Am PC schafft mein VPN-Anbieter circa 180-190mbit,
Das ist ein wichtiger Benchmark. Welche Algorithmen setzt ihr dafür ein?
Meine Empfehlung ist AES-128-GCM.
OpenVPN kann ja AEAD und aes-256-gcm ist bei
Fedora für OpenVPN der default.
Für dich ist das relevant, denn AES-128-GCM ist etwa 5 mal performanter wie AES-256-CBC-HMAC-SHA512. Zumindest auf einem Intel mit AES-NI instruction set.
Benchmarken musst du die verschiedenen Einstellungen aber mit der Hardware, das ist sonst alles nur Spekulation.
Leider finde ich nur Router, die max. 75mbit über OpenVPN zustande kriegen (ASUS RT-AC3200),
Die meisten Plastikrouter haben komische Chipsätze und tun sich mit der Kryptographie für OpenVPN doch arg schwer.
Der ASUS AC3200 z.B. hat wohl einen
BCM4709 + BCM43602 (2.4G) + 2 x BCM43602 (5G)
Das Ding ist schon in Hardware auf WLAN optimiert und eben nicht auf VPN. Der BCM4709 (von 2014) darf die VPN Krypto berechnen. Jener basiert aber auf der Cortex-A9 Architektur, ist also ein 32 bit ARMv7. Dieser Chip hat keine AES Instruction Sets, Die gibt es erst optional(!) ab ARMv8.
Dass der also auf 75Mbit/s kommen soll, halte ich für sehr fragwürdig. Leider hat die Seite keine sinnvollen Daten, da heißt nur es wurde mit PTPP getestet. Also gehe ich einfach mal davon aus, dass die RC4 einsetzen und die Performance mit AES anders aussehen würde.
Im Forum von Golem wurde der WRT3200ACM mit 112Mbps auf AES-256-?? getestet. Das ist etwa die Hälfte von dem,was du willst und das Ding kostet schon ~ €250 und ist angeblich
"one of the most recommended VPN routers you will find"
Finger weg, das ist auch ein Cortex A9, damit wirst du nicht glücklich.
Welche SoCs haben denn AES Instruktionen und werden in Plastikroutern verbaut?
Nun den
BCM4908 konnte ich finden, aber es gibt sicher ein paar andere.
Der ist zum Beispiel verbaut im vor wenigen Monaten erschienenen ASUS RT-AX88U oder im Netgear Jaguar RAX80.
Dieser
openssl Benchmark (OpenVPN nutzt OpenSSL) zeigt mit aes-256-cbc etwa 50 MB/s an. (ohne HMAC aber in MByte/s, nicht Mbit/s)
-> der packt deine Anforderung also zumindest in der Theorie.
Das sind brandneue Devices mit ax-WLan, daher das AX im Namen.
Der SNB Thread hat aber ein kleines wichtiges Detail: "the BCM4908 uses the same 1.8 GHz B53 cores as the BCM4906."
Und für die in den AC Geräten verbauten BCM4906 konnte ich dann auch
die Zahlen finden, die du sehen willst.
Sieht soweit gut aus
Und damit haben wir
diese Liste mit Geräten, die für dich funktionieren sollten.
Alternativ-Idee zur Umsetzung?
Kommt auf deinen Use Case an. Wenn dein Router halt WLAN und DSL macht, dann willst du nicht das VPN nicht auf einem dedizierten Gerät laufen lassen. Du müsstest deine ganze Struktur zerlegen: erst die Clients (LAN und WLAN) zusammen bringen, dann durch eine VPN Appliance und schließlich zum DSL-Modem.
Wird halt teurer, besonders, wenn du die
2500 Euro Premium VPN Appliance nimmst, die The_Emperor da ausgegraben hat.