WireGuard/IPSec: massime prestazioni ottenibili con RouterOS e pfSense

nxdrd · 2024-10-21T15:01:17+00:00

Ciao a tutti, avrei (purtroppo) necessità di instradare tutto il traffico di una connettività attraverso una VPN. Più precisamente, vorrei terminare la VPN s...

documibozu

Technetium

I filogic sono processori molto molto molto performanti ed hanno un favoloso supporto opensource, quindi gente che ci lavora per risolvere i problemi:

https://forum.openwrt.org/t/a-wireguard-comparison-db/187586/204

Qui sopra puoi vedere le prestazioni in wireguard dei vari processori

Quanto al flint 20 euro mi pare che ci passino con la routerboard, che non ha il modulo wifi.
Il 4011, con un modulo wifi 5 (più vecchio) mi pare che costi quasi il doppio.

Technetium

documibozu
Ma ai fini della richiesta di chi ha aperto la discussione che senso ha ?
Ha un rb4011 e vuole usare quello.

Già la mia sparata di usare un appliance con un N100 e ros virtualizzato aveva poco senso ma giusto per dare uno spunto... se proprio vuole usare ros.

documibozu I filogic sono processori molto molto molto performanti ed hanno un favoloso supporto opensource, quindi gente che ci lavora per risolvere i problemi:

Non so cosa c'entri con la discussione.
Discutiamo oggi delle prestazioni che hanno oggi... perchè mi servono oggi.
In base alle prestazioni che servono oggi scelgo il dispositivo da prendere oggi. Se migliorano in futuro tanto meglio ma di base sono già soddisfatte.

nxdrd

Ringrazio tutti per i suggerimenti dati, purtroppo son stato piuttosto incasinato e non sono ancora riuscito a metterci mano, ma vi aggiornerò appena possibile ☺️

mark129 molto utile, grazie!

Technetium documibozu In questo specifico caso devo necessariamente utilizzare la RB4011, ma ascolto di buon grado suggerimenti su soluzioni alternative in quanto potrebbe capitarmi in altre occasioni di poter utilizzare altre tipologie di apparati.
In ogni caso, spero che le informazioni di questo thread possano risultare utili anche a qualcun altro 🙂

nxdrd

Ciao a tutti, finalmente mi sono rimesso a fare qualche prova.
Ho preparato una RB4011 con ROS 7, sul quale ho configurato una IPSec IKEv2.
Vi giro un export della configurazione (alquanto grezza, abbiate pietà):

/interface bridge
add name=bridge1-ipsec
/interface vlan
add interface=ether1 name=vlan835 vlan-id=835
/interface pppoe-client
add disabled=no interface=vlan835 name=pppoe-out1 user=<RIMOSSO>
/interface list
add name=LAN
add name=WAN
/ip ipsec profile
add dh-group=modp2048 enc-algorithm=aes-256 hash-algorithm=sha256 name=\
    Cloud-FW-phase1 nat-traversal=no
/ip ipsec peer
add address=<RIMOSSO> exchange-mode=ike2 name=Cloud-FW profile=\
    Cloud-FW-phase1
/ip ipsec proposal
add auth-algorithms="" enc-algorithms=aes-256-gcm lifetime=1h name=\
    Cloud-FW-phase2 pfs-group=modp2048
/ip pool
add name=pool1 ranges=192.168.2.100-192.168.2.200
/ip dhcp-server
add address-pool=pool1 interface=bridge1-ipsec name=server1
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1-ipsec interface=ether3
add bridge=bridge1-ipsec interface=ether4
add bridge=bridge1-ipsec interface=ether5
add bridge=bridge1-ipsec interface=ether2
/interface list member
add interface=bridge1-ipsec list=LAN
add interface=pppoe-out1 list=WAN
/ip address
add address=192.168.2.1/24 interface=bridge1-ipsec network=192.168.2.0
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=\
    192.168.2.1 netmask=24
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=<RIMOSSO> list=IP_MGMT
/ip firewall filter
add action=accept chain=input comment="accept established|related|untracked" \
    connection-state=established,related,untracked
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept from LAN" in-interface-list=LAN
add action=accept chain=input comment="allow winbox" dst-port=8291 protocol=\
    tcp src-address-list=IP_MGMT
add action=accept chain=input comment="allow SSH" dst-port=22 protocol=tcp \
    src-address-list=IP_MGMT
add action=accept chain=input dst-port=500 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input comment="Allow IPSec" protocol=ipsec-esp
add action=drop chain=input comment="drop all else"
add action=accept chain=forward comment=\
    "accept established|related|untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=accept chain=forward comment="allow internet traffic" \
    in-interface-list=LAN out-interface-list=WAN
add action=drop chain=forward comment="drop all else"
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes \
    protocol=tcp tcp-flags=syn
/ip firewall nat
add action=accept chain=srcnat dst-address=0.0.0.0/0 out-interface=pppoe-out1 \
    src-address=192.168.2.0/24
add action=masquerade chain=srcnat src-address=192.168.2.0/24
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=\
    pppoe-out1
/ip ipsec identity
add peer=Cloud-FW
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 peer=Cloud-FW proposal=Cloud-FW-phase2 src-address=\
    192.168.2.0/24 tunnel=yes
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out1 pref-src=\
    "" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=RB4011
/system logging
add disabled=yes topics=ipsec,!packet
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=0.it.pool.ntp.org

Facendo uno speedtest via CLI sul server di Eolo Milano ottengo una media di 400Mbps in download (la cpu1 della RB4011 va al 100%, le altre intorno al 20%).
In upload invece, ottengo una media di 750Mbps (carico intorno al 70-80% bilanciato tra cpu1, cpu2 e cpu3).

Avete idee per migliorare ulteriormente le prestazioni in download? Ho visto che l'encryption con AES-256-GCM dovrebbe essere accelerata in hardware con il SoC della RB4011. Magari potrebbe non essere la più adatta? Confido nella vostra esperienza 🙂

Non ho ancora provato a sostituire il pfSense in cloud con qualcos'altro, non sono però così sicuro che il limite sia quest'ultimo.

@mark129 @Technetium @Lorenzo1635 @wtf spero di non aver dimenticato nessuno, grazie in anticipo 🙏

Technetium

nxdrd
Ma l'RB4011 fa pppoe ?

mark129

nxdrd Avete idee per migliorare ulteriormente le prestazioni in download?

Curiosità, con che MTU lavori?

nxdrd

Technetium Si, confermo.

Technetium

nxdrd
Se fai pppoe un po' di prestazioni le perdi.

A occhio... manca la regola di fasttrack nel firewall. Poi ci vanno delle regole di accept per il traffico IPSEC prima della regola fasttrack.
O me la sono persa leggendo ?

Con ROS 7 si perdono un po' di prestazioni ma dovrebbero essere decisamente migliori.
Nei setup dove uso i 4011 però non gli faccio fare la pppoe. La faccio fare al router dell'operatore.

Technetium

nxdrd
Sei riuscito a fare più test ?
Pfsense a che % di processore arriva ?
Hai provato con ike1 invece che v2 ?

/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes \
protocol=tcp tcp-flags=syn

Al posto di quella nelle mie config uso:

/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 src-address=XXXXXXXX protocol=tcp tcp-flags=syn \
tcp-mss=!0-1360 ipsec-policy=in,ipsec passthrough=yes

/ip firewall mangle
add action=change-mss chain=forward new-mss=1360 src-address=XXXXXXXX protocol=tcp tcp-flags=syn \
tcp-mss=!0-1360 ipsec-policy=out,ipsec passthrough=yes

nxdrd

Technetium Effettivamente non l'ho ancora creata, ma semplicemente per ridurre al minimo le possibili variabili. Tanto dovrei in ogni caso escludere il traffico IPSec dalla regola di Fasttrack, o sbaglio?
Potrei provare IKEv1, quello si.

mark129 Ho 1480 di MTU.

Technetium Mi ci sono rimesso soltanto ora purtroppo, mi scuso per l'attesa.
Ho provato a sostituire la mia regola con le due regole di mangle che mi hai suggerito, ma apparentemente non sembrerebbero sortire effetto. Le regole matchano correttamente, però le prestazioni sembrerebbero essere le medesime.
La cosa che non riesco a capire è come mai in download le prestazioni siano considerevolmente più basse rispetto all'upload 🙁

EDIT: ho provato anche ad utilizzare AES-128 GCM come algoritmo di encryption, nessuna differenza sostanziale, continua a saturare 1 core.
Stessa cosa utilizzando AES-128 CBC + SHA256 come algoritmo di autenticazione.

Technetium

nxdrd Tanto dovrei in ogni caso escludere il traffico IPSec dalla regola di Fasttrack, o sbaglio?

Si.. si mettono le regole di accept prima di quella di fasttrack

nxdrd EDIT: ho provato anche ad utilizzare AES-128 GCM come algoritmo di encryption, nessuna differenza sostanziale, continua a saturare 1 core.
Stessa cosa utilizzando AES-128 CBC + SHA256 come algoritmo di autenticazione.

Si.. una volta che l'algoritmo è accelerato non cambia tra uno o l'altro.

In iperf con che dimensione dei pacchetti fai il test ?
Perchè massimo, facendo pppoe dovresti registrare le massime prestazioni su ipsec con pacchetti da 1300 byte.

mark129

nxdrd La cosa che non riesco a capire è come mai in download le prestazioni siano considerevolmente più basse rispetto all'upload

routing asimmetrico + MTU?

nxdrd Ho 1480 di MTU.

Ed hai provato gli script di github?

« Pagina precedente

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile