VPN üzerinden düşük bant genişliğinde internet

Yeni edinilen overclock yapılmış Raspberry Pi Model-B ile VPN'li bir NAS kurmayı bitirdim ve başka bir yerde cevap bulamadığım bir şeyle karşılaştım.

İnternet bant genişliği,

wget - çıktı belgesi = / dev / null http://speedtest.wdc01.softlayer.com/downloads/test500.zip

almayı beklediğimden çok daha yavaş. Ethernet doğrudan dizüstü bilgisayarıma takıldığında 7MBps'ye yaklaştığımda Pi üzerinden ethernet üzerinden yaklaşık 1.34 MBps alıyorum.

Sorun OpenVPN ile ilgili, ama tam olarak ne olduğunu anlayamıyorum. İşte böyle biliyorum.

Pi'deki indirme oranlarını VPN kapalı ve açık olarak karşılaştırdım - 5.03 MBPS vs 1.34 MBPS oldu.

Sonra dizüstü bilgisayarımda (kablolu) denedim - 6,7 MBPS (mükemmel) vs 6,7 MBPS (mükemmel).

Bu nedenle, hata tamamen dizüstü bilgisayarımdaki bant genişliğinde% 3 azalma sağlayan VPN hizmetim (PrivateInternetAccess) ile ilgili değil - OpenVPN'in Pi'de çalıştığı yolla ilgili, bant genişliğinde% 74 azalma sağlıyor.

Raspbian'da OpenVPN'in neden bu kadar korkunç olduğuna dair bir fikir var mı?

GÜNCELLEME: VPN'siz dizüstü bilgisayardaki 6.9MBPS'den VPN'siz Pi'deki 5.03 MBPS'ye bu düşüşün çoğu, 4.9MBPS civarında olduğunu belirlediğim SD kart yazma hızından kaynaklanıyor gibi görünüyor. VPN olmadan Pi'deki 5.03 MPBS'den açıklanması gereken VPN ile 1.3MBPS'ye büyük bir düşüş.

GÜNCELLEME 2: Yorumlardan bazı ipuçları: 1) OpenVPN çalışırken CPU'nun% 70'ini kullanıyor ve arka planda çalışıyor 2) Pi'de bir ABD VPN sunucusundan 1,34 MBPS ve yaklaşık 500- TÜM Avrupa VPN sunucularından 600 KBPS, AMA dizüstü bilgisayarımda, ABD VPN sunucusundan 6.7MBPS ve Hollanda'daki gibi bazı Avrupa sunucularından çok benzer 6.6MBPS alıyorum. Söylediğim şey, sunucuya olan mesafenin orantısız olarak dizüstü bilgisayarımdan çok Pi'yi etkilediği görünüyor.

raspbian ethernet-port

— dbrane
kaynak

Düşük yazma hızı ve VPN yükünün bir kombinasyonu olabilir. VPN'leri kullanmaktan hiç hoşlanmadım çünkü internette yavaşlardı ve SSH tünellemesi her zaman en hızlıydı. OpenVPN'de sıkıştırmayı etkinleştirmek için herhangi bir seçenek var mı? Muhtemelen bununla oynamak, belki anında şifreleme sorunlara neden olur. Güzel bir soru. Ben de Pi ile ilgili olarak cevaplar ilgilenen am

— Piotr Kula

topTest sırasında CPU yüküne bakın , bu şifreleme yükü hakkında bir şey söylemelidir.

— Frepa

@Frepa Mükemmel öneri! VPN etkinleştirildiğinde, OpenVPN CPU'nun% 70'ini kullanır. Aktarım oranlarında büyük fark yaratan şeyin bu olduğunu düşünüyor musunuz?

— dbrane

@ dbrane, CPU sınırlayıcı faktör gibi geliyor. Kalan% 30 CPU zamanı nereye gidiyor? Boşta? Güncelleme 2'den itibaren, ağ gecikmesi (yani yalnızca üretim değil) performans için önemliymiş gibi geliyor. Belki VPN'de el sıkışması oluyor.

— Frepa

@Frepa Kalan CPU süresinin çoğu, aktarım hızını test etmek için kullandığım komut olan wget tarafından kullanılır. Listedeki diğer her şey% 1'den daha azını kullanır. Bu bilgi yardımcı olursa, VPN ile bir CA sertifikası kullanıyorum. Belki overclock yapmayı denemeliyim ve bunun yardımcı olup olmadığını görmeliyim?

— dbrane

Düşük güçlü cihazlarda, en azından SSH kullanırken, hesaplama açısından daha hızlı olduğu için performansı artırmak için RC4 şifresini kullanma konusunda iyi bir deneyim yaşadım, bu nedenle bant genişliği için daha az CPU kullanıyor / aynı CPU kullanımı için daha yüksek bant genişliğine izin veriyor. Bu kılavuz, şifrenin OpenSSL tarafından desteklenen herhangi biriyle nasıl değiştirileceğini açıklar: RC4 gibi:

http://openvpn.net/index.php/open-source/documentation/howto.html#security

RC4'ün mevcut en güvenli algoritma olmadığını, ancak SSL'nin hala güvenli şekillerde kullandığını unutmayın (burada açıklandığı gibi var: http://en.wikipedia.org/wiki/RC4 ). Güncelleme : Bu artık geçmişte olduğundan daha az doğru. RC4'ün güvenliğine duyulan güven, onu kırma teknikleri ilerledikçe daha da azalıyor ve 2013 bize RC4'i kırmada ve yönetilen NSA hakkında spekülasyonda çeşitli ilerlemeler kaydetti . Wikipedia alıntısı:

2013 itibariyle, bazı devlet şifreleme kurumlarının TLS protokolünde kullanıldığında bile RC4'ü kırma yeteneğine sahip olabileceği yönünde spekülasyonlar vardır. [3] Microsoft, mümkün olduğunda RC4'ün devre dışı bırakılmasını önerir. [4] [5]

Peki, yine de RC4'ü tavsiye edebilir miyim? Genel olarak değil. Tabii ki güvenlik ve performansa ödün vermeniz gerekir ve belki de çok fazla güvenliğe ihtiyacınız yoktur - herhangi bir şifreleme, hatta RC4 bile, NSA'nınki gibi dragnet gözetim çabalarını yavaşlatacaktır. Ama gerçekten hassas verilerle gerçekten dikkatli olurum ve mümkünse algoritmayı başka bir şeye değiştiririm (Hızlı alternatifler aramak için Ahududu'yu karşılaştırmaya başladım).

Güncelleme 2 : (overclock yapılmış) Ahududu üzerinde, yeterli CPU'nuz varsa, AES çok yavaş değil. Aşağıdaki tablo RC4'ün ~ 57MB / s şifreleyebileceğini, AES-128-CBC ise ~ 21.4MB / sn şifreleyebileceğini göstermektedir. Ama belki de varsayılan olarak daha yavaş bir şifreyle kullanıyorsanız veya belki başka bir verimsizlik var - bu kadar kötü bir performans elde neden Tabii ki, bu açıklamaz olabilir geliştirilebilir.

$ openssl speed rc4 aes
[...]
type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes
rc4              45281.36k    54782.67k    57196.80k    57391.48k    57570.77k
aes-128 cbc      17904.15k    20469.38k    21133.95k    21449.62k    21403.72k

Hızaşırtma ayarları /boot/config.txt:

arm_freq=950

# for more options see http://elinux.org/RPi_config.txt
core_freq=250
sdram_freq=450
over_voltage=6

— Blaisorblade
kaynak

Herhangi bir şifreleme türü (ssh / vpn), muhtemelen darboğazınız olan ek CPU kullanımına neden olacaktır.

— 23'te

Demek istediğim, RC4'ün diğer şifrelerden daha az CPU kullanmasıydı, bu nedenle bu durumda iyi olabilir. Ama cevabımı kabul edip etmediğinizden emin değilim.

— Blaisorblade

@earthmeLon: Cevabımı açıkça belirtmek için cevabımı güncelledim, çünkü yine de belirsizdi. Yorumunuza hitap ettiğinden emin değilim.

— Blaisorblade

Kesinlikle. SSH2'nin uygulanması nedeniyle RC4'ün minimum ek yüke sahip iyi bir çözüm olduğunu bilmek beni çok takdir etti. Bilgi için teşekkürler: D. Sana bir oy verdiğimi göremediğin için çok kötü, ha?

— earthmeLon

Gerçekten de - daha sonra yorumunuzun yukarı oyla zamanlamaya denk geldiğini fark ettim. Teşekkürler!

— Blaisorblade