OpenVPN 2.6 + DCO
... Как известно, 25 января 2023 года (то есть совсем недавно) вышел релиз community-версии OpenVPN 2.6.0. Пожалуй, из самых интересных фич в нём - поддержка шифрования в kernel space aka "DCO": Data Channel Offload. Не уверен, что персонально я смогу воспроизвести у себя ситуацию, когда эта штука будет действительно решать, но для серверов со 100500 клиентами обещают заметный прирост производительности. Как технофетишист, полез разбираться как бы оную фичу включить. А самое главное, как проверить что она действительно включилась.
Из ложки дёгтя. На работу DCO накладывается ряд ограничений. В частности, поддерживаются только шифры AES-GCM и ChaCha20-Poly1305, из топологий только subnet. Нет и не будет режима "тапка" (L2 tap adapter), сжатия трафика, а также присутствует ряд платформозависимых нюансов. Есличо, официальная дока есть вот здесь.
... Итак, для работы нам нужна версия демона OpenVPN не ниже чем 2.6.0 и модуль ядра к нему. Для Debian-а они появились в тестовом (нестабильном) релизе "Bookworm" ("12").
https://packages.debian.org/bookworm/openvpn
https://packages.debian.org/bookworm/openvpn-dco-dkms
Модуль ядро собирается традиционно через DKMS.
Предупреждаю сразу. В бинарниках из репозитория "build.openvpn.net" оный собран без поддержки DCO. Проверяется это по выхлопу "openvpn --version", там должно присутствовать "enable_dco=yes". Так что если не хотите собирать сами, то надо ставить именно из Debian-овских репозиториев, там всё (внезапно) скомпилировано "как надо". А потом просто перезапустить демон OpenVPN.
Если в конфиге нет каких-нибудь директив, явно мешающих задейстовать DCO, то он в логе (verb 2) выдаст строку
DCO device tun0 opened
Это означает успешный успех. Если такой строки в логах нет, ... нувыпонели.
Из грустного, в последних стабильных OpenWRT пока не ушли дальше OpenVPN 2.5.7. Хоть модуль "kmod-ovpn-dco" и есть в репозиториях, толку от него нет. Так что ленивые админы типа меня ждут, энтузиасты пересобирают OpenVPN из исходников.
В прод пока что это чудо ещё не деплоил совал, погоняю пока на домашнем десктопе, погляжу чё-как.
Всем быстрых и удобных VPNов.