LINUX.ORG.RU
ФорумAdmin

openvpn минимальное шифрование при tls-server

 ,


0

1

можно ли заставить openvpn поставить минимальное шифрование - отличное от tls установок openssl

вообще говоря нужна объединить в один tap несколько клиентов - с максимальной производительностью
возиться с несколькими туннелями - и объединять это все в бридж не очень хочется

★★

Последнее исправление: ae1234 (всего исправлений: 1)

OpenVPN использует TLS-шифрование только для control channel, для передачи данных используется выбранный шифр (параметр cipher).

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

да действительно - я ошибся - оказалось что дата канал действительно этими управляется
но сильно не помогло - отключить шифрование не дает - понижение алгоритма дало лиш процентов 10-20% (проц всеравно в 100%)

ae1234 ★★
() автор топика
Ответ на: комментарий от ae1234

понижение алгоритма дало лишь процентов 10-20% (проц всеравно в 100%)

Может, стоит подумать о замене openvpn на что-либо более производительное (ipsec, как вариант)?

Serge10 ★★★★★
()
Ответ на: комментарий от Bloody

а моя отсилы 5 мегабит

вот тут и вопрос - по openssl speed скорость шифрации 4мегабайта в сек + sha256 5.2 мегобайт в сек
без всего остального выдавать должно около 2мегобайт/сек
а выдает 0.4 (5мегабит)

выходит что без шифрации будет выдавать отсилы 7.2мегабита - сталбыть тут копать бессмысленно - надо чтото ядерное думать

ae1234 ★★
() автор топика
Ответ на: комментарий от Bloody

Если вам нужна скорость — используйте IPsec или WireGuard. Если совсем никак не хочется уходить с OpenVPN, то можно поднять MTU интерфейса на порядок, 15000 должно увеличить скорость в несколько раз. Не забудьте отключить mss-fix на обеих сторонах.

ValdikSS ★★★★★
()
Ответ на: комментарий от ae1234

Если подойдёт L3-туннелирование, то ipip с IPsec для шифрования решит проблему. Если нужно L2 — наверное, только какой-нибудь EoIP, для которого нужен сторонний модуль ядра.

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

да мне хорошо бы подошло gretap иль подобное
но вот там ничего нет подобного - ядро там v2.6.22.19 ктомуж модулей кот наплакал

ae1234 ★★
() автор топика
Ответ на: комментарий от ValdikSS

можно поднять MTU интерфейса на порядок, 15000 должно увеличить скорость в несколько раз.

А пруфы есть?

Это на скоростных линках помогало, где упирались в pps, а у ТС проблема с производительностью проца.

Пусть ТС iperf3 прогонит на своей железяке - станет понятно вуше чего не прыгнуть. На lo mtu 64к и все KC считаются аппаратными :)

vel ★★★★★
()
Ответ на: комментарий от vel

На маломощных процессорах всё упирается в переключение контекста и тормоза самого tun: его интерфейс позволяет отправлять только один пакет за системный вызов. Увеличение MTU уменьшает количество переключений контекста, из-за чего сильно увеличивает скорость.

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

это както сомнительно - ведь речь идет о udp openvpn
какой пакет пришел черз tap для openvpn - он такойже 1 уйдет зашифрованный до 2ой точки
pps будет такойже

ae1234 ★★
() автор топика
Ответ на: комментарий от ae1234

Поэтому и нужно поднимать MTU, чтобы пакеты были по 30000 байт, например. UDP-пакет будет тоже размером в 30000 байт, с фрагментацией на IP-уровне. Это неудобно и не всегда возможно, но в качестве последней меры — сойдёт.

ValdikSS ★★★★★
()
Последнее исправление: ValdikSS (всего исправлений: 1)
Ответ на: комментарий от ValdikSS

10-20% на увеличенном MTU ещё поверю. В мипсах смена контекста/обработка прерываний значительно проще и дешевле, чем на x86/amd64.

«BogoMIPS : 149.91» - это приговор. Копирование данных в/из userspace в таком случае может быть самой бОльшей проблемой, чем переключение контекстов.

У старой железки типа asus wl-500g было порядка 250 bogomips-ов, а asus wl-500g был диким тормозом.

Эта железяка скорее всего даже тупо роутить 10Мбит будет с трудом.

Нужно сделать ее роутером (без NAT) и прогнать через нее трафик iperf-ом. Выше это скорости уже точно не прыгнуть.

vel ★★★★★
()
Ответ на: комментарий от ValdikSS

Мне - нет :) . Я ставлю дохлые железки там где достаточно 10 мегабит. Там где мне нужна скорость, я ставлю процесс openvpn в довесок к чему-нибудь другому. А процессор с аппаратной поддержкой AES-NI и тактовой овер 3ГГц в один поток с перекладыванием из userspace в ядро легко гигабит волочёт.

Bloody ★★
()
Ответ на: комментарий от vel

На моём ноутбуке OpenVPN с отключённым шифрованием и стандартным MTU даёт скорость около гигабита, с MTU 30000 — 7 гигабит.

Это справедливо для любого ПО, использующего TUN.

ValdikSS ★★★★★
()
Ответ на: комментарий от ValdikSS

А я то уж подумал, что что-то упустил :)

Это справедливо для линуксячего ip-шного стека, а не для tun/tap.

Покажи лучше эти цифры с openvpn между парой netns через veth.

На тестовой машинке два iperf3 через локалхост дают 25-26Гбит/с

На этой же машине два iperf3 в разных netns соединенных veth: 1.7 Гбит/с для MTU 1500 и 8 ГБит/с для MTU 32760.

(У меня veth не умеет считать аппаратно контрольные суммы.)

vel ★★★★★
()
Ответ на: комментарий от vel

Я также тестировал всё на реальном маломощном железе (300 мГц mips). Этот совет я даю не наобум.

ValdikSS ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.