OpenVPN намного медленее IPSec, почему?

Strongswan

Работает в кернелспейсе?

OpenVPN

Точно работает в юзерспейсе, так что два копирования и сискола на каждый пакет, а это слишком много.

как «ускорить» OpenVPN?

Выкинуть и перекатиться на wireguard.

Почему так

OpenVPN не ядерный и не многопоточный, не умеет использовать всякие ништяки вроде AES-NI.

как «ускорить» OpenVPN

Подозреваю, что только если процессору частоту побольше задрать. Ну и 25Мбит - это все равно как-то мало. У тебя он через TCP работает? Если да, то поменять на UDP.

для обхода блокировок openvpn избыточен - юзай shadowsocks

Выкинуть и перекатиться на wireguard

Не могу, нужна поддержка оффтопиком и ведроидом. В принципе, мне ок со Strongswan'ом, просто из интереса спрашиваю.

android и windows поддерживает ipsec/xl2tpd «из коробки»

На ведроиде есть WG. На оффтопике - да, все плохо вроде как.

А нет, нифига подобного. https://tunsafe.com/

нужна поддержка оффтопиком и ведроидом.

Есть
/thread.

разработчик WG не рекомендуют пользовать сторонние приоретарные утилиты

Там лицензия AGPL-1.0.

Мне оно для доступа к тестовым сайтам на самом ВПСе, но да это не принципиально, я думаю.

l2tp

Ещё только PPP не хватало.

ну а зачем тебе тогда VPN вообще ? Настрой ssh и http. Или просто firewall привяжи к твоему ip домашнему

Рассматривал HTTPS с авторизацией по клиентскому сертификату, но ВПН, на самом деле, проще и удобнее. И вообще тред не об этом.

Не, UDP.

приоретарные

То самое глупейшее состояние, когда ввернуть умное слово хочется, но не знаешь, как оно пишется. А погуглить - не хватает мозга :)

Ещё только PPP не хватало.

Для pptp есть изумительный accel-pptp с ядерным модулем, который спокойно пережёвывает 100 мегабит на дешёвых роутерах.

не умеет использовать всякие ништяки вроде AES-NI

Вот это ошибка, но редактировать уже поздно :(

Но ты же понял все равно

Я то понял, а ты выставил себя дурачком зачем-то.

Одно — сетевой протокол имплементированый на уровне ядра. Другое — юзерспейсная поделка.

И разница в работе в кернел/юзерспейсе настолько огромна, чтобы итоговая скорость отличалась почти вчетверо?

Котам вход запрещен!

https://m.habr.com/post/246953/ читал?

Посмотрите, на загрузку проца (с двух сторон).
Если гонять «тонны данных» с кучи клиентов, то возможно так и будет. Если же в топике единичный тест когда никого кроме вас не нет, то сильно не типичный вариант, настолько ovpn не должен просаживаться. При синтетических условиях, один сервер(удаленный) - один клиент (через одного и того же прова), ovpn и ipsec показывают приблизительно одинаковый результат по тому же iperf3.

Проц нагружен совсем незначительно с обеих сторон.

Угу. Дополнительно к другим расходам, у тебя ещё на каждый чих copy-in/copy-out.

К fuse это кстати тоже относится.

В момент тестирования?

Да. Нагрузка плавает где-то около 1-5% на ядро, примерно столько же и остаётся при тестировании.

И разница в работе в кернел/юзерспейсе настолько огромна, чтобы итоговая скорость отличалась почти вчетверо?

Не в этом случае.

Потому что openvpn тормоз. Используй wireguard или softether.

Ну не настолько же при отсутствии нагрузки. Вот сейчас еще раз протестил, весьма удаленный сервак, скорость из-за удаления плавающая. Каналы с двух сторон сотка.
ovpn
76.6 Mbits/sec
ipsec еще ниже показал
73.0 Mbits/sec
Обратите внимание канал всего сотка, но ovpn таки показал 76.6. Но это зависит от погоды на марсе, при хорошей и 90 норм показывает. Все на том же самом месте.

Еще пальцем в небо, а не связанно ли это с mtu и mss ?

Сомневаюсь. Вроде как pmtu от меня до сервера 1500.

softether

Это же просто гуйня поверх популярных протоколов.

Нет у него своя реализация есть, собственно с этого и началось. А другие уже до кучи в комбайн добавлять стал.

Ну с горя, вручную на клиенте занизить и протестить ничего не мешает.

https://community.openvpn.net/openvpn/changeset/f0b64e5dc00f35e3b0fe8c53a316e...

Timestamp: 10/19/15 20:10:54 (3 years ago)
Message: Do not set the buffer size by default but rely on the operation system default.
closes trac ticket #461