LINUX.ORG.RU
ФорумAdmin

Производительность VPN-канала: ipsec vs openvpn vs pptp


2

1

Тут кто-то умный как-то обмолвился про то, что нельзя использовать ssh как впн в промышленных масштабах из-за оверхеда, а также из-за того, что он работает в userspace. Тезис состоял в том, что производительность впн-решения, работающего в userspace, будет очень сильно проигрывать «ядерным» решениям, так как то ли вызовы из юзерспейса долго идут, то ли что-то в этом роде. Я подумал, подумал, и полез в гугл искать темы про сравнение вышеперечисленных решений в контексте производительности. А там - раз! - и говорят, что openvpn лучше, чем pptp, что, на мой взгляд, противоречит тезису, так как openvpn юзерспейсный, а pptp юзает модули ядра.

Возможно, у меня каша в голове, если так, то дайте наводку на годную литературу или хотя бы умный пост на каком-нибудь слешдоте.

А ещё некоторые говорили, что openvpn лучше, чем ipsec, потому что ipsec чаще спотыкается о файрволы. Неужели производительность настолько слабо различается, что из-за проблем с файрволами уходят на openvpn? Кстати, openvpn использует дополнительные драйверы (для tap- и tun-устройств), значит, тоже в ядре работает, хотя бы частично..

В общем, просветите на эту тему, извиняюсь за поток сознания.

Неужели производительность настолько слабо различается, что из-за проблем с файрволами уходят на openvpn?

Эти ваши swan'ы с xl2tpd еще поди осиль. Openvpn проще.

thesis ★★★★★
()
Ответ на: комментарий от thesis

При всем уважении к такому аргументу, позволю себе усомниться, что он сравним по важности с производительностью.

pianolender ★★★
() автор топика

А там - раз! - и говорят, что openvpn лучше, чем pptp, что, на мой взгляд, противоречит тезису, так как openvpn юзерспейсный, а pptp юзает модули ядра.

В ядре поддержка pptp появилась относительно недавно, и то ЕМНИП только серверный код, а не клиентский.

Deleted
()
Ответ на: комментарий от thesis

Эти ваши swan'ы с xl2tpd еще поди осиль. Openvpn проще.

+1

Deleted
()

Я думаю в большинстве случаев производительность openvpn просто достаточно.Что касается pptp... а оно данные-то шифрует?

true_admin ★★★★★
()

кажется вот эту знаменитую табличку никто не отменял: http://www.ivpn.net/knowledgebase/62/PPTP-vs-L2TP-vs-OpenVPN.html я бы сказал, что принципиальная разница только в случае установки туннеля из-за ната. и здесь главное преимущество опенвпн, равно как настройка клиентов. а вот если надо белые айпишники соединить - тут проще айписек.

nerve ★★
()

Подскажу направление, в котором копать - всему своя область применения. Вот литература неплохая по openvpn- рекомендую. http://www.packtpub.com/openvpn-building-and-integrating-virtual-private-networks/book По ipsec рекомендую литературу от cisco. Промышленным стандартом является безусловно ipsec. При прочих равных объем полезной информации (без оверхеда на туннелирование) будет наибольшим при наименьшей длине ключа шифрования. Однако ключи большой длины обеспечивают и лучшую защиту данным. Кому-то туннелирование выгодно вообще без шифрования.

Кстати, чем более криптостойкое шифрование используется, тем больше надо вычислительная мощность устройства. Вот часть данных моего тестирования маршрутизатора linksys wrt54gl, используемого в качестве vpn-сервера (openvpn). К нему подключаются 2 клиента по wifi и льют друг на друга.

Алгоритм         |Задержка,мс | BW, Mbit/s
-------------------------------------------
blowfish 128bit  |   140      | 2,4
aes 128bit       |   400      | 2,05
3des 192bit      |   350      | 1,06
На tplink 1043nd результаты в несколько раз лучше (нет времени потестировать).

andrew667 ★★★★★
()

линукс же не микроядро, чтобы волноваться по такому поводу.

у сетевых карточек бывает поддержка ipsec, они могут что-то дополнительное обсчитывать своими силами, подробности в даташитах.

какая, собственно разница, где будет подготовлен пакет для отправки?

dimon555 ★★★★★
()

Без понимания структуры протоколов вопрос о производительности нельзя задавать. Кто сильнее слон или кит?

anonymous
()

что из-за проблем с файрволами уходят на openvpn?

Ты так говоришь, словно проблема fw - это ничто. Ну ничего, споткнешься о него на пограничном маршрутизаторе - узнаешь, где раки зимуют.

openvpn лучше тем, что может tcp/udp, использует один порт, умеет работать через https прокси, кроссплатформенный и простой.

zgen ★★★★★
()
Ответ на: комментарий от thesis

Чорт, только сегодня заметил, что пропустил слово «всем».
То есть, КМК, всем плевать на производительность VPN.
У админов мелких сетей число сессий невелико, канал какой-нибудь ADSL и поэтому железяка, выделенная под ВПН, легко тянет всех клиентов вне зависимости от выбранного типа ВПН.
У админов крупных корпоративных сетей ВПН-серверов бывает несколько, и поэтому мощности заведомо хватает. Зато если в конторе преобладающая система - венда, то админ с огромной вероятностью выберет тот тип ВПНа, к которому венда умеет подключаться искаропки, а опенвпн идет лесом.
На производительность не плевать только всяким провайдерам-хомнетчикам, ну так они сидят на тупом невесомом PPPoE без шифрования и счастливы.

thesis ★★★★★
()
Ответ на: комментарий от thesis

На производительность не плевать только всяким провайдерам-хомнетчикам, ну так они сидят на тупом невесомом PPPoE без шифрования и счастливы.

Слава б-гу, что современные провайдеры обходятся без vpn.

AnDoR ★★★★★
()
Ответ на: комментарий от true_admin

это поддерживается ядерным pptp?

Не знаю, раньше на ядро патчи накладывали для mpe. Но это было давно.

zgen ★★★★★
()
Ответ на: комментарий от true_admin

Ну, если считать MPPE за алгоритм шифрования - то да :) Правда, его еще завести надо - квест похлеще прикручивания виндового пптп к радиусу.

leave ★★★★★
()
Ответ на: комментарий от thesis

Слово «современные» неспроста в моём сообщении.

AnDoR ★★★★★
()

pptp юзает модули ядра.

только accel-ppp, а сравнивали видать pptpd который ВЕСЬ юзерспейсный. К слову в openvpn тоже есть модульная часть - модуль tun, для TUN/TAP устройств

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

у меня подозрения что «тормоза» openvpn как раз больше связаны с шифрованием, нежели с тем что оно userspace.

true_admin ★★★★★
()

так как openvpn юзерспейсный, а pptp юзает модули ядра.

Ню-ню. Латентность в виде оверхеда переключения user/kernel mode (для случая openvpn) на фоне латентности канала и всего остального типа капсуляции пакета ничтожно мала.

openvpn использует дополнительные драйверы (для tap- и tun-устройств), значит, тоже в ядре работает, хотя бы частично..

Эти девайсы используются для тривиального редиректа пакета из ip-стека на openvpn и обратно, типа пайпов - но для пакетов.

no-dashi ★★★★★
()
Ответ на: комментарий от andrew667

Короче, ipsec эффективнее, но для белых айпишников, а опенвпн немного может сливать по эффективности, но в стопицот раз гибче. Кому что.

Значит, можно не бояться разбросов по производительности на порядок и спокойно тестировать и сравнивать под свои нужды. Спасибо.

pianolender ★★★
() автор топика
Ответ на: комментарий от no-dashi

Ню-ню. Латентность в виде оверхеда переключения user/kernel mode (для случая openvpn) на фоне латентности канала и всего остального типа капсуляции пакета ничтожно мала.

А что ж тогда так на fuse ругаются?..

pianolender ★★★
() автор топика
Ответ на: комментарий от pianolender

А на фузу ругаются потому, что там другие порядки скорости и объема данных

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

Ню-ню. Латентность в виде оверхеда переключения user/kernel mode (для случая openvpn) на фоне латентности канала и всего остального типа капсуляции пакета ничтожно мала.

Вопрос не в латентности, а в нагрузке на сервер. Переход с юзерспейсного pptp на ядерный снижает нагрузку на процессор в десять раз примерно, как раз потому что нет переключений контекста. Другое дело что нужно определиться что для чего. pptp не подходит для секурности, а openvpn для производительности.

ventilator ★★★
()
Ответ на: комментарий от pianolender

Короче, ipsec эффективнее, но для белых айпишников,

Если что, то для организации всей сети через openvpn достаточно одного адреса из диапазона Internet. Смотри, чтобы узким местом не была производительность vpn-сервера и будет тебе счастье. AES-128bit обеспечивает достойную защищенность. Я несколько лет openvpn пользуюсь - очень доволен им в небольшой сети. Кому надо лучшая защита - тот будет пользоваться специализированным железом. Кстати сталкивался несколько раз с плохой работой младших asa от cisco в одном из банков. Идет дроп, и ничего поделать не могут, при этом замена модема и портов не помогала. Может кончено у них руки кривые, но когда потрачена уйма времени начинаешь уже в этом сомневаться.

andrew667 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.