Il y a quelques jours, jeDéveloppeurs OpenVPN libérés les nouvelles qui ils ont introduit un module noyau appelé "ovpn-dco" dont la tâche principale est d'accélérer considérablement les performances du VPN.
Bien que le module est encore en développement dans la branche linux-next et a le statut d'expérimental, il a déjà atteint un niveau de stabilité qui a permis de l'utiliser pour assurer le fonctionnement d'OpenVPN.
Par rapport à la configuration basée sur l'interface tun, l'utilisation du module côté client et serveur avec l'utilisation du cryptage AES-256-GCM a permis de multiplier par 8 les performances (de 370 Mbit/s à 2950 Mbit s).
Lorsque vous utilisez le module uniquement du côté client, les performances triplent pour le trafic sortant et ne changent pas pour le trafic entrant. En cas d'utilisation du module uniquement côté serveur, le débit est multiplié par 4 pour le trafic entrant et par 35 % pour le trafic sortant.
La sécurité est l'une des choses les plus importantes à considérer lorsque vous êtes en ligne. Plus vos communications en ligne sont sécurisées avec le cryptage, mieux c'est. Le cryptage des données a ralenti la vitesse de calcul dans le passé, qui s'est améliorée avec les processeurs modernes. Mais nous pouvons faire plus. OpenVPN vient d'introduire un nouveau développement qui augmentera la vitesse de ses utilisateurs lorsqu'ils manquent d'espace noyau : OpenVPN Data Channel Offload (DCO).
L'accélération est obtenue en déplaçant toutes les opérations de chiffrement, traitement des paquets et gestion des canaux au noyau Linux, éliminant la surcharge associée Avec la commutation de contexte, il permet de rationaliser le travail en accédant directement aux API internes du noyau et élimine le transfert de données lent entre le noyau et l'espace utilisateur. (Le module effectue le chiffrement, le déchiffrement et le routage sans envoyer de trafic à un contrôleur dans l'espace utilisateur.)
Notez que l'impact négatif sur les performances VPN c'est principalement dû aux opérations de chiffrement qui consomment beaucoup de ressources et les retards causés par le changement de contexte. Des extensions de processeur telles qu'Intel AES-NI ont été utilisées pour accélérer le chiffrement, mais les changements de contexte étaient encore un goulot d'étranglement avant ovpn-dco.
En plus d'utiliser les instructions fournies par le processeur pour accélérer le chiffrement, le module ovpn-dco prévoit également la division des opérations de chiffrement en segments distincts et leur traitement en mode multithread, ce qui permet d'utiliser tous les cœurs CPU disponibles.
Pour un VPN en espace utilisateur, comme OpenVPN, la surcharge de chiffrement et les commutateurs de contexte limitent les vitesses. Avec les processeurs modernes, la surcharge de chiffrement a été améliorée grâce à des extensions comme Intel AES-NI, qui à leur tour améliorent les vitesses pour les utilisateurs d'OpenVPN.
Mais la surcharge avec les commutateurs de contexte doit encore être traitée. À mesure que les vitesses Internet personnelles et professionnelles augmentent et que les applications utilisent plus de bande passante, les utilisateurs s'attendent à des vitesses plus rapides avec les communications en ligne. Par conséquent, l'impact de ces frais généraux est devenu plus perceptible.
Des limitations actuelles qui sont mentionnés dès la mise en œuvre et qui seront également éliminés à l'avenir, seuls les Modes AEAD et « aucun » (sans authentification) et les chiffrements AES-GCM et CHACHA20POLY1305.
Il est également mentionné que Il est prévu d'inclure le soutien DCO dans la publication de la version de OpenVPN2.6, prévu pour le quatrième trimestre de cette année. Actuellement, le module prend en charge le client Linux OpenVPN3 en bêta ouverte et les versions expérimentales du serveur OpenVPN pour Linux. Un module similaire ovpn-dco-win est également en cours de développement pour le noyau Windows.
Enfin si vous souhaitez en savoir plus à propos de la note, vous pouvez vérifier les détails dans le lien suivant.