AES-NI Tuningfrage

Started by Lochkartenknipser, December 10, 2024, 03:26:11 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 10, 2024, 03:26:11 PM
Hallo,
ich habe eine Protectli VP2420 mit OPNsense 24.7.9_1, die an einem 100/50 Vodafone Anschluß hängt und eine IPsec Verbindung zur Hetzner Cloud aufbaut. Bei Hetzner nimmt ebenfalls eine OPNsense in der selben Version die Verbindung an (Cloudserver 4x Xeon Core mit 8GB Ram). Funktioniert alles soweit.
Wenn ich allerdings von einem smb share Daten von Hetzner kopiere, bekomme ich einen max Download von 50Mbit.
Ich habe dann mal mit verschiedenen Einstellungen auf der Protectli (OPNsense) rumgespielt.
Hardware CRC, TSO, LRO disabled und VLAN Hardware filtering enabled (4 Vlans sind auf der Protectli aktiv). Mit diesen Einstellungen ist der Download fast stabil bei ca. 50 Mbit/s.
dmesg | fgrep -i aesni
ergibt auf der Protectli:
aesni0: <AES-CBC,AES-CCM,AES-GCM,AES-ICM,AES-XTS,SHA1,SHA256>

IPsec wird mit folgender Verschlüsselung auf der OPNsense zu Hetzner aufgebaut:
XX.XX.XX.41[4500]   XXX.X.XXX.106[45119]   esp-udp   c3c4ae43   aes-cbc   hmac-sha2-256

also auch eine Verschlüsselung die von dem J6412 Prozessor unterstütz wird. Also sollte aesni voll unterstützt werden, das ja im kernel integriert ist und in der OPNsense keine weiteren Einstellungen benötigt (Cryptography settings -> Hardware acceleration -> none). Ich hatte aber die Settings auch schon auf qat gesetzt. das ergabe aber keine Änderung im Download.

Gibt es noch eine Möglichkeit an der IPsec-Performance zu drehen?

Grüße
Markus
December 11, 2024, 06:22:35 PM #1
Ich kann dir nur empfehlen NICHT cbc zu verwenden, gcm ist die bessere Wahl


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
December 12, 2024, 11:26:23 AM #2
Hallo micneu,

ich habe mittlerweile verschiedene Verschlüsselungen ausprobiert:
aes256gcm16-sha256-modp2048[DH14]
aes128gcm16-sha256-modp2048[DH14]

Es ändert sich nichts am Durchsatz. Bleibt bei max 50-60Mbit/s im Download.
Also gehe ich mal davon aus, daß es nichts mit der Verschlüsselung zu tun hat. Der Prozessor hat eine Max. Auslastung von 30%. Geht aber auch zurück auf 2-5%.
Daran kann es auch nicht liegen.

Hat noch jemand eine Idee??

Grüße
Markus
December 12, 2024, 11:28:50 AM #3
Hast du mal den Durchsatz durch das VPN mit iperf3 getestet? SMB über eine WAN-Strecke wird die Bandbreite kaum vollständig ausnutzen können.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 12, 2024, 03:23:20 PM #4
Quote from: Lochkartenknipser on December 10, 2024, 03:26:11 PMWenn ich allerdings von einem smb share Daten von Hetzner kopiere, bekomme ich einen max Download von 50Mbit.

Das könnte an allem möglichen liegen, angefangen von "MTU nicht gut/optimal" über Drosselung, Peering etc.

Ich würde spaßeshalber - da du auf beiden Seiten ja volle Kontrolle hast - das ganze mal mit OVPN (mit DCO) oder Wireguard durchspielen. OpenVPN hätte den Vorteil, dass man auch mal die Verbindung via TCP testen kann. Ja das hat normalerweise Overhead, auf manchen Strecken läuft es aber eben seltsamerweise doch besser durch als UDP. Und evtl. liegt es auch an der Hetzner Seite?

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Go Up Pages1
User actions