Unifi AES-GCM или другое ускорение VPN запланировано?

Unifi AES-GCM или другое ускорение VPN запланировано?, UniFi Network

planedrop

Guest

14.04.2025 18:49:00

Серьёзно подумываю о том, чтобы купить себе EFG (у меня есть канал WAN на 8 гигабит), но если честно, отсутствие нормального ускорения VPN во всех файрволлах Ubiquiti немного раздражает. Есть ли какие-нибудь планы по поводу полноценного ускорения для достижения более высокой пропускной способности? Даже EFG ограничен примерно 1 гигабитом для клиентов WireGuard, что отвратительно, учитывая его цену. У меня самого есть UDMP, и он выдаёт около 500 Мбит/с для одного клиента WireGuard, в одинаковых тестах трафика мой Netgate 6100 справляется более чем с гигабитом благодаря более быстрому ускорению. Это особенно заметно с IPsec VPN, где многие файрволлы того же класса приближаются к 5 или 10 гигабитам благодаря поддержке AES-GCM вместо просто CBC. Не поймите меня неправильно, гигабитный WireGuard вполне подходит для большинства компаний, использующих его для доступа клиентов, но скорость IPsec — это куда большая проблема (отсюда и название здесь про GCM). Я управляю несколькими местами с потребностями в VPN от сайта к сайту в диапазоне нескольких гигабит, что полностью исключает Unifi как вариант для этих компаний.

davebirr

Guest

27.05.2025 18:44:00

Запустил AES-GCM и BGP на своём UDM Pro, чтобы он мог общаться с сервисом GSA от Microsoft на скорости 1 Гбит/с, но каждый раз, когда я трогаю конфигурацию, она возвращается к AES-CBC, который не поддерживается Microsoft (вероятно, из-за ограничений производительности CBC). Ищу хороший способ, чтобы изменения сохранялись, пока Ubiquiti не поддержит это в своём интерфейсе управления.

planedrop

Guest

14.04.2025 19:46:00

Понял, да, прошло какое-то время, как я особо не писал в форумах, так что мои предположения были основаны на старой информации. Всё равно стоит обсудить, чтобы посмотреть, нужно ли это кому-то ещё. Просто странно, у меня есть файрвол, который реально может маршрутизировать 25 гигабит и даже делать IDS/IPS на 12 гигабит, а для VPN он может максимум 1 гигабит lol.

RobbieH Guest	#4 14.04.2025 19:44:00 Раньше они делали это постоянно, а потом люди начали жаловаться, когда сроки не соблюдались, и они перестали.

planedrop

Guest

14.04.2025 19:22:00

У них это уже было. Но это тоже можно рассматривать как запрос на функцию, если честно, скорости VPN — одна из немногих областей, где Unifi все еще сильно отстает. За последние 2 года обновлений они наверстали многое, но в этой области им еще есть куда стремиться. Как я уже сказал, у меня есть сайты, которыми я управляю, и они буквально не могут использовать Unifi из-за медленных скоростей VPN, и я уверен, что я не единственный клиент в такой ситуации.

RobbieH Guest	#6 14.04.2025 19:21:00 Ubiquiti не хочет рассказывать о будущих фичах, патчах, железе и прочем.

planedrop

Guest

30.05.2025 01:56:00

WireGuard использует ChaCha20-Poly1305, поэтому это отчасти объясняет ситуацию. Прямой аппаратной акселерации нет, но на ARM он работает вполне себе. Всё равно медленно, но да, лучше, чем IPsec, точно. А вот это интересно, спасибо за ссылку. Всё ещё представляю, что они смогут заставить AES-GCM работать, просто это будет не так быстро на этом железе, всё равно было бы хорошо бы его поддерживать, на мой взгляд.

michmoor

Guest

27.05.2025 19:51:00

Это ограничение на уровне оборудования/ЦП, конкретно, не связано с софтом. https://developer.arm.com/documentation/ddi0514/g/introduction/about-the-cortex-a57-processor-cryptography-engine?lang=en Похоже... реализация WireGuard основана на ядре, и это объясняет более высокую пропускную способность, которую мы видим.

RobbieH Guest	#9 27.05.2025 19:07:00 Я предлагаю начать новую тему, твой вопрос отличается от текущего обсуждения.

Читают тему (гостей: 1)