On 2023-03-01 16:23, Minh-Truong LAM wrote:
J'arrive de mon côté à monter de l'ipsec en mode dialup sans pbs, par
contre je rencontre un souci en terme de perf.
Je sature autour de 20Mbps pour mon trafic tunnelisé (pas de saturation au
niveau du concentrateur) versus 150Mbps pour l'accès internet "direct"
Starlink.
Pour ceux qui ont monté de l'ipsec vous avez pu constater des perfs
similaires ? Pour ceux qui font du WG vous avez une idée des perfs dessus ?
Sous Linux, malheureusement, l'implémentation IPSec est monothreadé par
défaut. Il est possible de passer en multithread by pcrypt, mais les
perfs scalent très mal en raison d'un code qui fait beaucoup appel aux
locks. WireGuard a été écrit avec le multithread dès le départ et ne
souffre pas de ce problème.
https://wiki.strongswan.org/projects/strongswan/wiki/Pcrypt
Sur le papier, IPSec sait utiliser les mêmes ciphers que WireGuard, donc
les perfs devraient être similaires. IPSec peut même avoir des perfs
meilleures via des ciphers qui sont accélérés matériellement, tels que
AES-GCM.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
