Hallo allerseits,
ich habe eine Frage hinsichtlich der Performance von wireguard.
Meine Hardware ist eine APU2C4 von pcengines:
CPU: AMD Embedded G series GX-412TC, 1 GHz quad Jaguar core with 64 bit and AES-NI support, 32K data + 32K instruction cache per core, shared 2MB L2 cache.
DRAM: 4 GB DDR3-1333 DRAM
Also alles in allem nicht der Brüller. Aber für normales Surfen und Firewalling mit einigen alledings sehr gering ausgelasteten vlans an einem 100MB VDSL mit einen Virǵor 130 vorweg, funktioniert es ansonsten tadellos.(Down ca. 100-103Mb/s Up ca. 40-45 M/s)
Wenn ich mich dahein auf mein NAS aufschalte, liegt die Netto-Datenrate bei Dateitransfer kleinerer Dateinetwa bei max. etwa 450-500 KB/s. Bei großen Dateien (eben nochmal getestet) max. etwa 1MB/s.
Ich habe einige Tips mit den Einstellungen, die hier im Forum zu finden sind ausprobiert. Aber ich habe auch nicht versucht, da genaue Übetragungsraten mit irgendwelchen Tools zu messen.Es ist letztlich unerheblich ob da nun 550 oder 550einhalb Kb/s durchgehen.
Kann mir jemand, vielleicht auch aus Erfahrung sagen, ob meine Hardware für diesen Zweck (wireguard) zu schwach ist oder kann ich da durch Ausprobieren der CPU und Netzwerkeinstellungen noch eine deutliche Verbesserung erreichen?
Für vollen VPN Durchsatz ist die Hardware zu schwach.
Es sollte aber evtl. mehr sein.
Bitte mal unter Firewall->Settings->Normaliziation eine Neue Regel für Wireguard Group anlegen.
Da die MSS auf 1300 stellen.
Wenn Intrusion Detection läuft diese mal deaktivieren.
Für AES-NI Support muss man ein Protokoll verwenden dass es unterstützt, wie z.B. IPsec mit AES-256.
Es wäre mal einen Versuch wert, ein Einwahl VPN mit IPsec zu benutzen um die CPU kryptographisch zu entlasten.
Quote from: lewald on November 30, 2023, 02:27:08 PM
...
Bitte mal unter Firewall->Settings->Normaliziation eine Neue Regel für Wireguard Group anlegen.
Da die MSS auf 1300 stellen.
Wenn Intrusion Detection läuft diese mal deaktivieren.
Die Regel habe ich bereits angelegt. Außer wireguard und reinem Firewalling läuft nichts weiter auf der OpnSense, auch keine Intrusion Detection.
Quote from: Monviech on November 30, 2023, 03:30:04 PM
Für AES-NI Support muss man ein Protokoll verwenden dass es unterstützt, wie z.B. IPsec mit AES-256.
Es wäre mal einen Versuch wert, ein Einwahl VPN mit IPsec zu benutzen um die CPU kryptographisch zu entlasten.
Das werde ich mal versuchen. Hatte anfangs mit IPsec angefangen, mich mit VPN zu befassen. Aber irgendwie habe ich das damals nicht hinbekommen. Vileleicht stelle ich mich diesmal besser an ;-)
Ich persönlich würde die APU rauswerfen und was ins netz packen was genug Reserven für die nächsten Jahre hat. Ich hätte noch ein Core i3 abzugeben [emoji4]
Hatte ich mit opnsense im Einsatz
Specs:
Mini PC Intel Core i3 7100U 16GB Ram 128 GB SSD
Ich biete ein Mini PC
- Intel Core i3 7100U CPU
- 16GB Ram
- 128GB SSD
- 6 x Intel LAN
- 1 x WLAN
CPU Infos:
Leistungsbewertung
Anzahl der Kerne
2
Anzahl der Threads
4
Grundtaktfrequenz des Prozessors
2,40 GHz
Cache
3 MB Intel[emoji2400] Smart Cache
Bus-Taktfrequenz
4 GT/s
Verlustleistung (TDP)
15 W
Frequenz der konfigurierbaren TDP-down
800 MHz
Konfigurierbare TDP-down
7.5 W
Gesendet von iPhone mit Tapatalk Pro