[Sysadmins] туннель с помощью ipsec

[Sysadmins] туннель с помощью ipsec

[Serge]

Здравствуйте!
подскажите, какой инструментарий (рабочий) есть у нас для поднятия туннеля с 
использованием ipsec?

Re: [Sysadmins] туннель с помощью ipsec

[Nikolay]

В сообщении от 29 января 2009 Serge написал(a):
> Здравствуйте!
> подскажите, какой инструментарий (рабочий) есть у нас для поднятия туннеля
> с использованием ipsec?
Я исполльзуюю racoon +ipsec-tools.
-- 


С, уважением, Николай.

Re: [Sysadmins] туннель с помощью ipsec

[Serge]

On Thursday 29 January 2009 12:17:24 Nikolay wrote:
> В сообщении от 29 января 2009 Serge написал(a):
> > Здравствуйте!
> > подскажите, какой инструментарий (рабочий) есть у нас для поднятия
> > туннеля с использованием ipsec?
>
> Я исполльзуюю racoon +ipsec-tools.
на каких ядрах?
как проверить что ядро поддерживает ipsec?

Re: [Sysadmins] туннель с помощью ipsec

[Alexey Shabalin]

29 января 2009 г. 16:40 пользователь Serge написал:
> On Thursday 29 January 2009 12:17:24 Nikolay wrote:
>> В сообщении от 29 января 2009 Serge написал(a):
>> > Здравствуйте!
>> > подскажите, какой инструментарий (рабочий) есть у нас для поднятия
>> > туннеля с использованием ipsec?
>>
>> Я исполльзуюю racoon +ipsec-tools.
> на каких ядрах?
> как проверить что ядро поддерживает ipsec?
Если не ошибаюсь, наши ядра поддерживают ipsec. Кроме спец. модулей
для openswan/freeswan.
Это означает, что при создании тунеля у вас не будет новых сетевых
интерфейсов и посмотреть есть ли тунель можно только ipsec утилитами.
С пол года назад занимался тестированием на производительность
раздичных vpn-тунелей, racoon - последнее место по производительности.
А вот openvpn оказался даже лучше openswan. Самое досадное, что
шифрование/дешифрование не распаралеливается по многоядерным
процессарам - всё упирается в частоту одного ядра :(

-- 
Alexey Shabalin

Re: [Sysadmins] туннель с помощью ipsec

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 1987 bytes --]

Alexey Shabalin writes:

> Если не ошибаюсь, наши ядра поддерживают ipsec. Кроме спец. модулей
> для openswan/freeswan.
> Это означает, что при создании тунеля у вас не будет новых сетевых
> интерфейсов и посмотреть есть ли тунель можно только ipsec утилитами.
> С пол года назад занимался тестированием на производительность
> раздичных vpn-тунелей, racoon - последнее место по производительности.
> А вот openvpn оказался даже лучше openswan. Самое досадное, что
> шифрование/дешифрование не распаралеливается по многоядерным
> процессарам - всё упирается в частоту одного ядра :(

Не верю (С)

Обнародуйте методику тестирования и результаты.
ИМХО openvpn будет быстрее openswan только при использовании Null
encription в OpenVPN и AES/Twofish в OpenSWAN.

/me тестировал во времена Master 2.4
OpenVPN по моим тестам оказался примерно в 10 раз медленее
OpenSWAN+KLIPS при использовании одинаковых алгоритмов.

Native IPSec был всегда медленнее KLIPS, но не настолько.
Что-то не верится что в последних ядрах так изуродовали стек IPsec. 
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
   ___                                 
  / _ )__ _____  ___ ____ _______ _____
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/  \_,_/___/
               /___/  

[-- Attachment #2: Type: application/pgp-signature, Size: 188 bytes --]

Re: [Sysadmins] туннель с помощью ipsec

[Alexey Shabalin]

30 января 2009 г. 20:30 пользователь Maxim Tyurin написал:
> Alexey Shabalin writes:
>
>> Если не ошибаюсь, наши ядра поддерживают ipsec. Кроме спец. модулей
>> для openswan/freeswan.
>> Это означает, что при создании тунеля у вас не будет новых сетевых
>> интерфейсов и посмотреть есть ли тунель можно только ipsec утилитами.
>> С пол года назад занимался тестированием на производительность
>> раздичных vpn-тунелей, racoon - последнее место по производительности.
>> А вот openvpn оказался даже лучше openswan. Самое досадное, что
>> шифрование/дешифрование не распаралеливается по многоядерным
>> процессарам - всё упирается в частоту одного ядра :(
>
> Не верю (С)
>
> Обнародуйте методику тестирования и результаты.
> ИМХО openvpn будет быстрее openswan только при использовании Null
> encription в OpenVPN и AES/Twofish в OpenSWAN.
>
> /me тестировал во времена Master 2.4
> OpenVPN по моим тестам оказался примерно в 10 раз медленее
> OpenSWAN+KLIPS при использовании одинаковых алгоритмов.
>
> Native IPSec был всегда медленнее KLIPS, но не настолько.
> Что-то не верится что в последних ядрах так изуродовали стек IPsec.

Извиняюсь, действительно я не доделал тесты с openswan(+KLIPS). На
момент проведения тестов openswan/strongswan не было в репозитарии,
если сам и собирал, то результаты тестов куда-то задевались.

Для определения скорости передачи данных использовалась утилита iperf
Инфраструктура SA не разворачивалась, все тесты проводились на
pre-shared ключах.
Описание стенда:
2 одинаковых blade-сервера IBM HS-21XM с характеристиками:
CPU: 2 x 4-ядерных Intel E5345 2.33GHz
RAM: 16 Гб
NIC: Broadcom NetXtreme II BCM5708 1000Base-SX (B2) PCI-X 64-bit 133MHz
ОС: Linux 2.6.18-std-smp-alt12 x86_64
Сервера подключены к одному сетевому коммутатору.

"чистый" канал без шифрования - 950
openvpn(BF-CBC-128 + lzo) - 478
openvpn(BF-CBC-128) - 241
openvpn(RC2-40-CBC - MD2 +lzo) - 166
openvpn(RC2-40-CBC - MD2) - 31
openvpn(AES + lzo) - 429
openvpn(AES) - 247
openssh тунель - 234
ipsec-tools(BF+deflate) - 247
ipsec-tools(DES+deflate) - 191
ipsec-tools(3DES+deflate) -100

Скорость шифрования упирается в одно ядро процессора(одно ядро занято
на 100%, остальные простаивают). Так же странным оказалась
производительность "слабого" алгоритма RC2-40, видимо из-за
особенностей реализации.

Стояла задача организовать шифрование трафика 1Гб канала. В результате
остановились на выделенных железках (дабы не создавать рекламу,
производителей можно уточнить в привате).

-- 
Alexey Shabalin