Sicherheit ist eines der wichtigsten Dinge, die Sie berücksichtigen sollten, wenn Sie online sind. Je mehr Ihre Online-Kommunikation durch Verschlüsselung gesichert ist, desto besser. Die Datenverschlüsselung hat in der Vergangenheit die Rechengeschwindigkeit verlangsamt, was sich mit modernen CPUs verbessert hat. Aber wir können noch mehr tun. OpenVPN hat gerade eine neue Entwicklung vorgestellt, die die Geschwindigkeit für seine Benutzer erhöhen wird, indem der Kernel-Speicherplatz knapp wird:OpenVPN Data Channel Offload (DCO).
Was ist Kernel Space?
Der Kernel wird geladen, wenn Sie Ihren Computer einschalten (unabhängig vom Betriebssystem). Es ist die Basisschicht für alle anderen Schichten. Die Hardware bildet das Fundament, darauf der Kernelspace, gefolgt vom Userspace. Ganz oben stehen die Programme, die Sie verwenden. Je höher in einer Ebene, desto weiter entfernt sind Sie von der Hardware und desto langsamer läuft Ihr Programm. Wenn Sie also über die Verschlüsselung von Daten nachdenken, kann dies eine Herausforderung sein. Der Datenaustausch zwischen diesen beiden Schichten kostet Rechenleistung, was einen Engpass für die OpenVPN-Geschwindigkeit darstellt.
Bei einem User-Space-VPN wie OpenVPN begrenzen Verschlüsselungs-Overhead und Kontextwechsel die Geschwindigkeit. Bei modernen CPUs hat sich der Verschlüsselungsaufwand durch Erweiterungen wie Intel AES-NI verbessert, was wiederum die Geschwindigkeit für OpenVPN-Benutzer verbessert. Aber der Overhead mit Kontextwechseln muss noch angegangen werden. Da die privaten und geschäftlichen Internetgeschwindigkeiten zunehmen und Anwendungen mehr Bandbreite verbrauchen, erwarten Benutzer schnelle Geschwindigkeiten bei der Online-Kommunikation. Daher sind die Auswirkungen dieses Overheads deutlicher geworden.
Stellt herkömmliche Weisheiten auf den Kopf:OpenVPN DCO
Wir haben jetzt OpenVPN Data Channel Offload oder ovpn-dco. OpenVPN DCO implementiert das Linux-Kernel-Modul, das den OpenVPN-Datenkanal verwaltet. OpenVPN sendet keinen Datenverkehr mehr zwischen dem Benutzer und dem Kernel-Space zum Routing und zur Verschlüsselung/Entschlüsselung. Operationen an Payloads finden im Linux-Kernel statt, um die Leistung zu optimieren. Dies reduziert die Latenz und die Kosten der Nutzlastübertragung zwischen Benutzer- und Kernelspace.
Darüber hinaus ist die Verschlüsselung jetzt multi-threaded. Multi-Threading ist der Prozess, Aufgaben oder Jobs in kleinere Einheiten aufzuteilen und sie verschiedenen CPUs zuzuweisen. Was bedeutet das für den Endverbraucher? Die Datenübertragung erfolgt viel schneller.
James Yonan, CTO von OpenVPN, spricht über die Bedeutung des Offloading:„Offloading ist wirklich der heilige Gral sowohl der Sicherheit als auch der Leistung, da es uns ermöglicht, Industriestandardprotokolle wie SSL/TLS zu übernehmen, aber durch das Offloading der Paketverarbeitung in den Kernel-Space oder Hardware können wir die Leistung an die Grenzen der Kabelgeschwindigkeit bringen.“
Das OpenVPN DCO integriert den gesamten OpenVPN-Datenkanal in das Kernel-Modul, während der Steuerkanal außerhalb des Kernels bleibt, und verwendet weiterhin die standardmäßigen SSL/TLS-Protokolle, einschließlich der Unterstützung für TLS 1.3-Funktionen.
Testen der Geschwindigkeit
Um Ihnen eine Vorstellung von der Geschwindigkeitsverbesserung zu geben, hier sind Testergebnisse mit OpenVPN 2.6 dco-Entwicklungsversion in drei verschiedenen Konfigurationen:
Die nachstehenden Leistungszahlen sind iperf3-Testergebnisse, die auf einem AMD ThreadRipper 3970x-System mit Hyper-V als Hypervisor mit Linux- und Windows-Gästen durchgeführt wurden. Der verwendete Verschlüsselungsalgorithmus ist AES-256-GCM.
OpenVPN DCO-Verfügbarkeit
OpenVPN Cloud, unser VPN der nächsten Generation, hat DCO bereits in der Produktion eingeführt, wo wir Leistungssteigerungen in Größenordnungen auf der Serverseite sehen und erwarten, ähnliche Gewinne auf dem Client zu sehen, wenn ovpn-dco auf der Clientseite weit verbreitet ist.
Diese Entwicklung ist unglaublich aufregend, denn die Beseitigung dieses berüchtigten Engpasses ist kein hochgestecktes langfristiges Ziel – es geschieht bereits.
- Der OpenVPN3-Linux-Client ist als Beta verfügbar.
- ovpn-dco-win ist derzeit als technische Vorschau verfügbar und wird offiziell als Teil der Version 2.6 im 4. Quartal 2021 verfügbar sein.
- Linux OpenVPN-Server in Verbindung mit dem DCO-Modul erreicht wirklich beeindruckende Geschwindigkeiten. Die technische Vorschau ist verfügbar, und Entwickler arbeiten gerade an der breiten Version.
OpenVPN Inc. glaubt an Open Source und unterstützt dies voll und ganz. Die Entwickler, die an OpenVPN3 und OpenVPN Cloud arbeiten, werden diese beeindruckenden neuen Fähigkeiten nutzen und sie der Community zurückgeben. Wir werden OpenVPN 2.6.0 im vierten Quartal dieses Jahres veröffentlichen, einschließlich DCO-Unterstützung. Solange Sie einen OpenVPN 2.6-Entwicklungs-Build verwenden, können Sie eine enorme Verbesserung der Datenübertragungsgeschwindigkeit genießen, wenn Sie das Open-Source-DCO-Modul auf Windows- oder Linux-Plattformen installieren. Wir werden auch das DCO-Modul für Windows in einer zukünftigen Version in OpenVPN Connect v3 integrieren; Auf diese Weise können alle Windows-Benutzer von dieser erhöhten Geschwindigkeit profitieren. OpenVPN Access Server wird auch vom DCO-Modul für Linux profitieren, wenn wir diese Funktion in einer zukünftigen Version von OpenVPN Access Server einführen.