Какой впн менее ресурсозатратен?

Question

[Born2com_fixtf2]

wireguard сам по себе быстрый, но для chacha20 нет процессорных инструкций, в отличии от aes. Кроме того, при использовании aes-gcm в ipsec не нужен алгоритм хеширования. Поэтому мне интересно, какой впн будет менее ресурсозатратен: ikev2/ipsec с aes-gcm 128 и процессорными инструкциями или wireguard?

Comments

[Everything_is_bad]

и где именно ты уперся в ресурсы?

[99insania99]

На микроволновке сервер поднимать собрался что-ли?

Answer 1

[Юрий MikroTik]

chacha20 в любом случае будет быстрее, чем даже аппаратный IPsec в разрезе MikroTik

Comments

[Дмитрий]

Если говорить о Mikrotik HEX, то на Reddit пишут, что производительность шифрования Wireguard у него - 160 - 200 Мбит/с. Это chacha2, насколько я понимаю. А аппаратный IPSEC на нем был, насколько я помню, до двух раз быстрее на ROS 6.X, но при переходе на ROS 7 что-то сломалось и сейчас в спецификции скорость IPSEC значительно меньше, сопоставимая с Wireguard.

Answer 2

[CityCat4]

Тот, который заработает :) Сейчая как правило вопрос не какой больше жрет ресурсов, а какой вообще работает :)

Comments

[Everything_is_bad]

Да походу тут мамкин перфекционист, которому пофиг на решение проблемы, главное чтобы ресурсы еще "более меньше" тратились.

Answer 3

[Arthur_N]

В контексте роутеров пока что ничего быстрее GRE/IPSEC не придумали, в случае микротик аппаратная разгрузка шифрования IPSEC поддерживается только на arm64 процессорах, все остальное будет работать без аппаратной разгрузки. В случае Linux наверное без разницы, самое простое включить модуль ядра GRE и прикрутить IPSEC, можно также wireguard, в целом по скоростям примерно то же самое будет.
Если речь про корпоративные ВПН (site to site, site to hub) то GRE/IPSEC лучший вариант (а вопрос блокировок решается письмом в цму ссоп и включением в белые списки рун).
Если речь про обход DPI, то сейчас нельзя о таком рассказать)