OpenVPN и DCO

[vitalik6243]

Заметил такую ситуацию что на наших кинетиках стоит пакет OpenVPN 2.6
Но почему то не добавлен пакет DCO который значительно разгружает процессор при использовании DCO + повышает эффективность работы OpenVPN за счет более высокой скорости передачи данных.
Было бы не плохо увидеть такой пакет в будущих прошивках.
Да и вроде как есть что-то типо готового решения: kmod-ovpn-dco(судя по всему было когда то реализовано на OpenWRT, но могу ошибаться.)

[Tyman]

Поддерживаю!!!!

[Denis P]

 

1 час назад, vitalik6243 сказал:

не добавлен пакет DCO

да что вы говорите
OpenVPN0: OpenVPN 2.6.7 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL][MH/PKTINFO] [AEAD] [DCO]

[vitalik6243]

13 часа назад, Denis P сказал:

 

да что вы говорите
OpenVPN0: OpenVPN 2.6.7 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL][MH/PKTINFO] [AEAD] [DCO]

DCO version: N/A то что вы написали выше это указано что версия 2.6.7 поддерживает DCO.
Вот такой ответ должен быть при опросе: DCO version: 0.2.20240712(взято где используется OpenVPN с DCO)

[Denis P]

8 минут назад, vitalik6243 сказал:

DCO version: N/A то что вы написали выше это указано что версия 2.6.7 поддерживает DCO.
Вот такой ответ должен быть при опросе: DCO version: 0.2.20240712(взято где используется OpenVPN с DCO)

ну, значит и в названии модуля опечатка

Edited August 25 by Denis P

[vitalik6243]

2 минуты назад, Denis P сказал:

ну, значица и в названии модуля опечатка

Ну тогда в двойне интересно почему компонент стоит с завода, но при этом не используется в пару с OpenVPN.

[vitalik6243]

1 час назад, Denis P сказал:

ну, значит и в названии модуля опечатка

вообщем почитал информацию я для включения DCO необходим AES-xxx-GCM

условия все выполнил, результата не дано, возможно в telnet его возможно включить в entware
modprobe ovpn_dco
результата не дает, включение должно быть на уровне ядра...

[Le ecureuil]

DCO поддерживается, но до конца не оттестирован, потому не включен по-умолчанию.

Добавьте в конфиг
enable-dco

включите debug на интерфейсе:
interface OpenVPN0 debug
и приложите self-test после того, как соединится.

Посмотрим, работает оно или нет.

[vitalik6243]

В 26.08.2024 в 11:46, Le ecureuil сказал:

DCO поддерживается, но до конца не оттестирован, потому не включен по-умолчанию.

Добавьте в конфиг
enable-dco

включите debug на интерфейсе:
interface OpenVPN0 debug
и приложите self-test после того, как соединится.

Посмотрим, работает оно или нет.

Увы не в CLI не в самом конфиге enable-dco не принимается...
Если в сам конфиг в Interface OpenVPN0 enable-dco пропал.
Попробовал в корень закинуть, аналогично.
В Entware включения DCO тоже не увидел.
Прошивка: 4.2 Beta 2
Протестировано на Ultra 2 и Keenetic Giant KN-2610

[Denis P]

добавил enable-dco в конфиг

ничего не потерялось, конфиг применился, интерфейс с dco поднялся

I [Aug 28 12:55:47] OpenVPN1: net_iface_new: add tun1 type ovpn-dco
I [Aug 28 12:55:47] OpenVPN1: DCO device tun1 opened
интерфейс  tun1  наряду с ovpn_br1 присутстсвует, пакетики бегают.

Прироста в скорости не замечено

Hopper SE fw 4.2b2

Edited August 28 by Denis P

[vitalik6243]

11 минуту назад, Denis P сказал:

добавил enable-dco в конфиг

ничего не потерялось, конфиг применился, интерфейс с dco поднялся

I [Aug 28 12:55:47] OpenVPN1: net_iface_new: add tun1 type ovpn-dco
I [Aug 28 12:55:47] OpenVPN1: DCO device tun1 opened
интерфейс  tun1  наряду с ovpn_br1 присутстсвует, пакетики бегают.

Прироста в скорости не замечено

Hopper SE fw 4.2b2

На какой прошивке тестировал? В конфиг к подключению добавил enable-dco?

[vitalik6243]

А стоп щас скачал файл конфига enable-dco есть, странно почему в CLI через sh run не выдал. странно.

[Denis P]

2 минуты назад, vitalik6243 сказал:

странно почему в CLI через sh run не выдал. странно.

потому что там только настройки интерфейса, а не сам конфиг ovpn

[vitalik6243]

14 минуты назад, Denis P сказал:

потому что там только настройки интерфейса, а не сам конфиг ovpn

Так действительно, я чет не то сделал походу
Да DCO завелся протестирую.
[I] Aug 28 13:33:52 OpenVPN0: DCO device tun1 opened 

[vitalik6243]

Увеличения скорости нет, но заметно снижена загрузка CPU. С 60-70% до 40 упала.
Такое ощущение что скорость на интерфейсе сама подрезана, как будто бы упирается ровно в 25 мбит +-

[vitalik6243]

Завтра протестирую Giant, там проц все таки по бодрее. Отпишусь по результату.

[Le ecureuil]

Тестировать стоит на arm. На mips все упрется или в eip93, или в низкую скорость CPU.

[vitalik6243]

28 минут назад, Le ecureuil сказал:

Тестировать стоит на arm. На mips все упрется или в eip93, или в низкую скорость CPU.

ну вот на mips я отключил DCO, т.к. при потоковых данных начинаются траблы с вечной подгрузкой и все начинает сильно тупить хотя разрывов в self-log не вижу. Завтра буду дома где стоит giant с arm процессором, для полноты картины там и протестирую.

[Denis P]

6 часов назад, Le ecureuil сказал:

Тестировать стоит на arm. На mips все упрется или в eip93, или в низкую скорость CPU.

Решил проверить на другом "сервере"

Важный момент - используется TCP

iperf3 -c <host> -P 8 -t 300 -R

Скрытый текст

iperf3 -c <host> -P 8 -t 300
 

Скрытый текст

без DCO
iperf3 -c <host> -P 8 -t 300 -R

Скрытый текст

iperf3 -c <host> -P 8 -t 300

Скрытый текст

 

значит всё таки работает

 

Edited August 28 by Denis P

[drugold]

3 часа назад, vitalik6243 сказал:

где стоит giant с arm процессором

У KN-2610 CPU=MT7621AT (mipsel).

Edited August 28 by drugold

[Le ecureuil]

2 часа назад, Denis P сказал:

Решил проверить на другом "сервере"

Важный момент - используется TCP

iperf3 -c 10.8.0.1 -P 8 -t 300 -R

  Скрыть содержимое

iperf3 -c <host> -P 8 -t 300
 

  Скрыть содержимое

без DCO
iperf3 -c 10.8.0.1 -P 8 -t 300 -R
 

  Скрыть содержимое

iperf3 -c 10.8.0.1 -P 8 -t 300

  Скрыть содержимое

 

значит всё таки работает

 

Работает однозначно, другой вопрос - насколько профит есть на 7628 и 7621.

[Denis P]

на 7621 (1010)

без DCO

Скрытый текст

C DCO

Скрытый текст

 

процу вроде как полегче немного, но скорости +- те же

UPD

не уверен что оно вообще сработало, никаких упоминаний о DCO в логах нет

self-test в следующем сообщении

Edited August 28 by Denis P

[vitalik6243]

3 часа назад, drugold сказал:

У KN-2610 CPU=MT7621AT (mipsel).

Да вот походу заметил, чет думал что он на arm... ошибся тогда чутка.
Тогда на arm щас нет устройства dco проверить. Но проверил на mips.
С DCO на mips разницы в скорости увы нет никакой, есть проблемы с подключением по UDP, но пока описать не могу в self-test чисто WinMTR потерь пакетов тоже не дает. Но к примеру если взять тест скорости или просто сайты все ок. Включаем YouTube будто бы связь с сервером каждые 5-7 секунд теряется. Оставил пока затею решил проверить TCP
По TCP проблем нет загрузка проца упала, скорость в пределах 20 мбит/сек.
В целом даже того что упала загрузка CPU это уже не плохо.
По UDP пока что я не разобрался куда копать и в чем может быть беда.

[Le ecureuil]

14 часа назад, vitalik6243 сказал:

Да вот походу заметил, чет думал что он на arm... ошибся тогда чутка.
Тогда на arm щас нет устройства dco проверить. Но проверил на mips.
С DCO на mips разницы в скорости увы нет никакой, есть проблемы с подключением по UDP, но пока описать не могу в self-test чисто WinMTR потерь пакетов тоже не дает. Но к примеру если взять тест скорости или просто сайты все ок. Включаем YouTube будто бы связь с сервером каждые 5-7 секунд теряется. Оставил пока затею решил проверить TCP
По TCP проблем нет загрузка проца упала, скорость в пределах 20 мбит/сек.
В целом даже того что упала загрузка CPU это уже не плохо.
По UDP пока что я не разобрался куда копать и в чем может быть беда.

По UDP, вероятно, есть вопрос с фрагментацией. Попробуйте MTU поставить пониже на OpenVPN, скажем 1300.

[vitalik6243]

45 минут назад, Le ecureuil сказал:

По UDP, вероятно, есть вопрос с фрагментацией. Попробуйте MTU поставить пониже на OpenVPN, скажем 1300.

На mips еще одну проблему заметил, зависание роутера при включенном dco.
Начал вчера тестировать работу WireGuard в схожей конфигурации.
И нужно было тушить OVPN включать аналогично и WG роутер зависал на мертво ребут только через CLI помогал. И как назло я не сохранил конфиг после включение debug на интерфейс чтобы посмотреть, и в логах и SelfLog логично что ничего нет...
Но тестировал я все это добро на старой доброй Ultra 2.
Сегодня протестирую на Giant тоже на mips может не совместимость какая либо с моим роутером...
Правда жаль что наши Keenetic при Wireguard подключении не дают авто-маршрутизацию при Allowed IPs отличающемся от стандартного 0.0.0.0/0, маршруты ручками нужно делать)

Edited August 29 by vitalik6243

[hondaspb]

В 29.08.2024 в 12:20, Le ecureuil сказал:

По UDP, вероятно, есть вопрос с фрагментацией. Попробуйте MTU поставить пониже на OpenVPN, скажем 1300.

Добрый день. Еще вот такое в логе непрерывно валится после включения dco и включенной опции keepalive на удаленном сервере.

 

Сен 15 23:07:54 

kernel 

tun0: ovpn_peer_ping: sending ping to peer 1 

Сен 15 23:07:54 

kernel 

tun0: ovpn_decrypt_one: ping received from peer with id 1 

Сен 15 23:07:56 

kernel 

tun0: ovpn_peer_ping: sending ping to peer 1 

 

 

[Le ecureuil]

10 часов назад, hondaspb сказал:

Добрый день. Еще вот такое в логе непрерывно валится после включения dco и включенной опции keepalive на удаленном сервере.

 

Сен 15 23:07:54 

kernel 

tun0: ovpn_peer_ping: sending ping to peer 1 

Сен 15 23:07:54 

kernel 

tun0: ovpn_decrypt_one: ping received from peer with id 1 

Сен 15 23:07:56 

kernel 

tun0: ovpn_peer_ping: sending ping to peer 1 

 

 

На это пока не обращайте внимания, со временем уберем.