Dotaz: Propustnost VPN site

Ahoj, priznam se, ze nevim, jak presne VPN funguje, tzn. zda ma nejakou vlastni rezii a diky sifrovani spotrebovava urcitou kapacitu linky. Jde mi o to, ze mam jak doma, tak v praci linku 20/20 mega. Kdyz jedu primo a merim rychlost na dsl.cz, tak na obou linkach tech 20 mega mam. Kdyz se pripojim z domu pres VPN do prace, klesne mi rychlost na 12/2 mega.

A proto by mne zajimalo, jestli :

1) ma VPN nejakou vlastni rezii, proto prenos probiha pomaleji, protoze se prenasena data "nafukuji"

2) mam slaby procesor na routeru a ten tak nezvlada sifrovat

3) mam problem na VPN klientovi - t.j. linux Kubuntu v mem notebooku

Diky za objasneni, od nekoho, kdo vi, jak presne VPN funguje, jedna se v tomto pripade o L2TP s IPSEC, ale ja IPSEC nepouzivam, kdyz zapnu IPSEC, jeste se to zpomali.

P.

1) ma VPN nejakou vlastni rezii, proto prenos probiha pomaleji, protoze se prenasena data "nafukuji"

Je delší latence, protože se jde neoptimální cestou. Také může být problém když máš TCP přes TCP VPN a dochází ke ztraceným paketům. Ale samotné šifrování overhead (skoro) nemá, na začátku se dohodne symetrický klíč a šifruje se jím.

2) mam slaby procesor na routeru a ten tak nezvlada sifrovat

To je možné. Není nic jednoduššího než spustit htop a podívat se tam.

Šifrování funguje v zásadě tak, že se na začátku dohodne nějaká pseudonáhodná sekvence (resp. dohaduje se opakovaně/postupně/průběžně) a touto pseudonáhodnou sekvencí, vlastně streamem dat, se XORuje (nebo tak něco) stream payloadu o shodné délce. A ten se potom přenáší. Takže objem payloadu po šifrování je shodný s objemem čistého payloadu. (Plus něco navíc přidává pravidelné dohadování o krátkodobých klíčích.) Aspoň se domnívám. Ono při tomto schématu by zůstalo zachováno rozložení toku v čase, což vlastně představuje "postranní kanál" pro případný útok, takže některé šifrovací technologie se tomuto snaží bránit...

Slabý procesor... možná. Musel byste to pitvat do hloubky: co má ten procesor za akcelerátory, jestli je pro ně ve firmwaru ovladač, jestli jsou uplatnitelné na používanou šifru a jestli to nakonec umí použít user-space démon (nebo kernelový subsystém?), který realizuje šifrující vrstvu VPNky. Druhá možnost je, prostě zkusit pro srovnání jiný router (HW/SW)

Obecnou nectností VPN je to, že při tunelování = balení "IP paketů do IP paketů" (plus hlavičky TCP nebo UDP) dochází k tomu, že se buď natáhne vnější velikost zabaleného paketu (je potřeba větší MTU od vrstev vespod) nebo se omezí maximální velikost transportovatelných paketů (omezí se MTU pro čistý payload). Pokud posíláte příliš velké pakety payloadu, budou se fragmentovat popř. zahazovat buď před zabalením nebo po zabalení, podle konfigurace VPN softwaru/firmwaru na routerech a ostatně i na routerech po cestě pod VPNkou. Dá se nastavit menší MTU na tunelech, nebo ručně zkrátit TCP MSS v nastavení TCP/IP stacku na "payloadovém" klientu a serveru (zamezíte fragmentaci, ale zhoršíte efektivitu TCP). Dále do toho vstupuje konfigurace fitrů různě po cestě - např. jestli se zpátky ke klientovi propouští "ICMP couldn't fragment" apod. V případě TCP umí slušné TCP/IP stacky (na koncích payloadové relace) "path MTU discovery" a "path MTU blackhole detection" - což se zřejmě týká jenom TCP, nikoli např. UDP, navíc i tomu TCP to chvíli trvá, než černou díru odhalí. Nějaký problém z tohoto soudku by měl být vidět ve wiresharku i na koncovém stroji jako TCP retransmissions (wireshark je tuším automaticky obarví na červeno) - zejm. pokud máte podezřele pomalý upload.

Poměrně podrobný výklad má na webu Cisco.

Nebudu se dnes pouštět do žabomyší debaty jestli IPSec nebo OpenVPN - mj. protože soudím, že tato volba nebyla Vaše a taky proto, že Vám IPSec zřejmě v zásadě funguje.