Поменяй cipher в конфиге на то, что тебе нужно.

ЕМНИП blowfish меньше всего нагружает.

Если трафик шифровать не надо - отключи вообще шифрование:

cipher none

Сертификаты клиентам перевыпускать не надо. А вот убедиться что и у клиентов, и у сервера cipher указан одинаково - придется.

неее совсем отключать не хочу. последую совету Афанасия , blowfish

кофиг сервера значится буде таким

client-config-dir /etc/openvpn/client
keepalive 10 120
cipher BF-CBC  
push "route 10.8.0.0 255.255.255.0"
user nobody 
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem 

а кофиг клиента таким

client
dev tun
proto udp
sndbuf 0
rcvbuf 0
remote 0.0.0.0 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher BF-CBC
#setenv opt block-outside-dns
key-direction 1
verb 3

Есть ещё такая штука как

ncp-ciphers

ncp-disable

спасибо!!! какраз в конфиге сейчас

всем спасибо , все работает

надеюсь этот протокл не совсем уж дырявый (( по крайней мере предупреждение от openvpn в логах получил -

WARNING: INSECURE cipher with block size less than 128 bit (64 bit). This allows attacks like SWEET32. Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).

AES на любом современном железе будет работать быстрее, благодаря аппаратному ускорению.

мне скорость не очень важна , тем более там разница не очень разительная . Мне важно не грузить процессор

AES на любом современном железе будет работать быстрее, благодаря аппаратному ускорению.

Нюанс. А использует ли юзерспэйсный однопоточный ovpn «железо»?

ЯННП

VDS
«Сервер не торомозит»,
«зачем мучать мой сервачок»

Ещё раз, начнем сначала:

VDS
«Сервер не торомозит»,
«зачем мучать мой сервачок»

Какой он «Ваш»? Вы там делите ресурсы ещё на N-таких же как вы.
Не понимаю чего вы хотите достигнуть, при учете того что все работает и вас все устраивает. Вы пытаетесь сэкономить ресурсы «соседей»?

Похоже, что да (по крайней мере, бинарник в Debian/Ubuntu). Во-первых, он использует openssl. Во-вторых, дистрибутивный openssl показывает относительно высокую производительность на AES на процессоре с AES-NI.

Спасибо. Это был действительно вопрос. Сам strace не запускал для проверки. Хорошо что так. Ещё раз спасибо.

По теме: поддерживаю других комментаторов, если нет требований к шифрованию и всё работает удовлетворительно, то зачем придумывать себе проблемы?

Если уж совсем хочется заоптимизировать, делай тесты. Берешь машины в сети VPN, через сетевого кота гоняешь /dev/zero (или большой файл) и смотришь нагрузку на процессор и скорость передачи данных. Выбираешь то, что тебе больше нравится по производительности. Когда-то поднимал OpenVPN на достаточно старом серваке с медленным процессором без AES-NI, там CAMELLIA оказался быстрее. Но там мне было достаточно «защиты от честных людей».

Какой он «Ваш»? Вы там делите ресурсы ещё на N-таких же как вы.
Не понимаю чего вы хотите достигнуть, при учете того что все ?работает и вас все устраивает. Вы пытаетесь сэкономить ресурсы «соседей»?

начнем с того , что я использую визуализацию KVM, там ресурсы машины строго лимитированы, и соседи ко мне за ресурсом проца не зайдут , ни я к ним.

Если уж совсем хочется заоптимизировать, делай тесты. Берешь машины в сети VPN, через сетевого кота гоняешь /dev/zero (или большой файл) и смотришь нагрузку на процессор и скорость передачи данных. Выбираешь то, что тебе больше нравится по производительности. Когда-то поднимал OpenVPN на достаточно старом серваке с медленным процессором без AES-NI, там CAMELLIA оказался быстрее. Но там мне было достаточно «защиты от честных людей».

Для этого я и пришел на форум , чтобы спросить не делал ли кто подобных тестов . Еще раз , меня интересует не быстродействие алгоритма а именно нагрузка на сервер, грань тонкая в понятии, но она есть

Смысла в таких тестах не так много, для разных процессоров может быть разный результат. Я тестировал на ксеонах 2004 года из расчета примерно гигабитного трафика по NFS для инвалидного кластера(в локальной сети). Другой случай, когда я прокидывал VPN на VPSку в Amazon (t2.small) через интернеты, тогда на дефолтных настройках нагрузка на процессор почти не отличалась от фоновой (относительно свежий процессор, совсем не гигабит).

Также, если так уж сильно интересует нагрузка, то она, очевидно, зависит от скорости передачи внутри VPN. Камеры не всегда создают большой поток, даже если там MJPEG. Ставь тогда мониторинг какой-нибудь и смотри средние значения нагрузки (monit вроде простой). Варьируй шифры, хэши для MAC. Только не забудь настройки шифрования/MAC переносить на все машины.

Но, еще раз,

Сервер не торомозит

и

зачем мучать мой сервачок избыточным шифрованием

взаимоисключающие параграфы (сервера не живые, так-то). Я очень советую еще раз подумать, стоит ли это каких-либо усилий.

Я очень советую еще раз подумать, стоит ли это каких-либо усилий.

значете , поменять в конфиге сервера AES 256 на 128 или BF мне тоже ничего не стоит , а разницa в нагрузке на сервер при значении AES 128 или 256 имеет место быть. вот я и пытаюсь выяснить , вдруг ктото знает если ли разница между BF и AES 128 ? Более того , на стороне клиента есть еще и дохленький роутер , которому тоже совсем не в радость ковыряться в 256 дерьме ))

на стороне клиента есть еще и дохленький роутер

Капец, нужно было сразу про это написать, а не про «нагрузка на сервер небольшая, но я хочу еще уменьшить».

Насколько знаю, в рутерах нет аппаратного ускорения AES => если рутеру плохо, то тестируем blowfish/camellia/что-там-еще-есть с наименьшим ключом. Мониторинг включаем и вперед, если это не микротык, конечно.

Ну и читаем про уязвимость алгоритмов. Дутая рыба вроде дырявая, а camellia может быть просто «неуловимым джо».

256 дерьме

Мда.

ну может не так написал. но смыл понятен , зачем давать нагрузгу если не нужна секретность!? blowfish вполне подходит , тем более что узявимость мнимая ... Этож надо еще 700ГБ зашифрованного траффа соснифать както ?! Только тогда , может быть , раскроется ключик, и то надо расшифровать все это ))

зачем давать нагрузгу если не нужна секретность

Никогда не понимал такую логику. Работает же, и в допустимых пределах (наверное), зачем придумывать бесполезные оптимизации. Но воля ваша, конечно.

надо работать на упреждение ))

Работает же, и в допустимых пределах (наверное), зачем придумывать бесполезные оптимизации.

Сейчас есть время решить эту задачу , а когда подключу к облаку через этот же шлюз тещу и брата , и его жену ?! буду говорить , ребят , только не грузите шлюз нагрузкой )) ?

Насколько знаю, в рутерах нет аппаратного ускорения AES

Оно там как раз таки есть уже довольно давно. А вот про аппаратное ускорение всяких блоуфишей - вот это вопрос, да.

Не советую так делать. С некоторых пор РКН умеет блокировать траффик, который не шифрован и прозрачен для них. Я это наблюдаю у своего провайдера через нешифрованные прокси. Уверенно работает только тор через мосты и шифрованные соединения. У кого пока не так, ждите пару месяцев.