openvpn минимальное шифрование при tls-server

OpenVPN использует TLS-шифрование только для control channel, для передачи данных используется выбранный шифр (параметр cipher).

да действительно - я ошибся - оказалось что дата канал действительно этими управляется
но сильно не помогло - отключить шифрование не дает - понижение алгоритма дало лиш процентов 10-20% (проц всеравно в 100%)

а что за проц? и сколько тащит?

понижение алгоритма дало лишь процентов 10-20% (проц всеравно в 100%)

Может, стоит подумать о замене openvpn на что-либо более производительное (ipsec, как вариант)?

aes-256 cbc 3687.63k 3876.39k 4067.88k 3859.41k 4008.23k
BogoMIPS : 149.91
старая мелкая железка

system type		: MediaTek MT7628AN ver:1 eco:2
cpu model		: MIPS 24KEc V5.5
BogoMIPS		: 385.84

максимум 10 мегабит, но это с шифрованием AES256-GCM

а моя отсилы 5 мегабит

вот тут и вопрос - по openssl speed скорость шифрации 4мегабайта в сек + sha256 5.2 мегобайт в сек
без всего остального выдавать должно около 2мегобайт/сек
а выдает 0.4 (5мегабит)

выходит что без шифрации будет выдавать отсилы 7.2мегабита - сталбыть тут копать бессмысленно - надо чтото ядерное думать

Если вам нужна скорость — используйте IPsec или WireGuard. Если совсем никак не хочется уходить с OpenVPN, то можно поднять MTU интерфейса на порядок, 15000 должно увеличить скорость в несколько раз. Не забудьте отключить mss-fix на обеих сторонах.

в том и дело что надо 2 eth соеденить
тоесть несклько eth

Если подойдёт L3-туннелирование, то ipip с IPsec для шифрования решит проблему. Если нужно L2 — наверное, только какой-нибудь EoIP, для которого нужен сторонний модуль ядра.

да мне хорошо бы подошло gretap иль подобное
но вот там ничего нет подобного - ядро там v2.6.22.19 ктомуж модулей кот наплакал

можно поднять MTU интерфейса на порядок, 15000 должно увеличить скорость в несколько раз.

А пруфы есть?

Это на скоростных линках помогало, где упирались в pps, а у ТС проблема с производительностью проца.

Пусть ТС iperf3 прогонит на своей железяке - станет понятно вуше чего не прыгнуть. На lo mtu 64к и все KC считаются аппаратными :)

На маломощных процессорах всё упирается в переключение контекста и тормоза самого tun: его интерфейс позволяет отправлять только один пакет за системный вызов. Увеличение MTU уменьшает количество переключений контекста, из-за чего сильно увеличивает скорость.

это както сомнительно - ведь речь идет о udp openvpn
какой пакет пришел черз tap для openvpn - он такойже 1 уйдет зашифрованный до 2ой точки
pps будет такойже

Поэтому и нужно поднимать MTU, чтобы пакеты были по 30000 байт, например. UDP-пакет будет тоже размером в 30000 байт, с фрагментацией на IP-уровне. Это неудобно и не всегда возможно, но в качестве последней меры — сойдёт.

10-20% на увеличенном MTU ещё поверю. В мипсах смена контекста/обработка прерываний значительно проще и дешевле, чем на x86/amd64.

«BogoMIPS : 149.91» - это приговор. Копирование данных в/из userspace в таком случае может быть самой бОльшей проблемой, чем переключение контекстов.

У старой железки типа asus wl-500g было порядка 250 bogomips-ов, а asus wl-500g был диким тормозом.

Эта железяка скорее всего даже тупо роутить 10Мбит будет с трудом.

Нужно сделать ее роутером (без NAT) и прогнать через нее трафик iperf-ом. Выше это скорости уже точно не прыгнуть.

Мне - нет :) . Я ставлю дохлые железки там где достаточно 10 мегабит. Там где мне нужна скорость, я ставлю процесс openvpn в довесок к чему-нибудь другому. А процессор с аппаратной поддержкой AES-NI и тактовой овер 3ГГц в один поток с перекладыванием из userspace в ядро легко гигабит волочёт.

На моём ноутбуке OpenVPN с отключённым шифрованием и стандартным MTU даёт скорость около гигабита, с MTU 30000 — 7 гигабит.

Это справедливо для любого ПО, использующего TUN.

Это уже интересно.

А вторая сторона openvpn что из себя представляет?

Тестировалось на лупбеке, лет 5 назад.

https://github.com/rootless-containers/slirp4netns#benchmarks — тесты скорости разных программ, использующих TAP.

MTU=65520 даёт 9 гигабит, против 1 гигабита при 1500.

А я то уж подумал, что что-то упустил :)

Это справедливо для линуксячего ip-шного стека, а не для tun/tap.

Покажи лучше эти цифры с openvpn между парой netns через veth.

На тестовой машинке два iperf3 через локалхост дают 25-26Гбит/с

На этой же машине два iperf3 в разных netns соединенных veth: 1.7 Гбит/с для MTU 1500 и 8 ГБит/с для MTU 32760.

(У меня veth не умеет считать аппаратно контрольные суммы.)

Я также тестировал всё на реальном маломощном железе (300 мГц mips). Этот совет я даю не наобум.