WireGuard på äldre CPU?

Säkert normalt om CPUn inte har hårdvaruaccelererad AES. Vilken den saknar:

"Intel® AES New Instructions - No"

https://ark.intel.com/content/www/us/en/ark/products/37150/in...

Min i7-3770T (med aes) under esxi maxar ca 160 Mbit på en kärna över OpenVPN. Den cpun är ca 25% snabbare än en i7-950 men drar bara 45 watt mot 130 watt för 950'ian.

Om en kärna i7-3770t med aes körandes openvpn under esxi är lika snabb som fyra kärnor i7-950 med wireguard trots att cpu bara är 25% snabbare är det nog proxmox'eriet man bör se över. Hur mycket minne får OPNsense instansen tilldelat sig? Vad för nätverkskort används?

Som någon sa så är WireGuard 100% CPU-baserad kryptering. OpenVPN (eller IPSec) kör normalt AES128/256 som avlastas med AES-NI.

Hm, jag provade att inaktivare AES i min egen pfSense under esxi och då ökade hastigheten från 160 Mbit till 220 Mbit. Go figure!

Jag kör Wireguard på en Pi4, har gigabit hemma och 250/250 hos kärringen, har 251/253 enligt iperf3, så...

Oavsett vilket är det ju smartare att skippa ett ytterligare lager mellan nätverk och mjukvara om det inte är nödvändigt.

Inte klockat alls. Körde sar (sysstat) på pi4:an nu så du får se hur den beter sig...

11:15:23        CPU     %user     %nice   %system   %iowait    %steal     %idle
11:15:23        all      0.50      0.00      0.00      0.00      0.00     99.50
11:15:24        all      0.00      0.00      6.20      0.00      0.00     93.80
11:15:25        all      0.27      0.00     44.57      0.00      0.00     55.16
11:15:26        all      0.00      0.00     42.82      0.00      0.00     57.18
11:15:27        all      1.63      0.00     44.44      0.00      0.00     53.93
11:15:28        all      1.41      0.00     43.79      0.00      0.00     54.80
11:15:29        all      2.07      0.00     45.34      0.00      0.00     52.59
11:15:30        all      0.27      0.00     39.18      0.00      0.00     60.55
11:15:31        all      0.51      0.00     48.08      0.00      0.00     51.41
11:15:32        all      0.00      0.00     47.26      0.00      0.00     52.74
11:15:33        all      0.00      0.00     45.97      0.00      0.00     54.03
11:15:34        all      0.00      0.00     36.29      0.00      0.00     63.71
11:15:35        all      3.35      0.00      4.64      0.00      0.00     92.01
11:15:36        all      0.25      0.00      0.51      0.00      0.00     99.24

börjar vid sekund 25, slutar vid sekund 35, resultat med iperf3 och 5 asynkrona streams:

[SUM]   0.00-10.02  sec   299 MBytes   251 Mbits/sec                  receiver

Rätt smutt, borde ju klara ~500mbit då ivf på en pi4 om jag tolkar det rätt, men den klarar kanske mer.

EDIT: Skall väll kanske tilläggas att jag kör ett "par" docker-containrar på den, inklusive homeassistant, så helt idle bör den ju inte vara

@:~ $ docker ps  | wc -l
13
@:~ $

Är det wireguard-kmod eller wireguard-go som du använder? Wireguard-kmod är en kernel module och har betydligt högre prestanda.

kernel module, gjorde KISS (Keep It Simple, Stupid) modellen via https://github.com/adrianmihalko/raspberrypiwireguard

@~ $ lsmod | grep wireguard
wireguard              69632  0
curve25519_neon        28672  1 wireguard
libcurve25519_generic    24576  2 curve25519_neon,wireguard
libchacha20poly1305    16384  1 wireguard
ip6_udp_tunnel         16384  1 wireguard
udp_tunnel             24576  1 wireguard
libblake2s             16384  1 wireguard
ipv6                  495616  247 br_netfilter,wireguard,bridge
@:~ $

@~ $ lsmod | grep wireguard
wireguard              69632  0
curve25519_neon        28672  1 wireguard
libcurve25519_generic    24576  2 curve25519_neon,wireguard
libchacha20poly1305    16384  1 wireguard
ip6_udp_tunnel         16384  1 wireguard
udp_tunnel             24576  1 wireguard
libblake2s             16384  1 wireguard
ipv6                  495616  247 br_netfilter,wireguard,bridge
@:~ $

Nu syftade jag på OP

WireGuard till FreeBSD som OPNsense bygger på är inte riktigt färdigbakat utan räknas komma med FreeBSD 13.1 eller 14.0. Tills dess får man installera det från ports och då finns det både en Go version som körs i user space och en kernel module som kommer bli det som är inbakat i kommande versioner. Stor skillnad på prestanda mellan dem.

Använder inte OPNsense själv, så kan inte steg för steg hjälpa dig. Borde dock gå att söka fram.

Om du vet hur du kommer åt terminalen så kan du testa att skriva "pkg info" för att se vad som är installerat.

Tror det ska räcka med att SSH:a in och installera kernel modulen ("pkg install wireguard-kmod"), sen reboota.

Tänk dock på att det kan finns en anledning till att det inte är inlagt i FreeBSD än och bör betraktas som experimentellt. Så är säkerhet eller stabilitet av väldigt hög prioritet så kanske du bör avvakta.

Testa att lämna Endpoint tom för Peer

Det ska inte behövas för serverns peer-conf, läste en tråd om det för bara några dagar sedan. Peer på klientsidan måste så klart vara ifylld.

WG skapar ju lite egna routes, börja med att jämföra routes före och efter så kanske du kan hitta något relativt enkelt. iptables eller vad du nu använder behöver säkert confas också.

Flikar in, Wireguard på QNAP NAS'ar funkar alldeles utmärkt. Synd att det saknas bra implementationer som wrappar mot AD/LDAP. En vanlig dödlig ska inte behövs rådda med ip-adresser, nätmasker, dns och routing.