• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Nachfolgesystem für APU.1D4

Freigeist

Well-Known Member
#51
Ein Großteil des ausgehenden Traffics wird über OpenVPN laufen, das darf auf keinen Fall ein Bottleneck sein.
Solltest du das Gigabyte-Teil installieren, würde mich ein praxisnaher Test der OpenVPN Leistung interessieren. Das ändert zwar nichts an meiner Einstellung zu dem Teil aber man ist ja zuweilen neugierig.

Der Test könnte so erfolgen:

Du hast auf dem Gigabyte-Teil eine SSD und schaufelst auf diese über den OpenVPN Tunnel per SSH ausreichend Daten. Dann ist der OpenVPN Tunnel der Flaschenhals und man ist danach etwas schlauer.
Es ist reine Spekulation. Das Teil könnte mehr als 100 MBit/s schaffen.

Man hört ja immer wieder die Aussage: AES-NI ist bei OpenVPN nützlich. Kann jemand die Beweise dieser Aussage untermauert mit Fakten liefern? Dann aber bitte mit praxisnahen Tests.
 

TCM

Well-Known Member
#52
Wenn man OpenVPN testen will, warum sollte man dann noch SSH auf derselben Kiste nehmen? Man sollte das Szenario testen, was letzendlich laufen soll.
 

Freigeist

Well-Known Member
#53
Man sollte das Szenario testen, was letzendlich laufen soll.
Aha, wie teste ich denn die Grenzen der OpenVPN Leistung einer Kiste z. B. einem 50/10 Anschluß oder an einem 100/40 Anschluß der Telekom? Selbst eine ALIX-Kiste war mit 50/10 und aes-128-cbc nicht überfordert.

Vorschläge werde gern entgegengenommen. Besser wären natürlich noch belastbare Testresultate.:)
 

marzl

Well-Known Member
#54
Mhm, die APU.2C4 hat doch AES-NI eigentlich mit an Board?
Die bringt alles mit was man braucht um eine 100Mbit VDSL Leitung bedienen zu können, hat dabei wenig Stromaufnahmen, perfekte Kompatibilität mit FreeBSD/pfSense/openSense und sehr kompakt! Auch heute immer noch eine tolle Plattform.

Da ich aber nun Neugierig bin, ich teste heute Abend mal den OpenVPN Durchsatz im LAN.
 

gadean

Well-Known Member
#55
Hm, ich würde da an iperf fürs testen denken, aber nicht direkt auf dem Router ausgeführt.
Client -> Router -> Server

Einmal mit VPN Tunnel vom Router zum Server und einmal ohne, evtl. auch einmal mit VPN Tunnel vom Client zum Server.
 

marzl

Well-Known Member
#56
Ich dachte da eigentlich an was ganz banales praxisnahes :)
a) PC -> Fileserver
b) PC -> OpenVPN -> pfsense -> fileserver

Der direkte Weg a) ist Gigabit und hat in der Regel ~90-100MB/s, das wird Weg b) locker auslasten und dann wissen wir das Maximum.
 

Freigeist

Well-Known Member
#57
Auch heute immer noch eine tolle Plattform.
Was in Bezug auf eine APU2C4 zu beweisen wäre.

Eine APU1D (pfsense 2.4.2/OpenVPN 2.4.4) kann mit folgenden Parametern

- Device Mode: tun
- Protocol: tcp
- Encryption Algorithm: AES128-GCM
- Compression: default

maximal 45 MBit/s über den OpenVPN-Tunnel liefern. Das ist natürlich für die kommende DIGITALISIERUNG :D nicht ausreichend.

Welche Fakten können die Vertreter der APU2C4 diesbezüglich ausweisen? Aussagen wie

AES-NI bringt Vorteile

sind doch nichtssagend. Wo sind die harten Fakten? Ich kann sie nicht liefern weil ich keine APU2C4 habe und mir auch keine anschaffen werde. Dieses Teil ist heute für den Einsatz mit OpenVPN nicht mehr konkurrenzfähig. Diese schlappe CPU (AMD GX-412TC) hat zwar vier Kerne, welche in Bezug auf eine satte OpenVPN Leistung gar nichts bringen.
 

Yamagi

Possessed With Psi Powers
Mitarbeiter
#58
Herje. OpenVPN nutzt OpenSSL und OpenSSL nutzt AES-NI wenn verfügbar. Und die AES-NI Implementierung der CPU ist schnell genug um die NICs zu sättigen. Aber OpenVPN ist nun einfach mal ein kacknervendgrottenlahmes Ding, weil es für jedes einzelne verdammte Paket (mindestens) zwei Kernel <-> Userland Transitionen benötigt. Das ist für einfache Road Warrior VPNs und ähnlich auch okay, aber für Dinge, die Durchsatz brauchen, eher nicht. Das war aber auch nie Teil des Deals. Also hat man zwei Möglichkeiten: Entweder man nimmt eine dem Zweck angemessene VPN-Lösung oder man scheißt das Problem mit Hardware zu.
 

Crest

rm -rf /*
Mitarbeiter
#59
freigeist: Wenn du wissen willst wie schnell eine APU2 im Verhältnis zu einer APU1 ist dann kauf dir eine und mess nach. Ich habe nur ne APU1 und die reicht als NAT Router und PPPoE Client für VDSL 50/10 ohne Probleme.
 

mapet

Active OpenBSD User
#61
OpenVPN ist userland VPN, und das ist per Definition lahm. Ich weiss aber auch nicht, was du groß an Daten verschieben willst, sodass du OpenVPN brauchst. Wenn du VPN mit Durchsatz willst, willst du schon gar nicht OpenVPN sondern eine Kernelnahe Implementation und schon gar nicht SSL-VPN.

Die apu2c2 kann Gigabit mit iperf, daher sollte sie das auch routen können oder zumindest in die Nähe davon kommen.

Mein Heimrouter ist ein Asus E45M1-I Deluxe. Die Dualcore CPU ist
Code:
cpu0: AMD E-450 APU with Radeon(tm) HD Graphics, 1650.14 MHz
und kann locker 500M symmetrisch bedienen. VPN hab ich bisher nicht getestet bzw. gebraucht, würde allerdings auch nicht zu OpenVPN sondern zu isakmpd tendieren. Wir haben mit den apus ein Büro in Shanghai angebunden und machen mit denen VPN und für die User vor Ort reicht das (Fileserver, interne Tools etc.)

Du kannst die apu2 auch nach 14 Tagen wieder zurücksenden, da du ja Widerrufsrecht hast, falls die Leistung nicht reichen sollte.
 

Freigeist

Well-Known Member
#62
Du kannst die apu2 auch nach 14 Tagen wieder zurücksenden, da du ja Widerrufsrecht hast, falls die Leistung nicht reichen sollte.
Ich bin hier nicht der Tester einer APU2C4. Das Ding kommt mir nicht ins Haus.

Ich werde zu gegebener Zeit über meine Lösung berichten. Derzeit rennt :) noch die APU1D.

Nachtrag:

Ich werde auch OpenVPN nicht ersetzen. Das ist Fakt.
 

marzl

Well-Known Member
#67
Was in Bezug auf eine APU2C4 zu beweisen wäre.
Eine APU1D (pfsense 2.4.2/OpenVPN 2.4.4) kann mit folgenden Parametern
- Device Mode: tun
- Protocol: tcp
- Encryption Algorithm: AES128-GCM
- Compression: default
maximal 45 MBit/s über den OpenVPN-Tunnel liefern. Das ist natürlich für die kommende DIGITALISIERUNG :D nicht ausreichend.
Welche Fakten können die Vertreter der APU2C4 diesbezüglich ausweisen?
So habe heute mal einen kurzen Test gemacht:
- Device Mode: tun
- Protocol: udp
- Encryption Algorithm: AES256-CBC
- Compression: none

Kommt auf ~52MB/s also ca. 420Mbit/s, siehe Screens anbei.
Der Verkehr lief vom Fileserver komplett über die pfSense (von LAN1 zu LAN2)
 

Anhänge

Rakor

Administrator
Mitarbeiter
#69
@Freigeist dann sei mal etwas konstruktiv statt dauernd nur zu stänkern und den Leuten hier auf den Keks zu gehen, so dass sich hier schon öffentlich beschwert wird.
Jetzt findet sich tatsächlich jemand der deinem ständigen generve nachgeht und du pfaumst ihn auch noch an?

Denk mal bitte dringend über dein penetrantes Auftreten und Verhalten nach.
 

Freigeist

Well-Known Member
#70
Ich stelle mal den Traffic-Graph meines Tests zur APU1D rein. Möglicherweise trägt das zum Erkenntnisgewinn bei.

Wir wollen uns ja mit soliden Werten befassen.

Nachtrag:

Ich möchte dem Nutzer marzel für seine Bemühungen danken.
 

Anhänge

h^2

hat ne Keule +1
Mitarbeiter
#71
Ich würde dieses Gehäuse nehmen, spricht da etwas gegen? Gibt es eigentlich auch 19"-Gehäuse die die Backpane vorne zeigen, so dass ich einfacher die Rj45-Ports "ver-patchen" kann?
Ich zitiere mich mal selber von weiter oben. Ich habe dieses Gehäuse hier gefunden, was sogar die gesamte Blende vorne zeigt:
https://geizhals.de/supermicro-superchassis-503l-200b-schwarz-a796876.html?hloc=at&hloc=de
Eigentlich ideal, nur sieht es so aus, als ob man garnicht ATX-Konform die Mainboard-I/O-Blende verwenden könnte, sondern ob bestimmte Elemente-Platzhalter fest aus dem Gehäuse gefräst wurden...? Ist das üblich bei SuperMicro, so dass dann nur deren Mainboards darein passen!? Hat da jemand Erfahrung mit?

Hier gibt es noch ein Close-Up-Bild davon:
http://www.mitxpc.com/proddetail.php?prod=ER1UX7SPEHD525FIO

Es sieht so aus, als könnten PS/2, USB und RJ45 gerade so passen mit dem Mainboard, aber der serielle Kram auf jeden Fall nicht. Brauche ich aber auch nicht. Kriege ich das dann trotzdem montiert?
 

das.chaos

Duracellhase 2.0
#72
Hi,

die Neugierde bzw. dieser interessante Thread bot Motiviation einen sogenannten EdgeRouter Lite zu testen, da vorerst dieses Modell fuer diesen Zweck als ausreichend erschien, bevor darueber nachgedacht werde einen EdgeRouter 4 als OTN zu integrieren?

@h^2: Das EdgeOS ist nicht weg, wenn bspw. etwas anderes installiert werden moechte, weil das EdgeOS auf einem USB-Stick installiert wurde, welcher auf dem Board befindlichen USB-Port erreichbar ist, wenn denn das Gehaeuse geoeffnet werde, nachdem 3 Schrauben entfernt wurden.

Nachdem dieses Script auf die lokalen Gegebenheiten angepasst wurde, wurde FreeBSD 11.1 installiert.

Wie es [leider] fast immer [irgendwie] so ist, gibt es _immer_ irgendwo einen bzw. _den_ [obligatorischen] Haken:

die Groesse des Kernelstacks bzw. die Pagesize von 4096 bytes ist fuer MIPS64 definitiv zu klein, wenn denn ein Octeon basiertes SoC [im Kontext von dem EdgeRouter Lite] verwendet wird, was das System nach geraumer Zeit [im Schnitt nach etwa 3 ... 7 Stunden, manchmal auch nach einer] zum Absturz bringt, wobei sich [dann] die Gelegenheit bot, sich mit dem Patchset naeher zu beschaeftigen, da die Implementierung von swtch.S bzgl. FreeBSD 11.1 etwas "anders" ist als erwartet bzw. die als fuer das Patchset vorgesehene Variante, was das Experimentieren damit [dann] spektakulaere Crashes verursachte *lol* jetzt schweife ich etwas ab, da definitiv OT.

Fazit: Es wurde [dann] OpenBSD 6.2 installiert. :)

@mogbo: Das Preis- / Leistungsverhaeltnis ist fantastisch!

@mark05: Demnaechst wird sich ein EdgeRouter 4 angeschafft. :D
 
Zuletzt bearbeitet:

marzl

Well-Known Member
#73
Was auch immer du gemessenen hast, sicher nicht die OpenVPN Leistung einer APU2C4. Denk mal kurz oder auch länger über dein Testszenarium nach.
Hold my beer.

Also
LAN 1 ist mi dem Fileserver verbunden (192.168.1.x/24)
LAN 2 ist mit meinem PC verbunden (192.168.22.x/24)
OpenVPN verteilt (192.168.11.x/24)

Proof1: Ohne aktives OpenVPN kann ich von nicht auf den Fileserver zugreifen (es gibt zwischen den Netzen kein Routing, auch kein Ping möglich), hab ich gesperrt.
Proof2: Erst wenn ich mich per OpenVPN verbinde, dann klappt eine Verbindung (zu dem 192.168.1.x/24) Netz
Proof3: Die Datenrate geht DRASTISCH in den Keller (auf etwas 5-6MB/s), wird die Komprimierung aktiviert wird. Die kostet Leistung.
 

Freigeist

Well-Known Member
#74
@marzl

Zeig mal bitte den Traffic Graph des OpenVPN Servers analog zum Beitrag #70.

Deine Angaben über die Leistung eines OpenVPN Tunnels sind von einer APU2C4 nicht machbar. Da lege ich mich fest. Man spricht im Netz von 75-90 MBit/s, was ich für möglich halte.

Trotzdem vielen Dank für deine Anstrengungen.
 

marzl

Well-Known Member
#75
Die Graphen siehst du auch in meinem Beitrag und du siehst auch die tatsächliche Datenübertragungsrate in dem Kopieren-Dialog. Das ist halt einfach das was erreicht wird.
Die von dir angeführten Mbit Raten passen aber ziemlich genau zu den Raten die erreicht werden, wenn die Komprimierung eingeschaltet wird.
Der Test von mir ist unkomprimiert, für eine Komprimierung hat die APU zu wenig Leistung.

Das kann man so festhalten und eine APU2C4 wird damit z.b. locker ein OpenVPN auf einer 100Mbit VDSL Leitung bedienen können.
Wer auf 400-500 MBit Leitungen (oder mehr) agiert, sollte auch mehr Budget im Topf haben um das professionell behandeln zu können.
 
Zuletzt bearbeitet: