• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

VPN-Router gesucht

TheOnly1

RBTV | ngb | BMG
Veteran

Registriert
14 Juli 2013
Beiträge
8.901
Ort
Zimmer 237
Hallo,

ich möchte gerne meinen gesamten Internet-Traffic zukünftig durch ein VPN tunneln.
Ich suche dazu einen passenden Router, der OpenVPN bereits mitbringt.
Leider finde ich nur Router, die max. 75mbit über OpenVPN zustande kriegen (ASUS RT-AC3200), was bei meiner 200mbit Leitung unzureichend ist.
Am PC schafft mein VPN-Anbieter circa 180-190mbit, von daher brauche ich einen Router der da wirklich mitgehen kann.

Hat da jemand eine Modell-Empfehlung oder eine Alternativ-Idee zur Umsetzung?

Generell sind Infos dazu schwierig zu finden, das Beste war bisher diese Liste, mit besagtem ASUS-Router:
https://vpntester.de/anleitung/vpnclient-router-zu-hause-verwenden/#asus
 

The_Emperor



Registriert
17 Juli 2013
Beiträge
2.801
Fertige Lösung oder Selbstbau? Mit IP-Fire kannst du dir aus jedem PC mit zwei LAN-Anschlüssen einen Router basteln der einen integrierten OpenVPN-Server mitbringt. Habe selbst nur Intel Atoms und Celerons damit betrieben. Der "Hardware-Partner" von IP-Fire bietet fertige Appliances (Xeon CPU, 16GB RAM, Dual 10G NIC) an die laut Datasheet 692MB/s mit AES-128 Verschlüsselung packen. Link: https://www.lightningwirelabs.com/products/ipfire/appliances . Ein hoch taktender Pentium Gold oder ein i3 mit ~4GHz könnte da solide Ergebnisse liefern. Ist halt schwer zu diesem Thema irgendwelche Richtwerte zu finden.
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
TLDR: Asus RT-AC86U (Achtung: kein DSL Modem on Board!)

Mehr Auswahl? Such dir einen aus dieser Liste aus, in der Theorie sollten die alle passen.

In der Praxis? :unknown: Nicht mein Use Case, sorry. Auch mit der Merlin Firmware kenne ich mich nicht aus.

"Empfehlung" daher nur unter Vorbehalt absoluter Ahnungslosigkeit.


Herleitung:
Am PC schafft mein VPN-Anbieter circa 180-190mbit,
:T Das ist ein wichtiger Benchmark. Welche Algorithmen setzt ihr dafür ein?
Meine Empfehlung ist AES-128-GCM.

OpenVPN kann ja AEAD und aes-256-gcm ist bei Fedora für OpenVPN der default.

Für dich ist das relevant, denn AES-128-GCM ist etwa 5 mal performanter wie AES-256-CBC-HMAC-SHA512. Zumindest auf einem Intel mit AES-NI instruction set.

Benchmarken musst du die verschiedenen Einstellungen aber mit der Hardware, das ist sonst alles nur Spekulation.


Leider finde ich nur Router, die max. 75mbit über OpenVPN zustande kriegen (ASUS RT-AC3200),
Die meisten Plastikrouter haben komische Chipsätze und tun sich mit der Kryptographie für OpenVPN doch arg schwer.
Der ASUS AC3200 z.B. hat wohl einen BCM4709 + BCM43602 (2.4G) + 2 x BCM43602 (5G)

Das Ding ist schon in Hardware auf WLAN optimiert und eben nicht auf VPN. Der BCM4709 (von 2014) darf die VPN Krypto berechnen. Jener basiert aber auf der Cortex-A9 Architektur, ist also ein 32 bit ARMv7. Dieser Chip hat keine AES Instruction Sets, Die gibt es erst optional(!) ab ARMv8.

Dass der also auf 75Mbit/s kommen soll, halte ich für sehr fragwürdig. Leider hat die Seite keine sinnvollen Daten, da heißt nur es wurde mit PTPP getestet. Also gehe ich einfach mal davon aus, dass die RC4 einsetzen und die Performance mit AES anders aussehen würde.


Im Forum von Golem wurde der WRT3200ACM mit 112Mbps auf AES-256-?? getestet. Das ist etwa die Hälfte von dem,was du willst und das Ding kostet schon ~ €250 und ist angeblich "one of the most recommended VPN routers you will find"
Finger weg, das ist auch ein Cortex A9, damit wirst du nicht glücklich.


Welche SoCs haben denn AES Instruktionen und werden in Plastikroutern verbaut?
Nun den BCM4908 konnte ich finden, aber es gibt sicher ein paar andere.

Der ist zum Beispiel verbaut im vor wenigen Monaten erschienenen ASUS RT-AX88U oder im Netgear Jaguar RAX80.

Dieser openssl Benchmark (OpenVPN nutzt OpenSSL) zeigt mit aes-256-cbc etwa 50 MB/s an. (ohne HMAC aber in MByte/s, nicht Mbit/s)
-> der packt deine Anforderung also zumindest in der Theorie.

Das sind brandneue Devices mit ax-WLan, daher das AX im Namen.

Der SNB Thread hat aber ein kleines wichtiges Detail: "the BCM4908 uses the same 1.8 GHz B53 cores as the BCM4906."

Und für die in den AC Geräten verbauten BCM4906 konnte ich dann auch die Zahlen finden, die du sehen willst.

Sieht soweit gut aus :cool:

Und damit haben wir diese Liste mit Geräten, die für dich funktionieren sollten.

Alternativ-Idee zur Umsetzung?
Kommt auf deinen Use Case an. Wenn dein Router halt WLAN und DSL macht, dann willst du nicht das VPN nicht auf einem dedizierten Gerät laufen lassen. Du müsstest deine ganze Struktur zerlegen: erst die Clients (LAN und WLAN) zusammen bringen, dann durch eine VPN Appliance und schließlich zum DSL-Modem.
Wird halt teurer, besonders, wenn du die 2500 Euro Premium VPN Appliance nimmst, die The_Emperor da ausgegraben hat.
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Wireguard wäre meine präferierte Lösung.

Selbst Profi-Hardware wie der Ubiquiti EdgeRouter ERLite-3 (90€) schafft nur ~110Mbit/s über OpenVPN, wenn du mehr willst musst du auch mehr ausgeben.

Was ist denn dein Budget? Also 200Mbit/s VPN würde ich mit nem mITX-Board und zwei Netzwerkkarten basteln, kostet dann aber auch ~450€.
 

TheOnly1

RBTV | ngb | BMG
Veteran

Registriert
14 Juli 2013
Beiträge
8.901
Ort
Zimmer 237
  • Thread Starter Thread Starter
  • #5
Danke für die Antworten.
In An- und Abwägung aller Punkte erscheint mir die Lösung über den Asus RT-AC86U am praktikabelsten.

Wireguard liest sich aus Performance-Sicht interessant, aber ich habe auch Vorbehalte gelesen, insbesondere wegen der an sich (angeblich?) kaum möglichen Umsetzung ohne Logging.
https://restoreprivacy.com/wireguard/

Die Lösung von The_Emperor ist sicherlich premium, aber kostet auch premium. :D
Gegen Selbstbau hätte ich per se nix, aber ich erkenne da -für meinen Usecase- keine Vorteile gegenüber dem von Shodan genannten Router(n).
 

Shodan

runs on biochips

Registriert
14 Juli 2013
Beiträge
661
Ort
Citadel Station
der Ubiquiti EdgeRouter ERLite-3 (90€) schafft nur ~110Mbit/s über OpenVPN,
Das ist krass viel für einen 500Mhz dual core MIPS64 (von Cavium) ... researching ... cool der ERLite-3 hat Hardware Offloading für AES-256 und SHA1, aber nicht für AES-xy-GCM oder gutes SHA.

Der ERL-3 ist damit wohl eines des Geräte, bei dem man sich mit dem in der Theorie performanteren Algorithmus praktisch in den Fuß schießt :D

Das Offloading funktioniert wohl nicht für OpenVPN, sondern nur für IPSec, weil Ubi halt OpenVPN patchen und kompilieren müsste, statt die Debian MIPS64 Binaries zu nehmen..

Wo hast du die Zahl her?
 
Zuletzt bearbeitet:
Oben