|
|
|
|
Strumenti |
31-03-2022, 11:43 | #1 |
Senior Member
Iscritto dal: Apr 2002
Città: milano (nord) born: warsaw
Messaggi: 2920
|
[FTTH] Vodafone speed throttling con Open VPN
Ho creato un tunel tra due connessioni in fibra vodafone con OpenVPN e non mi torna la velocità a cui carica e scarica i dati che praticamente è intorno a 20MB/s circa 160 Mb/s
Il server openVPN gira su un nas Synology 1821+ che è collegato con FTTH 2500/500 Il client è una workstation win collegata in FTTH sempre vodafone ma 1000/200 Sia che carico un file che lo scarico non supera mai i 20 MB/s. Ora in teoria se il client può scaricare a 800-900 e il server può fare upload a 500 dovrei scaricare a 400-500, no ? invece vado a 20x in meno. Credo ci sia in atto traffic shaping o qualche collo di bottiglia che non riesco a trovare. avete esperienza in merito ? Configurazione Server: Configurazione Client: Codice:
dev tun tls-client remote xxx.synology.me 1194 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) #redirect-gateway def1 # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 comp-lzo reneg-sec 0 cipher AES-256-CBC auth SHA1 auth-user-pass <ca> -----BEGIN CERTIFICATE----- xxx -----END CERTIFICATE----- </ca> |
03-04-2022, 17:51 | #2 |
Senior Member
Iscritto dal: Dec 2007
Città: LIDV
Messaggi: 11125
|
E' un limite di OpenVPN, cerca in rete, ci ho perso del tempo anch'io tempo fa senza venirne a capo. Ha cambiato un sacco di parametri senza risultati concreti.
__________________
Be kind. Everyone you meet is fighting a hard battle. |
03-04-2022, 18:22 | #3 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 7890
|
In che senso "è un limite di OpenVPN" ? Io non credo e nel mio piccolo non mi risulta che sia limitato di proposito se è questo che intendevi dire. Piuttosto c'è da dire che per avere un throughput pari alla portata di una FTTH è necessario che il server (ed in misura minore anche il client) abbiano un hardware assai potente per instaurare il tunnel ed andare alla massima velocità permessa dalla linea.
Le opzioni disponibili sono: usare udp, abbassare il cifrario, disattivare la compressione, regolare buffer\mtu; non solo di openvpn ma anche di eventuali servizi che poi ci devono transitare sopra (Samba, NFS, ...). Ma ciò non basta se la CPU è piccolina. Credo che per far andare OpenVPN a 500Mbps serva un hardware lato server parecchio potente. --edit-- Non vorrei dire un'inesattezza ma credo che OpenVPN non sia parallelizzabile ma che, anzi, usi un solo tread\cpu per connessione. Questo se è vero penalizza ulteriormente le prestazioni. Si dovrebbe cercare hardware dedicato special purpose con processori fatti ad-hoc per questo scopo.
__________________
System Failure Ultima modifica di Perseverance : 03-04-2022 alle 18:31. |
03-04-2022, 18:53 | #4 | |
Senior Member
Iscritto dal: Apr 2002
Città: milano (nord) born: warsaw
Messaggi: 2920
|
Quote:
ho provato anche con Wireguard che raggiunge i 30MB/s (megabyte non megabit) ma la velocita non è per niente stabile, passa da 30 a 7 continuamente. La cpu del nas è AMD Ryzen Quad-core 2.2 GHz e durante le connessioni non supera nemmeno il 10% di utilizzo boh non ci capisco niente |
|
03-04-2022, 19:46 | #5 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 7890
|
Bisogna che tu aspetti che qualcuno con un po' di esperienza su questo argomento ti risponda. Se leggi questo articolo https://community.openvpn.net/openvp...TestingOpenVPN e questo https://community.openvpn.net/openvp...Networks_Linux vedi che non è impossibile ciò che chiedi.
La CPU del NAS è un AMD Ryzen V1500B (processore piccolino) che non implementa le istruzioni AES-NI le quali darebbero un bell'aiuto coi protocolli vpn. Essendo openvpn single-threaded non potrai mai vedere un utilizzo cpu più alto del 13% che corrisponde ad 1 cpu logica delle 8 disponibili. Con quella CPU lato server sarà difficile ottenere più di così con openvpn. Forse col vecchio PPTP potresti avvicinarti alla massima velocità.
__________________
System Failure Ultima modifica di Perseverance : 03-04-2022 alle 21:05. |
03-04-2022, 19:56 | #6 | |
Senior Member
Iscritto dal: Apr 2002
Città: milano (nord) born: warsaw
Messaggi: 2920
|
Quote:
a me risulta che questa cpu supporta le istruzioni AES-IN https://www.cpu-monkey.com/en/cpu-am...mbedded_v1500b |
|
03-04-2022, 21:05 | #7 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 7890
|
Hai ragione le implementa ed è anche scritto fra le specifiche del nas https://www.synology.com/en-global/p.../DS1821+#specs xò non sembra essere abilitata l'opzione nella tua configurazione openvpn.
ps. per curiosità se disattivi la crittazione per openvpn a che velocità ti và? (in teoria al massimo) Disattivando anche il firewall integrato? ...
__________________
System Failure Ultima modifica di Perseverance : 03-04-2022 alle 21:10. |
03-04-2022, 21:12 | #8 | |
Senior Member
Iscritto dal: Apr 2002
Città: milano (nord) born: warsaw
Messaggi: 2920
|
Quote:
|
|
04-04-2022, 20:05 | #9 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 7890
|
Ho visto la demo online sul sito di synology, prova impostando MD5, altrimenti usa un'altro tipo come già detto, ad esempio L2TP è già incluso in windows senza bisogno di client di terze parti.
Nel DEMO non riesco ad entrare in SSH non c'è possibilità quindi non sò aiutarti per questo.
__________________
System Failure |
04-04-2022, 23:58 | #10 | |
Senior Member
Iscritto dal: Apr 2002
Città: milano (nord) born: warsaw
Messaggi: 2920
|
Quote:
allego le opzioni possibili: Encryption: Authentication: |
|
05-04-2022, 17:34 | #11 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 7890
|
Ma tu i test li fai all'interno della LAN o tramite due computer con due connessioni ftth distinte?
I test devi farli prima all'interno della stessa LAN sennò non saprai mai chi è il collo di bottiglia, anche se è probabilmente il NAS. Prova con cifrari meno complessi. Ad esempio se imposti AES-128-CBC lasciando sempre spenta la compressione, un po' più veloce dovrebbe andare, forse il doppio a logica. Il blowfish (BF-CBC) se è quello a 64 bit dovrebbe andare ancora più veloce. Più che sali verso il DES-CBC più che sono semplici ed in teoria veloci. Permettimi una domanda generale: xkè insistere con openvpn quando il nas mette a disposizione sia l2tp che pptp? Massima velocità di througput e massima sicurezza di crittazione con quel prodotto non potrai mai averli contemporaneamente.
__________________
System Failure |
05-04-2022, 23:27 | #12 | |
Senior Member
Iscritto dal: Apr 2002
Città: milano (nord) born: warsaw
Messaggi: 2920
|
Quote:
Come creo una connessione vpn tra il fileserver e una workstation che sono collegati allo stesso switch ? grazie per l'aiuto! |
|
06-04-2022, 09:36 | #13 |
Senior Member
Iscritto dal: Jul 2008
Messaggi: 7890
|
Nel file *.ovpn, che sai già come ottenere esportando la configurazione, dovrai scrivere, nelle prime righe, l'indirizzo IP interno della macchina sostituendo remote xxx.synology.me 1194 con l'IP interno dell'apparecchio, chessò 192.168.1.5
__________________
System Failure |
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 10:44.