Tipps & Tricks: OpenVPN auf dd-wrt Router

Gerd

Active Member
@wolfibär44 aus deinem Beitrag entnehme ich das die Lösung mit OpenWRT ausgeschlossen ist und du unbedingt OpenVPN mit DD-WRT haben möchtest. Linksys E1200 N300 v.2.00 sollte OpenVPN auf DD-WRT verfügen. Siehe hier.
Für Linksys E4200-EW scheint keine DD-WRT Version vorhanden zu sein. Es gibt nur eine DD-WRT Version für Linksys E4200 V1. Siehe hier.
 

Loreas

Junior Member
Oki vielen dank für die Rückmeldung würden denn folgende modelle funktionieren ?
Linksys E1200 N300 v.2.00 ?
Linksys E4200-EWoder ...
"Neiiii-n" *in-Zeitlupe-ins-Bild-reinflieg* "Stooooopp"
Das sind schwachbrüstige 08/15 Router. Bitte nicht!!!

https://www.dd-wrt.com/wiki/index.php/Linksys_E1200v2 Der E1200V2 hat ne CPU-Power von sage und schreibe 300 MHz. Da versagt dir jede VPN-Verbindung den Dienst.

https://www.dd-wrt.com/wiki/index.php/Linksys_E4200 Der E4200 hat immerhin schon "galaktisch" anmutende 480 MHz. Aber OpenVPN würde ich dem auch nicht aufhalsen.

Probier bitte einen meiner Empfehlungen im ersten Post. (ich zitiere mich selbst...)
4. Einkaufsguide

Wenn der Router wirklich mit vernünftigem Speed über OpenVPN durchleiten soll, benötigt es einen Dualcore. Natürlich geht es mit nem Singlecore auch, aber langsamer.
Zum Glück sind 2015 hier (endlich) einige Modelle auf den Markt gekommen.

Beispiele hierfür wären:
  • Netgear R6300 V2 @ 2x800 MHz um ca. 120€
  • Asus RT-AC56U @ 2x800 MHz um ca. 100€
  • Netgear R7000 @ 2x1 GHz um ca. 140€
  • Asus RT-AC87U @ 2x1 GHz um ca. 200€
  • Linksys WRT1900AC @ 2x1,2 GHz um ca. 220€
  • Linksys WRT1900ACS @ 2x1,6 GHz um ca. 230€
(Preise laut geizhals.de - Stand 12/2015)

Wenn euch dd-wrt nicht so gefällt, das kann ja vorkommen, dann achtet auch darauf, welche anderen Custom Firmwares es für das Gerät der Wahl gibt. z.B. Geht nicht bei allen OpenWRT, Merlin nur bei Asus, R7000 taugt für TomatoUSB Mod, etc.
2016 werden sicher noch weitere Alternativen kommen. Man darf gespannt sein, welche CPUs darin noch verbaut werden.

Als Referenz: Bei 2x1GHz schafft man ca. 20-24 MBit/s
 

wolfibär44

Junior Member
Erst mal vielen Dank für die Rückmeldung. Welcher Router im letzten Beitrag unterstützt denn Open Vpn in verbindung mit DDWRT habe leider keinen gefunden wo bei der firm openvpn beistand ???
 

theoth

Active Member
Der Durchsatz läßt sich nicht so einfach abschätzen. Es kommt immer auch auf die Hardwareunterstützung an. Hier nur ein Beispiel openvpn mit ca 50MBit/s:
Code:
  PID USER  PR  NI  VIRT  RES  SHR S %CPU %MEM  TIME+ COMMAND   
25137 root  20  0  29092  4972  4080 R 26,6  0,5  3:22.20 openvpn   
 4191 theo  20  0  307708  26520  1152 S 18,0  2,6 244:35.57 transmission-da
Die CPU ist gerade mal zu 26,6% ausgelastet. Single core, 2.3 GHz. Wenn ich das linear auf das "dual core mit 1 GHz" umrechne, käme ich auf 163MBit für 100% CPU Last. Also nicht 20-24 MBit/s.
Wenn es um Performance geht würde ich die Finger von Consumer-Routern lassen und lieber was prof/semi-prof. nehmen. Die sind nicht mal teuer, haben aber aus gutem Grund kein WiFi drin.
Das wäre dann extra zu beschaffen. Suchstichworte: "Ubiquity router" Gibt es auch bei Amazon. Der günstigste soll angeblich für $50 zu haben sein.

https://www.ubnt.com/products/#routing
https://community.ubnt.com/t5/EdgeMAX/OPENVPN-client/td-p/437733
 

JackCarver

Well-known Member
Soweit mir bekannt, ist openvpn aus dem 2.x Branch nach wie vor nur single threaded. Es würde also reichlich wenig bringen für OpenVPN nen Dual- oder Quadcore zu verwenden, schon gar keinen mit weniger MHz als der Single-Core. Da bringt es dann mehr auf hohe MHz zu setzen, als auf mehr Kerne oder Hyperthreading.
Der Umstieg von 2,3 GHz Single Core auf nen 1 GHz Quad oder Dual sollte die Verbindung um mehr als die Hälfte einbrechen lassen.

Was aber etwas bringen kann sind Co-Prozessoren, die spezialisiert sind auf AES Verschlüsselung. Dabei gilt aber zu beachten, dass die auch nicht alle AES Cipher Kombinationen abkönnen.

Ich persönlich würde von den vorgefertigten Routern die Finger lassen, dann lieber nen Linux OpenVPN Router aufsetzen und daran nen WLAN Router. Der WLAN Router verbindet die Clients und geht über die Linux Kiste via OpenVPN ins Netz. Am Linux Router muss dann halt noch n Router/Modem hängen, das die eigentliche Verbindung aufbaut.. Gut etwas overkill aber das beste, was du speedmäßig erreichen kannst.

Edit:
Ich werd Abends mal paar Tests machen, ich hab hier 2 Linux Maschinen, eine mit nem Quad, eine mit nem Dual-Core, wobei soweit ich weiß beide dieselbe MHz Zahl haben. Es sollte dann eigentlich annähernd gleich bleiben vom Speed.

Es gibt die Hoffnung, dass OpenVPN mit dem 3er Zweig wohl Multithreading abkann, dann bringen die Core iX Maschinen wieder was ;-)

Wenn man deine Werte dann auf die angezeigten 26,6 % umrechnet, würde der Dual-Core immerhin ca 43 Mbit/s hinkriegen, was nicht schlecht wäre, da er wahrscheinlich stromsparender ist als der andere.
 
Last edited:

PP Frank

Staff member
Es gibt die Hoffnung, dass OpenVPN mit dem 3er Zweig wohl Multithreading abkann, dann bringen die Core iX Maschinen wieder was ;-)

Das wäre für uns extrem genial. Bisher fahren wir X Prozesse auf verschiedenen Ports um das weg zu bügeln.
 

wolfibär44

Junior Member
Was würdet ihr mir denn empfehlen hatte es auch versucht mit dem tp link wr841nd mit open wrt was aber nixs bringt es happert schon bei der installation da sofort die meldung kommt speicher voll sobald ich die pakete holen möchte die für vpn benötigt werden.
 

Gerd

Active Member
Was würdet ihr mir denn empfehlen

Hängt von deiner Internetgeschwindigkeit ab. Einmal den Speed testen und die Ergebnisse vom Download und Upload hier posten. Danach kann man mehr sagen welche Maschine du brauchst.

Edit: Die Frage hat sich erledigt, weil die Antwort ja schon da war. Habe ich übersehen.

Oki ja die Frage ist der anschluss gibt leider eh nicht mehr her als 12mbps .

Solange es nicht mehr als 20 Mbit/s sind, würde ich an deiner Stelle ein Router von Loreas Einkaufsguide nehmen.

Erst mal vielen Dank für die Rückmeldung. Welcher Router im letzten Beitrag unterstützt denn Open Vpn in verbindung mit DDWRT habe leider keinen gefunden wo bei der firm openvpn beistand ???

Alle Router in Einkaufsguide haben ein großen Flash-Speicher. Also würde ich davon ausgehen das alle neuen Router (also alle Router von Loreas Einkaufsguide) DD-WRT mit OpenVPN unterstützen.
 
Last edited:

Gerd

Active Member
..Mal einige Fragen..
Was sind bitte "prof/semi-prof." Router? Werden damit Ubiquity Router gemeint? Sicher gibt es irgendwo einen Beitrag, warum gerade "prof/semi-prof." Router besser abschneiden, als Consumer-Router.

Soweit mir bekannt, ist openvpn aus dem 2.x Branch nach wie vor nur single threaded. Es würde also reichlich wenig bringen für OpenVPN nen Dual- oder Quadcore zu verwenden, schon gar keinen mit weniger MHz als der Single-Core. Da bringt es dann mehr auf hohe MHz zu setzen, als auf mehr Kerne oder Hyperthreading.
Der Umstieg von 2,3 GHz Single Core auf nen 1 GHz Quad oder Dual sollte die Verbindung um mehr als die Hälfte einbrechen lassen.

Sehr interessant. Wo erfährt man so etwas? o_O

Was aber etwas bringen kann sind Co-Prozessoren, die spezialisiert sind auf AES Verschlüsselung.

Werden damit diese Prozessoren gemeint?

Dabei gilt aber zu beachten, dass die auch nicht alle AES Cipher Kombinationen abkönnen.

Wäre wieder interessant zu wissen welche CPUs das nicht abkönnen.
 

theoth

Active Member
Die profi-router sind üblicherweise von Cisco oder Juniper. Unbquity ist eine Firma, die ähnliche Features aber zu einem wesentlich günstigeren Preis anbietet, also den Markt von der Preisseite her aufrollt.
Berichte und Vergleiche mit Consumer-routern gibt es in einschlägigen Online.Magazinen (Arstechnica z.B) .
Eines der Merkmale ist z.B. ob der router tatsächlich 1GB/sec gleichzeitig bei allen oder mindestens mehreren Ports routen kann, oder ob er nur 1GB connectivity und vielleicht throughput zwischen zwei ports hat.
Ein weiteres ist das Fehlen von Wifi - das frißt extra Resourcen und wird besser durch dedizierte Hardware erledigt. Auch dazu gibt es Berichte, daß die besten Consumer wireless AP den enterprise APs (z.B. auch von Ubiquity) nicht das Wasser reichen können, was Speed und Reichweite angeht. Desweiteren Management per CLI, Vlans usw. Außerdem ist der Support und Firmware-update/Bugfixing wegen des Profi-Einsatzes deutlich besser.

Jack hat Recht, daß ovpn nicht multithread fähig ist. Das findet sich auf der opvpn support Seite. Offenbar wurde es aus Version 1.x entfernt. Damit spielt muticore nur eine Rolle, wenn man mehr als einen vpn gleichzeitig betreibt. Ob der thread-Mechanismus von Intel überhaupt für sowas Vorteile hat ist ohnehin fraglich, denn multithread bedeutet ja nur, daß es mehrere Execution pipelines gibt, aber nicht alles existiert mehrfach, wie bei echtem Multicore. Damit hängt der Vorteil stark vom Programm ab. Vielleicht gewinnt man 30% damit.

Mit Hardware dürfte AES-hardware gemeint sein. Die gibt es nicht nur von Intel, sondern auch von einigen anderen Prozessoerherstellern. Die Ubiquity-router laufen nur mit 500MHz, lassen aber beim routen zumindestn die Consumer-router im Staub stehen. ob die auch AES Hardware haben, weiß ich nicht, könnte man aber erfragen. Ich wollte auch nur darauf hinweisen, daß man nicht unbedingt immer nur populäre Produkte mit schriller Werbung in Betracht ziehen, sondern auch mal die preiswerten Enterprise router ansehen sollte.
 

JackCarver

Well-known Member
Ja ich meinte Prozessoren, die in Hardware AES Ver/Entschlüsselung leisten können. Intel nennt das zb AES-NI:

http://www.intel.de/content/www/de/...-/data-protection-aes-general-technology.html

Wenn du bei deiner Suche diese Befehlssatzerweiterung eingegeben hast, sollten das diese CPUs sein.

Wäre wieder interessant zu wissen welche CPUs das nicht abkönnen.

Nach dem AES-NI Datenblatt von Intel werden 128, 192 und 256 Bit AES Schlüssellängen unterstützt. Es gibt aber CPUs, die zb nur 128 Bit Schlüssellängen unterstützen, das gilt eben zu beachten.

Edit:
Ich hatte zb mal ein Alix-Board mit nem AMD Geode LX als Router aufgebaut. Diese CPU unterstützte zb nur AES 128 Bit.
 

Gerd

Active Member
Ich persönlich würde von den vorgefertigten Routern die Finger lassen, dann lieber nen Linux OpenVPN Router aufsetzen und daran nen WLAN Router.
Jack meintest du einen Rechner als OpenVPN Router zu nutzen?

Ich bin über 2 günstige Mainboards von Gigabyte gestolpert, mit AES-NI unterstützung und niedrigem Verbrauch (natürlich gibt es weitere in Mini-ITX Format). Die sind wahrscheinlich mit aufgelöteten CPUs.
Mainboard1
Mainboard2

Würdet ihr von so etwas abraten?
 

JackCarver

Well-known Member
Jack meintest du einen Rechner als OpenVPN Router zu nutzen?

Ja das meinte ich, da du dort frei bist, welche Hardware du nutzt und auch das Linux, das du als OS verwendest leistungsfähiger ist, als ne OpenWRT oder DD-WRT Lösung. Du kannst es deutlich besser erweitern usw.

Wenn diese eingebauten CPUs AES-NI abkönnen, ist das definitiv performanter als jede Router-Lösung, hat ja immerhin 1,6 GHz, welcher Router hat das?
 

theoth

Active Member
So ein Mainboard ist die beste Lösung, wenn man noch Lust/Zeit/Know-How zum Frickeln hat.
Die Fertigrouter haben das alles mehr oder weniger vorbereitet. Der Proz. im Ubiquity-Router z.B. scheint auch AES per Hardware zu unterstützen:
Code:
Integrated coprocessors for application acceleration 
• Packet I/O processing, QoS, TCP acceleration 
• Support for IPsec, SSL, DH, SRTP, WLAN security, DES, 3DES, AES (up to 256-bit including GCM), SHA1, SHA-2 up to SHA-512, RSA, ECC, KASUMI, and Data-at-rest security (AES-XTS)
http://www.cavium.com/pdfFiles/CN50XX_PB_Rev1.pdf

Kann sogar sein, daß es dafür open/dd-wrt gibt.
Ich würde bei einer Fertiglösung jedenfalls darauf achten, daß dort entsprechende Hardware-acceleration eingebaut ist.
Eine Mainboard-Lösung hat vermutlich das beste Preis/Leistungsverhältnis.
 

wolfibär44

Junior Member
Ich bedanke mich erstmal für die vielen antworten . Habe mir jetzt folgenden Router mal angesehen Asus RT-AC56U und denke mal dieser wird es. Funktioniert auf diesen router die openvpn unterstützung mit ddwrt? oder kann ich auch die orginale von asus nutzen ?
 

JackCarver

Well-known Member
Laut DD-WRT Seite ist dieser Router unterstützt, sollte also gehen mit OpenVPN. Laut der Asus Merlin Seite ist dieser Router auch unterstützt, sollte also auch mit Merlin gehen, it's your choice...
 

denkiyen

Junior Member
Dank Loreas Anleitung und dem Forum arbeitet openvpn/dd-wrt ohne Problemem auf einem D-Link 890L. :)Vielen dank dafür an dieser Stelle.
Nun möchte ich ganz gerne das meine Streamer nicht über vpn gehen. Dazu gab es ja folgenden Tip:

iptables -I FORWARD -i br0 -s 192.168.1.xyz -j ACCEPT
iptables -I FORWARD -o br0 -d 192.168.1.xyz -j ACCEPT


Hier habe ich die korrekten IPs eingetragen. Jedoch ohne Erfolg. Die Streamer haben als lokale Adresse immer noch den Server für den Tunnel. Ich bekomme die Ausnahme nicht hin. Für eine Hinweis wie ich das Anstellen kann würde ich mich sehr freuen.
Gruß denkiyen
 
Top