VPN-Router gesucht

Jump to last post
TheOnly1

TheOnly1

RBTV | ngb | BMG
Registriert
14 Juli 2013
Beiträge
4.150
Ort
Zimmer 237
Hallo,

ich möchte gerne meinen gesamten Internet-Traffic zukünftig durch ein VPN tunneln.
Ich suche dazu einen passenden Router, der OpenVPN bereits mitbringt.
Leider finde ich nur Router, die max. 75mbit über OpenVPN zustande kriegen (ASUS RT-AC3200), was bei meiner 200mbit Leitung unzureichend ist.
Am PC schafft mein VPN-Anbieter circa 180-190mbit, von daher brauche ich einen Router der da wirklich mitgehen kann.

Hat da jemand eine Modell-Empfehlung oder eine Alternativ-Idee zur Umsetzung?

Generell sind Infos dazu schwierig zu finden, das Beste war bisher diese Liste, mit besagtem ASUS-Router:
You do not have permission to view link please Anmelden or Registrieren
 
Fertige Lösung oder Selbstbau? Mit IP-Fire kannst du dir aus jedem PC mit zwei LAN-Anschlüssen einen Router basteln der einen integrierten OpenVPN-Server mitbringt. Habe selbst nur Intel Atoms und Celerons damit betrieben. Der "Hardware-Partner" von IP-Fire bietet fertige Appliances (Xeon CPU, 16GB RAM, Dual 10G NIC) an die laut Datasheet 692MB/s mit AES-128 Verschlüsselung packen. Link:
You do not have permission to view link please Anmelden or Registrieren
. Ein hoch taktender Pentium Gold oder ein i3 mit ~4GHz könnte da solide Ergebnisse liefern. Ist halt schwer zu diesem Thema irgendwelche Richtwerte zu finden.
 
TLDR:
You do not have permission to view link please Anmelden or Registrieren
(Achtung: kein DSL Modem on Board!)

Mehr Auswahl? Such dir einen aus
You do not have permission to view link please Anmelden or Registrieren
aus, in der Theorie sollten die alle passen.

In der Praxis? :unknown: Nicht mein Use Case, sorry. Auch mit der
You do not have permission to view link please Anmelden or Registrieren
kenne ich mich nicht aus.

"Empfehlung" daher nur unter Vorbehalt absoluter Ahnungslosigkeit.


Herleitung:
TheOnly1 schrieb:
Am PC schafft mein VPN-Anbieter circa 180-190mbit,
Zum Vergrößern anklicken....
:T Das ist ein wichtiger Benchmark. Welche Algorithmen setzt ihr dafür ein?
Meine Empfehlung ist AES-128-GCM.

You do not have permission to view link please Anmelden or Registrieren
und aes-256-gcm ist bei
You do not have permission to view link please Anmelden or Registrieren
.

Für dich ist das relevant, denn AES-128-GCM ist etwa 5 mal performanter wie AES-256-CBC-HMAC-SHA512. Zumindest auf einem Intel mit AES-NI instruction set.

Benchmarken musst du die verschiedenen Einstellungen aber mit der Hardware, das ist sonst alles nur Spekulation.


TheOnly1 schrieb:
Leider finde ich nur Router, die max. 75mbit über OpenVPN zustande kriegen (ASUS RT-AC3200),
Zum Vergrößern anklicken....
Die meisten Plastikrouter haben komische Chipsätze und tun sich mit der Kryptographie für OpenVPN doch arg schwer.
Der ASUS AC3200 z.B. hat wohl einen
You do not have permission to view link please Anmelden or Registrieren


Das Ding ist schon in Hardware auf WLAN optimiert und eben nicht auf VPN. Der BCM4709 (von 2014) darf die VPN Krypto berechnen. Jener basiert aber auf der Cortex-A9 Architektur, ist also ein 32 bit ARMv7. Dieser Chip hat keine AES Instruction Sets, Die gibt es erst optional(!) ab ARMv8.

Dass der also auf 75Mbit/s kommen soll, halte ich für sehr fragwürdig. Leider hat die Seite keine sinnvollen Daten, da heißt nur es wurde mit PTPP getestet. Also gehe ich einfach mal davon aus, dass die RC4 einsetzen und die Performance mit AES anders aussehen würde.


You do not have permission to view link please Anmelden or Registrieren
wurde der WRT3200ACM mit 112Mbps auf AES-256-?? getestet. Das ist etwa die Hälfte von dem,was du willst und das Ding kostet schon ~ €250 und ist angeblich
You do not have permission to view link please Anmelden or Registrieren

Finger weg, das ist auch ein Cortex A9, damit wirst du nicht glücklich.


Welche SoCs haben denn AES Instruktionen und werden in Plastikroutern verbaut?
Nun den
You do not have permission to view link please Anmelden or Registrieren
konnte ich finden, aber es gibt sicher ein paar andere.

Der ist zum Beispiel verbaut im vor wenigen Monaten erschienenen ASUS RT-AX88U oder im Netgear Jaguar RAX80.

Dieser
You do not have permission to view link please Anmelden or Registrieren
(OpenVPN nutzt OpenSSL) zeigt mit aes-256-cbc etwa 50 MB/s an. (ohne HMAC aber in MByte/s, nicht Mbit/s)
-> der packt deine Anforderung also zumindest in der Theorie.

Das sind brandneue Devices mit ax-WLan, daher das AX im Namen.

Der SNB Thread hat aber ein kleines wichtiges Detail: "the BCM4908 uses the same 1.8 GHz B53 cores as the BCM4906."

Und für die in den AC Geräten verbauten BCM4906 konnte ich dann auch
You do not have permission to view link please Anmelden or Registrieren
, die du sehen willst.

Sieht soweit gut aus :cool:

Und damit haben wir
You do not have permission to view link please Anmelden or Registrieren
mit Geräten, die für dich funktionieren sollten.

TheOnly1 schrieb:
Alternativ-Idee zur Umsetzung?
Zum Vergrößern anklicken....
Kommt auf deinen Use Case an. Wenn dein Router halt WLAN und DSL macht, dann willst du nicht das VPN nicht auf einem dedizierten Gerät laufen lassen. Du müsstest deine ganze Struktur zerlegen: erst die Clients (LAN und WLAN) zusammen bringen, dann durch eine VPN Appliance und schließlich zum DSL-Modem.
Wird halt teurer, besonders, wenn du die 2500 Euro Premium VPN Appliance nimmst, die The_Emperor da ausgegraben hat.
 
Zuletzt bearbeitet:
Wireguard wäre meine präferierte Lösung.

Selbst Profi-Hardware wie der Ubiquiti EdgeRouter ERLite-3 (90€) schafft nur ~110Mbit/s über OpenVPN, wenn du mehr willst musst du auch mehr ausgeben.

Was ist denn dein Budget? Also 200Mbit/s VPN würde ich mit nem mITX-Board und zwei Netzwerkkarten basteln, kostet dann aber auch ~450€.
 
  • Thread Starter Thread Starter
  • #5
Danke für die Antworten.
In An- und Abwägung aller Punkte erscheint mir die Lösung über den Asus RT-AC86U am praktikabelsten.

Wireguard liest sich aus Performance-Sicht interessant, aber ich habe auch Vorbehalte gelesen, insbesondere wegen der an sich (angeblich?) kaum möglichen Umsetzung ohne Logging.
You do not have permission to view link please Anmelden or Registrieren


Die Lösung von The_Emperor ist sicherlich premium, aber kostet auch premium. :D
Gegen Selbstbau hätte ich per se nix, aber ich erkenne da -für meinen Usecase- keine Vorteile gegenüber dem von Shodan genannten Router👎.
 
phre4k schrieb:
der Ubiquiti EdgeRouter ERLite-3 (90€) schafft nur ~110Mbit/s über OpenVPN,
Zum Vergrößern anklicken....
Das ist krass viel für einen 500Mhz dual core MIPS64 (von Cavium) ... researching ... cool
You do not have permission to view link please Anmelden or Registrieren
für AES-256 und SHA1, aber nicht für AES-xy-GCM oder gutes SHA.

Der ERL-3 ist damit wohl eines des Geräte, bei dem man sich mit dem in der Theorie performanteren Algorithmus praktisch in den Fuß schießt :D

Das Offloading funktioniert wohl nicht für OpenVPN, sondern nur für IPSec,
You do not have permission to view link please Anmelden or Registrieren
.

Wo hast du die Zahl her?
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben