OPNsense OpenVPN Performance Tests
Siehe nun Thomas-Krenn OPNsense Firewall Performance.
Hinweis: Bitte beachten Sie, dass dieser Artikel / diese Kategorie sich entweder auf ältere Software/Hardware Komponenten bezieht oder aus sonstigen Gründen nicht mehr gewartet wird. Diese Seite wird nicht mehr aktualisiert und ist rein zu Referenzzwecken noch hier im Archiv abrufbar. |
---|
Die freie Firewall-Lösung OPNsense bietet verschiedene Möglichkeiten zur Konfiguration einer VPN Verbindung. Standardmäßig unterstützt OPNsense IPsec- sowie OpenVPN-Verbindungen. Diese Techniken können unter anderem zur statischen Verbindung zweier Standorte über eine Site-to-Site Verbindung verwendet werden. Die Wahl der Verschlüsselungstechnik hängt hierbei stark vom erforderlichen Durchsatz ab. Dieser Artikel zeigt die von uns ermittelten Ergebnisse der OpenVPN-Performancetests mit iperf beim Einsatz einer ebensolchen Site-to-Site Verbindung auf. Die VPN Performance wurde ebenso mit IPsec getestet. Im Wikiartikel OPNsense IPsec Performance Tests finden Sie hierzu detaillierte Ergebnisse.
Hinweis
Die Performancetests wurden auf weitere Server ausgeweitet, der Artikel Thomas-Krenn OPNsense Firewall Performance führt tabellarisch die gesammelten Testergebnisse auf.
Testaufbau
Der Testaufbau für diese Tests besteht aus zwei OPNsense Firewall-Systemen mit LAN-seitig je einem Clientsystem. Die beiden Firewalls werden mit der jeweiligen WAN-Schnittstelle an einen Switch verbunden. Auf beiden Firewalls wurde die zum Testzeitpunkt jeweils aktuelle OPNsense Version verwendet. Auf den Client-Systemen war jeweils das zum Testzeitpunkt aktuelle Ubuntu Server LTS im Einsatz. Weitere Einzelheiten und eine genaue Auflistung finden Sie in den Abschnitten mit den Testergebnissen.
Testeinstellungen
Dieser Abschnitt listet die eingesetzten Komponenten, die verwendeten Parameter, sowie den Testablauf, auf.
Testsoftware
Für die Geschwindigkeitstests wurde das Tool iperf in der Version 2.0.10 auf den Clients eingesetzt.
$ iperf -v iperf version 2.0.10 (2 June 2018) pthreads
Testparameter
Sämtliche Tests wurden mit den folgenden Parametern durchgeführt:
- Server: iperf -p 5000 -f m -s
- Client: iperf -p 5000 -f m -c <IP-des-Servers> -t 180 -P 10
Testablauf
Es wurde iperf im Servermodus am Client 1 der Site 1 gestartet. Danach wurde auf der Clientseite iperf im Clientmodus gestartet. Dadurch konnte die Upload-Geschwindigkeit von der Clientseite zur Serverseite ermittelt werden. Um die Performance im Download zu messen, wurde die Server- und Clientseite vertauscht. Es wurden je 10 Upload- und Download-Tests durchgeführt. Die Werte wurden addiert und der Mittelwert daraus gebildet. Ebenso mit der gemessenen Auslastung der Systeme.
OpenVPN Einstellungen
Beim Test wurden die folgenden Einstellungen verwendet:
- Server Mode: Peer to Peer (SSL/TLS)
- Protocol: UDP
- TLS Authentication: 2048 bit
- DH Parameters Length: 4096 bit
- Encryption algorithm: AES-128-GCM
- Auth Digest Algorithm: SHA256 (256-bit)
Testergebnisse OpenVPN mit TLS
Die nun folgenden Abschnitte gliedern die Ergebnisse anhand der verwendeten Firewall Geräten auf und notiert tabellarisch die Ergebnisse. Der Server-Modus von OpenVPN wurde auf Peer to Peer (SSL/TLS) gestellt, denn hier kann im Gegensatz zu einer Pre-Shared-Key Konfiguration eine AES GCM basierte Verschlüsselung eingesetzt werden.[1]
Setup mit Supermicro X11SSH-LN4F und Thomas-Krenn LES compact 4L
Die nachfolgende Tabelle zeigt die Komponenten des Tests mit dem Supermicro X11SSH-LN4F und Thomas-Krenn LES compact 4L auf:
Einsatzzweck | Hardware | BIOS Informationen | Software |
---|---|---|---|
Firewall Site 1 |
|
|
|
Firewall Site 2 |
|
| |
Client Site 1 |
|
|
|
Client Site 2 |
|
|
Testergebnisse Thomas-Krenn LES compact 4L
In dieser Tabelle finden Sie die von uns ermittelten Werte bei den Tests einer OpenVPN Site-to-Site Verbindung mit Firewall 1 (Supermicro X11SSH-LN4F und Firewall 2 (Thomas-Krenn LES compact 4L) vor. Hinweis: Tests mit aktiviertem Hyper-Threading wurden nicht durchgeführt, da die CPU des LES compact 4L dies nicht unterstützt. Alle Messergebnisse sind aus dem Mittelwert von 10 Durchgängen ermittelt worden:
Test ohne Hyper-Threading | Durchsatz Download am LES
LES compact 4L: entschl. X11SSH-LN4F: verschl. |
Durchsatz Upload am LES
LES compact 4L: verschl. X11SSH-LN4F: entschl. |
---|---|---|
Durchsatz | 114,9 Mbits/sec | 84,74 Mbits/sec |
Last am LES compact 4L
(vmstat -w 180 -c 2) |
us - sy - id
9 - 23,9 - 67,4 |
us - sy - id
9 - 23,9 - 67,2 |
Last am X11SSH-LN4F
(vmstat -w 180 -c 2) |
us - sy - id
1,8 - 4 - 95 |
us - sy - id
1,6 - 3 - 95 |
Die Ergebnisse der einzelnen Testrunden sind in einem zip-Archiv zusammengefasst.
Setup mit Supermicro X11SSH-LN4F und Thomas-Krenn LES network+
Die nachfolgende Tabelle zeigt die Komponenten des Tests mit dem Supermicro X11SSH-LN4F und Thomas-Krenn LES network+ auf:
Einsatzzweck | Hardware | BIOS Informationen | Software |
---|---|---|---|
Firewall Site 1 |
|
|
|
Firewall Site 3 |
|
| |
Client Site 1 |
|
|
|
Client Site 3 |
|
|
Testergebnisse Thomas-Krenn LES network+
In dieser Tabelle finden Sie die von uns ermittelten Werte bei den Tests einer OpenVPN Site-to-Site Verbindung mit Firewall 1 (Supermicro X11SSH-LN4F) und Firewall 3 (Thomas-Krenn LES network+) vor. Hinweis: Bei diesem Testaufbau wurden die Test mit auf beiden Firewalls aktiviertem und auch beiderseitig deaktiviertem Hyper-Threading durchgeführt.
Alle Messergebnisse sind aus dem Mittelwert von 10 Durchgängen ermittelt worden:
Test ohne Hyper-Threading | Durchsatz Download am LES
LES network+: entschl. X11SSH-LN4F: verschl. |
Durchsatz Upload am LES
LES network+: verschl. X11SSH-LN4F: entschl. |
---|---|---|
Durchsatz | 495 Mbits/sec | 435,3 Mbits/sec |
Last am LES network+
(vmstat -w 180 -c 2) |
us - sy - id
17,7 - 41,1 - 41,3 |
us - sy - id
17 - 42,3 - 40,6 |
Last am X11SSH-LN4F
(vmstat -w 180 -c 2) |
us - sy - id
5 - 13 - 82 |
us - sy - id
4 - 11,5 - 84 |
Test mit Hyper-Threading | Durchsatz Download am LES
LES network+: entschl. X11SSH-LN4F: verschl. |
Durchsatz Upload am LES
LES network+: verschl. X11SSH-LN4F: entschl. |
---|---|---|
Durchsatz | 466,5 Mbits/sec | 394,3 Mbits/sec |
Last am LES compact 4L
(vmstat -w 180 -c 2) |
us - sy - id
11 - 19,5 - 69,9 |
us - sy - id
10,8 - 20,1 - 69,2 |
Last am X11SSH-LN4F
(vmstat -w 180 -c 2) |
us - sy - id
3 - 6 - 91 |
us - sy - id
3 - 5,8 - 91,9 |
Die Ergebnisse der einzelnen Testrunden sind in einem zip-Archiv zusammengefasst.
Erkenntnisse der Tests
Die Ergebnisse der Tests mit OpenVPN lassen sich mit folgenden Punkten zusammenfassen:
- Performance deutlich niedriger als bei einer IPsec-Verbindung.
- OpenVPN läuft nur single-threaded, profitiert nicht von Multi-Core CPUs.
- Mehr Konfigurationsmöglichkeiten.
Einzelnachweise
- ↑ Setup SSL VPN site to site tunnel (docs.opnsense.org)
Autor: Thomas Niedermeier Thomas Niedermeier arbeitet im Product Management Team von Thomas-Krenn. Er absolvierte an der Hochschule Deggendorf sein Studium zum Bachelor Wirtschaftsinformatik. Seit 2013 ist Thomas bei Thomas-Krenn beschäftigt und kümmert sich unter anderem um OPNsense Firewalls, das Thomas-Krenn-Wiki und Firmware Sicherheitsupdates. |