RB750Gr3 – PPTP / L2TP/ OpenVPN perfomance tests

Случилась оказия попробовать новинку (которой еще нет на сайте Микротик!) в реальном окружении.

Исходные условия – есть два линка, один в Украине на 1G/1G с CCR-1009 (мы скромные) и второй в Польше на 700М/100М, сейчас RB951G-2HnD. Там и там оптика, адреса либо статика, либо DHCP.

RB951G-2HnD – оценка производительности

RB951G-2HnD неплохой для своего времени, но с такими каналами ему, скажем мягко, тяжеловато:

Прямой тест RB951g-2hnd WAN-WAN с помощью WinBox/Bandwith Test:
UDP 475M/100M, CPU 100%
TCP 130M/100M, CPU 100%.
В обоих случаях активен fasttrack. Правила только базовые.
Прошивка 6.37.1 с обоих концов.
Тестирование производилось по очереди в каждую сторону.

То же самое, но PPTP BF128:

Тест линка PPtP: server CCR-1009, client RB951G-2HnD, encryption BF128, IP mode, WinBox/Bandwith Test:
UDP 63M/63M, CPU 100%
TCP 48M/48M, CPU 85%-100%.

Все то же, но OpenVPN (тест со стороны CCR):

UDP 38M/33M CPU 100%
TCP 4M CPU 15% / 7M CPU 100% (явный провал…)

То же, но SSTP:
UDP 52M/46M CPU 100%
TCP 2.5M/2.5M CPU 100% (!!! жесть, по-другому не скажешь)

Update. По просьбе трудящихся также проверили L2TP+AES. Имеем:

L2TP+AES-256 cbc
UDP 21M/20M CPU 100%
TCP 17M/13.5M CPU 100%

L2TP+AES-256 ctr
UDP 20M/20M CPU 100%
TCP 11.5M/14M CPU 100%

Поэтому выбор пал на PPTP. Он хоть и устаревший и, к примеру, на новых “яблоках” он уже и не поддерживается, но…. 50М!!!

 

RB750-Gr3 – тестирование производительности

Теперь берем в руки RB750Gr3 и надеемся на чудо, то есть на его 2+2 ядра.

Первое, что замечаю, по умолчанию ether1 – wan порт, а порты ether2-ether5 собраны в свич. Но! через winbox-е вы не сможете просто так “отлучить” порты от свича. Только через терминал. Что навевает мысль, что пока что продукт не до конца “доведен” до ума %)

Update. В последних RC прошивках для данной архитектуры появилось меню switch. Возможно, и master/slave функционал. Так как я не любитель RC – то жду обновления ветки current и тогда посмотрим.

Ну ладно, пробуем его на “скоростной трассе”:

Прямой тест RB750Gr3 WAN-WAN с помощью WinBox/Bandwith Test:
UDP 640M/100M, CPU 20-30%
TCP 210M/100M, CPU 40-50%.
В обоих случаях активен fasttrack. Правила только базовые.
Прошивка 6.37.1 с обоих концов.
Тестирование производилось по очереди в каждую сторону.
Уже веселее, чем у RB951G-2HnD, но походу потенциал 2-х ядер раскрыт не полностью.

То же самое, но PPTP BF128:

Тест линка PPtP: server CCR-1009, client RB750Gr3, encryption BF128, IP mode, WinBox/Bandwith Test:
UDP 70M/70M, CPU 30%
TCP 70M/70M, CPU 40%-50%.
Тоже приятнее, чем у “старичка” и опять-таки потенциал второго ядра не раскрыт.

Все то же, но OpenVPN (тест со стороны CCR):

UDP 45M/45M CPU 100%
TCP 5M/5M
Так же грустно, как и у RB951G-2HnD.

Но есть один интересный момент – первоначально в качестве гейта у меня был старичок RB951, а за ним стоял новичок RB750Gr3, на котором был поднят VPN клиент.

И вот тут очень интересные результаты:

PPtP просел до 50-60М (но CPU был на уровне 25-30%) – похоже “вмешался” старичек.

А вот в режиме OpenVPN новичек показал:
UDP 45M/45M CPU 30-33%
TCP 50M/70M CPU 50%
То есть для TCP в 10 раз быстрее!!!

Update.

L2TP AES-256 cbc
UDP 85M/45M (3..100M, см ниже) CPU 30-33%
TCP 39M/16M CPU 40%/44%

L2TP AES-256 ctr
UDP 26M/27M CPU 30%/27%
TCP 30M/17.5M CPU 31%/45%

L2TP AES-128 cbc
UDP 85M/47M (3..100M, см ниже) CPU 50/25%
TCP 41M/18M CPU 40%/45%

При этом иногда есть странность – в некоторых тестах, причем только в UDP, помеченных как 3..100%, во время теста скорость плавала от минимума к максимуму:

rb750gr3-l2tp-jumps

Хотя иногда тест проходил ровно со средней скоростью в районе 47-50М.

То есть выводы:

А) пока что данный роутер многоядерный на бумаге, второе ядро не используется в полную силу (либо же неправильно показывается нагрузка CPU)

Б) в прямых соединениях и PPtP новичек вырывается в лидеры показывая заметный прирост (не в разы, но все же) имея потенциал на будущее.

В) с OpenVPN по-прежнему грустно. Как и с SSTP.

Г) на прием результаты выше. Возможно из-за несимметричности канала, возможно из-за того, что декодировать быстрее, чем кодировать, а возможно просто еще не оптимизировано до конца…

Д) в режиме L2TP+IPSEC AES разницы между 256 и 128 бит особо не ощущается.

Е) в этом же режиме выбор за CBC ибо реализация CTR для данного роутера явно проигрывает по скорости (на теж же CCR-ах, к примеру, они идут вровень)

Ж) интересный результат в самом конце – если выделить впн канал в отдельную железку, оставив функции гейта на второй, то OpenVPN показывает сравнимые с PPtP результаты, а не жалкие 2-5М… Что говорит о том, что разработчикам есть куда еще двигаться %).

 

Ну и финальный вывод, железка хороша, чем-то даже обгоняет старичка, но…  Чуда не свершилось.

Плюс отсутствие Wi-Fi резко сужает применение. Как вариант – дополнение к существующим Wi-Fi роутерам для создания впн-каналов – для этого случая очень даже неплох…

Но мы еще не тестировали HAP AC aka RB962 %)

Продолжение следует…