OpenVPN Experte gesucht

[NiclasM]

Hi,

Ich habe erhebliche OpenVPN Performance Probleme und komme nicht über 10 Mbps.

Am liebsten würde ich per TeamViewer und Telefonat oder Skype mit jemandem das mal durchgehen der wirklich Plan hat.

Wenn das Setup dannach perfekt läuft und mir erklären kann bin ich auch nicht Angeneigt 'n Kasten Bier springen zu lassen per PayPal oder wie auch immer.

Ziel ist eine P2P Multipath Umgebung mit zwei OVH VPS Cloud 1 Servern. Debian ist drauf, und OSPF Routing läuft auch. Nur performance ist kacke. Auch bei deaktiviertem Multipath.


Aktuelle OVPN Server Konfig sieht so aus. (Exemplarisch)

port 60201
proto udp
tun-mtu 1500
mssfix
dev tun-vpn02-001
mode p2p
tls-server
ifconfig 10.255.254.3 10.255.254.4
topology p2p

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/vpn02.XXX.it.crt
key /etc/openvpn/keys/vpn02.XXX.it.key
dh /etc/openvpn/keys/dh2048.pem

cipher AES-256-CBC

Verschlüsselungsgeschwindigkeit mit openssl speed sieht so aus vom VPS Server.

type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
md2 0.00 0.00 0.00 0.00 0.00
mdc2 0.00 0.00 0.00 0.00 0.00
md4 45641.40k 139478.28k 320738.80k 505859.77k 579037.41k
md5 31471.99k 89507.36k 220685.87k 335275.81k 375402.52k
hmac(md5) 27515.84k 83772.43k 210612.83k 329966.13k 393811.29k
sha1 34359.27k 88033.80k 192999.08k 264018.02k 297169.59k
rmd160 22051.91k 54028.61k 100164.49k 127571.91k 131030.90k
rc4 266354.41k 336135.34k 356101.91k 365156.35k 366138.71k
des cbc 37055.58k 38434.58k 38046.14k 39093.09k 36604.59k
des ede3 14375.81k 13602.02k 14612.39k 13886.33k 14625.45k
idea cbc 0.00 0.00 0.00 0.00 0.00
seed cbc 47352.25k 48357.18k 48711.83k 48724.65k 48930.08k
rc2 cbc 22625.91k 23289.09k 23558.68k 23587.96k 23505.58k
rc5-32/12 cbc 0.00 0.00 0.00 0.00 0.00
blowfish cbc 68585.27k 74181.67k 75633.83k 76429.10k 76423.17k
cast cbc 64646.86k 69941.28k 71283.93k 71787.19k 71568.04k
aes-128 cbc 58358.00k 62161.96k 63216.66k 161910.95k 161786.50k
aes-192 cbc 49244.99k 48915.80k 52947.39k 137716.01k 138705.08k
aes-256 cbc 41614.08k 43580.60k 44405.90k 113634.55k 109234.86k
camellia-128 cbc 69839.54k 106016.30k 121108.39k 126341.74k 127451.14k
camellia-192 cbc 60096.27k 82460.06k 92706.16k 95493.99k 96739.57k
camellia-256 cbc 59394.44k 82922.39k 92551.00k 95636.46k 96367.96k
sha256 26382.85k 57845.32k 99444.49k 120951.92k 122408.75k
sha512 20692.30k 77756.08k 117994.78k 173807.27k 187693.01k
whirlpool 16230.74k 34693.99k 58188.46k 70517.64k 74958.17k
aes-128 ige 56337.10k 56251.21k 59973.97k 57534.76k 57191.08k
aes-192 ige 47445.42k 49070.42k 50227.46k 50670.25k 50776.75k
aes-256 ige 40852.68k 40005.12k 42586.67k 42548.91k 42735.39k
ghash 147425.95k 219430.21k 247484.25k 258937.41k 248340.48k
sign verify sign/s verify/s
rsa 512 bits 0.000113s 0.000009s 8843.2 113896.6
rsa 1024 bits 0.000363s 0.000023s 2758.1 43103.8
rsa 2048 bits 0.002444s 0.000076s 409.2 13169.4
rsa 4096 bits 0.017535s 0.000283s 57.0 3528.0
sign verify sign/s verify/s
dsa 512 bits 0.000107s 0.000107s 9383.1 9384.9
dsa 1024 bits 0.000238s 0.000267s 4208.0 3738.5
dsa 2048 bits 0.000745s 0.000863s 1342.5 1159.0
sign verify sign/s verify/s
160 bit ecdsa (secp160r1) 0.0001s 0.0004s 8426.0 2266.2
192 bit ecdsa (nistp192) 0.0001s 0.0005s 6793.0 1840.0
224 bit ecdsa (nistp224) 0.0001s 0.0003s 6717.8 2985.2
256 bit ecdsa (nistp256) 0.0002s 0.0006s 4018.7 1548.9
384 bit ecdsa (nistp384) 0.0004s 0.0019s 2475.3 535.0
521 bit ecdsa (nistp521) 0.0008s 0.0017s 1323.0 576.3
163 bit ecdsa (nistk163) 0.0004s 0.0017s 2522.7 589.7
233 bit ecdsa (nistk233) 0.0008s 0.0023s 1302.9 429.1
283 bit ecdsa (nistk283) 0.0012s 0.0052s 826.4 192.0
409 bit ecdsa (nistk409) 0.0030s 0.0111s 336.5 89.8
571 bit ecdsa (nistk571) 0.0065s 0.0249s 152.7 40.1
163 bit ecdsa (nistb163) 0.0004s 0.0018s 2530.3 547.5
233 bit ecdsa (nistb233) 0.0007s 0.0026s 1348.5 391.9
283 bit ecdsa (nistb283) 0.0012s 0.0057s 837.4 174.6
409 bit ecdsa (nistb409) 0.0030s 0.0123s 329.9 81.2
571 bit ecdsa (nistb571) 0.0066s 0.0273s 152.2 36.7
op op/s
160 bit ecdh (secp160r1) 0.0004s 2666.1
192 bit ecdh (nistp192) 0.0005s 2191.8
224 bit ecdh (nistp224) 0.0002s 4356.2
256 bit ecdh (nistp256) 0.0005s 2105.2
384 bit ecdh (nistp384) 0.0015s 660.7
521 bit ecdh (nistp521) 0.0012s 810.3
163 bit ecdh (nistk163) 0.0008s 1185.3
233 bit ecdh (nistk233) 0.0011s 874.6
283 bit ecdh (nistk283) 0.0026s 383.3
409 bit ecdh (nistk409) 0.0056s 179.0
571 bit ecdh (nistk571) 0.0119s 84.0
163 bit ecdh (nistb163) 0.0009s 1157.2
233 bit ecdh (nistb233) 0.0013s 791.7
283 bit ecdh (nistb283) 0.0028s 352.1
409 bit ecdh (nistb409) 0.0061s 164.6
571 bit ecdh (nistb571) 0.0139s 71.7

Edit:

habe mssfix gelöscht und die cipher auf AES-128-CBC gesetzt. Komme jetzt auf 55-60 Mbps im Multipath. Ohne Multipath das gleiche. Denke aber dass sich Multipath eher bei mehreren Anfragen rentiert.

Ich bin noch nicht am Ziel. Weitere Verbesserungsvorschläge nehme ich gern an!

 

[ara1]

https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_Linux kennst du schon?

increase the MTU size of the tun adapter ('--tun-mtu') to 6000 bytes. This resembles Jumbo frames on a regular Ethernet LAN. Note that the MTU size on the underlying network switches was not altered.
disable OpenVPN's internal fragmentation algorithm using '--fragment 0'.
disable OpenVPN's 'TCP Maximum Segment Size' limitor using '--mssfix 0'.

und

engine aesni

wenn deine Hardware das kann. Bin jetzt aber nicht wirklich der OpenVPN Crack, nur gegoogelt