Оптимизация OpenVPN для роутера

0

1

Привет всем.

Решил с работы подключаться к домашней сети. На роутере RT-N56U поднял OpenVPN со всеми шифрованиями 128 bit, сертификатам SSL и прочим. Всё работает. Да вот только скорость туннеля максимум 10 Мб/с. Оно и понятно, процессор на роутере загружается на 100%.

Однако чем хорош OpenVPN, тем что он гибкий. Есть куча методов шифрований, можно выбрать битность шифрования, сжатие трафика и много чего другого.

Вопрос: Какой метод шифрования более лёгкий для процессора? 64бит будет достаточно для более менее шифрования. Понимаю что 128 бит хорошо, но хочется снять нагрузку с процессора. Далее сжатие. Тоже даёт нагрузку на процессор. Это сжатие даёт ли эффект на практике? А ведь он также кушает процессор.

Ссылка

←	Странные файлы на VPS и глючи ФС

Добавить маршрут в автозапуск

→

Какой метод шифрования более лёгкий для процессора?

openssl speed xxx в помощь.

результатами поделишься с общественностью.

ukr_unix_user ★★★★
(15.10.15 13:24:35 MSK)

Ссылка

погугли «openvpn оптимизация скорости шифрования» или «openvpn оптимищация cpu» - там были данные о том, что влияет на производительность.

vel ★★★★★
(16.10.15 10:00:17 MSK)

Ссылка

Если не боишься nsa или подобных, простой pptp дает намного меньше нагрузки )

john33
(18.10.15 16:39:27 MSK)

Ответ на: комментарий от john33 18.10.15 16:39:27 MSK

А вообще pptp сильно дырявый в отличии от OpenVPN? Имею в виду для домашнего использования? В домашней сети из ценного только что семейные фото и видео. В остальном музыка, видео, дистрибутивы всяких программ.

Andrei_IW
(19.10.15 09:37:00 MSK) автор топика

Ответ на: комментарий от Andrei_IW 19.10.15 09:37:00 MSK

Вроде и информация в домашней сети не шибко ценная, но фото и видео с ребёнком ценные, так как ребёнка назад в 3-5 лет уже не вернуть, что бы заново переснять видео. Придётся второго ребёнка делать.

А потому PPTP хотелось бы, но пишут что он мол шибко дырявый. Но вот на сколько, не кто не говорит.

Andrei_IW
(19.10.15 09:39:44 MSK) автор топика

Ответ на: комментарий от Andrei_IW 19.10.15 09:39:44 MSK

Зайди с другой стороны. Многим интересны твои фотки/видео с ребенком?
pptp плох тем, что не умеет как минимум настраивать маршруты. А вообще все ценное всегда обычно бекапят. На те же сд-диски хотя бы

as_lan ★★
(20.10.15 15:12:20 MSK)
Последнее исправление: as_lan 20.10.15 15:13:00 MSK (всего исправлений: 1)

ОТ сжатия толку мало, тем более на роутере. У меня более менее шустро бегало на BF-CBC

as_lan ★★
(20.10.15 15:25:13 MSK)

Ссылка

Ответ на: комментарий от as_lan 20.10.15 15:12:20 MSK

pptp плох тем, что не умеет как минимум настраивать маршруты

Маршруты локальных подсетей сам сервер через DHCP вполне может передавать клиентам, по крайней мере виндовым (а кто еще пользуется PPTP ?). Кусок dhcpd.conf:

option ms-classless-routes code 249 = array of unsigned integer 8;
option rfc3442-classless-routes code 121 = array of unsigned integer 8;

shared-network PPTP {
        authoritative;
        option domain-name-servers 172.16.10.1, 8.8.8.8;
        option netbios-name-servers 172.16.10.2, 172.16.10.30;
        default-lease-time 3600;
        max-lease-time 7200;

        subnet 10.16.0.0 netmask 255.255.255.0 {
                option routers 10.16.0.1;
                option ms-classless-routes 24, 172,16,10, 10,16,0,1, 24, 10,1,0, 10,16,0,1;
                option rfc3442-classless-routes 24, 172,16,10, 10,16,0,1, 24, 10,1,0, 10,16,0,1;
        }

}

Но тут чуть-чуть магии: чтобы это заработало надо в /etc/pptpd.conf включить опцию bcrelay eth0 (eth0 - интерфейс локалки, на котором dhcpd раздает адреса). Разумеется, сам пакет bcrelay должен быть установлен. В итоге на клиента передадутся маршруты типа:

ip ro add 172.16.10.0/24 via 10.16.0.1

ip ro add 10.1.0.0/24 via 10.16.0.1

ip ro add default via 10.16.0.1

На избыточность при переопределенном default не смотрите: со стороны клиента в моей задаче он отключался. И, что интересно, оффтоп 7, если на выданный по PPTP IP адрес заблочен инет, сама его иногда не прописывает.

crlam0
(01.11.15 20:42:32 MSK)

https://routerclub.ru/upload/padavan/nightly/20150929/

У меня nexx 3020 за 14 баксов. Нагрузка с овпн 2-3 %. У этого проца есть аппаратный оффлоад UDP-траффика. Данная фича опенврт не поддерживается.

kraftello ★★★★★
(01.11.15 20:54:22 MSK)

Ссылка

https://bitbucket.org/padavan/rt-n56u/wiki/EN/HowToConfigureOpenvpnServer

http://forum.ixbt.com/topic.cgi?id=14:62648

kraftello ★★★★★
(01.11.15 21:06:01 MSK)

Ссылка

Ответ на: комментарий от crlam0 01.11.15 20:42:32 MSK

Это костыль. Я пробовал это. В моем случае у меня уже на сервере был dnsmasq, который работал и как dhcp сервер и как dns. Заставить его работать на 2 подсети, при этом чтоб все это нормально функционировало то еще приключение было. В итоге кое как заработало, но взглянув на этот велосипед со стороны снес все и вернулся к openvpn.

as_lan ★★
(01.11.15 21:13:31 MSK)

Ответ на: комментарий от as_lan 01.11.15 21:13:31 MSK

Это костыль.

Согласен.

Я пробовал это. В моем случае у меня уже на сервере был dnsmasq, который работал и как dhcp сервер и как dns. Заставить его работать на 2 подсети, при этом чтоб все это нормально функционировало то еще приключение было. В итоге кое как заработало, но взглянув на этот велосипед со стороны снес все и вернулся к openvpn.

Я в итоге был вынужден оставить оба варианта: виндовые пользователи нынче бывают параноиками, сторонний софт для них аццкое зло.

Кстати судя по докам dnsmasq в таком костыльном варианте куда легче поднимается :) Но у меня не было возможности проверить: на bind крутилось немало доменов а dhcpd еще задолго до меня уже был настроен.

И да, чуть не забыл: один из клиентов не смог через Ростелеком по PPTP законнектится, блочится GRE. Он уверяет что на его роутере все включено, неужели Ростелеком блочит ? С других провайдеров, и даже через Ёту, PPTP сервер вполне доступен.

crlam0
(01.11.15 22:30:02 MSK)

Сжатие я бы отключил. Тяжёлый трафик и так сжатым идёт.

Рассмотри возможность использования других VPN-ов. OpenVPN это user-space решение. Это несколько снижает производительность. Например попробуй VPN на основе IPSec.

Как замерять скорость шифрования — тебе уже сказали. Я не думаю, что кто-либо, достаточно умный для того, чтобы разломать слабое шифрование, будет ломать твой компьютер за фоточками.

Если тебе нужно только HTTP и тебя не смущают админы на работе, рассмотри возможность использования обычной HTTP или Socks-прокси. Тут вообще никаких расходов на шифрование не будет.

~~Legioner~~ ★★★★★
(01.11.15 22:35:34 MSK)
Последнее исправление: Legioner 01.11.15 22:37:41 MSK (всего исправлений: 2)

Ссылка

Ответ на: комментарий от crlam0 01.11.15 22:30:02 MSK

не смог через Ростелеком по PPTP законнектится, блочится GRE

ох вряд ли. скорее роутер - того

masq
(02.11.15 08:41:56 MSK)

Ссылка

Ответ на: комментарий от Andrei_IW 19.10.15 09:39:44 MSK

на сколько, не кто не говорит

об этом все кричат, и ~~Umbrella~~ микромягкие и разрабы poptop например - настоятельно рекомендуют НЕ использовать pptp, описывают причины, указывая на более безопасные протоколы. Можно нагуглить. Если нет паранои - можно и запилить.

имхо - для OpenVPN отключите сжатие, и длину ключа поменьше, ага. должно же хватить наверное для того чтоб к домашнему роутеру подключаться с меньшими напрягами. Ну и если дороги семейные эээ архивы.. ну дык - шифр, рейды, копии на болванки, а то супруга не простит наверное :D

masq
(02.11.15 08:57:59 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Странные файлы на VPS и глючи ФС

Admin

Добавить маршрут в автозапуск

→

Похожие темы