Несколько дней назад яРазработчики OpenVPN выпущены новости, которые они представили модуль ядра под названием "ovpn-dco" основная задача которого - значительно ускорить работу VPN.
Хотя модуль все еще развивается в ветке linux-next и имеет статус экспериментальной, она уже достигла уровня стабильности, позволяющего использовать ее для обеспечения работы OpenVPN.
По сравнению с конфигурацией на основе интерфейса tun, использование модуля на стороне клиента и сервера с использованием шифрования AES-256-GCM позволило увеличить производительность в 8 раз (с 370 Мбит / с до 2950 Мбит / с).
При использовании модуля только на стороне клиента производительность для исходящего трафика утроится и не меняется для входящего. При использовании модуля только на стороне сервера пропускная способность умножается на 4 для входящего трафика и на 35% для исходящего трафика.
Безопасность - одна из самых важных вещей, о которых нужно помнить, когда вы находитесь в сети. Чем безопаснее будет ваше онлайн-общение с помощью шифрования, тем лучше. В прошлом шифрование данных замедляло скорость вычислений, которая улучшилась с современными процессорами. Но мы можем сделать больше. OpenVPN только что представил новую разработку, которая увеличит скорость для пользователей при исчерпании свободного места в ядре: OpenVPN Data Channel Offload (DCO).
Ускорение достигается за счет переноса всех криптографических операций, обработка пакетов и управление каналами к ядру Linux, устраняя связанные накладные расходы Благодаря переключению контекста это позволяет упростить работу путем прямого доступа к внутренним API ядра и устраняет медленную передачу данных между ядром и пользовательским пространством. (Модуль выполняет шифрование, дешифрование и маршрутизацию, не отправляя трафик на контроллер в пользовательском пространстве.)
Обратите внимание, что негативное влияние в производительности VPN в основном это связано с операциями шифрования, которые потребляют много ресурсов и задержки, вызванные изменением контекста. Расширения процессоров, такие как Intel AES-NI, использовались для ускорения шифрования, но переключение контекста все еще было узким местом до ovpn-dco.
Помимо использования инструкций, предоставляемых процессором для ускорения шифрования, модуль ovpn-dco также обеспечивает разделение операций шифрования на отдельные сегменты и их обработку в многопоточном режиме, что позволяет использовать все доступные ядра процессора.
Для VPN в пространстве пользователя, такой как OpenVPN, накладные расходы на шифрование и переключение контекста ограничивают скорость. В современных процессорах накладные расходы на шифрование были улучшены за счет таких расширений, как Intel AES-NI, что, в свою очередь, увеличивает скорость для пользователей OpenVPN.
Но перегрузка с переключением контекста все еще требует решения. По мере того, как скорость личного и делового Интернета увеличивается, а приложения используют большую полосу пропускания, пользователи ожидают более высоких скоростей при онлайн-общении. Таким образом, влияние этих накладных расходов стало более заметным.
О текущих ограничениях которые упоминаются в реализации и также будут удалены в будущем, только AEAD и режимы none (без аутентификации) и шифров AES-GCM и CHACHA20POLY1305.
Также упоминается, что Поддержка DCO планируется включить в выпуск версия ОпенВПН 2.6, запланировано на четвертый квартал этого года. В настоящее время модуль поддерживает открытую бета-версию клиента Linux OpenVPN3 и экспериментальные сборки сервера OpenVPN для Linux. Аналогичный модуль ovpn-dco-win также разрабатывается для ядра Windows.
В конце концов если вам интересно узнать об этом больше о заметке, вы можете проверить детали По следующей ссылке.