Оптимизация OpenVPN туннель между офисами

На каком железе openvpn крутите с обоих сторон туннеля? Openvpn требователен к однопоточной производительности процессора

pfsense установлен на гипервизоре kvm в одном офисе на втором офисе на hyperv Вам нужно сообщить модель процессора у гипервизоров?

Ну, видимо, логично посмотреть, упирается ли ядро на котором выполняется openvpn в 100% или нет при такой нагрузке.

на гипер визоре на глаз по графику 70-80 %

Это очень много. Доведи до 10-20% и всё будет ок.

У меня есть сеть на pfsense внутри kvm виртуалок, трафик внутри тоннеля от 50 до 200 Мбит поверх линков в Интернет от 100 до 1000 Мбит. Пока это всё крутилось на железках с слабыми процессорами и нагрузка прыгала в диапазоне 60-80% cpu usage всё лагало, как только пересел на нормальное железо всё нормализовалось без каких-либо изменений в настройках туннелей.

Посмотри для понимания о чем речь https://youtu.be/ajXdFx-gEAM там рассказ в приложении к играм, но это относится ко всем плохо паралелящимися приложениям. Сам не пробовал, но говорят wireguard менее требователен к производительности процессора. Можно с ним поэксперементировать вместо openvpn

почему шейпер не работает?

При такой постановке вопроса? Ну потому что ты его не настроил так, чтобы он работал.

Может ты там вобще входящих трафик шейпишь (это не работает в принципе) или трафик внутри тоннеля VPN (это работает с кучей условий, начиная с специальной галочки в настройках VPN клиента и сервера).

перенес на hyperv pfsense. загрузка процессора была не более 20%, но пинги по прежнему большие. может конфиг сервера задан неверно? шифрование поставил aes 256 cbc, резервный алгоритм шифрования aes 256 cbc, алгоритм перебора аутентификации sha1 160bit

У OpenVPN нет настроек которые влияли бы существенно на latency, throughput. Все эти ковыряния конфига – дают еденицы процентов прироста или ухудшения качества работы.

какой можно альтернативный протокол для site-to-site соединения попробовать? и на чем лучше на физической машине или на виртуальной?

Ты уверен, что до конца понимаешь корень проблемы?

Если у вас канал в Интернет 100Мбит, а пользователи внутрь тоннеля льют 70Мбит, то лагать эта схема будет на любом протоколе, пока:

а) пока ты не научишься шейпить/приоритетить трафик который идет на вход туннелю; б) пока ты не расширишь каналы до состояния «нагрузка есть но запасы по ширине и cpu большие»;

шейпил трафик. мануалов предостаточно как на ютубе, так и в поисковике, но не работает

Возможно имеет смысл перетащить туннель на опенврт (там есть openvpn dco, который приближен по производительности к ipsec и wireguard), или просто перевести на wireguard, если это тупая точка-точка.

скиньте пожалуйста рабочий гайд по шейпингу трафика.

Начать читать можно тут: https://linkmeup.ru/blog/1244/

Если же ты подразумеваешь информацию о том куда нажать чтобы «сделать хорошо, само, без смс», то такого нет.

то есть обычный шейпер, где правила созданные в лимитере, а затем включены на фаерволе где upload и download не работают в моем случаи?

Приветствую. В настройках OpenVPN сервера в поле «Hardware Crypto» указано что-нибудь? Может сервер шифрует без аппаратной поддержки?

не активно

Или предложите пожалуйста вариант оптимизации туннеля

Wireguard.

«Не активно» это значит, что не дает ничего выбрать из списка или установлена опция «No Hardware Crypto Acceleration»?

На «Dashboard» в виджете «System Information» в строке «CPU Type» что-нибудь указано в списке доступных аппаратных шифрований?

Если ты в лимитере настроил 10 Мбит для Васи, а он у тебя качает на скорости 70Мбит, то да, в твоём случае лимитеры не работают (не правильно настроил).

AES-NI CPU Crypto: Yes (inactive) QAT Crypto: No

какой тебе альтернативный протокол если ты в ширину канала упираешся.

«Не активно» это значит, что не дает ничего выбрать из списка или установлена опция «No Hardware Crypto Acceleration»?

Как этот пункт отображается?

Аппаратная поддержка шифрования отключена. Для ее включения надо зайти в «System» > «Advanced» вкладка «Miscellaneous» графа «Cryptographic Hardware» выбрать «AES-NI CPU-based Crypto Acceleration». Подробности здесь: Cryptographic Accelerator Support.

Была у меня ситуация, похожая на описанную в первом посте. После включения «Hardware Crypto» в настройках OpenVPN сервера лаги прекратились. Так что копай в эту сторону.

Канал работает хорошо до того момента, пока пользователи не начинают активно качать/выгружать данные

люди они такие
построишь им кинотеатр-магазин-торговый центр - так они прийти туда норовят!