Internetzugänge werden immer schneller. Anbieter wie Kabel Deutschland bieten in der Zwischenzeit bis zu 32MBit im Downstream an. Die CPU meiner bisher verwendeten DSL Router ist mit solchen Geschwindigkeiten leider überfordert. Zeit also, Hardware für echte Männer zu beschaffen.
Seit Oktober 2008 ist ganze Menge von (automatisierten) Ruby Scripts zum Management des VPNs entstanden. Eine wichtige Anforderung ist daher, dass dd-wrt auf den leistungsfähigeren Routern läuft. Letztendlich kommen daher nur die Cambria Gateworks Geräte in die engere Auwahl (genau genommen der GW2358-4).
Mit 32MB Flash und 128MB Ram und einer 667MHz starken CPU dürte die normale Routing Funktionalität auch mit den vollen 100MBit von Fast Ethernet möglich sein. Leider lassen sich im Netz keine Zahlen zur Performance von OpenVPN mit diesen Routern finden. Zeit also nachzumessen:
Die Grafik zeigt die Performance von zwei Routern, die direkt über ein Netzwerkkabel verbunden sind. Über diese Netzwerkverbindung wird eine OpenVPN Verbindung mit einem statischen Key aufgebaut und darüber dann die Daten geroutet.
| Verschlüsselung | Durchsatz |
|---|---|
| BF-CBC (udp, comp-lzo) | 12,8MBit/sec |
| BF-CBC (tcp, comp-lzo) | 13MBit/sec |
| AES-128-CBC (udp, comp-lzo) | 13,0MBit/sec |
| AES-128-CBC (udp, ohne comp-lzo) | 8,9MBit/sec |
| AES-128-CBC (tcp, comp-lzo) | 14,2MBit/sec |
| DES-EDE3-CBC (udp, comp-lzo) | 11,3MBit/sec |
| DES-EDECBC (tcp, comp-lzo) | 10,9MBit/sec |
| AES-256-CBC udp, comp-lzo | 12,9MBit/sec |
| AES-256-CBC (tcp, comp-lzo) | 14,0MBit/sec |
Fazit:
Die neue Hardware ist wesentlich leistungsfähiger, lohnt sich aber durch die hohen Anschaffungskosten erst ab DSL 16.000. Auch die Optimierung der OpenVPN Parameter sollte auf das Umfeld abgestimmt werden. Aus meiner Sicht ist AES-128-CBC über TCP Verbindungen der beste Kompromiss aus Sicherheit und Performance. Jetzt fehlt nur noch echter Support für Hardwareverschlüsselung in dd-wrt…