Wireguard - lassú sebesség egy szálon

Linux-haladó

Sziasztok!

 

Adott ket pont, ami Wireguard-al van osszelove.

A gondom az vele, hogy egy szalon csak toredeke a sebesseg az elerheto maximumhoz kepest. Mindket oldalon 1/1 Gbit-es a net, ebbol a valos mindket oldalon olyan 400Mbit korul van.

 

iperf-el egy szalon kb 40Mbit-et merek mindket iranyba. Ha 10 szalon merek, akkor kb 140Mbit. Meg ez is messze van a 3-400Mbit-tol, amit en realisnak tartanek, de mar ez is jobb lenne... 

 

VPN nelkul amugy 10 szalon megvan kb a 400Mbit, egy szal pedig kb 100Mbit korul van.

 

Az egyik oldalon a Wireguardot egy VyOS tuzfal szolgaltatja, a masik oldal a wireguard windows-os kliense.

  • 595 megtekintés

( ibenny v | 2020. 02. 19., sze – 14:00 )

Erdekes, ez valami Wireguard-specifikus (es nem VyOS, ugy ertem) mert ket OS-en is megneztem (FreeBSD, CentOS) es mindketton 40 megabit volt a vege, szinten 1/1-es net mellett. Utanaolvasok meg egy kicsit.

( SPYFF v | 2020. 02. 19., sze – 14:19 )

Nem tudom Windowson hogy van implementálva, nem kernel modulként lehet tényleg lassabb (mondjuk ennyivel nem szabadna emiatt lassabbnak lennie). TunSafe kliens Windowson lehet gyorsabb: https://tunsafe.com/

targytalan... raprobaltam ket linux kozott (VyOS - Fedora), de kabellel, (eddig wifin neztem). Siman kimaxolta, 430Mbit... 

 

Szal a win oldallal van a baj... Megnezem Tunsafe-el. (regebben azt hasznaltam, de azt hittem a gyari kliens jobb lesz)

 

Szerk:

Tunsafe-el ugyanez... Mondjuk mindket progi ugyanazt a TAP interface-t hasznalja, szal nem kell csodat varni...

hat , a problema ettol meg fennall, win alatt fostalicska a saveszel :)

 

Nem ertem amugy, ezt talaltam meg, de en mar a 0.8-as wintun interface-t hasznalom, szoval meg az sem lehet, hogy a regi TAP interface a baj...

 

https://lists.zx2c4.com/pipermail/wireguard/2019-September/004580.html

Akkor most ha jól értem kábellel linux-linux oké, wifin pedig linux-windows és linux-linux nem oké? MTU beállítás a tunnelen rendben van? Lehet hogy a TCP esetben még jól lövi be mekkora szegmensekre darabolja az IP-nek és az IP nem kezd fragmentálásba, de ha még rajta a wireguard UDP fejléce akkor már pont nem fér bele és az IP kezd el fragmentálni ami sokkal CPU igényesebb.  Tunnel MTU legyen mondjuk 1440 bájt vagy még kevesebb.

Kabellel linux - linux --> OK

Wifi linux - linux --> OK

Kabellel linux - windows --> Nem OK

Wifivel linux - windows -- Nem OK

 

A wifis linux - linux azert zavart meg, mert ott eloszor fajl masolassal probalkoztam (cifs share) de az csak 30-35Mbit volt. A teszt mar jo szamokat hozott (~180Mbit) szal a file share-el is van meg valami gebasz...

 

Szerk:

MTU-val en is jatszottam, VyOS elelve 1420-ra lovi be a wg interfeszen. Probaltam allitgatni lejjebb vagy feljebb, de max 10-15Mbit-et nyertem....

( Vamp | 2020. 02. 19., sze – 16:06 )

Kiprobaltam a legosibb Win-es modszert (reinstall wireguard :D ) de nem segitett... Szoval meg keresem a problemat...

( ibenny v | 2020. 07. 01., sze – 19:56 )

Nem akartam uj topic-ot nyitni ennek, de erdeklodnek, tapasztaltok-e hasonlot:

- CentOS 7, 3.10.0-1127.13.1.el7.x86_64 (legfrissebb elerheto) kernel, VPS

- wireguard-dkms-1.0.20200623-1.el7 (szinten az elerheto legfrissebb verzio a repo-bol)

A fenti komboval csatlakozaskor csont nelkul kernel panic jon. A kern log-ban csak ennyi latszik (de rakeresve a 'tainting kernel' artalmatlan, tehat tulajdonkeppen semmi nincs a logban):

kernel: wireguard: module verification failed: signature and/or required key missing - tainting kernel
kernel: wireguard: WireGuard 1.0.20200623 loaded. See www.wireguard.com for information.
kernel: wireguard: Copyright (C) 2015-2019 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved.

Mashol sem latok beszedesebb infot. Van esetleg hasonlo tapasztalat, vagy varjak belole ujabb release-t? Regebbi kernel-t boot-olva meg nem neztem meg, annyira nem kritikus, BSD-n is hasznalom, ahol szerencsere tokeletesen megy.

Például kernelből újabbat. A 3.10-es kernel pontosan 7 éve lett kiadva: https://mirrors.edge.kernel.org/pub/linux/kernel/v3.x/ChangeLog-3.10.1
Gondolom az utóbbi években megjelent Wireguard-ot elég nyögvenyelősen faragták át hozzá.
Egyik megoldás upgrade-elni CentOS 8.2-re, ahol 4.18-as kernel van. Ezzel a kernel verzióval a Wireguard kernelmodul szépen működik.

Koszi, de a tamogatasi periodus vegeig biztosan 7-esen maradok, utana is csak bottal van kedvem piszkalni a 8-ast.

Viszont akkor gondolom azt is tudod, hogy hogyan mukodik CentOS-en a kernel es a csomagok (igy a backport kerdese), igy nyilvan semmi gond azzal, hogy ez az elerheto legfrissebb kernel.

A kerdest azert tettem fel, hogy azonos parameterekkel mas is tapasztal-e hasonlo problemat, vagy esetleg nalam maszott el valami, amit eszre sem vettem. 

Valaszolok sajat magamnak, ha esetleg azota mas is belefutott volna. Erkezett uj wireguard-verzio, azt felteve ugyanugy kernel panic lett a vege. Turtam egy kicsit ismet a netet es kiderult, egy ideje mar a hivatalos oldal is a kmod-wireguard csomagot ajanlja telepiteskor (a nekem is meglevo es korabban javasolt wireguard-dkms helyett). "Kicserelve" a binarist helyreallt a mukodes, szepen uzemel tovabb a wg, javaslom ezt a megoldast hasonlo esetben.

A wireguard-dkms csomagot a hivatalos oldalon "non-standard kernel" hasznalata eseten javasoljak. A kmod-wireguard csomag az elrepo-bol erheto el.