pfsense openvpn prestanda

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

pfsense openvpn prestanda

Hej! uppgraderade precis mitt internet till 1/1 Gbit/s och försöker testa min vpn tjänst. Får fortfarande uta samma som innan och börjar då misstänka min brandvägg/router.

Jag kör denna i en vm med spec se bild.

Just nu ligger jag på 50% av cpu annvändning så misstänkter att ovpn använder 1 thread

Min fråga är då är openvpn fortfarande singlethread? Hur sätter jag upp mina virtual sockets och cores per socket effektivast för pfsense?

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Registrerad
Feb 2016
Skrivet av Joulester:

Min fråga är då är openvpn fortfarande singlethread? Hur sätter jag upp mina virtual sockets och cores per socket effektivast för pfsense?

Ja, i pfsense upp till 2.3.3 körs openvpn entrådigt. På "baremetal" går det att lösa genom att köra fler VPN-anslutningar och knyta ihop dem under en gateway. Du kan ju testa detta med din virtuella installation också.

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005

Vill du ha prestanda lär du använda andra protokoll. PPTP duger gott för att isolera sig när man besöker Donken. Man skyller singeltrådande på openssl och event-hanteringen - sedan 2010.

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016
Skrivet av Plattelöparn:

Ja, i pfsense upp till 2.3.3 körs openvpn entrådigt. På "baremetal" går det att lösa genom att köra fler VPN-anslutningar och knyta ihop dem under en gateway. Du kan ju testa detta med din virtuella installation också.

Kynter jag ihop dessa med en interface group?

Skrivet av hasenfrasen:

Vill du ha prestanda lär du använda andra protokoll. PPTP duger gott för att isolera sig när man besöker Donken. Man skyller singeltrådande på openssl och event-hanteringen - sedan 2010.

Köper ovpn i dags läget och känner inte att jag vill köra min trafik över PPTP. Måste finnas något sätt att köra en openvpn server som klarar mer än 1gbit? Hur gör annars alla stora vpn tjänster så som ovpn.se?

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Registrerad
Feb 2016
Skrivet av Joulester:

Kynter jag ihop dessa med en interface group?

Ja, precis. Sen får du justera brandväggsregler och utgående NAT efter det.

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Jul 2001

Vad har du för CPU? Aes-ni instruktionerna på en nyare Intel CPU borde ju kunna avlasta en del kan jag tycka?

Intel Core i7 8770k @ 4.8GHz | Asus Prime Z370-A | 16GB G.Skill DDR4 3200MHz | EVGA GeForce GTX 980ti SC+ | Supermicro Xeon-D 1528 | Asus MG279Q, Dell U2515H

Trädvy Permalänk
Medlem
Plats
Västervik
Registrerad
Jun 2005

Skummade genom din gamla tråd lite men skulle i alla fall vara trevligt om du skrev hur allt är kopplat, vilka inställningar du kör med, vad openvpn server loggen säger när du kopplar upp dig mot den, vilken hastighet du faktiskt får ut och ping mellan server/klient.

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016
Skrivet av Plattelöparn:

Ja, precis. Sen får du justera brandväggsregler och utgående NAT efter det.

Ska testa och se vad som händer med denna lösning

Skrivet av Calle:

Vad har du för CPU? Aes-ni instruktionerna på en nyare Intel CPU borde ju kunna avlasta en del kan jag tycka?

Jag har en Dell R710 med 2st Intel Xeon E5620 @ 2.40GHz

Skrivet av Zarper:

Skummade genom din gamla tråd lite men skulle i alla fall vara trevligt om du skrev hur allt är kopplat, vilka inställningar du kör med, vad openvpn server loggen säger när du kopplar upp dig mot den, vilken hastighet du faktiskt får ut och ping mellan server/klient.

Ska se om jag kan få fram någon mer information. När du säger kopplat så antar jag hur mitt nätverk ser ut?

Edit: jag får ut 182/152 mbit/s med Ping 10

Nätverket ligger allt under Esxi på min R710 med pfsense som router/brandvägg. Vpn klienten ligger i pfsense med en brandväggsregel för min server att gå med all traffik över tunneln.
För mer info se mitt inlägg i "visa oss din serve" Länk

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Västervik
Registrerad
Jun 2005

@Joulester: Ja, menade hur nätverket ser ut.
Förstår inte riktigt din beskrivning. Menar du att din server är kopplad till routern/openvpn-klienten via vanligt ethernet och sen går all trafik därifrån över en tunnel? Men vart går den tunneln sen? Måste finnas en openvpn-server med i bilden.

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016
Skrivet av Zarper:

@Joulester: Ja, menade hur nätverket ser ut.
Förstår inte riktigt din beskrivning. Menar du att din server är kopplad till routern/openvpn-klienten via vanligt ethernet och sen går all trafik därifrån över en tunnel? Men vart går den tunneln sen? Måste finnas en openvpn-server med i bilden.

Precis min windows server 2012 VM är ansluten till min pfsense VM som ligger på samma host via esxi virtuella switch. Min pfsense VM agerar vpnclient samt router som är ansluten till min vpn tjänst ovpn.se

Pfsense VM: router, brandvägg och vpnklient

Skickades från m.sweclockers.com

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@Calle: Får ut ungefär det dubbla genom att använda mig av AES-NI.

Slås på under system -> advanced -> misc -> Cryptographic & Thermal Hardware.

samt slå på hardware crypto för vpnklienten under VPN -> OpenVPN -> Clients -> Edit

Bra tips tack!

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Jul 2001
Skrivet av Joulester:

@Calle: Får ut ungefär det dubbla genom att använda mig av AES-NI.

Slås på under system -> advanced -> misc -> Cryptographic & Thermal Hardware.

samt slå på hardware crypto för vpnklienten under VPN -> OpenVPN -> Clients -> Edit

Bra tips tack!

Kul att det gav resultat!
Jag har dock inte koll på hur mycket AES-NI motorn orkar med, får kanske googla lite på det.

Intel Core i7 8770k @ 4.8GHz | Asus Prime Z370-A | 16GB G.Skill DDR4 3200MHz | EVGA GeForce GTX 980ti SC+ | Supermicro Xeon-D 1528 | Asus MG279Q, Dell U2515H

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@Plattelöparn: Körde på denna metod med 2 anslutningar och kommer upp i hastighet 545/519 Mbit/s ska testa med en 3 när jag får tid.
Lösning:

  • Lägg till 2 vpnklienter och gör dessa till interfaces

  • gå till system -> Routing -> Gateway Groups

  • Gör en grupp med dina 2 vpnanslutningar sätt båda som Tier 1 och triggerlevel på "packet loss or high latence"

justera brandväggen mot den ny interfacen som är din grupp.

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
169.254.0.0/16
Registrerad
Feb 2006
Skrivet av Joulester:

@Plattelöparn: Körde på denna metod med 2 anslutningar och kommer upp i hastighet 545/519 Mbit/s ska testa med en 3 när jag får tid.
Lösning:

  • Lägg till 2 vpnklienter och gör dessa till interfaces

  • gå till system -> Routing -> Gateway Groups

  • Gör en grupp med dina 2 vpnanslutningar sätt båda som Tier 1 och triggerlevel på "packet loss or high latence"

justera brandväggen mot den ny interfacen som är din grupp.

Hur testar du hastigheten?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

@SebbesApa: Testar vad jag får ut ifrån min vm som är den ända anslutana maskinen på den tunneln. Ligger internt på samma host som min brandvägg. Kör med http://speedtest.net/

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

Är det någon som tror att jag skulle kunna få ut högre hastigheter med en Intel Xeon E3-1220 istället för min Intel Xeon E5620?

-Vill märka på skillnaden i single thread rating, hjälper detta mig då openvpn är single trådat.

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Registrerad
Apr 2003

Jag maxar min 250/10 anslutning, virtualiserad pfsense med 2 stycken cores och 2 gb ram dedikerat till pfsense, har en 2013 Intel Xeon E3-1220 processor.

System: 6700K @ 4.6 GHz, 1080 TI

Trädvy Permalänk
Medlem
Plats
Skarpnäck
Registrerad
Mar 2011

Kör du ingen vlan switch i din lösning? min virtuella pfSense maskin har bara ett nätverkskort som är vlan separerat. Jag maxar min 250/100 lina på VPN utan problem Jag har iofs en Xeon-D1541

Gaming:[Asus Zenith Extreme]-[AMD TR 1950X@4Ghz]-[Corsair Dominator 3066mhz 32GB]-[GTX 1080 Ti SLI]-[Samsung 960PRO 1TB]-[CL SMA8]:.
Server(ESXi):[Supermicro X10SDV-8C-TLN4F]-[Intel Xeon D1541]-[32GB ECC]-[32GB SataDom + 1TB Samsung 960EVO]:.
Server(unRAID):[Supermicro X10SL7-F]-[Intel Xeon 1240L V3]-[32GB ECC]-[40TB WD Re + 500GB Curcial MX100]:.

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

Mitt jagade av en så snabb openvpn uppkoppling som möjligt fortsätter!

Sen senast så har jag införskaffat en Dell R210II server med en E3-1270
Har sett att pfsense har släppt en uppdatering(experimental) på openvpn till 2.4 och många verkar ha problem med att få ut hastigheter, samtidigt verkar det inte spela någon roll om man laddar in instuktioner för AES-NI eller inte.
Är det någon som har hört något mer om detta?

Till mitt resultat:
Jag kör som förut med pfsense på en vm med den stora skillnaden att jag gått från esxi till proxmox och jag är väldigt nöjd

  • Denna Vm ligger själv på min R210II server och nyttjar all prestanda.

  • Som förut så har jag laddat in AES-Ni under system -> advanced -> misc -> Cryptographic & Thermal Hardware.

  • Samt så har jag lagt in Hardware Crypto även under VPN -> OpenVPN -> Clients, verkar vara diskutioner om denna ska igång eller ej källa

Någon som vet något annat?

Mitt resultat slutade då med att jag fick ut 646/317 med en client och utan getwaygroup

Det jag skulle vilja forsätta diskutera är

  • jag märkte inga skillnader på om AES-NI är påslaget eller ej. Inte heller om det är inladdat alls under advanced -> misc -> Cryptographic & Thermal Hardware, varför?

  • Min openvpn verision 2.3.14, kommer jag märka några skillnader när 2.4.0 kommer?

  • Varför är det så stora skillnader i uppload vs download?

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Registrerad
Apr 2017

Följer tråden med spänning; hojta till om du uppnår 1Gbit /s

Trädvy Permalänk
Medlem
Plats
Sthlm
Registrerad
Maj 2008

Har du provat köra flera instanser emot OVPN och sett så det inte är serversidan som är boven?

Edit. Dvs. med den senaste testet...

En server här, några servrar där.

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016
Skrivet av moron:

Har du provat köra flera instanser emot OVPN och sett så det inte är serversidan som är boven?

Edit. Dvs. med den senaste testet...

Har testat att köra flera instanser för att se om jag får ut mer.
2st:
-Märker en ökningen med 30mbit/s
-Cpu går dubblelt så hår. Tyder på att 2 trådar används.

3st:
Här blir det märkligt jag tappar i stort sätt allt och får ut ca 100mbit/s
-cpu går ner till 10% istället för det tänkta värdet på 66%

Tycker detta uppför sig väldigt konstig men ska kolla mer på det. Någon som har haft detta fenomen?

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Nyköping
Registrerad
Mar 2016

Körde test med aes inladdt vs oladdat och märker stora skillnader på små filer. Är det någon som vet något om det?

Gjorde ett test med "openssl speed -evp aes-256-cbc"

Detta är med aes-ni oladdat

Fractal Design Define R5 Svart, Intel Core i7 7700K 4.2 GHz 8MB, Noctua NH-D15, Corsair 32GB (2x16GB) DDR4 2666Mhz CL15, MSI GeForce GTX 1080 Ti 11GB Gaming X, MSI Z270 GAMING M5, Samsung 960 EVO 500GB, EVGA Supernova G2 850W

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Mar 2011
Skrivet av Joulester:

Det jag skulle vilja forsätta diskutera är

  • jag märkte inga skillnader på om AES-NI är påslaget eller ej. Inte heller om det är inladdat alls under advanced -> misc -> Cryptographic & Thermal Hardware, varför?

  • Min openvpn verision 2.3.14, kommer jag märka några skillnader när 2.4.0 kommer?

  • Varför är det så stora skillnader i uppload vs download?

För OpenVPN är det mycket enklare att avkoda än att koda data strömmen, så för en klient så blir download högre.

Klient: Intel I7 3820 | ASUS P9X79 Pro | 64GB 1600MHz | Corsair HX 850W | Gigabyte 1080TI | HAF 922 | Crucial 525G | Seagate XT 4TB
Server: Intel XEON E5620 x 2| ASUS Z8PE-D18 | 96GB 1333MHz | Corsair AX 1200W | HAF 932 | WD Black 2TB
HTPC: Intel I7 4770T | 16 GB 1600 | FC8 EVO | Gigabyte GA-H87N-WIFI | Samsung 840 250GB

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2002
Skrivet av Joulester:

Körde test med aes inladdt vs oladdat och märker stora skillnader på små filer. Är det någon som vet något om det?

Gjorde ett test med "openssl speed -evp aes-256-cbc"
http://i64.tinypic.com/2q2mzyw.png

Detta är med aes-ni oladdat

http://i68.tinypic.com/35mk03b.png

Skrivet av Prelatur:

För OpenVPN är det mycket enklare att avkoda än att koda data strömmen, så för en klient så blir download högre.

Hej, jag satt och läste mycket på pfSense forum angående detta.
Det Pappi/Paint (och några fler) kom fram till är att
Har du en cpu med AEs-Ni ska du INTE ladda aes-ni i pfSense eller i openvpn.
anledningen till det är att OpenSSL känner själv av AES-Ni och använder den direkt, istället för att ta en omväg via mjukvara/emulering av AES-NI som det blir med att ladda modulen i pfSense.

Laddar du AES-NI-modulen, så kommer OpenSSL att använda aes-emuleringen i modulen du laddat, mot att inte ladda den så används aes-ni i cpu:n.