<div dir="ltr"><div><div><div><div>Hi, Ansis,<br><br></div>I&#39;ve got a performance problem with my setup - I&#39;ve got 1Mbps speed reported by iperf3, while the physical link is 1Gbps. As you seem to be the only one using StrongSwan with OVS around, you are my only hope :] <br><br></div>So - two physical hosts, running OpenSUSE 42.1, with kernel 4.1.34, StrongSwan 5.2.2, OVS 2.3.3 (with your strongswan ovs patch). Tunnel established with ipsec_gre port on ipv4, connection established with StrongSwan, MTU on interfaces set to 1400. iperf3 between host interfaces.<br><br></div>I managed to narrow down the scope of the 1Mbps speed issue to StrongSwan IPsec+GRE+OVS+VLAN tagging. Without VLAN tags I achieve 885Mbps. With Racoon+GRE+OVS+VLAN tagging I also get ~870-880 Mbps.<br><br></div>Did you happen to test StrongSwan with OVS and VLAN tagging with regards to performance?<br><div><div><div><br></div><div>I can provide you with more details if you&#39;d like to replicate the issue, but perhaps that&#39;s something you have seen already?<br></div><div><br></div><div>Best regards,<br></div><div>Bolesław Tokarski<br></div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-11-19 13:55 GMT+01:00 Bolesław Tokarski <span dir="ltr">&lt;<a href="mailto:boleslaw.tokarski@gmail.com" target="_blank">boleslaw.tokarski@gmail.com</a>&gt;</span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hi, Ansis,<br><br></div>I tried your openvswitch-ipsec patch for strongswan on my current OVS 2.3 installation. Although I found it was written somewhere between 2.3 and 2.4, it was relatively easy to adapt it to run on 2.3.3. As I needed only gre_ipsec, I did not need to care this is only implemented from 2.4+.<br><br></div>I tested it on OpenSUSE 42.1, strongswan 5.2.2, ovs 2.3.3 (with my patches and the strongswan patch).<br><br></div><div>There&#39;s a minor bug in the patch, it wraps &#39;charon.plugins.kernel-<wbr>netlink.xfrm_ack_expires = 10&#39; in some garbage in front. The script generated /etc/ipsec.d/certs/ovs-$<wbr>portname.pem, while I think strongswan expected that to be an IP address (unless I stumbled upon a cert issue I fixed later, details below). Also, I found it was required to specify &#39;local_ip&#39; in ovs-vsctl, as strongswan fails to find the tunnel policy otherwise.<br></div><div><br></div>I found StrongSwan to be very picky regarding certificates. I needed to specify an IP address in subjAltNames in the certificate.<br><br></div>Beside that - the support you wrote looks like it works  decently. I had some issues with racoon, with it not catching a certificate change, and failing desperately on one connection. Since it seems Strongswan is maintained better, it seems to be a good alternative. <br><br>Thank you for this nice piece of code :)<br><div><div><br></div><div>Regards,<br></div><div>Bolesław Tokarski<br><br></div></div></div>
</blockquote></div><br></div>