dfri/ sysadm/ tor-bw-experiment

DFRI NOC

Flera av DFRI:s relän driver för lite trafik. Här är ett experiment för att försöka reda ut varför och hur vi kan fixa det.

En notering angående mätning av Tor-nätet är att nätets Bandwidth Authoritites ("bwauth") tar upp till fyra dagar på sig att mäta upp samtliga relän i nätet. Sedan tar det upp till 24h innan mätningarna via ett konsensusdokument hamnar hos Tor-klienter. Det verkar rimligt att vänta åtminstone fem dagar från det att vi ändrar något i våra relän tills dess vi försöker utvärdera effekterna av ändringen.

2016-02-10 - DFRI3 (memento @ lethe)

Inställningarna på DFRI3 för BandwidthRate och BandwidthBurst har länge varit 20 MB men samtidigt har nätverkskortet bara haft 100M länk. Uppgradering till nyare FreeBSD rättade till interfacet så att länken nu är 1000M.

Atlas visar trafiken som 3 MB/s men kollar man på maskinen så är det snarare 3 Mbit/s som används. Ändrade idag BandwidthRate och BandwidthBurst till 4 MB. Teorin är att DFRI3 straffas för att den har upmätts så mycket långsammare än de 20 MB som vi hade angett.

Vänta en vecka för att se om trafikmängden förändras av det här.

2016-03-15 - DFRI3 (memento @ lethe) uppföljning

Nu säger Atlas 3.15 MB/s (ingen märkbar skillnad sedan 2016-02-10). "1 Month graph" visar en tendens till uppgång men ser man på "3 Months graph" har den pågått redan sedan början på året med dippar 2016-01-07 och 2016-02-09 som orsakats av omstarter.

En koll på maskinen visar att den nu kör ca 6-10 MBit/s. (nload -d em1 -t 1000 -i 50000 -o 50000) Det är dubbelt mot trafiken den 2016-02-10.

Inget entydigt resultat av testet att sänka BandwidthRate och BandwidthBurst till 4 MB. Testar nu att höja BandwidthRate och BandwidthBurst till 8 MB och en ny koll kan göras tidigast om en vecka.

En kommande koll skulle kunna göras i det som bwauth har uppmätt vid olika datum istället för stickprover från Atlas och på maskinen? För det arkiveras(?) och finns på url ...

En skillnad på DFRI3 mot andra relän vi kör där det kommer mer trafik är att den använder port 11443 istället för 443. Kan en orsak vara att lasten i Tornätet är olika beroende på ORPort för relän? Kan vara värt att pröva att ändra porten till 443 vid ett annat tillfälle.

2016-03-22 - DFRI3 (memento @ lethe) uppföljning

Mätning på hosten med nload visar 9 MBit/s. Atlas 4.03 MB/s. "3 Days graph" och "1 Week graph" fungerar inte men "1 Month graph" visar en tydlig ökning. DFRI3 2016-03-22 Gör ingen förändring av konfigurationen.

Anslutning till TOT-nätverket

För att ansluta en klient till TOT-nätverket kan nedanstående konfig användas:

TestingTorNetwork 1
DirAuthority psychogenic orport=3000 v3ident=935FBE9F6364222D8AD4B72F486178AE15554704 171.25.193.133:4000 20E39EE3BB6CD5A1F40A22D7FA1F9344FE8DC124

Därefter kan ett enkelt test av tillgänglig bandbredd i nätverket göras genom att jämföra två hämtningar med curl - en utan att gå via TOT-nätverket och en genom TOT-nätverket, t ex:

~$ curl -o /dev/null --socks5-hostname 127.0.0.1:9050 http://kst5-speedtest-1.tele2.net/100MB.zip
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  100M  100  100M    0     0  5754k      0  0:00:17  0:00:17 --:--:-- 5230k
% Total    % Received % Xferd  Average Speed   Time    Time     Time  Current  
~$ curl -o /dev/null http://kst5-speedtest-1.tele2.net/100MB.zip  
                                 Dload  Upload   Total   Spent    Left  Speed
100  100M  100  100M    0     0  23.1M      0  0:00:04  0:00:04 --:--:-- 23.6M

För att lägga till ett relä i TOT-nätverket kan man utgå från nedanstående konfig för Debian Jessie:

TestingTorNetwork 1
AssumeReachable 1
User debian-tor

DataDirectory /var/lib/tor/tor-relay01
RunAsDaemon 1
Nickname testRelay01
ShutdownWaitLength 0
PidFile /var/lib/tor/tor-relay01/pid
Log notice file /var/lib/tor/tor-relay01/notice.log
Log info file /var/lib/tor/tor-relay01/info.log
ProtocolWarnings 1
SafeLogging 0
DirAuthority psychogenic orport=3000 v3ident=935FBE9F6364222D8AD4B72F486178AE15554704 171.25.193.133:4000 20E39EE3BB6CD5A1F40A22D7FA1F9344FE8DC124

# För att testa anslutningen lokalt med t ex curl
SocksPort 127.0.0.1:9050
OrPort 5000
DirPort 6000

ExitPolicy reject *:*
ExitPolicy reject6 *:*

För att istället lägga till ett exit relä i TOT-nätverket kan man utgå från nedanstående konfig för Debian Jessie:

TestingTorNetwork 1
AssumeReachable 1
User debian-tor

DataDirectory /var/lib/tor/tor-exit01
RunAsDaemon 1
Nickname testExit01
ShutdownWaitLength 0
PidFile /var/lib/tor/tor-exit01/pid
Log notice file /var/lib/tor/tor-exit01/notice.log
Log info file /var/lib/tor/tor-exit01/info.log
ProtocolWarnings 1
SafeLogging 0
DirAuthority psychogenic orport=3000 v3ident=935FBE9F6364222D8AD4B72F486178AE15554704 171.25.193.133:4000 20E39EE3BB6CD5A1F40A22D7FA1F9344FE8DC124

# För att testa anslutningen lokalt med t ex curl
SocksPort 127.0.0.1:9051
OrPort 5003
DirPort 6003

ExitRelay 1

ExitPolicy reject 0.0.0.0/8:*
ExitPolicy reject 169.254.0.0/16:*
ExitPolicy reject 127.0.0.0/8:*
ExitPolicy reject 192.168.0.0/16:*
ExitPolicy reject 10.0.0.0/8:*
ExitPolicy reject 172.16.0.0/12:*
ExitPolicy reject 192.165.147.0/24:*
ExitPolicy reject *:25
ExitPolicy reject *:119
ExitPolicy reject *:135-139
ExitPolicy reject *:445
ExitPolicy reject *:563
ExitPolicy reject *:1214
ExitPolicy reject *:4661-4666
ExitPolicy reject *:6346-6429
ExitPolicy reject *:6699
ExitPolicy reject *:6881-6999
ExitPolicy accept *:*