V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
freemangl
V2EX  ›  路由器

有支持 AES 指令集的无线路由器吗?华硕 AX82U 使用 openvpn AES-128-CBC 只有 5MB/s?

  •  2
     
  •   freemangl · 2020-08-16 10:16:55 +08:00 · 5987 次点击
    这是一个创建于 1585 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近买了新出的华硕 AX82U,使用内置的 openvpn 链接公司的 openvpn 服务器(公司 150Mbps 上行,使用 pptp/L2TP 带宽几乎可以跑满 16MB/s ),openvpn 服务器使用 AES-128-CBC 加密,SHA1 验证(群晖内置的 vpn 服务),链接以后从 nas 拷贝文件,速度只有 5-6MB/s,尝试换其他加密方式,速度更慢,只有 3-4MB/s 。拷贝文件的时候 AX82U 的 CPU 使用率 3 个核心大概在 70%,50%,10%的样子。

    求大家推荐一款 AES 加密解密性能强(支持 AES 指令集)的无线路由器?使用 4 核的高通 2.2Ghz 的 AX89U 会不会好一些?

    另外大家是否知道还有哪些路由器有内置的 openvpn 客户端?
    25 条回复    2022-07-14 23:16:44 +08:00
    tulongtou
        1
    tulongtou  
       2020-08-16 10:25:44 +08:00 via iPhone
    x86 软路由吧
    nealwx
        2
    nealwx  
       2020-08-16 10:32:32 +08:00 via Android
    BCM6750 不支持 aes 硬件加速
    可以京东买回来试用,不符合要求再退
    ajyz
        3
    ajyz  
       2020-08-16 10:33:02 +08:00 via iPhone
    没记错 AX82 的 CPU 还是 32 位的,性能远不如 AC86U 的
    huangya
        4
    huangya  
       2020-08-16 11:33:10 +08:00
    买 IPQ807x 系列的路由器,这个支持硬件加速。高通的 QSDK 已经支持了,但我不知道厂商的固件有没有引入。
    这是我的测试:
    https://forum.openwrt.org/t/ipq806x-nss-drivers/12613/1654?u=tony.he
    https://forum.openwrt.org/t/ipq806x-nss-drivers/12613/1680?u=tony.he

    另外 IPQ806x 硬件是也是支持的,但是代码还不支持。
    https://forum.openwrt.org/t/ipq806x-nss-drivers/12613/1685?u=tony.he
    此贴的楼主正在努力尝试使用 IPQ806x 的硬件加速.
    jiangyang123
        6
    jiangyang123  
       2020-08-16 11:53:08 +08:00
    软路由吧 记得要支持 aes 的 cpu
    owlbatex
        7
    owlbatex  
       2020-08-16 12:34:50 +08:00
    x86 路由 加 ap 吧
    freemangl
        8
    freemangl  
    OP
       2020-08-16 20:12:38 +08:00
    @huangya 今天尝试在群晖里编辑 /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf 把 cipher none 和 auth none 了。现在传输速度基本可以在 8MB/s,CPU 使用率大概是 60%,50%,5%。
    为啥速度还是上不去呢?
    huangya
        9
    huangya  
       2020-08-16 22:38:53 +08:00
    @freemangl 有几点我不太明白:
    1.你是不是做了两个测试 (1)用路由器做 server. (2)用群晖做 server.
    2. "CPU 使用率大概是 60%,50%,5%",这是什么意思? CPU 使用率为什么波动这么大?

    另外你群晖具体是什么型号?
    huangya
        10
    huangya  
       2020-08-16 22:44:23 +08:00
    @huangya 哦,看了几篇,看明白了.你的群晖是放在公司,做 server. 路由器是做客户端. CPU 使用率是几个 core 的使用率.
    huangya
        11
    huangya  
       2020-08-16 22:53:50 +08:00
    @freemangl 你的路由器 cpu core 没有跑满,先看下瓶颈是不是在群晖那边.不过一版不会,公司用的是群晖 cpu 应该不会太差.
    woshijidan
        12
    woshijidan  
       2020-08-17 04:54:29 +08:00 via Android
    软路由 x64 随便跑满千兆 代理 没有压力
    freemangl
        13
    freemangl  
    OP
       2020-08-17 09:10:48 +08:00
    @huangya 性能瓶颈应该不在群晖,型号是 DS1617XS,CPU 是 Xeon D-1527,使用电脑端的 openvpn 加密开启的状态下也能达到 16MB/s 的满速。
    另外我看到 https://openvpn.net/vpn-server-resources/change-encryption-cipher-in-access-server/关于加密方式的说明
    > To completely disable encryption you can choose to use as cipher the one titled none. This disabled the encryption of the data packets. This still leaves TLS authentication enabled by default.
    似乎 cipher none 以后还留有一层 TLS 验证。接着后面的:
    > TLS authentication is a shared key system whereby the server and all the clients use the same TLS key to sign and authenticate the VPN tunnel packets exchanged between the VPN server and the VPN clients.
    似乎 auth none 以后也就关闭了 TLS 验证了。
    这么看路由器是 CPU 还是尽量应该选平率高的?
    不是很想折腾第三方估计刷机,也不想折腾软路由。使用 IPQ807x 系列的路由器不知道有没有内置的 openvpn 客户端?

    我的环境很特殊,必须使用 openvpn 的 ipv6 连接过去,不然 ipv4 的公司那边带宽只有 30Mbps 。而且群晖只能通过 pppoe 拨号获得 ipv6 地址,还不能使用 docker 提供的 softethervpn,外面的 ipv6 地址又连不到 docker 里面,折腾不动了,用下来还是群晖内置的 openvpn 服务支持 ipv6 连接,最省心。其他的 pptp/l2tp 等协议似乎不是服务端不支持 ipv6 就是客户端不支持......已经折腾到心累了。
    march1993
        14
    march1993  
       2020-08-17 09:29:10 +08:00 via iPhone
    openvpn/tuntap 本身性能就差…
    freemangl
        15
    freemangl  
    OP
       2020-08-17 10:35:29 +08:00
    @march1993 只要能跑满我 150Mbps 的上行就行了...其他没多大要求..
    huangya
        16
    huangya  
       2020-08-17 10:40:42 +08:00
    @freemangl 留有的一层 TLS authentication 应该对性能影响不大,对性能影响大的 data packets 的加解密和 hash 验证数据的完整性。你的环境很特殊,我建议你在路由器的 WAN 口插上电脑,电脑做 server. 路由器 WAN 和电脑都设置为同一个网段的静态 IP.然后使用 IPv4 测测看速率有多少.这样可以大大缩小 debug 范围.
    huangya
        17
    huangya  
       2020-08-18 11:09:31 +08:00
    @freemangl 另外你看路由器的负载的时候,是怎么看的?路由器有图形化界面去看?为了防止路由器的图形化界面不准,建议你 ssh/telnet 进去,用 mpstat -P ALL 2 去看
    freemangl
        18
    freemangl  
    OP
       2020-08-18 19:32:54 +08:00
    @huangya 还是用了更简单的方法,把 AX82U 退了,买了 AX86U,现在带宽可以跑满了。
    华硕路由器有图形界面嘛,有个状态界面可以看到 CPU 使用率。
    感谢解惑!
    freemangl
        19
    freemangl  
    OP
       2020-08-18 19:34:58 +08:00
    @huangya 再补充一点,现在我在 AX86U 下还是用 cipher none 和 auth none,对于我的使用环境来看,似乎这 2 个并不是很重要。只是担心会不会有网络入侵服务端的风险?
    huangya
        20
    huangya  
       2020-08-19 09:10:38 +08:00
    @freemangl 依照我的理解,cipher none 和 auth none,会使你的数据不加密,也没有数据完整性的校验(也就是如果有中间人,他能看到和篡改你的数据),对于公司来讲,不要这样做。风险太大。所以你现在在 AX86U 如果 cipher none 和 auth none 还是跑不满?
    freemangl
        21
    freemangl  
    OP
       2020-08-19 10:36:09 +08:00
    @huangya 现在 AX86U 在 cipher none 和 auth none 已经可以跑满 150M 带宽了。
    huangya
        22
    huangya  
       2020-08-19 13:31:00 +08:00
    @freemangl 说错了
    所以你现在在 AX86U 如果 cipher none 和 auth none 还是跑不满?->所以你现在在 AX86U 如果 cipher AES-128-CBC 和 auth sha1 还是跑不满?
    feast
        23
    feast  
       2020-08-20 10:57:45 +08:00 via Android
    RTL8197F 带 aes sdk,不过怎么调用还需要你自己写
    freemangl
        24
    freemangl  
    OP
       2020-08-20 18:58:47 +08:00
    @huangya 今天测试了 cipher AES-128-CBC 和 auth sha1 下 AX86U 可以跑满 150Mbps 带宽,4 核 CPU,只有一核使用率 80%-90%,其余 3 核几乎空载。
    smallthing
        25
    smallthing  
       2022-07-14 23:16:44 +08:00 via iPhone
    Ax82 是智商税,那个价格搭配 armv7 的 u ,笑死人
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1224 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 17:56 · PVG 01:56 · LAX 09:56 · JFK 12:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.