[FTTH] Vodafone speed throttling con Open VPN

[kaksa]

Ho creato un tunel tra due connessioni in fibra vodafone con OpenVPN e non mi torna la velocità a cui carica e scarica i dati che praticamente è intorno a 20MB/s circa 160 Mb/s

Il server openVPN gira su un nas Synology 1821+ che è collegato con FTTH 2500/500
Il client è una workstation win collegata in FTTH sempre vodafone ma 1000/200

Sia che carico un file che lo scarico non supera mai i 20 MB/s.
Ora in teoria se il client può scaricare a 800-900 e il server può fare upload a 500 dovrei scaricare a 400-500, no ? invece vado a 20x in meno.

Credo ci sia in atto traffic shaping o qualche collo di bottiglia che non riesco a trovare.
avete esperienza in merito ?





Configurazione Server:



Configurazione Client:

Codice:

dev tun
tls-client

remote xxx.synology.me 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA1

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
xxx
-----END CERTIFICATE-----

</ca>

[OUTATIME]

E' un limite di OpenVPN, cerca in rete, ci ho perso del tempo anch'io tempo fa senza venirne a capo. Ha cambiato un sacco di parametri senza risultati concreti.

[Perseverance]

In che senso "è un limite di OpenVPN" ? Io non credo e nel mio piccolo non mi risulta che sia limitato di proposito se è questo che intendevi dire. Piuttosto c'è da dire che per avere un throughput pari alla portata di una FTTH è necessario che il server (ed in misura minore anche il client) abbiano un hardware assai potente per instaurare il tunnel ed andare alla massima velocità permessa dalla linea.

Le opzioni disponibili sono: usare udp, abbassare il cifrario, disattivare la compressione, regolare buffer\mtu; non solo di openvpn ma anche di eventuali servizi che poi ci devono transitare sopra (Samba, NFS, ...). Ma ciò non basta se la CPU è piccolina.

Credo che per far andare OpenVPN a 500Mbps serva un hardware lato server parecchio potente.

--edit--
Non vorrei dire un'inesattezza ma credo che OpenVPN non sia parallelizzabile ma che, anzi, usi un solo tread\cpu per connessione. Questo se è vero penalizza ulteriormente le prestazioni. Si dovrebbe cercare hardware dedicato special purpose con processori fatti ad-hoc per questo scopo.

[kaksa]

Quote:

Originariamente inviato da Perseverance

In che senso "è un limite di OpenVPN" ? Io non credo e nel mio piccolo non mi risulta che sia limitato di proposito se è questo che intendevi dire. Piuttosto c'è da dire che per avere un throughput pari alla portata di una FTTH è necessario che il server (ed in misura minore anche il client) abbiano un hardware assai potente per instaurare il tunnel ed andare alla massima velocità permessa dalla linea.

Le opzioni disponibili sono: usare udp, abbassare il cifrario, disattivare la compressione, regolare buffer\mtu; non solo di openvpn ma anche di eventuali servizi che poi ci devono transitare sopra (Samba, NFS, ...). Ma ciò non basta se la CPU è piccolina.

Credo che per far andare OpenVPN a 500Mbps serva un hardware lato server parecchio potente.

--edit--
Non vorrei dire un'inesattezza ma credo che OpenVPN non sia parallelizzabile ma che, anzi, usi un solo tread\cpu per connessione. Questo se è vero penalizza ulteriormente le prestazioni. Si dovrebbe cercare hardware dedicato special purpose con processori fatti ad-hoc per questo scopo.

tutte cose che ho provato ma non essendo del mestiere non so nemmeno se le ho fatte bene.

ho provato anche con Wireguard che raggiunge i 30MB/s (megabyte non megabit) ma la velocita non è per niente stabile, passa da 30 a 7 continuamente.

La cpu del nas è AMD Ryzen Quad-core 2.2 GHz e durante le connessioni non supera nemmeno il 10% di utilizzo

boh non ci capisco niente

[Perseverance]

Bisogna che tu aspetti che qualcuno con un po' di esperienza su questo argomento ti risponda. Se leggi questo articolo https://community.openvpn.net/openvp...TestingOpenVPN e questo https://community.openvpn.net/openvp...Networks_Linux vedi che non è impossibile ciò che chiedi.

La CPU del NAS è un AMD Ryzen V1500B (processore piccolino) che non implementa le istruzioni AES-NI le quali darebbero un bell'aiuto coi protocolli vpn.

Essendo openvpn single-threaded non potrai mai vedere un utilizzo cpu più alto del 13% che corrisponde ad 1 cpu logica delle 8 disponibili.

Con quella CPU lato server sarà difficile ottenere più di così con openvpn. Forse col vecchio PPTP potresti avvicinarti alla massima velocità.

[kaksa]

Quote:

Originariamente inviato da Perseverance

Bisogna che tu aspetti che qualcuno con un po' di esperienza su questo argomento ti risponda. Se leggi questo articolo https://community.openvpn.net/openvp...TestingOpenVPN e questo https://community.openvpn.net/openvp...Networks_Linux vedi che non è impossibile ciò che chiedi.

La CPU del NAS è un AMD Ryzen V1500B (processore piccolino) che non implementa le istruzioni AES-NI le quali darebbero un bell'aiuto coi protocolli vpn.

Essendo openvpn single-threaded non potrai mai vedere un utilizzo cpu più alto dell'13% che corrisponde ad 1 cpu logica delle 8 disponibili.

Con quella CPU lato server sarà difficile ottenere più di così con openvpn. Forse col vecchio PPTP avvicinarti alla massima velocità.

grazie adesso leggo.
a me risulta che questa cpu supporta le istruzioni AES-IN

https://www.cpu-monkey.com/en/cpu-am...mbedded_v1500b

[Perseverance]

Hai ragione le implementa ed è anche scritto fra le specifiche del nas https://www.synology.com/en-global/p.../DS1821+#specs xò non sembra essere abilitata l'opzione nella tua configurazione openvpn.

ps. per curiosità se disattivi la crittazione per openvpn a che velocità ti và? (in teoria al massimo) Disattivando anche il firewall integrato? ...

[kaksa]

Quote:

Originariamente inviato da Perseverance

Hai ragione le implementa ed è anche scritto fra le specifiche del nas https://www.synology.com/en-global/p.../DS1821+#specs xò non sembra essere abilitata l'opzione nella tua configurazione openvpn.

ps. per curiosità se disattivi la crittazione per openvpn a che velocità ti và? (in teoria al massimo)

ci sono una 30ina di tipi di crittazione ma non mi da la possibilita di disabilitarlo dall-interfaccia di configurazione...forse da riga di comando in ssh ma non saprei come fare

[Perseverance]

Ho visto la demo online sul sito di synology, prova impostando MD5, altrimenti usa un'altro tipo come già detto, ad esempio L2TP è già incluso in windows senza bisogno di client di terze parti.

Nel DEMO non riesco ad entrare in SSH non c'è possibilità quindi non sò aiutarti per questo.

[kaksa]

Quote:

Originariamente inviato da Perseverance

Ho visto la demo online sul sito di synology, prova impostando MD5, altrimenti usa un'altro tipo come già detto, ad esempio L2TP è già incluso in windows senza bisogno di client di terze parti.

Nel DEMO non riesco ad entrare in SSH non c'è possibilità quindi non sò aiutarti per questo.

MD5 lo vedo solo in Authentication, in Encryption non c'è MD5
allego le opzioni possibili:

Encryption:




Authentication:

[Perseverance]

Ma tu i test li fai all'interno della LAN o tramite due computer con due connessioni ftth distinte?

I test devi farli prima all'interno della stessa LAN sennò non saprai mai chi è il collo di bottiglia, anche se è probabilmente il NAS.

Prova con cifrari meno complessi. Ad esempio se imposti AES-128-CBC lasciando sempre spenta la compressione, un po' più veloce dovrebbe andare, forse il doppio a logica. Il blowfish (BF-CBC) se è quello a 64 bit dovrebbe andare ancora più veloce. Più che sali verso il DES-CBC più che sono semplici ed in teoria veloci.

Permettimi una domanda generale: xkè insistere con openvpn quando il nas mette a disposizione sia l2tp che pptp? Massima velocità di througput e massima sicurezza di crittazione con quel prodotto non potrai mai averli contemporaneamente.

[kaksa]

Quote:

Originariamente inviato da Perseverance

Ma tu i test li fai all'interno della LAN o tramite due computer con due connessioni ftth distinte?

I test devi farli prima all'interno della stessa LAN sennò non saprai mai chi è il collo di bottiglia, anche se è probabilmente il NAS.

Prova con cifrari meno complessi. Ad esempio se imposti AES-128-CBC lasciando sempre spenta la compressione, un po' più veloce dovrebbe andare, forse il doppio a logica. Il blowfish (BF-CBC) se è quello a 64 bit dovrebbe andare ancora più veloce. Più che sali verso il DES-CBC più che sono semplici ed in teoria veloci.

Permettimi una domanda generale: xkè insistere con openvpn quando il nas mette a disposizione sia l2tp che pptp? Massima velocità di througput e massima sicurezza di crittazione con quel prodotto non potrai mai averli contemporaneamente.

Hai ragione, i test li sto facendo da due connessioni ftth diverse. Pero ho un blocco mentale e proprio non saprei come creare un tunnel vpn interno alla rete lan.
Come creo una connessione vpn tra il fileserver e una workstation che sono collegati allo stesso switch ?

grazie per l'aiuto!

[Perseverance]

Nel file *.ovpn, che sai già come ottenere esportando la configurazione, dovrai scrivere, nelle prime righe, l'indirizzo IP interno della macchina sostituendo remote xxx.synology.me 1194 con l'IP interno dell'apparecchio, chessò 192.168.1.5