Fedro Posted November 2 Share Posted November 2 Добрый день! Попала мне в руки пара Sprinter (KN-3711) и пока есть немного времени я решил потестить новую платформу на примере этих чудесных машинок особенно по части работы различных VPN серверов, потому что на боевых системах делать это довольно неудобно, чтобы понять стоит ли экономить на шифровании, какие пределы скоростей. Был приятно удивлен работой аппаратного ускорения ipsec site2site, который почти не уступает в скорость Wireguard, а вот с OpenVPN что-то непонятное. Как бы я не менял конфигурацию, какие бы алгоритмы шифрования/проверки целостности (AES128/256/chacha20-poly1305, SHA1/SHA256) я не использовал в самых разных комбинациях - скорость всегда одна и та же - 50Мбит, что меня несколько удивило. Она такая если на одном устройстве клиент, а на другом сервер и точно такая же если клиента запускать на Win10 (я попробовал 3 шт 2.5.10, 2.6.7 и 2.6.11), я пробовал ставить последнюю версию ОС для разработчиков, ресетить роутер и восстанавливал прошивку спец утилитой. Никакого эффекта. Точно такой же конфиг сервера OpenVPN у меня стоит на KN 2710 работает в разы быстрее (100Мбит точно, больше канал проверить не позволяет), а в моем понимании производительность новой платформы не должна уступать предыдущей, по крайней мере существенно отличаться. Я что то делаю не то или так на этой конкретно модели задумано? Условия теста: роутеры подключены в один гигабитный коммутатор WAN-портами, тестовые машины подключены в lan-порты на роутере. Все интерфейсы ПК 1Гбит. Quote Link to comment Share on other sites More sharing options...
Denis P Posted November 2 Share Posted November 2 (edited) 1 час назад, Fedro сказал: Добрый день! Попала мне в руки пара Sprinter (KN-3711) и пока есть немного времени я решил потестить новую платформу на примере этих чудесных машинок особенно по части работы различных VPN серверов, потому что на боевых системах делать это довольно неудобно, чтобы понять стоит ли экономить на шифровании, какие пределы скоростей. Был приятно удивлен работой аппаратного ускорения ipsec site2site, который почти не уступает в скорость Wireguard, а вот с OpenVPN что-то непонятное. Как бы я не менял конфигурацию, какие бы алгоритмы шифрования/проверки целостности (AES128/256/chacha20-poly1305, SHA1/SHA256) я не использовал в самых разных комбинациях - скорость всегда одна и та же - 50Мбит, что меня несколько удивило. Она такая если на одном устройстве клиент, а на другом сервер и точно такая же если клиента запускать на Win10 (я попробовал 3 шт 2.5.10, 2.6.7 и 2.6.11), я пробовал ставить последнюю версию ОС для разработчиков, ресетить роутер и восстанавливал прошивку спец утилитой. Никакого эффекта. Точно такой же конфиг сервера OpenVPN у меня стоит на KN 2710 работает в разы быстрее (100Мбит точно, больше канал проверить не позволяет), а в моем понимании производительность новой платформы не должна уступать предыдущей, по крайней мере существенно отличаться. Я что то делаю не то или так на этой конкретно модели задумано? Условия теста: роутеры подключены в один гигабитный коммутатор WAN-портами, тестовые машины подключены в lan-порты на роутере. Все интерфейсы ПК 1Гбит. Включите dco и цифры будут намного веселее enable-dco Добавить в конфиг. Edited November 2 by Denis P 2 Quote Link to comment Share on other sites More sharing options...
Fedro Posted November 2 Author Share Posted November 2 Спасибо, во втоник отпишусь по результатам. Quote Link to comment Share on other sites More sharing options...
Fedro Posted November 5 Author Share Posted November 5 (edited) В 02.11.2024 в 20:19, Denis P сказал: Включите dco и цифры будут намного веселее enable-dco Добавить в конфиг. Спасибо. Помогло. Но только при условии отключенного сжатия данных, если оставить включенным ситуация остается неизменной. Я мягко говоря недооценивал степень влияния этого параметра на возможную скорость работы сервиса. Замеры производительности туннеля по данным iperf3 (Мбит/с) в режиме и клиент и сервер запущены на Sprinter (KN-3711) AES256-GCM/SHA256 без DCO 43 AES128-GCM/SHA256 без DCO 43 CHACHA20-POLY1305 без DCO 43 AES256-GCM/SHA256 c DCO без компрессии 237 AES128-GCM/SHA256 c DCO без компрессии 238 CHACHA20-POLY1305 c DCO без компрессии 152 И если клиентскую часть запускать на win10 (2.6.11) а серверную на Keenetic Sprinter (KN-3711) в режиме AES256-GCM/SHA256 c DCO без компрессии то скорость 352Мбит/с. Edited November 5 by Fedro 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 5 Share Posted November 5 Более того, официально сжатие не рекомендуется еще и из-за проблем безопасности, потому разработчики его давно перевели в категорию "нерекомендуемых настроек". 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 6 Share Posted November 6 На следующей версии 4.3 скорость работы openvpn + dco на ARM-процессорах должна быть примерно как у wireguard. На KN-1012 у меня получилось в идеальных условиях по 450+ мегабит на прием получать, на отдачу по 300. 3 2 Quote Link to comment Share on other sites More sharing options...
krass Posted November 6 Share Posted November 6 34 минуты назад, Le ecureuil сказал: На следующей версии 4.3 скорость работы openvpn + dco на ARM-процессорах должна быть примерно как у wireguard. На KN-1012 у меня получилось в идеальных условиях по 450+ мегабит на прием получать, на отдачу по 300. А с какими параметрами openvpn у вас получились такие скорости? CHACHA20-POLY1305 ? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 6 Share Posted November 6 2 часа назад, krass сказал: А с какими параметрами openvpn у вас получились такие скорости? CHACHA20-POLY1305 ? Нет, с AES-GCM. Сейчас таких скоростей нет, я только сегодня добавил многопроцессорную обработку. 5 Quote Link to comment Share on other sites More sharing options...
Fedro Posted Friday at 10:05 AM Author Share Posted Friday at 10:05 AM В 06.11.2024 в 18:18, Le ecureuil сказал: На следующей версии 4.3 скорость работы openvpn + dco на ARM-процессорах должна быть примерно как у wireguard. На KN-1012 у меня получилось в идеальных условиях по 450+ мегабит на прием получать, на отдачу по 300. Придется менять наш офисный KN-1011 на KN-1012, уж больно заманчива перспектива работать с openvpn на скорости канала :)))) Спасибо! Quote Link to comment Share on other sites More sharing options...
krass Posted Monday at 11:33 AM Share Posted Monday at 11:33 AM В 06.11.2024 в 21:33, Le ecureuil сказал: Нет, с AES-GCM. Сейчас таких скоростей нет, я только сегодня добавил многопроцессорную обработку. А когда в планах добавить в стабильную версию прошивки? KeenOS 4.3 или уже 4.4 ? 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted Tuesday at 08:57 AM Share Posted Tuesday at 08:57 AM 21 час назад, krass сказал: А когда в планах добавить в стабильную версию прошивки? KeenOS 4.3 или уже 4.4 ? В 4.3 оно и так уже есть. 2 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.