openVPN @ IPFIRE - AES-NI-Support automatisch?

Das schwierige Thema VPN!
Post Reply
56kbit
Posts: 20
Joined: October 28th, 2019, 10:50 am

openVPN @ IPFIRE - AES-NI-Support automatisch?

Post by 56kbit » November 4th, 2019, 12:57 am

Hallo Community.

Ich habe gerade - weil in einem anderen Thread mein VPN nicht so will wie ich - stattdessen wieder rumgedödelt.
Und - was macht man ... genau, Tuning - tiefer, härter, breiter, schneller. Folgende Frage oder Thema mit zwei Links zum Thema CPU und AES-NI Support, beide im IPFIRE-Forum:

https://wiki.ipfire.org/hardware/mythbusters/aes-ni
viewtopic.php?f=50&t=22115&p=127151&hil ... ni#p127151

Daher:
Ist bei der FIRE die openVPN-Config "engine aesni" schon per default=ON by autodetect? Oder muss man das irgendwo aktivieren?
Oder wie ist dies automatisch berücksichtigt, siehe 2. Link von Arne (seit core 117)?

Die aus der GUI erzeugt Config der FIRE befindet sich unter:

Code: Select all

cat /var/ipfire/ovpn/server.conf
Hier ist die Option nicht explizit genutzt - obwohl die CPU könnte.
Der laufende Prozess einer meiner FIREs nutzt genau (oder nur diese) Konfig:

Code: Select all

ps -aef | grep open
nobody    3255     ... /usr/sbin/openvpn --config /var/ipfire/ovpn/server.conf
Daher habe ich die guten Ergebnisse des IPFIRE-Forums von oben nachstellen wollen. Kurz als manuelles Tweaking einen Test mit openVPN @ Ubuntu pur gemacht. Ohne IPFIRE auf einer Gbit-Verbindung (AES256 mit CBC, UDP, Default MTU, adhoc zusammengesteckt, Client alt, Server aus Reserve) :
- Ohne AES-NI-Support ca. 32 MB/s
- Mit AES-NI-Support ca. 44 MB/s
Ergebnisse bestätigt, ich will ja gar keine 2fache Leistung 20-40% reichen mir ;-)

Weiss jemand etwas dazu bei aktuellen Versionen der Fire?

Cheers,

56k

ummeegge
Community Developer
Community Developer
Posts: 5001
Joined: October 9th, 2010, 10:00 am

Re: openVPN @ IPFIRE - AES-NI-Support automatisch?

Post by ummeegge » November 4th, 2019, 7:23 am

Moin moin 56k,
56kbit wrote:
November 4th, 2019, 12:57 am
Ist bei der FIRE die openVPN-Config "engine aesni" schon per default=ON by autodetect? Oder muss man das irgendwo aktivieren?
Oder wie ist dies automatisch berücksichtigt, siehe 2. Link von Arne (seit core 117)?
soweit ich weiss macht die OpenSSL Engine (ab >= 1.0.1) AES-NI im Envelope-Mode (-evp)und das auch per Default (sofern unterstützt) und somit brauchts keinen Switch mehr im OpenVPN. Siehe z.b. --> https://stackoverflow.com/questions/289 ... i-in-nginx bzw. --> https://www.net.in.tum.de/fileadmin/bib ... rmance.pdf oder auch --> https://forum.opnsense.org/index.php?to ... 9#msg13669 .

Grüße,

UE
Image
Image

Post Reply