OpenVPN зажрался

Ты бы ещё на 286 его запустил и жаловался

В целом зависит от нагрузки на канал. Напиши скорость приёма/передачи через OpenVPN и процент загрузки ядра OpenVPN.

Ты бы ещё на 286 его запустил и жаловался

Я не понял. 286 - это что? Не имеешь ли ты ввиду процессор? Если да, то тоже зажрался раз FX-8350 тебе кажется дохлым.

Напиши скорость приёма/передачи через OpenVPN и процент загрузки ядра OpenVPN.

Э... а как это измерить?

iftop

В целом зависит от нагрузки на канал

И алгоритма шифрования. На сколько помню там возможен серьёзный разброс в ресурсоёмкости

Думаю если заменить -auth sha512, на -auth sha1 то жор ощутимо снизится

У него там трансмишен фигачит, так что подозреваю, что трафик во всю доступную полосу проходит через openvpn

Это если в openvpn идёт весь трафик, а не выборочно. Но скорее да, чем нет

Конечно весь трафик идет в openvpn. Просто не думал что это может создавать такую нагрузку O_o

Оч, интересно - это еще на что-то повлиять может? Надежность не снизит?

Отключи сжатие. Если ещё и шифрование отключить, то жор уменьшится в разы.

Т.е. для того чтоб юзать openvpn нужно 16 ядер?

Да, любой мамкин какир, способный генерять SHA1 коллизии в реальном времени, сможет подделать твой трафик. Наверное

Если б он ещё параллелился :-D

если заменить -auth sha512, на -auth sha1 то жор ощутимо снизится

auth

doubt.jpg

Разверни свою мысль

Почему ты решил, что хеш-функция жрет больше, чем сама расшифровка? Мне это утверждение кажется крайне неочевидным.

Не уверен что больше, но жрёт SHA512 изрядно. И, в отличии от шифрования, хэш HMAC-а можно даунгрейднуть до SHA1 без значимого урона безопасности (собственно SHA1 всё-ещё дефолтный вариант в OpenVPN).
Ну и разбираться с тем какие варианты шифрования умеет OpenVPN, какие из них сколько жрут и какие аппаратно ускоряются на железе ТСа мне лениво. А алгоритм HMAC-а это дёшево и сердито.
Про алгоритм шифрования я парой постов выше написал, так-что у ТСа уже есть всё что нужно для того чтобы погуглить самому

Как сказали выше, шифрование еще поменяй. Можно легко заменить AES-256 на AES-128, в реальной жизни криптостойкость не упадет. Когда-то тестировал скорость на разных настройках по шифрованию (с блоком больше 128 бит) и MAC, быстрее всего был CAMELLIA-128-CBC c SHA1. Правда, это было для достаточно старых ксеонов. И еще — openvpn не умеет в многопоточность.

юзай wireguard

Спасибо. Поменял - послежу за этим. Честно говоря жор случайно обнаружил вчера. Для этого компа это не критично, но меня стал волновать вопрос нагрузки на сервер - там то 500 оперативы и от проца отрезано всего ничего реурсов (не знаю как это посмотреть).

Думал об этом и даже заморочаться хотел, но пишут что нестабильно и не обкатано еще.

Фигня, поставил на свою VPS'ку, хожу с телефона на андроиде, из венды - всё ОК.

Лучший вариант - ipsec.

Да ну - если уж заморачиваться с чем-то новым, то так-то лучше с wg. Что то не понятно как настраивать, что это. Так то хоть обещает самую высокую производительность. Хотя конечно проще сидеть на простом и понятном VPN

Тебя смущает то, что средство для создания защищённого шифрованного канала в юзерспейсе жрёт много ресурсов? Тогда попробуй wireguard. Он работает в пространстве ядра, поэтому работает в несколько раз быстрее, но это же опасность вызывает.

Да нормально. Поставь ipsec или wireguard

Останавливает сложность. По VPN я файлики конфигурации раздал, они их в nm через GUI импортнули и усе - VPN работает.

Для ipsec vpn настраивается в винде через стандартные средства

Ubuntu и андроид. Не венда.

амуде потанцевал))00

Тогда проще поставить shadowsocks. Настраивается в полпинка

и трансмишен тоже шифрует))

Была лафа еще пакет сортировать.