Snelheid OpenVPN tussen twee pfSense servers

zondag 27 oktober 2019 12:26

Acties:

0 Henk 'm!

Topicstarter

Ik heb een OpenVPN tunnel tussen mijn thuislocatie en mijn 'datacentrum'. Deze laatste betreft een TransIP VPS X4 en die is voorzien van een gigabit download/upload.

Thuis heb ik een glasvezelverbinding 750mbit down/up en draait hier een Qotom box met pfSense. PfSense draait ook bij TransIP. Beide machines zijn voorzien van de laatste versie.

Probleem is dat mijn OpenVPN snelheid beroerd is. Haal ik over internet een snelheid van 45MBps, over de VPN haal ik 3MBps.

Dit is mijn VPN config aan de serverzijde:

code:

dev ovpns1
verb 3
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp4
cipher AES-128-CBC
auth SHA256
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local XXX.XXX.XXX.XXX
engine cryptodev
tls-server
server 10.4.0.0 255.255.255.0
client-config-dir /var/etc/openvpn-csc/server1
server-ipv6 fd0d:c7d5:e9f9::/64
ifconfig 10.4.0.1 10.4.0.2
ifconfig-ipv6 fd0d:c7d5:e9f9::1 fd0d:c7d5:e9f9::2
tls-verify "/usr/local/sbin/ovpn_auth_verify tls 'router-cl' 3"
lport 1195
management /var/etc/openvpn/server1.sock unix
push "route 172.16.0.0 255.255.255.0"
push "route 172.16.1.0 255.255.255.0"
push "route-ipv6 fdb7:3aee:a032:1::/64"
route 172.16.11.0 255.255.255.0
route 172.16.20.0 255.255.255.0
route 172.16.21.0 255.255.255.0
route 172.16.30.0 255.255.255.0
route 172.16.31.0 255.255.255.0
route-ipv6 fd95:b251:2d72:11::/64
ca /var/etc/openvpn/server1.ca 
cert /var/etc/openvpn/server1.cert 
key /var/etc/openvpn/server1.key 
dh /etc/dh-parameters.4096
tls-auth /var/etc/openvpn/server1.tls-auth 0
ncp-ciphers AES-128-CBC:AES-256-CBC:AES-128-GCM:AES-256-GCM
topology net30
fast-io
push "route 172.16.11.0 255.255.255.0"
push "route-ipv6 fd95:b251:2d72:11::/64"
push "route 172.16.20.0 255.255.255.0"
push "route 172.16.21.0 255.255.255.0"
push "route 172.16.30.0 255.255.255.0"
push "route 172.16.31.0 255.255.255.0"
push "route 172.16.0.0 255.255.255.0"
push "route 172.16.1.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
client-to-client
remote-cert-tls client
tls-cipher TLS-DHE-RSA-WITH-AES-256-CBC-SHA
tun-mtu 6000
fragment 0
mssfix 0

Deze laatste drie variabelen heb ik toegevoegd aan de hand van deze pagina waarin tips staan over het verbeteren van OpenVPN snelheid over gigabit netwerken. Overigens schijnt tun-mtu niet te werken over internet (en het levert bij mij geen performancewinst op) en het alternatief txqueuelen wordt op pfSense niet ondersteund.

Wat ik al heb geprobeerd is uitzetten van de encryptie, maar ook dat helpt niet. De CPU aan de serverzijde (TransIP) gaat richting 70% als ik mijn file transfer start, aan clientzijde blijft hij op 5%. Het aanpassen van hardware decryptie maakt niet uit, alle mogelijke instellingen leiden niet tot verbetering.

Het wijzigen van dh parameters en tls-cipher zou geen verschil moeten maken omdat die alleen worden gebruikt bij het opzetten van de tunnel. Daarmee heb ik mijns inziens alle mogelijke opties gecheckt, maar lukt het me niet de snelheid te verbeteren.

Wie heeft goede tips en wie heeft misschien een vergelijkbare setup?

zondag 27 oktober 2019 12:33

Acties:

0 Henk 'm!

gekkie

Wat bedoel je met "Haal ik over internet een snelheid van 45MBps" ... is dat ook een filetransfer tussen jou en je VPS ? En zoja op welke wijze ? ftp, http, scp, .. ?

Ik zou eerst eens kijken naar de basis ... 45MBps (of 45Mbit ?) lijkt me dan sowieso vrij laag, dus wat is daar de oorzaak van ?

zondag 27 oktober 2019 12:45

Acties:

0 Henk 'm!

Dennis

Topicstarter

Ja, een filetransfer tussen mij en mijn VPS

. MBps schreef ik, dus inderdaad MegaByte. Dit is via sftp.

zondag 27 oktober 2019 17:24

Acties:

0 Henk 'm!

gekkie

En heb je dan ook al zo'n 70% cpu usage op de VPS (en waar bestaat die uit als je kijkt op "top") ?

(en dan vooral het rijtje %Cpu(s): 7.5 us, 2.3 sy, 0.0 ni, 89.6 id, 0.2 wa, 0.0 hi, 0.4 si, 0.0 st)

Vraag me af of je of een hele berg io-wait hebt .. of dat je iets van een ontzettend zware firewall deep packet inspection of whatever hebt lopen. Want echt normaal lijkt dat resultaat niet (laat staan als je er dan ook nog openvpn met encryptie, wat toch ook wel wat cpu-cycles kost, overheen probeert te doen.

[ Voor 41% gewijzigd door gekkie op 27-10-2019 17:27 ]

maandag 28 oktober 2019 09:47

Acties:

0 Henk 'm!

_eXistenZ_

Wat gebeurt er als je een IPSec-tunnel opzet?

There is no replacement for displacement!

woensdag 30 oktober 2019 19:11

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Dennis schreef op zondag 27 oktober 2019 @ 12:26:
Ik heb een OpenVPN tunnel tussen mijn thuislocatie en mijn 'datacentrum'. Deze laatste betreft een TransIP VPS X4 en die is voorzien van een gigabit download/upload.

Thuis heb ik een glasvezelverbinding 750mbit down/up en draait hier een Qotom box met pfSense. PfSense draait ook bij TransIP. Beide machines zijn voorzien van de laatste versie.

De CPU aan de serverzijde (TransIP) gaat richting 70% als ik mijn file transfer start, a

Probleem is dat mijn OpenVPN snelheid beroerd is. Haal ik over internet een snelheid van 45MBps, over de VPN haal ik 3MBps.

Wie heeft goede tips en wie heeft misschien een vergelijkbare setup?

Geen OpenVPN gebruiken. In mijn ervaring gaat het altijd zo. OpenVPN is helaas niet geschikt voor moderne snelle internetverbindingen. Op de pagina die je linkt kun je zien dat zelfs een Xeon-processor het niet lukt om een gigabit vol te trekken. Inmiddels een wat oudere Xeon, maar nog altijd een stevige CPU.
Als dat TransIP systeem een VM is zou ik er ook niet op rekenen dat je gebruik kan maken van hardware-acceleratie.

Kijk eens naar Wireguard, dat werkt veel beter met moderne systemen.

This post is warranted for the full amount you paid me for it.

woensdag 30 oktober 2019 20:02

Acties:

0 Henk 'm!

Dennis

Topicstarter

Dank @gekkie @_eXistenZ_ en @CAPSLOCK2000 voor jullie reacties zover. Ik kom er even op terug. Ik wil die IPSec ook even testen, maar het is wel wat werk dit even goed te doen en dat lukt doordeweeks niet zo goed (zeker niet met een kleine smurf

).

woensdag 30 oktober 2019 20:03

Acties:

0 Henk 'm!

SadisticPanda

Heet patatje :o

CAPSLOCK2000 schreef op woensdag 30 oktober 2019 @ 19:11:
[...]

Geen OpenVPN gebruiken. In mijn ervaring gaat het altijd zo. OpenVPN is helaas niet geschikt voor moderne snelle internetverbindingen. Op de pagina die je linkt kun je zien dat zelfs een Xeon-processor het niet lukt om een gigabit vol te trekken. Inmiddels een wat oudere Xeon, maar nog altijd een stevige CPU.
Als dat TransIP systeem een VM is zou ik er ook niet op rekenen dat je gebruik kan maken van hardware-acceleratie.

Kijk eens naar Wireguard, dat werkt veel beter met moderne systemen.

Openvpn werkt ook goed op moderne systemen.
Trek gewoon gigabit vol tussen 2 openvpn. Kvm heeft gewoon hardware accel als je je cpu hoger select dan een westmere cpu. Container(lxc) heeft ook hardware acceleratie.

Moet je wel Recente openssl draaien.

Raw throughput op gigabit lijntje is hier ongeveer 940mbps. Met openvpn op de vps, tikt die net de 900aan. Single core vpsje.

Op windows machine haal ik wel maar 400mbps via openvpn, op linux client trekt tot max.

Wss draait stack openvz. Zoek es deftige host die kvm aanbied en je zal zien dat het allemaal net iets beter en sneller zal werken @Dennis

Marstek 5.12kw v151, CT003 v117, Sagecom Xs212 1P,

Vraag

Alle reacties