Jump to content

OpenVPN аппаратное ускорение


Recommended Posts

Добрый день.

Имею связку Keenetic 4G III и Extra II.

Между ними TCP OpenVPN. Скоростей выше 3 Мбит\с добиться не удается.

Пробовал играться с механизмами шифрования. AES-128-CBC/AES-256-CBC - без разницы.

Хотелось бы выжать между ними хотя бы 20 Мбит\с. Это реально? Какое шифрование имеет аппаратную поддержку для OpenVPN? 

 

Вариант 2.

А если заменить 4G III на что-то более мощное - проблему можно решить? Или надо оба роутера для быстрого OpenVPN менять на свежие Ультры?

 

Спасибо.

Link to comment
Share on other sites

Никакой алгоритм аппаратно не ускоряется. 

Для ускорения понадобится замена обоих роутеров. 

Более эффективных алгоритмов (chacha20) в openvpn пока не завезли, жемс. 

Link to comment
Share on other sites

12 часа назад, tarakanium сказал:

TCP OpenVPN. Скоростей выше 3 Мбит\с добиться не удается.

Зачем TCP? Зачем, в конце концов, OpenVPN? Может у вас там еще dev tap? Подумайте о IPsec

Keenetic 4G III - ревизия A или B?

Link to comment
Share on other sites

31 минуту назад, KorDen сказал:

Может у вас там еще dev tap?

У tap и tun производительность одинаковая. Да и соединить роутеры по tap вроде как нельзя, по крайней мере у меня не завелось.

Link to comment
Share on other sites

36 минут назад, KorDen сказал:

Зачем TCP? Зачем, в конце концов, OpenVPN? Может у вас там еще dev tap? Подумайте о IPsec

 

Зачем TCP - так стабильнее на текущем соединении. UPD VPN между роутерами регулярно разваливается, TCP работает отлично.

Зачем OpenVPN. Потому что он работает. Существует лишь один работающий механизм VPN в Кинтетике, которым можно объединить две сети. IPSec Site-to-Site регулярно просто подвисает, когда на обоих сторонах тунеля сменились динамические адреса. А OpenVPN это отрабатывает на отлично.

Link to comment
Share on other sites

7 минут назад, tarakanium сказал:

IPSec Site-to-Site регулярно просто подвисает, когда на обоих сторонах тунеля сменились динамические адреса.

Вы имеете ввиду короткую паузу при переподключении? Неужели это так критично?

Link to comment
Share on other sites

1 минуту назад, Кинетиковод сказал:

Вы имеете ввиду короткую паузу при переподключении? Неужели это так критично?

Нет. Тунель просто приходит в негодность. Он отмечен как живой, но трафик по нему не ходит. И так до перезапуска.

 

Ок, полная формулировка задачи. 

Имеется два роутера 4G III Rev B. За ним подсеть. В нем мобильный интернет с серым адресом. Инет стабильно выдает 30-40 МБит\с.

Второй роутер Extra II. За ним подсеть. В нем проводной инет 100 Мбит\с с белым динамическим адресом. 

Необходимо объединить эти две подсети и сделать их доступными друг другу напрямую. Т.е. без всякого NAT и перенаправления портов.

 

Что я нашел для этого.

1. IPSec Site-to-Site. 

Работает отлично, но примерно раз в 3-10 дней зависает намертво. Роутер видет ее как живую сеть, но пакеты в нее не идут. Лечится выключением и включение на любом конце сети (на любом роутере). Не помогает ничего, ни обнаружение неработающего пира, не проверки. Сеть тупо разваливается. Предлополжительно, это происходит когда на мобильном инете меняется адрес. Или когда меняется на обоих сторонах тунеля.

2. Объединение сетей через OpenVPN.

Отлично работает, но крайне медленно. TCP работает устойчиво, UDP работает менее устойчиво.

Но вот со скоростью беда. Она не подымается выше 3 Мбит\с.

Link to comment
Share on other sites

3 минуты назад, Кинетиковод сказал:

А l2tp не пробовали? 

Нет, не пробовал. 

А разве там есть режим, чтобы соединить две сети? Там вроде только клиент\сервер. И получится, что сеть за 4G III будет смотреть во вторую сеть только одиним адресом, и надо будет крутить POrt Forwading. А это неприемлимо. Надо, чтобы две сети могли общаться напрямую.

Link to comment
Share on other sites

4 минуты назад, tarakanium сказал:

Нет, не пробовал. 

А разве там есть режим, чтобы соединить две сети? Там вроде только клиент\сервер. И получится, что сеть за 4G III будет смотреть во вторую сеть только одиним адресом, и надо будет крутить POrt Forwading. А это неприемлимо. Надо, чтобы две сети могли общаться напрямую.

Есть.

И еще в SSTP такая штука есть.

Принцип точно такой же, как и с PPTP:

https://help.keenetic.com/hc/ru/articles/213967789-Объединение-двух-локальных-сетей-при-помощи-интернет-центров-Keenetic-используя-Сервер-PPTP-для-версий-NDMS-2-11-и-более-ранних-

Link to comment
Share on other sites

3 минуты назад, tarakanium сказал:

И получится, что сеть за 4G III будет смотреть во вторую сеть только одиним адресом, и надо будет крутить POrt Forwading. А это неприемлимо. Надо, чтобы две сети могли общаться напрямую.

Не знаю чем вы там занимаетесь, но openvpn тоже адресный. 

В межсетевом экране разрешаете все порты и никаких пробросов. Вам l2tp  скорее всего подойдёт.

Link to comment
Share on other sites

Ок. Сделал я L2TP\IPSec.

С клиента (4G III) настроил маршрутизацию. Теперь мне доступна сеть за Extra II.

Но вот обратно, чтобы клиенты за Extra II видели сеть за 4G III не могу. Нет параметров маршрутизации в L2TP\IPSec. Этот интерфейс просто не появляется при прописывании правил маршрутизации. Как быть?

Link to comment
Share on other sites

14 минуты назад, tarakanium сказал:

Ок. Сделал я L2TP\IPSec.

С клиента (4G III) настроил маршрутизацию. Теперь мне доступна сеть за Extra II.

Но вот обратно, чтобы клиенты за Extra II видели сеть за 4G III не могу. Нет параметров маршрутизации в L2TP\IPSec. Этот интерфейс просто не появляется при прописывании правил маршрутизации. Как быть?

С клиента в сеть сервера ничего настраивать не надо, всё автоматом. От севера к клиенту пишите маршрут и открывайте протоколы на клиенте в межсетевом экране. После прописывания маршрута на сервере сделайте ему выкл/вкл.

Link to comment
Share on other sites

2 минуты назад, Кинетиковод сказал:

После прописывания маршрута на сервере сделайте ему выкл/вкл.

Спасибо, помогло. 

Буду тестировать такую конфигурацию сети. Буду надеятся, что она будет быстрее OpenVPN и будет стабильной.

Link to comment
Share on other sites

Только что, tarakanium сказал:

Спасибо, помогло. 

Буду тестировать такую конфигурацию сети. Буду надеятся, что она будет быстрее OpenVPN и будет стабильной.

Будет быстрее в разы, а за стабильностью понаблюдайте.

Link to comment
Share on other sites

Снова я с вопросом, уж извините.

Не получается все равно объединить сети через L2TP.

Значит такая конфигурация.

Сеть за сервером. 192.168.0.0/255.255.255.0

Сеть за клиентом. 192.168.1.0/255.255.255.0

Сеть для L2TP VPN 192.168.2.0/255.255.255.0

 

Клиент подключается к серверу, видит сеть за ним. Имеет доступ в 192.168.0.0/255.255.255.0.

На клиенте прописаны правила, который разрешают любой трафик TCP/UPD через L2TP VPN.

С на сервере прописан маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН). Стоит автоматическое назначение роута, иначе не сохранить.

Но с сервера виден только 192.168.2.2 (клиент в ВПН), но сеть за ним недоступна.

 

При этом пинги с сервера

Цитата
sending ICMP ECHO request to 192.168.1.1...
PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).

Почему он это выкидывает на провайдера? А не в тунель Л2ТП на 192.168.2.2?

 

В чем моя ошибка? Как открыть сеть клиента для сервера?

Edited by tarakanium
Link to comment
Share on other sites

22 минуты назад, tarakanium сказал:

Снова я с вопросом, уж извините.

Не получается все равно объединить сети через L2TP.

Значит такая конфигурация.

Сеть за сервером. 192.168.0.0/255.255.255.0

Сеть за клиентом. 192.168.1.0/255.255.255.0

Сеть для L2TP VPN 192.168.2.0/255.255.255.0

 

Клиент подключается к серверу, видит сеть за ним. Имеет доступ в 192.168.0.0/255.255.255.0.

На клиенте прописаны правила, который разрешают любой трафик TCP/UPD через L2TP VPN.

С на сервере прописан маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН). Стоит автоматическое назначение роута, иначе не сохранить.

Но с сервера виден только 192.168.2.2 (клиент в ВПН), но сеть за ним недоступна.

 

При этом пинги с сервера

Почему он это выкидывает на провайдера? А не в тунель Л2ТП на 192.168.2.2?

 

В чем моя ошибка? Как открыть сеть клиента для сервера?

маршрут на сервере настраивали до подключения клиента? В действующих маршрутах он есть?

Edited by r13
Link to comment
Share on other sites

8 минут назад, r13 сказал:

В действующих маршрутах он есть?

Нет. Видимо он не понимает, что подключился клиент 192.168.2.2.

 

Смог настроить только переделав сеть.

192.168.0.1 - 192.168.0.100 отдал под сеть сервера.

192.168.0.100-192.168.0.110 отдал под L2TP VPN

192.168.1.1 - под сеть клиента.

 

С маршрутом 192.168.1.0/255.255.255.0 через 192.168.0.102 (клиент в L2TP VPN) все стало работать. 

Видиом глюк какой-то с маршрутами или с валидацией правил в веб-интерфейсе.

Edited by tarakanium
Link to comment
Share on other sites

8 минут назад, tarakanium сказал:

Нет. Видимо он не понимает, что подключился клиент 192.168.2.2.

 

Смог настроить только переделав сеть.

192.168.0.1 - 192.168.0.100 отдал под сеть сервера.

192.168.0.100-192.168.0.110 отдал под L2TP VPN

192.168.1.1 - под сеть клиента.

 

С маршрутом 192.168.1.0/255.255.255.0 через 192.168.0.102 (клиент в L2TP VPN) все стало работать. 

Видиом глюк какой-то с маршрутами или с валидацией правил в веб-интерфейсе.

можно и так, хотя и первый вариант рабочий. 

Link to comment
Share on other sites

Транзитная сеть не должна пересекаться с объединяемыми сетями. Иначе может быть что угодно. Если посмотрите внимательно, то даже в БЗ настраивается именно так.

Link to comment
Share on other sites

4 часа назад, Le ecureuil сказал:

Транзитная сеть не должна пересекаться с объединяемыми сетями. Иначе может быть что угодно. Если посмотрите внимательно, то даже в БЗ настраивается именно так.

Там настроено, только у меня маршрут на сервере не работает. Или я не понимаю как его настроить.

Ставлю маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН в транзитной сети). Стоит автоматическое назначение роута, иначе не сохранить. Стоит тип соединения - любая сеть (ибо для L2TP сети там нет). Дожидаюсь подключения клиента, пингую, пинги улетают на провайдера.

sending ICMP ECHO request to 192.168.1.1...
PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).

Почему так - я не понимаю.

 

Для VPN сети там был в меню роутов интерфейс. Для L2TP на сервере - нету. Видимо из-за того, что оно создается через Приложения.

 

Снимок экрана_2018-12-07_04-40-20.png

Это окно можно сохранить в таком виде только, если нажать ДОБАВЛЯТЬ АВТОМАТИЧЕСКИ. Но этот маршрут НИКОГДА не ставновится активным. Такое впечатление, что сервер не понимает, что клиент 192.168.2.2 подключился. Хотя он исправно пингуется.

 

Но стоит только маршрут прописать через смешанную сеть для транзита - маршрут примениться.

192.168.0.102 туда отлично вписывается. Ибо видимо попадает под валидацию как хост из домашней сети.

 

 

Такие вот дела. Толи я что-то не понимаю, толи бага какая-то.

 

 

 

Edited by tarakanium
Link to comment
Share on other sites

6 часов назад, tarakanium сказал:

Там настроено, только у меня маршрут на сервере не работает. Или я не понимаю как его настроить.

Ставлю маршрут 192.168.1.0/255.255.255.0 через шлюз 192.168.2.2 (это адрес клиента в ВПН в транзитной сети). Стоит автоматическое назначение роута, иначе не сохранить. Стоит тип соединения - любая сеть (ибо для L2TP сети там нет). Дожидаюсь подключения клиента, пингую, пинги улетают на провайдера.


sending ICMP ECHO request to 192.168.1.1...
PING 192.168.1.1 (192.168.1.1) 56 (84) bytes of data.
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).
"Destination unreachable" ICMP packet received from 217.23.74.хх (type = 3, code = 1).

Почему так - я не понимаю.

 

Для VPN сети там был в меню роутов интерфейс. Для L2TP на сервере - нету. Видимо из-за того, что оно создается через Приложения.

 

Снимок экрана_2018-12-07_04-40-20.png

Это окно можно сохранить в таком виде только, если нажать ДОБАВЛЯТЬ АВТОМАТИЧЕСКИ. Но этот маршрут НИКОГДА не ставновится активным. Такое впечатление, что сервер не понимает, что клиент 192.168.2.2 подключился. Хотя он исправно пингуется.

 

Но стоит только маршрут прописать через смешанную сеть для транзита - маршрут примениться.

192.168.0.102 туда отлично вписывается. Ибо видимо попадает под валидацию как хост из домашней сети.

 

 

Такие вот дела. Толи я что-то не понимаю, толи бага какая-то.

 

 

 

А скиньте пожалуйста self-test, когда все настроено и подключено, но не работает. Проверим.

Ну и да, после добавления маршрута клиента нужно "передернуть", иначе маршрут на него не заработает.

Link to comment
Share on other sites

6 часов назад, Le ecureuil сказал:

А скиньте пожалуйста self-test, когда все настроено и подключено, но не работает. Проверим.

 

Вроде бы помог полный ребут обоих роутеров. Буду тестировать и наблюдать.

Спасибо.

 

L2TP действительно работает очень хорошо (по скорости). В районе 10 Мбит\с уверенно держится, иногда чуть больше. Этого мне вполне достаточно.

Link to comment
Share on other sites

  • 2 months later...

Добрый день!

Такая же проблема, но с более свежим роутером: KEENETIC GIGA KN-1010

Низкая скорость через OpenVPN Server: примерно 3 МБ/с при передаче файлов в обе стороны по SMB

При этом нагрузка процессора на уровне 30%  и память 15% (сетевой ускоритель не помогает)

Хотелось бы выяснить что мешает OpenVPN работать быстрее если не пямять и не процессор?

PS: L2TP\IPSec дает скорость 10 МБ/с (больше проверить не дает 100 мб канал) но он переодически отваливается при передаче файлов

Edited by Yury Zhidkov
Link to comment
Share on other sites

18 минут назад, Yury Zhidkov сказал:

Добрый день!

Такая же проблема, но с более свежим роутером: KEENETIC GIGA KN-1010

Низкая скорость через OpenVPN Server: примерно 3 МБ/с при передаче файлов в обе стороны по SMB

При этом нагрузка процессора на уровне 30%  и память 15% (сетевой ускоритель не помогает)

Хотелось бы выяснить что мешает OpenVPN работать быстрее если не пямять и не процессор?

PS: L2TP\IPSec дает скорость 10 МБ/с (больше проверить не дает 100 мб канал) но он переодически отваливается при передаче файлов

Предел это для него, openvpn однопоточный процесс занял все ядро(25% CPU) - считайте проц полностью занят,

ждем chacha20/poly когда в openvpn прикрутят. С этим кодированием должно быть быстрее

 

Link to comment
Share on other sites

Обидно..

А на что тогда влияет "сетевой ускоритель", если в данном случае от него никакого толка?

Без VPN с производительностью и так никаких проблем нет, я был уверен что это для ускорения медленного VPN было сделано..

Link to comment
Share on other sites

1 час назад, Yury Zhidkov сказал:

Обидно..

А на что тогда влияет "сетевой ускоритель", если в данном случае от него никакого толка?

Без VPN с производительностью и так никаких проблем нет, я был уверен что это для ускорения медленного VPN было сделано.. 

Сетевой ускоритель, это ускоритель натилки, то есть ускорение самого соединения с интернет.

Из VPN только IPSec имеет аппаратное ускорение в процессоре, отсюда и такие хорошие результаты в L2TP\IPSec

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...