OpenVPN sebesség probléma

Hálózatok egyéb

Sziasztok!
Szerintetek miért lehet lassú az openvpn kapcsolatom? Neten látom, hogy mérnek mások ilyen 970mbiteket én meg mindenféle bűvészkedéssel sem tudom 20-30mbit főlé vinni.
Két szerverrel is próbálkozom mind a két írányba ugyanezt a sebességet tapasztalom.
(1 gigabiten csücsül a másiknak csak 100as linkje van)

Kliensek amivel próbálkozom: iPhone, Android, PC W10, PC Elementary
Server: 1. Ubuntu 2. Debian

Valakinek ötlet?
Köszönöm szépen
Üdv Mezo

server.conf
port 8888
proto udp
dev tun0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
dh /etc/openvpn/dh1024.pem
server 10.x.x.0 255.255.0.0
ifconfig-pool-persist /etc/openvpn/ipp.txt
user nobody
group nogroup
status /etc/openvpn/openvpn-status.log
log-append /etc/openvpn/openvpn.log
verb 2
mute 20
max-clients 1000
keepalive 10 120
client-config-dir /etc/openvpn/ip/
client-to-client
comp-lzo
persist-key
persist-tun
ccd-exclusive
sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"

client.conf
client
dev tun
remote xxxxxx.xxxxx.xx 8888
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 xxx.p12
ns-cert-type server
comp-lzo
verb 0

  • 3401 megtekintés

( E-Medve v | 2016. 08. 04., cs – 16:35 )

Milyen processzorok vannak a szerverekben? Több egyidejű VPN kapcsolat esetén többszöröződik-e a 20-30 Mbit? Mit mutat a top a szerveren/kliensen? Illetve nézd meg, mit csinál comp-lzo nélkül.

Több kliensel tesztelve párhuzamosan max 40mbit

2. Debian Intel(R) Core(TM) i7-3770K CPU @ 3.50GHz (1mag) Cpu load a maxmimum 30mbit mellett 75%
1. Ubuntu Intel(R) Xeon(R) CPU E31230 @ 3.20GHz (3mag) Cpu load a maxmimum 30mbit mellett 25-40%

Kliensek
iPhone Cpu 20%
Win 10 PC 8-9%

comp-lzo-t este tesztelem

köszi!

Sziasztok. Nemrég álltam át én is Hamachiról mint szolgáltató. Nekem nem kell sem titkosítás, sem egyéb csicsa, csak pont-tól pontig végpontkapcsolat a szerveremtől az ügyfeleimnek.

Gigabites a Link ( és a net is ) És a végpontokon 100-200-300-as neteknél is max olyan 10-20Mb/s a sebesség. Kellene legalább a 200Mb/s
ki és be is kapcsoltam a comp-lzo-t a configomban auth-none cipher-none beállítás van ( mint mondtam nem érdekel a titkosítás csak a minél gyorsabb adat kapcsolat ) Hallottam attól hogy az MTU értéket kell megváltoztatni, és akkor gyorsabb lesz.
kérdéseim:

Kizárólag WINDOWS!!! nincs linux ( és nem is szeretnék )

Szerver: 8GB RAM - Core i5 3470 ivy bridge - Z77 Chzippset - OS: Server2008 R2

1.) Elegendő a az " auth none, cipher none " vagy van más beállítás is ami a titkosításért felel? és ha igen akkor az összes titkosítást hogy és mivel lehet kikapcsolni? ha mindet kikapcsolom gyorsabb lesz?

2.) Hallottam erről a szegmentált csomagról " fragment 0 mssfix 0" ez a beállítás ér valamit? ha beteszem ez gyorsít valamit?

3.) Hogy adjuk be a szervernek hogy MTU-t akarok kézzel beállítani? illetve mindkettőn kell ( szerver és kliensen is? )

4.) A Tap adapter ami nálam most 100Mb-es lehet Gigabit?

5.) Minden féle kipróbálható lehetőséget WINDOWS-ra ami gyorsítja a kapcsolatot tudnátok e leírni, minden segítség jól jön.

A konfigot leírom a biztonság kedvéért.

SERVER:

local 192.168.1.100
port 1194

proto tcp
proto udp
;dev tap
dev tun
;dev-node MyTap
ca ca.crt
cert server.crt
key server.key # This file should be kept secret
dh dh1024.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
;server-bridge 10.8.0.4 255.255.255.0 10.8.0.50 10.8.0.100
;server-bridge
;push "redirect-gateway dEF1"
;push "route 192.168.0.0 255.255.255.0"
;push "route 192.168.20.0 255.255.255.0"
;client-config-dir ccd
;route 192.168.40.128 255.255.255.248
;client-config-dir ccd2
;route 10.9.0.0 255.255.255.252
;learn-address ./script
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 208.67.222.222"
;push "dhcp-option DNS 208.67.220.220"
client-to-client
route 10.8.0.18 255.255.255.0
route 10.8.0.14 255.255.255.0
route 10.8.0.26 255.255.255.0
route 10.8.0.30 255.255.255.0
route 10.8.0.34 255.255.255.0
route 10.8.0.82 255.255.255.0
route 10.8.0.74 255.255.255.0
route 10.8.0.78 255.255.255.0
push "route 10.8.0.1 255.255.255.0"
push "route 10.8.0.14 255.255.255.0"
push "route 10.8.0.18 255.255.255.0"
push "route 10.8.0.26 255.255.255.0"
push "route 10.8.0.34 255.255.255.0"
push "route 10.8.0.30 255.255.255.0"
push "route 10.8.0.82 255.255.255.0"
push "route 10.8.0.74 255.255.255.0"
push "route 10.8.0.78 255.255.255.0"
client-to-client
;duplicate-cn
keepalive 10 120
auth none
cipher none
;comp-lzo
fast-io
;max-clients 450
;user nobody
;group nobody
persist-key
persist-tun
status openvpn-status.log
;log openvpn.log
;log-append openvpn.log
verb 3
;mute 20
-------------------------------------------------------------------------------

CLIENT:

client
dev tun
;dev-node MyTap
;proto tcp
proto udp
remote ***.****.** 1194
;remote-random
resolv-retry infinite
nobind
;user nobody
;group nobody
persist-key
persist-tun
;http-proxy-retry # retry on connection failures
;http-proxy [proxy server] [proxy port #]
;mute-replay-warnings
ca ca.crt
cert HSP-U645879B.crt
key HSP-U645879B.key
;tls-auth none
auth none
cipher none
Fast-io
verb 3
;mute 20
----------------------------------------------------------------

Minden segítség jól jön, nagyon várom az ötleteket.

Ennek lehet az is az oka, hogy a szolgátató "priorizálja" a fogalmat, és a TCP előnyt élvez az UDP-vel szemben.
Saját tapasztalatom nincs, de több helyen olvastam már arról, hogy odakinn nem túl jó minőségűek a kapcsolatok, de legalább szanaszét vannak szűrve meg korlátozva.

Annyit Sikerült elérni hogy ccd (client-config-dir) config könyvtárban, beállítottam minden ügyfelet fix ip-re ( Egy éjjel ráment )
így az IP összeakadás megszűnt, vagyis a kapcsolat azóta nem fagyott ki senkinél sem!
Hiba volt hogy mikor elindult a szerver, egyszerre kért minden kliens IP-t és így volt hogy különböző kliensek azonos IP-t kértek, így aki elsőnek kapott pl 10.8.0.32, ha másik kliens is "erre emlékszik" és kéri akkor meg kiadta annak, az előző tulajdonosának meg bontott, másikat meg nem kapott :)
Ezt megoldottama fent írtak szerint! A probléma ismét a sebesség!
Egy 4 magos AMD FM2+ -al a sebesség a szerverről 10-12 MB (12,000Kb/s) volt, gyengébb géppel 1-2-3 MB volt.
Nem egyéb vpn programok érdekelnek, hanem a titkosítás LEG MINIMÁLISABBRA CSÖKKENTÉSE vagy TELJES KIKAPCSOLÁSA.
Ugyanis meg győződésem hogy a gyengébb CPU-s gépekkel rendelkező ügyfeleimnél azért megy csak 1-2-3 MB-al, mert a CPU mire visszafejti a titkosítást, sajnos a kapcsolat sebesség rovására megy.
Így a következőt kérem szépen:
1.)Hogyan kapcsolom ki, vagy veszem le a leg minimálisabbra a titkosítást?
2.)Hogyan érem el hogy a kliensek ne csak IP-re hanem a Szerver Nevére is hivatkozzanak (név feloldás)?

( névfeloldási példa: Távoli kliens ne úgy érje el a megosztást hogy "\\10.8.0.x\megosztás" hanem úgy hogy "\\szerveremneve\megosztás"

Kérem aki a név feloldás methódusát tudja, írja le nekem.

3.) Az MTU beállítás módja is érdekelne.

A fő fő dolog a sebesség, anélkül hogy a gépek prociját hajtaná a kapcsolat ( minimális vagy nem létező titkosítás )

Kérem szépen a legnagyobb tisztelettel hogy mellőzzük a másik programok ajálgatását, elég volt nekem ezt ilyenre is bekonfolni, főleg hogy semmilyen beállító GUI nem létezik hozzá és mindent parancsal kell beleírni.

Nagyon várom a válaszokat és előre is szívből köszönöm.

Ha van jótét lélek aki segítene, és ideje is van, facebookon: https://www.facebook.com/szerviz.hspcomputer
vagy mail-ben: admin@heiner.hu kapcsolatba léphetünk, KÉZ KEZET MOS, visszasegítem a szívességet!

Tisztelettel:

Heiner Ernő
HSP Computer Magyarország

RB1100AH (ill x2) 100mbps-t simán átvisz (és re-fragmentál) OpenVPN/TCP-n blowfish titkosítással.
RB450G ~20-25mbps-t visz át.
egy intel G2020 CPU is kacagva átvisz 100mbps-t. Én nem ott keresném a hiba okát, bár windowsnál pillanat alatt megmondja a taskmanager, hogy az ovpn.exe mennyi CPU-t zabál.

1.
configba:
auth none
cipher none

https://openvpn.net/index.php/access-server/docs/admin-guides/437-how-t…

2.

WINS vagy DNS szerverre van ehhez szükséged.

3.

Nem tudom erre gondolsz-e, de az mssfix paraméter tudja a TCP csomagok méretét csökkenteni, de erre csak akkor van szükség, ha pmtu discovery nem működik jól.

"Kérem szépen a legnagyobb tisztelettel hogy mellőzzük a másik programok ajálgatását, elég volt nekem ezt ilyenre is bekonfolni, főleg hogy semmilyen beállító GUI nem létezik hozzá és mindent parancsal kell beleírni."

Tenyleg nem bantasbol, de miert vallalsz el olyan munkat amirol fogalmad sincs?

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

( mezo | 2016. 08. 11., cs – 22:10 )

comp-lzo kikapcsolva elértem a bűvös 36/36-ot.. haladás. De hogyan tovább? :)

Még egy tipp: derítsd ki, hogy milyen cypher-t használ a te openvpn-ed alapértelmezetten.

Esetleg próbáld ki (sibike is írta már fentebb), hogy az 'auth none' és a 'cypher none' mellett milyen sebességet hoz. Ezek a paraméterek kikapcsolják a titkosítást. Ha így is lassú, akkor a hálókártyával vagy a tűzfallal (ha van) lesz valami.

( pepo v | 2016. 08. 11., cs – 22:18 )

[feliratkozás]

Pár hete vettem észre, hogy nagyjából 90%-os csökkenés érzékelhető VPN esetén. (Addig nem volt lényeges.)