250/250 med 2048 med?

Skickades från m.sweclockers.com

Kör du med max kryptering så lär det gå segt. Misstänker att det är standard värden ovan. Så ja det kan var värt att prova sänka lite Alternativt gå över till ipsec.

Edit: Det bästa sättet är att du provar olika varianter och speedtestar själv

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!