Prestazioni Wireguard server router Iliad

joinwind · 2023-09-08T08:50:00+00:00

Ciao a tutti sono in procinto di passare a Iliad piu' che altro per la velocità di upload, so che all'interno del router e' presente un server wireguard, per...

documibozu

simonebortolin

ecco il link corretto, quello nel vecchio post mi si era segato nel copia/incolla dal tablet...

https://openwrt.org/toh/views/toh_vpn_performance

simonebortolin

documibozu ah vabbe pensavo fosse più una roba dedicata alle cpu che le stime per ogni router

documibozu

Non sono stime, è una tabella dove sono inserite le prestazioni di alcuni router compatibili con openwrt.
Purtroppo, essendo un progetto gestito dalla comunità, è incompleto e rimesso alla buona volontà degli utenti.
Però ci sono diverse architetture MIPS e ARM nella tabella e ci si può fare un'idea della scalabilità di openvpn e wireguard (in genere ovpn varia da wireguard/3 a wireguard/10 a seconda dell'accelerazione delle primitive nella CPU)

Cal

documibozu (in genere ovpn varia da wireguard/3 a wireguard/10 a seconda dell'accelerazione delle primitive nella CPU)

A parte il fatto che anche OpenVPN supporta ChaCha20-Poly1305, in base alla versione di OpenSSL. E davvero non vuoi usare AES senza accelerazione hardware.

La differenza principale è in come lo esegui. Wireguard gira quasi sempre come modulo del kernel (ci sono implementazioni userspace ma usate raramente). OpenVPN è sempre userspace.

Gippe

Effettivamente nonostante sia lato client che lato server sembra tutto ok pare che poi il traffico passi comunque esternamente alla VPN.. non uso mai OpenVPN quindi non ci ho mai fatto caso.

documibozu

Cal

Openvpn permette in teoria di usare qualunque cifratore implementato in openssl (dal vecchio blowfish sino a roba esoterica come camellia, twofish e simili). Nella pratica i server VPN usano tutti AES-128-GCM o AES-256-GCM, talvolta con TLS-Crypt (ma non tutti perchè rompe le connessioni con le versioni precedenti la 2,4 e non hai idea di quanti router lavorino ancora con le versioni di 10 anni fa).
Wireguard è più veloce non solo perchè lavora in userspace, ma anche perchè ha un codice mostruosamente più snello e supporta il multicore/multithread. Puoi avere un AMD Threadripper e Openvpn girerà immarcescibile su un singolo core, maxandolo al 100%.
A breve cmq uscirà openvpn-DCO e lì vedremo se il gap con wireguard sarà colmato.

Gippe

Ora mi torna... Cmq se fa 230 con ipsec con Openvpn saremo sui 100 a dir tanto, più probabile intorno ai 60/80.

Cal

documibozu Nella pratica i server VPN usano tutti AES-128-GCM o AES-256-GCM

Magari. Immagino che in giro ci sia molto peggio. (Ma anche di meglio, come AESGCM:CHACHA20)

documibozu

Cal
Aes-gcm non può esser mescolato con chacha-poly. O l'uno o l'altro.
In ogni caso quando usavo ancora openvpn avevo provato a settarlo come cifratore di default ma non ti credere che le prestazioni siano così superiori.
Il problema è che chacha-poly è più veloce via software della versione corrispondente di Aes, ossia Aes256.
Ma se entra in campo aes128, largamente sufficiente per una VPN casalinga, siamo lì con chacha...e se per caso ti connetti con un PC non c'è storia per via dell'accelerazione Aes.

Cal

documibozu chiaro che non puoi usarli contemporaneamente, non avrebbe neanche senso. Ma abilitarli entrambi perché dici di no? Praticamente tutto il TLS moderno li usa entrambi.

handymenny

simonebortolin 200-300 sui principali ARM in commercio (mediatek, Qualcomm, broadcom

il mio xz1 faceva anche 500 se usavo la versione in kernel (e il raspberry ne fa 700-900)

Secondo me non funziona bene la tua teoria

documibozu

handymenny
Si ne abbiamo già parlato.
Tuttavia considera che il chipset del tuo Sony XZ1 e del Raspberry sono moooooooooolto superiori rispetto a quelli che si trovano nei router.
Nei router al massimo trovi core arm a53 perché quello che conta è il consumo, non la performance.

[cancellato]

handymenny esatto,il tutto dipende dalle prestazioni in singlecore e anche multicore nel caso di wireguard,così come anche l'eventuale presenza di AES-NI per openvpn

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile