Как обещал
когда-то давно, провел небольшую серию экспериментов. Целью было установление максимально достижимой скорости сравнительно безопасного (а значит шифрованного) VPN на недорогом оборудовании, и сравнение производительности оборудования и технологий.
Участники: Asus RT-N16, TP-Link TL-WDR4300 и Ubiquiti EdgeRouter Lite. N16 с местной прошивкой 5066 и openvpn 2.2.2 из Entware. 4300 прошит OpenWRT 12.09, openvpn 2.2.2 и strongswan 5.0.0. ERL с прошивкой 1.1.0, openvpn 2.2.1 и strongswan 4.4.1
Типы VPN: OpenVPN и IPsec
Второй роутер ("сервер"): Celeron D 3GHz под управлением Scientific Linux 6.4, openvpn 2.3.1 и openswan 2.6.32
Компьютеры-трафикогенераторы: Celeron 2.8GHz и Core2Duo E6850 3GHz, оба под Windows XP
В ходе эксперимента тестируемый роутер подключался к роутеру-серверу патч-кордом, к каждому из роутеров подключался патч-кордом трафикогенератор, устанавливалось VPN соединение и определялась его скорость с помощью запущенного на трафикогенераторах iperf 1.7.0. Тестирование велось в течение 100 секунд, трафик подавался в обе стороны. Команды:
iperf -s -i 3 (на одном)
iperf -c адрес-первого-компа -i 3 -t 100 -d (на другом)
Общие для всех экспериментов опции OpenVPN: proto udp, comp-lzo adaptive, no tls-auth
Для IPsec менялось шифрование только второй фазы (SA), первая же (ISAKMP) оставалась на усмотрение устройств. Время жизни ключей - 1 час.
Результаты, МБ/сек, в обе стороны, через двоеточие:
VPN |
RT-N16 |
TL-WDR4300 |
ERL |
OpenVPN, cipher/hash |
aes128/sha1 |
5:6 |
9:8.5 |
9:7.5 |
aes128/md5 |
6:5.5 |
9:8.5 |
9:8 |
aes128/none |
6.5:8 |
10.5:11 |
11:11 |
blowfish/none |
7:8 |
11.5:11 |
11:11.5 |
none/sha1 |
9.5:8 |
16:16 |
14:13 |
none/md5 |
10:10 |
18:16 |
13:13 |
none/none |
13.5:12 |
24:27 |
21.5:23 |
IPsec, cipher/hash |
aes128/sha1 |
- |
16.5:14.5 |
41:40 |
aes128/md5 |
- |
18:15.5 |
41:39 |
Примечание: точность (суммарная в обе стороны) могла скакнуть на плюс-минус пару мегабайт, приведены средние значения.