Welcher DD-WRT Router für beste OpenVPN Performance?

[supraracer]

Hey Leute,

ich suche einen Router mit DD-WRT Support der eine 100/100 MBit Fiber über eine OpenVPN Anbindung voll auslasten kann.
Ich habe schon einen ASUS RT-AC68U und NETGEAR R7000 getestet, beide lasten die 100 MBit nicht mal ansatzweise aus sobald OpenVPN ins Spiel kommt.
Einer eine Idee oder Tipp?

Danke!

-supraracer

 

[derdigge]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

Du wirst keinen finden. Auch ein Intel Atom wird das nicht leisten.
Ich habe genau das selbe bei mir umgesezt.

Im Vorfeld habe ich viel rumprobiert mit Hardware.
Du scheiterst oftmals eher am Natspeed, als an der ssl performance.

Du musst mit einem vollwertigen 64bit cpu arbeiten, alles andere kannst du vergessen.
Ich könnte mir vorstellen, das ein Intel nuc das bringen könnte.

Bei mir ist es schlussleztendlich ein IvyBridge G1630t CPU geworden.
Wenn ich da 40k Pakete/s bei 150Mbits im Vollduplex rüberschiebe stößt der
sysload und der CPU an seine Grenzen.

Des weiteren Rate ich beim openvpn von ddwrt ab. Die stabilität ist einfach schlecht.
Es ist immer so ein "bastelei" da openvpn als Gateway in ddwrt nicht sauber implementiert ist.
Daher auch imemr diese tollen "legen Sie ein Script an" Anleitungen der vpn anbieter.

 

[supraracer]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

Danke für die Infos, was meine Befürchtung bestätigt hat, dass es keine fertige Kiste für meinen Einsatzzweck gibt. ;-)
Liegt aber teilweise wohl auch daran, dass die HW-Beschleunigung nicht richtig in DD-WRT (und anderen alternativen FW?) umgesetzt werden kann bisher?!
Widersprechen muss ich dir bei OpenVPN unter DD-WRT, ich betreibe so mehrere Netze mit teilweise mehreren Standorten. Allerdings mit Skripten und nicht via DD-WRT zusammengeklickt.

-supraracer

 

[derdigge]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

Mit scripten bekommt man es and laufen, bei komplexeren routing Aufgaben versagt das ddwrt Script. Einen firewall restart von ddwrts webinterface übersteht dein connect auch nicht, da deine masquarading Rule geflusht wird.

Hast du einen ddwrt router mit integriertem Modem oder lokalem ppoe dsl Modem ist das bei jedem IP Wechsel der Fall. Das meine ich mit Implementierungen sind unsauber. Da hilft auch das openvpn UP Script nur wenig drüber weg. Es ist hingebastelt. Es gibt da deutlich bessere Lösungen.

Wegen der hardwareacceleration, es gibt keine arm/mips Plattform mit AES/RSA hardware acceleration außer Kirkwood bzw. Orion.
Bei allen Geräten wirst du aber am natspeed scheitern. Das verschlüsseln selber ist nicht das Problem aber das Pakete packen. Wenn du mal schaust wie bei openvpn die mtus geschnürt werden, macht das auch Sinn.

Für deinen anwendungsfall empfehle ich dir einen haswell stromsparcpu.
Da kommst du auch auf 15watt im idle und 30watt unter Last.
Wenn es von ipfire und Co 64Bit versionen gibt dann die ansonsten irgendein debuntu.

Alternativ könnte ich mir vorstellen, das dein netgear mit ipsec auf 80 MBit kommt. Ipsec ist jedoch ein fail, wenn man es als Gateway setup einsetzen will.
Besonders wenn man gescheiten packet auth betreiben will, ist IPSec viel zu kompliziert. Aber eventuell kennst du dich ja mit IPSec bereits aus und riskierst einen Versuch.

Ich habe mal ne OT Frage, wie stabil ist dein Upstream ?

 

[supraracer]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

Was meinst du mit "wie stabil ist dein Upstream"?
Ist eine Telekom Fiber mit garantierten 100/100 Brutto, Netto kommen da so um die ~94-95MBit raus.

-supraracer

 

[derdigge]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

Bei meinem Kollegen ist es ebenso stabil immer netto um die 95.
Es Spuken so Geschichten durchs Netz, das zu Stoßzeiten nur 50 rauskommen.
Von der Sache her ist es bei dieser Technologie ja faktisch ausgeschlossen, das sich so ein
Verhalten zeigt. Nur sag niemals nie, heißt es so schön.

Darum frage ich nach wo ich kann. Btw das ist kein telekom Anschluss oder?

 

[supraracer]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

ISP ist ecotel, aber die Leitung gehört der T-COM.

-supraracer

 

[derdigge]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

Ok, gut zu wissen. Telekom mach 100/40 oder 200/100, daher haben mich deine 100/100 gewundert.
Sorry wenn sich das frage Antwort spiel gerade umdreht aber eine habe ich noch.
Ist deine Leitung bei ecotel fullduplex oder halfduplex?

 

[supraracer]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

Fullduplex

-supraracer

 

[derdigge]

AW: Welcher DD-WRT Router für beste OpenVPN Performance?

Der CPU hier ist es.

Sie müssen registriert sein, um Links zu sehen.

Er wird passiv gekühlt damit:

Sie müssen registriert sein, um Links zu sehen.

Einfach lüfter abnehmen, kommt nie über 50grad. Es sei denn du stellst den in die Sonne
Oder hast ein "dichtes" Gehäuse.

~150mbit bzw. 40k Pakete/s fullduplex openvpn performance auf nem billigboard
Mit pcie Intel nic. Wenns gleich mit Nas usw. Sein soll dann doch nen Pentium.
Nur brauchst du keinen AES-NI cpu. Bei nem haswell sind die ssl Instruktionen keine 10%
der Arbeit. Somit wäre AES-NI nen Performance Schub netto von vielleicht 8% und kostet
das dreifache.

Es gibt auch gute all in one Lösungen. Diese aktuelle atom C bzw. Celeron J Reihe von Intel soll gut performen mit openvpn.
Das habe ich jedoch nie selber getestet.

Sie müssen registriert sein, um Links zu sehen.

Des Weiteren empfehle ich dir mal diesem Beitrag hier. Ich weiß ja nicht in wieweit du Kontrolle über deine Remotestelle hast
aber man kann da einiges tweaken mit mtu size im Tunnel.

Sie müssen registriert sein, um Links zu sehen.

Bei rauen Datenmengen im Tunnel die immer "ganze Happen" sind, Usenet Downloads z.b. Bekommst du den oben genannten cpu auch auf 200mbits mit mtu irgendwas so um 20000. Nur eben die kleinen könnten dann leiden wie VoIP, cccam, teamspeak oder Online Games.