Jump to content

Recommended Posts

Добрый день!

 

Есть Kennetic Start KN-1110. Для соединения двух сетей сейчас используется GRE туннель с IPSec. Аппаратный ускоритель обрабатывает только шифрование, хэширование как я понимаю делается программно. 

Поэтому для ESP настроено AES128-SHA1

Если заменить IPSec на Wireguard (который полностью программный) - будет ли снижение нагрузки на систему? Проверить самостоятельно сложно - рутер стоит далеко с ограниченным доступом.

Share this post


Link to post
Share on other sites
Только что, gaaronk сказал:

Добрый день!

 

Есть Kennetic Start KN-1110. Для соединения двух сетей сейчас используется GRE туннель с IPSec. Аппаратный ускоритель обрабатывает только шифрование, хэширование как я понимаю делается программно. 

Поэтому для ESP настроено AES128-SHA1

Если заменить IPSec на Wireguard (который полностью программный) - будет ли снижение нагрузки на систему? Проверить самостоятельно сложно - рутер стоит далеко с ограниченным доступом.

Будет по идее, за счёт снижения нагрузки при такой же пропускной способности. 

У меня wg на mt7628 70-80мегабит выдает

Share this post


Link to post
Share on other sites

Читаю читаю документации  и пытаюсь понять.

Если у меня на роутере два GRE туннеля, то мне аналогично надо будет сделать два wireguarg интерфейса (каждый на своем listen port), каждый с одним пиром и AllowedIPs 0.0.0.0 ?

Потому что я не могу создать один wg интерфейс, с адресом с маской /24 и несколькими пирами у которых AllowedIPs 0.0.0.0 ? Потому что заранее казать какие чета лежат за пиром невозможно, как маршрутизация ляжет.

Как то так 

  interface Wireguard0
   description "VPN 1"
   security-level public
   ip address 172.16.1.1 255.255.255.248
   wireguard listen-port 1501
   
   wireguard peer 11111....
   endpoint 1.1.1.1:1501
   keepalive-interval 15
   allow-ips 0.0.0.0 0.0.0.0
   
  
  interface Wireguard1
   description "VPN 2"
   security-level public
   ip address 172.16.2.1 255.255.255.248
   wireguard listen-port 1502
   
   wireguard peer 2.2.2.2....
   endpoint 2.2.2.2:1502
   keepalive-interval 15
   allow-ips 0.0.0.0 0.0.0.0
   

 

Ну а дальше рулить маршрутизацией?

Share this post


Link to post
Share on other sites

Вчера на Keenetic Speedster запустил WireGuard. Имею скорость в туннеле порядка 150 Мбит/с. Загрузка процессора при этом около 80%. Свои впечатления описал здесь.

Подскажите, пожалуйста, есть ли смысл пробовать IPsec? Будет ли увеличение скорости? Судя по тому, что здесь пишут, скорость 300 мегабит/с я едва ли получу?

Share this post


Link to post
Share on other sites

Зависит от того, что и как вы будете передавать, а также от настроек.

Share this post


Link to post
Share on other sites
4 hours ago, Le ecureuil said:

Зависит от того, что и как вы будете передавать, а также от настроек.

Передавать буду большие файлы с/на NAS, подключенный к Кинетику.  Я, честно говоря, не понимаю, как от этого может зависеть скорость в туннеле. Узкое место сейчас -- процессор Кинетика, не NAS. NAS даже на мелких файлах вдвое большую скорость будет держать нормально.

Share this post


Link to post
Share on other sites

Зависит напрямую. Однонаправленный UDP ускоряется в разы хуже, чем TCP. Ну и размер пакетов влияет.

В вашем случае только пробовать.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...