Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
Каталог
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Страницы: 1 2 След.
RSS
Скорость USG IPsec VPN, UniFi Network
 
IPsec VPN на USG постепенно достигает предела около 12-15 Мбит/с. Это ожидаемо улучшится с новыми обновлениями прошивки или контроллера, или же это аппаратный предел? Мои другие (старые) VPN-устройства работают быстрее: Synology 215j — 30 Мбит/с, 1513+ — 60 Мбит/с, RT1900ac — 50 Мбит/с.
 
Вы используете один и тот же гигабитный Ethernet и для нешифрованного, и для зашифрованного трафика?
 
Я уже предполагал, что скорость IPSEC не очень высокая (у меня около 30 Мбит/с на USG3p), но когда VPN загружен по максимуму, все остальные подключения, не относящиеся к VPN, тоже замедляются (с 600 Мбит/с моей линии до примерно 50–80 Мбит/с при полной загрузке IPSec VPN). Кто-нибудь ещё такое замечал? Это происходит даже при загрузке процессора не выше 30%, с отключённым IDS/IPS и включённым аппаратным ускорением.
 
Да, Wireguard действительно впечатляет. Я понимаю, что некоторые переживают, потому что он ещё очень новый — но он в разы проще, чем OpenVPN, а OpenSSL страдал от уязвимости Heartbleed годами, и даже легендарные «глаза открытого кода» ничего не помогли. Сложность подводит всегда. Вот почему мне так нравится Wireguard.
 
Я установил OpenWRT на Raspberry Pi 4B и протестировал пропускную способность маршрутизации через него. Пока что при измерении скорости NAT не использовал, проверял только обычную маршрутизацию. Но также протестировал WireGuard VPN (клиент на macOS, сервер на Raspberry Pi 4B). Вот результаты:

1. Обычные данные, маршрутизируемые Raspberry Pi 4B.  
iperf3 клиент работал на MacBook Pro 2020 года (13"), с гигабитным Ethernet-адаптером Thunderbolt на базе Broadcom.  
iperf3 сервер — на AMD четырехъядерном QNAP NAS.  
OpenWRT работал на Raspberry Pi 4B.  
У Raspberry Pi 4B было два интерфейса: встроенный гигабитный Ethernet (Broadcom) и USB3 гигабитный Ethernet (TP-Link UE300 на чипе Realtek 8153).

iperf3 -s  
-----------------------------------------------------------  
Server listening on 5201  
-----------------------------------------------------------  
Accepted connection from 172.16.20.99, port 59504  
[ 5] local 192.168.200.30 port 5201 connected to 172.16.20.99 port 59505
[ID] Интервал Передано Скорость
[ 5] 0.00-1.00 сек 111 MBytes 934 Mbits/sec
[ 5] 1.00-2.00 сек 112 MBytes 940 Mbits/sec
[ 5] 2.00-3.00 сек 112 MBytes 940 Mbits/sec
[ 5] 3.00-4.00 сек 112 MBytes 940 Mbits/sec
[ 5] 4.00-5.00 сек 112 MBytes 940 Mbits/sec
[ 5] 5.00-6.00 сек 112 MBytes 940 Mbits/sec
[ 5] 6.00-7.00 сек 112 MBytes 940 Mbits/sec
[ 5] 7.00-8.00 сек 112 MBytes 940 Mbits/sec
[ 5] 8.00-9.00 сек 112 MBytes 940 Mbits/sec
[ 5] 9.00-10.00 сек 112 MBytes 940 Mbits/sec
[ 5] 10.00-10.00 сек 529 KBytes 951 Mbits/sec
-----------------------------------------------------------  
[ID] Интервал Передано Скорость
[ 5] 0.00-10.00 сек 1.09 GBytes 940 Mbits/sec (приёмник)

2. Зашифрованные данные (через WireGuard).  
iperf3 клиент был тот же — MacBook Pro 2020 13" с адаптером Broadcom Thunderbolt Gigabit Ethernet.  
iperf3 сервер — на QNAP NAS с AMD.  
OpenWRT, WireGuard сервер — на Raspberry Pi 4B.  
WireGuard клиент — на MacBook Pro 2020.  
У Raspberry Pi 4B те же два интерфейса: встроенный гигабитный Ethernet Broadcom и USB3 гигабитный TP-Link UE300 на Realtek 8153.

-----------------------------------------------------------  
Server listening on 5201  
-----------------------------------------------------------
Accepted connection from 10.0.0.2, port 52681  
[ 5] local 192.168.200.30 port 5201 connected to 10.0.0.2 port 52682
[ID] Интервал Передано Скорость
[ 5] 0.00-1.00 сек 81.0 MBytes 680 Mbits/sec
[ 5] 1.00-2.00 сек 94.9 MBytes 796 Mbits/sec
[ 5] 2.00-3.00 сек 104 MBytes 871 Mbits/sec
[ 5] 3.00-4.00 сек 103 MBytes 865 Mbits/sec
[ 5] 4.00-5.00 сек 103 MBytes 864 Mbits/sec
[ 5] 5.00-6.00 сек 103 MBytes 864 Mbits/sec
[ 5] 6.00-7.00 сек 99.2 MBytes 832 Mbits/sec
[ 5] 7.00-8.00 сек 103 MBytes 865 Mbits/sec
[ 5] 8.00-9.00 сек 103 MBytes 865 Mbits/sec
[ 5] 9.00-10.00 сек 104 MBytes 869 Mbits/sec
[ 5] 10.00-10.00 сек 290 KBytes 967 Mbits/sec
-----------------------------------------------------------  
[ID] Интервал Передано Скорость
[ 5] 0.00-10.00 сек 998 MBytes 837 Mbits/sec (приёмник)

-----------------------------------------------------------  
Все тесты проводились в лаборатории. Raspberry Pi 4B с 4 ГБ ОЗУ не разгоняли.  
В реальной работе у меня сейчас pfSense на Fitlet micro PC с четырехъядерным AMD и 4 ГБ ОЗУ. Fitlet производит израильская компания Compulab — гарантия 6 или 8 лет (точно не помню). Максимальная скорость обычной (без NAT) передачи на Fitlet с pfSense около 750 Mbps. Максимальная скорость зашифрованной передачи (через IPSec VPN) примерно 170 Mbps. Сейчас вышла улучшенная версия Fitlet2 с двумя вариантами Intel CPU вместо AMD, должна быть быстрее оригинала.  
Я купил Fitlet в 2016 году примерно за $350. Это отличный маленький роутер на pfSense, но скорость моего провайдера всего около 350/25 Mbps, так что Fitlet с pfSense справляется с моей сетью отлично. Зато Raspberry Pi 4B с 4 ГБ ОЗУ стоит всего $50 (плата) + $10 (металлический пассивный корпус Argon) + $10 (USB3 гигабитный адаптер TP-Link UE300) + $10 (microSD карта). Итого около $80 за готовое решение на Raspberry Pi с 4 ГБ. Для OpenWRT достаточно модели с 2 ГБ ОЗУ, тогда стоимость упадёт до $65.  
Я реально впечатлён скоростью зашифрованного канала через WireGuard на Raspberry Pi 4B, а обычная скорость просто максимально возможная — "на проводе". Думаю, я сменю pfSense на OpenWRT.  
Если бы кто-то сделал такой функционал доступным через UI — это было бы просто фантастически. Нет смысла возиться с OpenVPN и его пожиранием ресурсов процессора. WireGuard действительно отличный.  
Если кому интересно почитать подробности моего эксперимента с OpenWRT на Raspberry Pi 4B — вот ссылка.
 
Да. Пропускная способность на всех моих сайтах не превышает 500 Мбит/с, а отдельные интерфейсы для этих установок — это уже перебор.
 
Хм, я не знал, что OpenWRT есть на Pi. Очень интересно! Beagle Board или одна из таких плат имела модель с двумя LAN-портами — надо посмотреть, есть ли по ней какие-то новости. Но твои комментарии про USB 3 на Pi тоже очень любопытны. К тому же у OpnSense сейчас разрабатывается порт под ARM — я давно не заглядывал в это, но, наверное, стоит.
 
Благодаря @EricE я начал разбираться, что можно сделать с моим Raspberry Pi4b. Оказывается, его можно использовать как роутер с OpenWRT, и, что удивительно, он легко обеспечивает маршрутизацию на скорости 1 Гбит/с с включенным файрволом и NAT (для полной дуплексной скорости 1 Гбит/с нужен USB3 Gigabit Ethernet адаптер). Его также можно использовать как точку доступа с встроенным Wi-Fi-чипом, но, конечно, с этим чипом и встроенной антенной это не самая мощная точка доступа (пользователи получают до 100 Мбит/с по 5 ГГц). Возможно, производительность Wi-Fi можно улучшить, используя USB3 Wi-Fi адаптер.

Кроме того, люди запускают Wireguard под OpenWRT и сообщают о потрясающей пропускной способности Raspberry Pi4b. Также под OpenWRT используют PiHole, Squid и другие сервисы.

Отмечают очень низкую загрузку CPU и памяти. Raspberry Pi 4b выпускается в версиях с 1, 2, 4 и 8 ГБ ОЗУ. Роутер на базе Raspberry Pi 4B с 1 Гбит стоит $35. Дополнительный USB3 Gigabit Ethernet адаптер — $10, microSD карта — $5, блок питания или POE-сплиттер — около $10, металлический пассивный кулер — $10. В итоге можно получить очень способный роутер за $70 плюс налоги, или за $85 плюс налоги — с версией Raspberry Pi с 4 ГБ ОЗУ и OpenWRT.

Пользователи отмечают очень низкую задержку при маршрутизации — всего 1 мс добавляется OpenWRT-роутером с USB3 Gigabit Ethernet адаптером. Если нужен пропуск меньше 500 Мбит/с, можно использовать встроенный гигабитный порт для внутренних и внешних интерфейсов, разделяя трафик через VLAN на 802.1q-коммутаторе, подключенном к встроенному адаптеру Raspberry Pi, что снижает стоимость решения с $70 до $60.

Мы живем в удивительное время, когда одноплатные компьютеры типа Raspberry Pi с открытым софтом, например OpenWRT, могут заменить роутеры и файрволы стоимостью в тысячи долларов.

Теперь ждем, когда Ubiquiti разберутся со своим «Enterprise» роутером, который сейчас стоит $500 и даже не может нормально сделать и долю того, что выдаёт готовое за $70 SBC с открытым ПО.

Раньше я думал, что мой pfSense-бокс, собранный за $350, — отличное решение роутера/файрвола (и правда так и есть), но теперь можно получить столь же стабильный и функциональный файрвол всего за 20% стоимости и с меньшим энергопотреблением.

Представьте, если нужно развернуть файрвол с огромной пропускной способностью VPN на сотнях филиалов и какую экономию это даст. За $500, которые UI собирается брать за UXG-Pro без поддержки, сегодня уже можно получить лучшее решение за седьмую часть цены с той же поддержкой через форумы OpenWRT. UI стало тяжело.

Конечно, крупные корпорации не будут ставить роутеры/фаерволы на Raspberry Pi в удаленных офисах, но и UniFi без поддержки — тоже не вариант. Для малого бизнеса OpenWRT на Raspberry Pi может стать хорошей альтернативой UXG-Pro как роутер/фаервол.

Представьте, какую выгоду может получить системный интегратор. Вместо того чтобы продавать клиенту решение за $1000 (с $500 аппаратуры и $500 услуг), он может предложить похожее по функциям и производительности за $800 (с $100 аппаратуры и $700 услуг), при этом заработать на услугах на $200 больше и при этом сократить общую стоимость решения на $200.

Не говоря уже о том, что за эти деньги можно всем клиентам предложить резервный рабочий комплект (cold spare) всего за $70-$85, решив тем самым проблему замены оборудования, которая существует у UI. С UXG-Pro за $500 и без опций замены на следующий день или в течение 4 часов, убедить клиента взять резерв за $500 на каждую точку — сложно. В итоге с резервом аппаратные расходы на решение на базе Raspberry Pi 4B будут $140-$170 против $1000 за UXG-Pro.
 
Я выжимаю максимум из 100Mbps (мой аплинк), и при этом загрузка процессора на Pi b3+ (или 3b+ — тот, что до 4-й модели) едва превышает 20%. Был немного в шоке от того, как хорошо он работает. Как я уже сказал, очень доволен. У меня есть несколько адаптеров с POE на USB, и я просто подвешиваю Pi к своему коммутатору. Нужно будет прикрепить его на липучку и закрепить на стойке, потому что, наверное, так с кабелями лучше, хоть Pi и не тяжелый. Много всяких кабелей-разветвителей с POE и USB. Я заметил, что лучше работают те, у которых USB-разъем под углом — так меньше нагрузка на порт USB. Если не ошибаюсь, стоило около 10 долларов на Amazon.
 
У меня есть запасной RaspberryPi, лежащий в коробке. Какой пропускной способности ты достигаешь с piVPN? У меня Pi 4b с 4 ГБ оперативки.
 
Я перевожу все свои VPN на piVPN с Wireguard — либо на Raspberry Pi для небольших площадок, либо внутри виртуальных машин, когда нужна большая пропускная способность. До сих пор не понимаю, почему так долго откладывал знакомство с Wireguard, но он мне реально нравится. Он НАМНОГО проще, чем OpenVPN, а клиенты проще настраиваются и обслуживаются. На iOS работает абсолютно прозрачным образом — я прям в восторге. Ещё разбиение трафика через VPN сделано предельно просто. Для большинства моих площадок не нужно гонять весь удалённый трафик через VPN, а только тот, что связан с сервисами, удалёнными от клиента — поменял одну строчку в конфиге, и всё готово. Пока что это просто работает™. Единственная моя претензия — в конфиге клиента нужно добавить параметр keep alive, если участвует NAT. Об этом хорошо пишут в сообществе, но официальной документации, которую я бы назвал полной и понятной, нет. К счастью, конфиг не слишком сложный, но документацию точно стоит доработать. Ни одна из моих установок не настолько большая, чтобы требовать интеграции с AD/LDAP или внешними каталогами, так что как там — не знаю (этой функциональностью не пользовался и не тестировал). Но для моих задач я очень доволен настройкой и скоростью. Он очень быстрый и минимально влияет на системы (как на конечных устройствах, так и на серверах). Наверное, Wireguard можно настроить и без piVPN, но так как piVPN автоматизирует установку до идеала, я просто не стал пробовать сделать это вручную.
 
Итак, чем ты тогда пользуешься для VPN?
 
Нет, я больше придерживаюсь старой школы и предпочитаю, чтобы мои edge-устройства были именно edge-устройствами, а не "всё и сразу" для всех случаев жизни. Но каждому своё.
 
Так значит, новая аппаратная платформа в UXG-Pro и UDM-Pro на самом деле не такая уж и «про»?
 
Лично я бы продолжал использовать NAS для VPN. Если вы ещё не отключили IDS/IPS, как уже заметили другие — начните именно с этого.
 
Я купил UDM Pro. При подключении через VPN L2TP на iPhone 11 Pro максимум получается 30/30, а если переключиться на 4G, скорость поднимается примерно до 100/30. Раньше, с моим старым Synology NAS DS214 2014 года, по 4G VPN работал намного быстрее — около 70/30. Дома у меня оптоволоконный интернет 250/250. Может, я что-то неправильно настроил на своей новой Dream Machine Pro?

Дома, по локальной сети, с OpenVPN на NAS через MacBook я получаю полную скорость 260/260. На iPhone 11 с L2TP VPN через UDM Pro — около 150/70. Если выключить VPN и подключиться только по Wi-Fi на iPhone, скорость также полная — 260/260. Почему UDM Pro не может выдать такую же скорость, как мой старый NAS?
 
Всем привет! Могу подтвердить, что скорость IPSec VPN между двумя USG-Pro-4 очень высокая, измерял с помощью iperf3 между сайтами:

В одном направлении, где узким местом является отправитель:  
[ ID] Интервал Передано Скорость
[ 5] 0.00-30.00 сек 579 Мбайт 162 Мбит/с

В другом направлении, где узким местом является получатель:  
[ ID] Интервал Передано Скорость
[ 5] 0.00-30.00 сек 705 Мбайт 197 Мбит/с

У узкого места подключение 200/200, у другого — 1000/1000.

С уважением,  
Лукас
 
Всем привет! Я просто отключаю IDS или IPS, и мой VPN начинает работать намного быстрее. Помните, что это всё ещё в бета-версии...
 
Привет, что именно ты изменил в своих настройках? Спасибо!
 
@pmg_admin Рад, что теперь у тебя хоть какой-то достойный результат. Я думал, у тебя стоит ручной VPN (а не OpenVPN). Помню, что читал — OpenVPN работает медленнее, чем ручной VPN, и твой опыт это подтверждает. Если ты сменишь свой USG на UDM, скорее всего, получишь еще хороший прирост в скорости. Еще стоит проверить, не фрагментируются ли у тебя пакеты.
Страницы: 1 2 След.
Читают тему (гостей: 1)