Proč je OpenVPN tak pomalé?
Zdravím,
mám server, který je na lince Down 30Mbit/s a UP 60Mbit/s. Na serveru je nainstalovaný open vpn server (windows) a na clientech mám taky windows open vpn client. Spojení funguje, word excel dokumenty docela lítají (mají malou velikost).
mám clienta, který je na lince Down 100Mbit/s a UP 100Mbit/s. Když dám stahovat třeba 10MB soubor ze serveru do clienta, tak přenosová rychlost je 220KB až 260KB za sekundu, což je úplně nepoužitelný.
Když dám stahovat ze serveru soubor přes soubor.mp4, tak mi to stahuje do clienta okolo 2MB až 2,5MB za sekundu.
Chyba není určitě v konektivitě mezi clienty atd. Proč tedy to OPEN VPN je tak strašně pomalé? A jak to dostat na hranici UPLOAD linky? Děkuji.
1. SSL má overhead
2. VPN spojení může být u ISP zařazeno do nějaké podřadné fronty na shaperu.
Ten prvni bod "SSL má overhead", co to znamena ve vztahu k OpenVPN?
Jenom, ze me to zaujalo a tomuto nerozumim. Dik.
Sifrovani trafficu zpomaluje prenos, pac se prenasi vice dat...
no ono hlavně samotné šifrování je docela náročné na výkon procesoru (pokud nemá akceleraci např. AES).
Takže nejspíše brzdí přenos dat šifrování? Jak to mohu vypnout? Nemám žádné tajné soubory ani hesla, nepotřebuji, aby byly přísně tajné. Děkuji. Potřebuji prostě udělat, abych měl složku sdílenou na serveru zároveň i doma sdílenou na úrovni rychlost max UP linky. Děkuji.
Pouzi FTP. Ak vypnes sifrovaie nebude ta nic brzdit.
Nechci používat FTP. Chci mít normálně připojenou síťovou jednotku jako mám teď na disku Z:. Potřebuji poradit, jak zrušit u OpenVPN tu šifrovací brzdu. To vpn mi dělá to, že mám ten server, jako bych ho měl vedle sebe, nechci FTP.
Chces blbost, smb sa zasadne nedava na net. Nikdy a nikde!
Pokial chcesmaximalny vykon pouzi FTP. Pokial chces sifrovane spojenie posilni hw.
Už jsem na to jednou upozornil, ať si tu komunikaci odposlechne kdo chce, mně je to jedno. Není tam nic přísně mega utajeného, chci SMB bez hesla, šel jsem cestou OpenVPN, protože windows nechce povolit sdílení složek ven na WAN do internetu.
Tu nejde o to, ci je to tajne, ale do par hodin budes mat server hacknuty a dalsi zbytocny zombie server mame na svete.
Mozes skusist pouzit integrovanu windows vpnku namiesto openvpn. Ta je vyrazne menej narocna.
Ak ako branu pouzijes Mikrotik je nastavenie otazkou par klikov, na klasickom routri budes forwardovat.
Bohužel tahle možnost nejde, tou jsem začínal. Vytvořil jsem Windows VPN a po připojení druhého klienta to začalo tvrdit, že operační systém windows 7 nepodporuje připojení více než 1 klienta. Tak jsem se upřímně zasmál a řekl jsem si, aha, tak to je super
.
Ale pokud ten OpenVPN server nebude šifrovat data, tak aby někdo mohl hacknout ten server, tak bych mu musel vytvořit přece ty certifikační klíče, aby se mohl na moji VPN připojit ne ?
Není šifrování -> nejsou klíče -> nefunguje OpenVPN.
Můžeš zkusit podporu HW šifrování AES-NI. Zda to umí Win verze, to je otázka.
viewtopic.php
Aha
Například můj asi 7 let starý cpu bez podpory AES zvládne šifrovat 800 MB/s.
Takže náročné na výkon?
Takže kvůli šifrování mu to jde 200 KB/s, ano?
Neviem ako si robil test, ale je naozaj pravdou, ze prenosy na lan som mal par rokov dozadu na nb asi 10x pomalsie cez SCP ako cez FTP.
Test jsem dělal pomocí aida64 -> benchmark -> cpu aes
Jako ukázka toho, že šifrování je daleko rychlejší než síťový přenost to myslím stačí.
Můj CPU na serveru bez používání OpenVPN jede běžně na 90-95%, protože tam jede spoustu jiných aplikací. Pod 90% prostě nejdu. Takže je klidně možné, že nestíhá šifrovat. Mám tam i5-2400 na 3.10GHz 8GB RAM
i5-2400 má podporu AES, takže i vytížený i5-2400 by to měl v poho dát.
https://ark.intel.com/products/52207/Intel-Core-i5 -2400-Processor-6M-Cache-up-to-3_40-GHz
za předpokladu, že je použit AES-NI, tj. kód programu používá dané akcelerované instrukce.
Čím jsi to měřil?
Test jsem dělal pomocí aida64 -> benchmark -> cpu aes
Jako ukázka toho, že šifrování je daleko rychlejší než síťový přenost to myslím stačí.
Tvá ukázka symetrické šifry je ovšem zcela mimo. Musíš si uvědomit, že moderní šifrovaný kanál využívá NĚKOLIKA RŮZNÝCH šifrovacích metod - každou k něčemu jinému. Nicméně pro samotný přenos dat se používá asymetrické šifrování (pár veřejný/soukormý klíč), typicky nějaký druh RSA nebo DH. Husťáci používají pak El Gamal nebo eliptické křivky.
Obecně platí:
nejrychlejší: AES
středně rychlý: NTRU (cca 15x pomalejší)
pomalý: DH/RSA (a to zásadně)
Můj CPU na serveru bez používání OpenVPN jede běžně na 90-95%, protože tam jede spoustu jiných aplikací. Pod 90% prostě nejdu. Takže je klidně možné, že nestíhá šifrovat. Mám tam i5-2400 na 3.10GHz 8GB RAM
i5-2400 má podporu AES, takže i vytížený i5-2400 by to měl v poho dát.
https://ark.intel.com/products/52207/Intel-Core-i5 -2400-Processor-6M-Cache-up-to-3_40-GHz
... a s porovnání s mým cpu bez podpory je todle to vyloženě dělo.
Podle mě stíhá šifrovat. Podle mě problém bude v něčem jiném.
Mimoto to přece můžeš zjistit. Netuším co tam máš, ale něco jako správce úloh, sledování prostředků nebo process explorrer bude i třeba v linuxu.
Jak že bych to mohl zjistit? Když si teď otevřu správce úloh, tak na serveru jede cpu na 90-95% bez zaplého OpenVpn. Jakože mám mít otevřený správce úloh, začít něco kopírovat a sledovat vytížení?