OpenVPN / WIREGUARD: tests débits et optimisation

[bagou91]

Bonjour,

J'aimerai vos avis et retours d'expérience sur l'utilisation d'un vpn client entre le nas, et un serveur vpn dans le cloud (offre dédié, serveur dédié, etc...)

ma config :

DS220J - openvpn client - connexion Free fibre - box mini 4k

VM Cloud Azure A1v2 (Xeon E5-2673 v4 @ 2.30GHz - AES-NI CPU Crypto: Yes (inactive) - 2Go RAM): serveur PFsense - openvpn serveur - lien 1Gbit/s en dl/up

Un speedtest depuis la connexion Free fibrée, me donne ping = 5ms, dl = 800Mbit/s , up = 600MBits/s

config OpenVPN: no hardware crypto, lzo compression = no

 

résultat des tests de débits entre le Nas et la VM Azure:

avec la connexion VPN:

 

sans le VPN:

 

La différence est quand même énorme 😞

au niveau des ressources, CPU et Ram ne sont pas saturé sur le Nas et la VM.

coté VM Azure: CPU à 50% max

coté NAS: CPU à 20% max

j'ai testé avec un autre port d'openvpn que celui par défaut(1194), en udp et tcp, avec iperf parallelisé jusqu'à 4 connexions simultanées

 

Avez vous de meilleurs résultats de débits à travers un VPN (quel qu'il soit) ?

Que pourrais je optimiser ?

 

Merci de vos réponses

Modifié le 21 mai 2022 par bagou91

[.Shad.]

Sur pfSense est-ce que tu as activé le chiffrement ?

Refais ton test iperf en sélectionnant "no hardware crypto".

[bagou91]

Je suis déjà en no hardware crypto.

 

Également en config actuelle:

Lzo compression = no

Modifié le 8 juin 2021 par bagou91

[.Shad.]

Quel processeur pour ta VM Azure ? OpenVPN est mono-coeur, donc c'est la fréquence du CPU qui va jouer et pas le nombre de cœurs à disposition.

Quel est l'utilisation processeur d'ailleurs de pfSense lors d'un test iperf ? Tu peux voir ça sur la page d'accueil de pfSense dans un des widgets.

Avoir un rapport 3 à 4 sur le débit ne serait pas trop étonnant pour une connexion fibrée. 10 c'est quand même beaucoup, à moins qu'ils aient mis une chèvre à la place du proc. 😄

Modifié le 8 juin 2021 par .Shad.

[.Shad.]

Vérifie aussi dans le widget qui reprend les stats de ton matériel que le jeu d'instructions AES-NI est bien disponible. Sinon c'est le CPU qui endosse tout sur son dos, et il peut très vite arriver à saturation.

[bagou91]

j'utilise une VM Azure A1 v2:

Intel(R) Xeon(R) CPU E5-2673 v4 @ 2.30GHz - AES-NI CPU Crypto: Yes (inactive)

2Go RAM

 

Lors des tests iperf, le cpu ne monte pas plus haut qu'à 50%

J'ai testé avec un autre port d'openvpn que celui par défaut (1194), en udp et en tcp, et iperf parallélisé jusqu'à 4 connexions simultanées.

A chaque fois, vitesse max en dl/up : ~38Mbit/s

[maxou56]

il y a 7 minutes, bagou91 a dit :

Lors des tests iperf, le cpu ne monte pas plus haut qu'à 50%

Bonjour,

Le CPU du NAS ou du VPS?

[bagou91]

VM cpu jusqu'à 50%

coté NAS, cpu jusqu'à 20%

[.Shad.]

Du coup si tu avais déjà testé sans le chiffrement matériel, active l'option comme sur mon impression d'écran.

J'ai vérifié le proc de ta VM est suffisamment puissant pour avoir un débit tout de même correct.

[bagou91]

ok je viens d'activé:

je gagne 10%  d'utilisation sur le CPU de la VM (donc max 40% utilisé)

iperf: même résultats de débits 😕

[.Shad.]

Étrange, tu devrais peut-être fouiller un peu les forums de Netgate, l'entreprise qui développe pfSense.
Il y a pas mal de sujets qui traitent des débits envisageables via OpenVPN.

Tu as combien de cœurs disponibles sur ta VM ?

Modifié le 9 juin 2021 par .Shad.

[bagou91]

oui je fouille déjà les forums Netgate et autre résultats google...

pour les coeurs CPU, ce n'est pas très clair au niveau d'Azure: A1v2 = 1vCPU

toujours est-il qu'en observant les statuts des process avec le menu Diagnostic -> System Activity (équivalent à la commande Top), je suis loin de saturer le CPU et OpenVPN ne monte pas à plus de 20% de charge.

[maxou56]

Il y a 4 heures, bagou91 a dit :

pour les coeurs CPU, ce n'est pas très clair au niveau d'Azure: A1v2 = 1vCPU

Bonjour,

Donc un cœur.

Mais vCPU ça peut être 1, 2, 4 vCPU par Thread physique. (Donc au mieux un Thread du xeon)

Modifié le 9 juin 2021 par maxou56

[Juan luis]

Bonjour, @bagou91

Il me semble que d’après tes tests de débit, le débit en VPN est faible mais tu as aussi de nombreux "retr" , ça peut être la connexion tcp  qui n'est n'est pas "propre".

As tu vérifié les réglages de la  "MTU" du client openvpn ? peut être à régler à 1400 ??

 

 

 

[bagou91]

Oui j'ai joué avec le mtu, fragment, mss mais ça n'améliore pas davantage les débits. En amélioration, j'ai un peu moins de retry.

Cela joue peut être auss: le client openvpn est en version 2.3.17, et coté serveur en version 2.5.1

J'ai vu que certaines options n'étaient pas supporté sur la 2.3 par rapport à la 2.5.

Dès que je peux, je vais faire des tests avec un PC client openvpn à coté du NAS...

Modifié le 10 juin 2021 par bagou91

[bagou91]

Petite mise à jour d'info sur le sujet:

Tjr des débits lents avec openvpn.

Je m'oriente donc sur wireguard.

Avec un PC j'obtiens déjà de bien meilleurs débits (~160mbits/s comparé à openvpn.

J'espère qu'il en sera de même sur le nas, mais faut déjà que je compile les sources 

https://github.com/runfalk/synology-wireguard

A suivre....

 

 

 

 

 

[MilesTEG1]

il y a 32 minutes, bagou91 a dit :

Petite mise à jour d'info sur le sujet:

Tjr des débits lents avec openvpn.

Je m'oriente donc sur wireguard.

Avec un PC j'obtiens déjà de bien meilleurs débits (~160mbits/s comparé à openvpn.

J'espère qu'il en sera de même sur le nas, mais faut déjà que je compile les sources 

https://github.com/runfalk/synology-wireguard

A suivre....

 

 

 

 

 

Je suis preneur de ton retour 😉

ça m’intéresse pour mon 920+.

[bagou91]

Bonjour,

Alors bonne nouvelle le spk est déjà compilé pour le ds220j (rtd1296).

Je viens d'installer le paquet, créer la config.

Et....:

 

Magnifique 😍

C'est largement mieux que openvpn.

Manque plus qu'une interface web pour contrôler le paquet...

 

Je viens de dl un torrent via vpn wireguard: 20Mo/s de moyenne 🤩

Le cpu de la vm pfsense souffre 65% utilisé 😆

Modifié le 21 mai 2022 par bagou91