TechOverflow Logo
TechOverflow

Praxisdaten zum CRS309-1G-8S+ RouterOS Wireguard-Durchsatz

English Deutsch

Siehe auch Wireguard-Bandbreitenleistung des MikroTik CRS326-24G-2S+

Wir haben den Durchsatz der neuen Wireguard-Funktionalität des MikroTik CRS309-1G-8S+ mit RouterOS 7.1beta6 getestet.

Unser Testaufbau besteht aus einem Desktop-PC mit 1GBase-T-Verbindung und einem virtualisierten Server auf XCP-NG, angeschlossen über eine 10GB-Shared-Verbindung, beide mit Ubuntu. Die L2-Switching-Infrastruktur (bestehend nur aus MikroTik CRS3xx- und CRS610-Switching mit vollständiger Hardware-Offloading) wird hier ignoriert, da sie aufgrund 100%iger Hardware-Offloading auf die hervorragenden Marvell-Switch-Chips um Größenordnungen höhere Leistung bietet als jede L3-Funktion und daher nur minimale Auswirkungen auf die Gesamtleistung hat.

Wireguard wurde ohne Preshared Keys verwendet. Bislang ist uns nicht bekannt, ob PSKs Auswirkungen auf den Durchsatz haben.

Der Befehl auf dem Desktop war

dd if=/dev/urandom bs=100M | netcat -v 10.185.244.199 2222

wireguard_send_dd_netcat.sh
dd if=/dev/urandom bs=100M | netcat -v 10.185.244.199 2222

während der Befehl auf dem Server

wireguard_receive_netcat.sh
netcat -vvnlp 2222 > /dev/null

war.

Wie bei einem unkomprimierten Protokoll wie Wireguard erwartet, gibt es keinen Unterschied, ob die Daten von /dev/urandom oder /dev/zero stammen.

Szenario: Routing von Wireguard zu lokalem geroutetem VLAN

Mit IP-Firewall

Der Desktop war über Wireguard mit dem CRS309-1G-8S+ verbunden. Der virtuelle Server war mit dem CRS309 als Default-Gateway in einem separaten VLAN verbunden, das zum Routing vorgesehen war. Die CRS309 L3-Hardware-Offloading-Funktion war deaktiviert.

Die IP-Firewall enthielt 8 einfache Accept- und Fasttrack-Regeln. Der gesamte WireGuard-Traffic matchte nur die letzte (8.) Regel und wurde akzeptiert. Es wurde nicht getestet, ob Fasttracking der Wireguard-Verbindung die Leistung erhöhen würde.

Die Durchsatzergebnisse zeigten eine konstante Rate von 131 Mbit/s (unidirektional, bidirektional nicht getestet), aber bis zu 160 Mbit/s. Es ist unbekannt, was die Geschwindigkeitserhöhung verursacht hat, aber es ist möglich, dass zusätzlicher Traffic während des Tests über den Switch L3-geleitet wurde.

CRS309 WireGuard-Durchsatztest mit aktivierter IP-Firewall zeigt ~131 Mbit/s

Ohne IP-Firewall

Der gleiche Test wurde mit deaktivierter IP-Firewall in den Bridge-Einstellungen wiederholt.

Wie erwartet führte das Deaktivieren der zusätzlichen IP-Firewall-Verarbeitung zu einer Erhöhung des Durchsatzes, aber nur um einen geringen Rand. Die typische Geschwindigkeit lag bei etwa 160 Mbit/s (unidirektional), mit Spitzen bis zu 185 Mbit/s.

CRS309 WireGuard-Durchsatztest ohne IP-Firewall zeigt ~160 Mbit/s

Fazit

Es sollte ziemlich offensichtlich sein, dass der CRS309-1G-S+ bei Verwendung von Wireguard die meisten herkömmlichen VPN-Lösungen übertrifft. Bei einem Straßenpreis von ~175€ ist er nicht nur ein großartiger Switch, sondern dient auch als mehr als angemessener Wireguard-Router für die meisten praktischen Anwendungen.

Zuverlässigkeitsaspekte

Beachten, dass zum Zeitpunkt der Artikelerstellung Wireguard nur in der RouterOS-7.1beta6-Firmware verfügbar ist, die noch nicht als stabil gilt. Obwohl ich keine Probleme erlebt habe, die die Zuverlässigkeit irgendwie beeinträchtigt haben, sollte bei einem Netzwerk, bei dem ein Ausfall schmerzhaft ist, die Verwendung alternativer Lösungen in Betracht gezogen werden.

Check out similar posts by category: MikroTik, Networking, VPN, Wireguard