VPNko s kompresi - co a jak pouzit

Ahoj, resim zapeklity problem s VPNkem, ktery by na strane serverovny komprimoval stahovane veci a ke klientovy je posilal zmensene - tedy aktivni kompresni prenos pres VPN. Kdyz jsme VPNko testovali, vse vypadalo slibne. Rychlost na speedtestu se z domaci wifi o 30 Mbitech nahle zvedla na 100 Mbitu a prenos nekterych souboru byl take vyrazne sporivejsi na prenos dat. Ovsem ve chvili kdy si takovou vec zakoupilo behem parhodin 40 testeru, se stalo ze to random nekomu fungovalo / nefungovalo. Resp. ze ani na speedtestu nedosahli sveho limitu. Tedy s nebo bez komprese proste klient ktery mel doma 30 Mbitu, tak nameril 4 Mbity u nas na VPN. Kdyz ze serveru v serverovne pujdu stahovat nejaky soubor z CZ uloziste, tak bude rychlost okolo 200 Mbitu, jakmile ale budu stahovat tento stejny soubor pres VPN, tedy dojde k narustu pingu o cca 10 ms, tak nepresahnu 70 Mbitu. Testovano klientem, ktery ma doma 250 Mbitu od UPC, tedy svoji linkou neni nijak omezeny. A kdyz si zapne VPNko u nas, je limitovany a to vyrazne. Sam se v tom prestavam orientovat a uz nevim kde hledat zakopaneho psa. Neni tu nejaka moznost pozadat zde nekoho kdo by mi udelal nejaky audit / kontrolu toho linuxu na kterem bezi ta VPNka a rekl co mam spatne a co mam udelat jinak ?

Jenom dodam, ze v siti mame aplikovanou placenou DoS a DDoS ochranu, ktera ma na sobe limity v podobe 200 Mbps / 1 IPv4 z naseho BGP. Dale, ze ty jednotlive VPNka bezi na linuxu a ty bezi na VMware, tedy kdyz nekdo objedna VPNko, tak se mu automaticky nainstaluje VPSko s nejakym vykonem a na nem je nainstalovane a nastavene vse potrebne.

Predem dekuji vsem a moznosti a dotazy na me.

Odpovědi

Není uvedeno, o jakou VPN se jedná, na čem přesně běží, zda distro/kernel má nějaké modifikace, jak je služba nastavena apod.
Dále, pokud je vše pod ESXi, tak se nabízí otázka, pod jakou verzí ESXi, jakou síťovkou a hlavně, jaký driver pro eth v ESXi používáte (měla by se používat vmxnet3)?
Zdar Max

Měl jsem sen ... :(

2.10.2015 12:45 Softik | skóre: 4
Rozbalit Rozbalit vše Re: VPNko s kompresi - co a jak pouzit

- vpn je SoftEther VPN - debian 7 bez zadnych uprav - ESX 5.5 - e1000

2.10.2015 13:16 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: VPNko s kompresi - co a jak pouzit

E1000 má slabý výkon a velké režije. Použijte VMXNET3. Viz :
VMXNET3 vs E1000E and E1000 – part 1
VMXNET3 vs E1000E and E1000 – part 2
VMware vSphere 5.5 Virtual Network Adapter Performance
Zdar Max

Měl jsem sen ... :(

2.10.2015 16:36 Softik | skóre: 4
Rozbalit Rozbalit vše Re: VPNko s kompresi - co a jak pouzit

Ten clanek je o Windows. V diskuzi jsem nasel opacnou vec : HI,

In my environment with vcenter 5.5,when I use E1000 and test the network throughput through iperf,its 3.5gbps but with VMXNET3 its only 1.5gbps,can someone advice,its a windows VM I tested into

2.10.2015 22:12 Softik
Rozbalit Rozbalit vše Re: VPNko s kompresi - co a jak pouzit

vmxnet3 jsme nasadili abychom zkusili zmenu a rekl bych ze je to snad jeste horsi. E1000 nebo E1000e a nebo vmxnet3 tak vysledkem je ze E1000 fungovalo nejlip, ale spatne.

3.10.2015 11:02 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: VPNko s kompresi - co a jak pouzit

Pokud jsou v tom takové rozdíly, tak nejspíše asi bude problém opravdu tam. Jinak VMWARE oficiálně pro Debian 7 podporuje e1000 a VMXNET3, ale VMXNET3 doporučuje : Supported (Recommended).
Osobně ale s takovým nasazením zkušenosti nemám (a osobně jsem šel z 5.1 na 6.0, takže 5.5 jsem ani nikde nasazenou neměl), takže neporadím nic jiného, než zde již bylo zmíněno (tzn. pokus omyl).
Jinak předpokládám, že vmware tools jsou nainstalovány?
Zdar Max

Měl jsem sen ... :(

Tak to cele otestuj na bottleneck, zapoj klienta peimo do serveru, na serverovy switch, pred firewall, za firewall, pred IDS, za IDS, otestuj klienta na WAN lokalne etc. tij vyloucis, ze problem neni u tebe, ale nekde na ceste.

3.10.2015 23:12 Softik | skóre: 4
Rozbalit Rozbalit vše Re: VPNko s kompresi - co a jak pouzit

Tak se to pomoc vytuneneho adapteru a vyzkouseni dalsich 15 softu, podarilo rozhybat. Stim VMxNET3 fungoval ale ze vsech nejhur. Strasny packetlost pri posilani ke klientovy. Momentalne mame na vstup e1000 a na vystupu potuneny e1000.

Aktualni problem a zaroven dotaz na obecenstvo. Znate nejakou aplikaci pro mobilni pristroje, ktere by umeli se pripojit k privatni VPNce, meli podporu komprese a predevsim fungovali na ipsec ? Projel jsem toho dost, ale vetsina funguji jenom tak ze si ji zdarma stahnete ale pripojit se muzete jenom na jejich placene VPNka. Zdarma jsem nasel openVPN, ale to zas neumi ipsec. Pripadne, nevite kdo by me umel udelat takovou aplikaci na miru ?

4.10.2015 12:16 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: VPNko s kompresi - co a jak pouzit

IPsec umí Android sám o sobě. Nezkoušel jsem to, jen jsem to viděl v nastavení. Jestli i s kompresí nevím.

Hello world ! Segmentation fault (core dumped)

4.10.2015 13:18 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: VPNko s kompresi - co a jak pouzit

Ano, iOS i Android umí L2TP. Jak je to s kompresí, to netuším.
Každopádně spojení po nějaké době padne a samo se znovu nenaváže, což nemusíš někomu vadit.
Proto to v rámci firmy používáme jen jako nouzovku.
Zdar Max

Měl jsem sen ... :(

Není lepší na tak rychlých linkách spíš mezičlánky odbourávat, aby nezdržovaly? Na lince, která zvládne desítky Mbps mi přijde užitečnější jít po nižší latenci a kompresi raději řešit na aplikační vrstvě, kde je známo, zda a jak moc má smysl. Navíc pokud ten speedtest posílá snadno komprimovatelná data, tak naměřené hodnoty budou zcela mimo realitu, neboť právě na aplikační úrovni už je komprese často řešena (např. při posílání HTML po HTTP), nebo nemá smysl (např. posílání už komprimovaných multimediálních dat).

Hello world ! Segmentation fault (core dumped)

Dotaz: VPNko s kompresi - co a jak pouzit

Odpovědi