pfsense openvpn prestanda

Permalänk

pfsense openvpn prestanda

Hej! uppgraderade precis mitt internet till 1/1 Gbit/s och försöker testa min vpn tjänst. Får fortfarande uta samma som innan och börjar då misstänka min brandvägg/router.

Jag kör denna i en vm med spec se bild.

Just nu ligger jag på 50% av cpu annvändning så misstänkter att ovpn använder 1 thread

Min fråga är då är openvpn fortfarande singlethread? Hur sätter jag upp mina virtual sockets och cores per socket effektivast för pfsense?

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk
Medlem
Skrivet av Joulester:

Min fråga är då är openvpn fortfarande singlethread? Hur sätter jag upp mina virtual sockets och cores per socket effektivast för pfsense?

Ja, i pfsense upp till 2.3.3 körs openvpn entrådigt. På "baremetal" går det att lösa genom att köra fler VPN-anslutningar och knyta ihop dem under en gateway. Du kan ju testa detta med din virtuella installation också.

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Permalänk
Vila i frid

Vill du ha prestanda lär du använda andra protokoll. PPTP duger gott för att isolera sig när man besöker Donken. Man skyller singeltrådande på openssl och event-hanteringen - sedan 2010.

Permalänk
Skrivet av Plattelöparn:

Ja, i pfsense upp till 2.3.3 körs openvpn entrådigt. På "baremetal" går det att lösa genom att köra fler VPN-anslutningar och knyta ihop dem under en gateway. Du kan ju testa detta med din virtuella installation också.

Kynter jag ihop dessa med en interface group?

Skrivet av hasenfrasen:

Vill du ha prestanda lär du använda andra protokoll. PPTP duger gott för att isolera sig när man besöker Donken. Man skyller singeltrådande på openssl och event-hanteringen - sedan 2010.

Köper ovpn i dags läget och känner inte att jag vill köra min trafik över PPTP. Måste finnas något sätt att köra en openvpn server som klarar mer än 1gbit? Hur gör annars alla stora vpn tjänster så som ovpn.se?

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk
Medlem
Skrivet av Joulester:

Kynter jag ihop dessa med en interface group?

Ja, precis. Sen får du justera brandväggsregler och utgående NAT efter det.

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Permalänk
Medlem

Vad har du för CPU? Aes-ni instruktionerna på en nyare Intel CPU borde ju kunna avlasta en del kan jag tycka?

Visa signatur

AMD Ryzen 7950x3D | Asus ROG Strix B650E-E | 32GB G.Skill DDR5 6000Hz CL30 | ASUS TUF RX 7900 XTX OC | Cooler Master Tempest GP27U, Dell U2515H

Permalänk
Medlem

Skummade genom din gamla tråd lite men skulle i alla fall vara trevligt om du skrev hur allt är kopplat, vilka inställningar du kör med, vad openvpn server loggen säger när du kopplar upp dig mot den, vilken hastighet du faktiskt får ut och ping mellan server/klient.

Permalänk
Skrivet av Plattelöparn:

Ja, precis. Sen får du justera brandväggsregler och utgående NAT efter det.

Ska testa och se vad som händer med denna lösning

Skrivet av Calle:

Vad har du för CPU? Aes-ni instruktionerna på en nyare Intel CPU borde ju kunna avlasta en del kan jag tycka?

Jag har en Dell R710 med 2st Intel Xeon E5620 @ 2.40GHz

Skrivet av Zarper:

Skummade genom din gamla tråd lite men skulle i alla fall vara trevligt om du skrev hur allt är kopplat, vilka inställningar du kör med, vad openvpn server loggen säger när du kopplar upp dig mot den, vilken hastighet du faktiskt får ut och ping mellan server/klient.

Ska se om jag kan få fram någon mer information. När du säger kopplat så antar jag hur mitt nätverk ser ut?

Edit: jag får ut 182/152 mbit/s med Ping 10

Nätverket ligger allt under Esxi på min R710 med pfsense som router/brandvägg. Vpn klienten ligger i pfsense med en brandväggsregel för min server att gå med all traffik över tunneln.
För mer info se mitt inlägg i "visa oss din serve" Länk

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk
Medlem

@Joulester: Ja, menade hur nätverket ser ut.
Förstår inte riktigt din beskrivning. Menar du att din server är kopplad till routern/openvpn-klienten via vanligt ethernet och sen går all trafik därifrån över en tunnel? Men vart går den tunneln sen? Måste finnas en openvpn-server med i bilden.

Permalänk
Skrivet av Zarper:

@Joulester: Ja, menade hur nätverket ser ut.
Förstår inte riktigt din beskrivning. Menar du att din server är kopplad till routern/openvpn-klienten via vanligt ethernet och sen går all trafik därifrån över en tunnel? Men vart går den tunneln sen? Måste finnas en openvpn-server med i bilden.

Precis min windows server 2012 VM är ansluten till min pfsense VM som ligger på samma host via esxi virtuella switch. Min pfsense VM agerar vpnclient samt router som är ansluten till min vpn tjänst ovpn.se

Pfsense VM: router, brandvägg och vpnklient

Skickades från m.sweclockers.com

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk

@Calle: Får ut ungefär det dubbla genom att använda mig av AES-NI.

Slås på under system -> advanced -> misc -> Cryptographic & Thermal Hardware.

samt slå på hardware crypto för vpnklienten under VPN -> OpenVPN -> Clients -> Edit

Bra tips tack!

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk
Medlem
Skrivet av Joulester:

@Calle: Får ut ungefär det dubbla genom att använda mig av AES-NI.

Slås på under system -> advanced -> misc -> Cryptographic & Thermal Hardware.

samt slå på hardware crypto för vpnklienten under VPN -> OpenVPN -> Clients -> Edit

Bra tips tack!

Kul att det gav resultat!
Jag har dock inte koll på hur mycket AES-NI motorn orkar med, får kanske googla lite på det.

Visa signatur

AMD Ryzen 7950x3D | Asus ROG Strix B650E-E | 32GB G.Skill DDR5 6000Hz CL30 | ASUS TUF RX 7900 XTX OC | Cooler Master Tempest GP27U, Dell U2515H

Permalänk

@Plattelöparn: Körde på denna metod med 2 anslutningar och kommer upp i hastighet 545/519 Mbit/s ska testa med en 3 när jag får tid.
Lösning:

  • Lägg till 2 vpnklienter och gör dessa till interfaces

  • gå till system -> Routing -> Gateway Groups

  • Gör en grupp med dina 2 vpnanslutningar sätt båda som Tier 1 och triggerlevel på "packet loss or high latence"

justera brandväggen mot den ny interfacen som är din grupp.

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk
Skrivet av Joulester:

@Plattelöparn: Körde på denna metod med 2 anslutningar och kommer upp i hastighet 545/519 Mbit/s ska testa med en 3 när jag får tid.
Lösning:

  • Lägg till 2 vpnklienter och gör dessa till interfaces

  • gå till system -> Routing -> Gateway Groups

  • Gör en grupp med dina 2 vpnanslutningar sätt båda som Tier 1 och triggerlevel på "packet loss or high latence"

justera brandväggen mot den ny interfacen som är din grupp.

Hur testar du hastigheten?

Skickades från m.sweclockers.com

Permalänk

@SebbesApa: Testar vad jag får ut ifrån min vm som är den ända anslutana maskinen på den tunneln. Ligger internt på samma host som min brandvägg. Kör med http://speedtest.net/

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk

Är det någon som tror att jag skulle kunna få ut högre hastigheter med en Intel Xeon E3-1220 istället för min Intel Xeon E5620?

-Vill märka på skillnaden i single thread rating, hjälper detta mig då openvpn är single trådat.

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk
Medlem

Jag maxar min 250/10 anslutning, virtualiserad pfsense med 2 stycken cores och 2 gb ram dedikerat till pfsense, har en 2013 Intel Xeon E3-1220 processor.

Visa signatur

System: Team Red

Permalänk

Kör du ingen vlan switch i din lösning? min virtuella pfSense maskin har bara ett nätverkskort som är vlan separerat. Jag maxar min 250/100 lina på VPN utan problem Jag har iofs en Xeon-D1541

Visa signatur

Gaming:[Asus Crosshair Extreme X670e]-[AMD R9 7950X3D]-[G.Skill TridentZ 6000Mhz 32GB]-[MSI Suprimx RTX 4090]-[Samsung 980PRO 2TB]-[Lian Li O11]:.
Server:[Asrock Rack X570d4u-2l2t]-[AMD R5 5600X]-[64GB ECC]-[nVidia P2000]-[40TB WD Re + 500GB Curcial MX100]:.

Permalänk

Mitt jagade av en så snabb openvpn uppkoppling som möjligt fortsätter!

Sen senast så har jag införskaffat en Dell R210II server med en E3-1270
Har sett att pfsense har släppt en uppdatering(experimental) på openvpn till 2.4 och många verkar ha problem med att få ut hastigheter, samtidigt verkar det inte spela någon roll om man laddar in instuktioner för AES-NI eller inte.
Är det någon som har hört något mer om detta?

Till mitt resultat:
Jag kör som förut med pfsense på en vm med den stora skillnaden att jag gått från esxi till proxmox och jag är väldigt nöjd

  • Denna Vm ligger själv på min R210II server och nyttjar all prestanda.

  • Som förut så har jag laddat in AES-Ni under system -> advanced -> misc -> Cryptographic & Thermal Hardware.

  • Samt så har jag lagt in Hardware Crypto även under VPN -> OpenVPN -> Clients, verkar vara diskutioner om denna ska igång eller ej källa

Någon som vet något annat?

Mitt resultat slutade då med att jag fick ut 646/317 med en client och utan getwaygroup

Det jag skulle vilja forsätta diskutera är

  • jag märkte inga skillnader på om AES-NI är påslaget eller ej. Inte heller om det är inladdat alls under advanced -> misc -> Cryptographic & Thermal Hardware, varför?

  • Min openvpn verision 2.3.14, kommer jag märka några skillnader när 2.4.0 kommer?

  • Varför är det så stora skillnader i uppload vs download?

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk
Medlem

Följer tråden med spänning; hojta till om du uppnår 1Gbit /s

Permalänk
Medlem

Har du provat köra flera instanser emot OVPN och sett så det inte är serversidan som är boven?

Edit. Dvs. med den senaste testet...

Visa signatur

En server här, några servrar där.

Permalänk
Skrivet av moron:

Har du provat köra flera instanser emot OVPN och sett så det inte är serversidan som är boven?

Edit. Dvs. med den senaste testet...

Har testat att köra flera instanser för att se om jag får ut mer.
2st:
-Märker en ökningen med 30mbit/s
-Cpu går dubblelt så hår. Tyder på att 2 trådar används.

3st:
Här blir det märkligt jag tappar i stort sätt allt och får ut ca 100mbit/s
-cpu går ner till 10% istället för det tänkta värdet på 66%

Tycker detta uppför sig väldigt konstig men ska kolla mer på det. Någon som har haft detta fenomen?

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk

Körde test med aes inladdt vs oladdat och märker stora skillnader på små filer. Är det någon som vet något om det?

Gjorde ett test med "openssl speed -evp aes-256-cbc"

Detta är med aes-ni oladdat

Visa signatur

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Permalänk
Medlem
Skrivet av Joulester:

Det jag skulle vilja forsätta diskutera är

  • jag märkte inga skillnader på om AES-NI är påslaget eller ej. Inte heller om det är inladdat alls under advanced -> misc -> Cryptographic & Thermal Hardware, varför?

  • Min openvpn verision 2.3.14, kommer jag märka några skillnader när 2.4.0 kommer?

  • Varför är det så stora skillnader i uppload vs download?

För OpenVPN är det mycket enklare att avkoda än att koda data strömmen, så för en klient så blir download högre.

Visa signatur

Klient: AMD 7 5800X | ASUS X570-F | 32GB 3200MHz | Corsair RM850 | Gigabyte 3070 | Phanteks P500A | Samsung 980 PRO
HTPC: Intel I7 4770T | 16 GB 1600 | FC8 EVO | Gigabyte GA-H87N-WIFI | Samsung 840 250GB
Server: Intel XEON E5620 x 2| ASUS Z8PE-D18 | 96GB 1333MHz | Corsair AX 1200W | HAF 932 | WD Black 2TB
Nätverk: Telia F@st| Unifi AC Lite/Pro/LR/Nano/Mesh/U6-LR/U6+/U6-Lite | Nighthawk M1 | pfSense | TP-Link TL-WPA8630KIT | Ubiquiti NanoStation M5 | UniFi Switch 8-150W

Permalänk
Avstängd
Skrivet av Joulester:

Körde test med aes inladdt vs oladdat och märker stora skillnader på små filer. Är det någon som vet något om det?

Gjorde ett test med "openssl speed -evp aes-256-cbc"
http://i64.tinypic.com/2q2mzyw.png

Detta är med aes-ni oladdat

http://i68.tinypic.com/35mk03b.png

Skrivet av Prelatur:

För OpenVPN är det mycket enklare att avkoda än att koda data strömmen, så för en klient så blir download högre.

Hej, jag satt och läste mycket på pfSense forum angående detta.
Det Pappi/Paint (och några fler) kom fram till är att
Har du en cpu med AEs-Ni ska du INTE ladda aes-ni i pfSense eller i openvpn.
anledningen till det är att OpenSSL känner själv av AES-Ni och använder den direkt, istället för att ta en omväg via mjukvara/emulering av AES-NI som det blir med att ladda modulen i pfSense.

Laddar du AES-NI-modulen, så kommer OpenSSL att använda aes-emuleringen i modulen du laddat, mot att inte ladda den så används aes-ni i cpu:n.