Tipps & Tricks: OpenVPN auf dd-wrt Router

Discussion in 'Router' started by Loreas, Jun 6, 2015.

Tags:
  1. G

    Gerd Junior Member

    @wolfibär44 aus deinem Beitrag entnehme ich das die Lösung mit OpenWRT ausgeschlossen ist und du unbedingt OpenVPN mit DD-WRT haben möchtest. Linksys E1200 N300 v.2.00 sollte OpenVPN auf DD-WRT verfügen. Siehe hier.
    Für Linksys E4200-EW scheint keine DD-WRT Version vorhanden zu sein. Es gibt nur eine DD-WRT Version für Linksys E4200 V1. Siehe hier.
     
  2. Loreas

    Loreas Member

    "Neiiii-n" *in-Zeitlupe-ins-Bild-reinflieg* "Stooooopp"
    Das sind schwachbrüstige 08/15 Router. Bitte nicht!!!

    https://www.dd-wrt.com/wiki/index.php/Linksys_E1200v2 Der E1200V2 hat ne CPU-Power von sage und schreibe 300 MHz. Da versagt dir jede VPN-Verbindung den Dienst.

    https://www.dd-wrt.com/wiki/index.php/Linksys_E4200 Der E4200 hat immerhin schon "galaktisch" anmutende 480 MHz. Aber OpenVPN würde ich dem auch nicht aufhalsen.

    Probier bitte einen meiner Empfehlungen im ersten Post. (ich zitiere mich selbst...)
     
  3. w

    wolfibär44 New Member

    Erst mal vielen Dank für die Rückmeldung. Welcher Router im letzten Beitrag unterstützt denn Open Vpn in verbindung mit DDWRT habe leider keinen gefunden wo bei der firm openvpn beistand ???
     
  4. t

    theoth Junior Member

    Der Durchsatz läßt sich nicht so einfach abschätzen. Es kommt immer auch auf die Hardwareunterstützung an. Hier nur ein Beispiel openvpn mit ca 50MBit/s:
    Code:
      PID USER  PR  NI  VIRT  RES  SHR S %CPU %MEM  TIME+ COMMAND   
    25137 root  20  0  29092  4972  4080 R 26,6  0,5  3:22.20 openvpn   
     4191 theo  20  0  307708  26520  1152 S 18,0  2,6 244:35.57 transmission-da 
    
    Die CPU ist gerade mal zu 26,6% ausgelastet. Single core, 2.3 GHz. Wenn ich das linear auf das "dual core mit 1 GHz" umrechne, käme ich auf 163MBit für 100% CPU Last. Also nicht 20-24 MBit/s.
    Wenn es um Performance geht würde ich die Finger von Consumer-Routern lassen und lieber was prof/semi-prof. nehmen. Die sind nicht mal teuer, haben aber aus gutem Grund kein WiFi drin.
    Das wäre dann extra zu beschaffen. Suchstichworte: "Ubiquity router" Gibt es auch bei Amazon. Der günstigste soll angeblich für $50 zu haben sein.

    https://www.ubnt.com/products/#routing
    https://community.ubnt.com/t5/EdgeMAX/OPENVPN-client/td-p/437733
     
  5. JackCarver

    JackCarver Junior Member

    Soweit mir bekannt, ist openvpn aus dem 2.x Branch nach wie vor nur single threaded. Es würde also reichlich wenig bringen für OpenVPN nen Dual- oder Quadcore zu verwenden, schon gar keinen mit weniger MHz als der Single-Core. Da bringt es dann mehr auf hohe MHz zu setzen, als auf mehr Kerne oder Hyperthreading.
    Der Umstieg von 2,3 GHz Single Core auf nen 1 GHz Quad oder Dual sollte die Verbindung um mehr als die Hälfte einbrechen lassen.

    Was aber etwas bringen kann sind Co-Prozessoren, die spezialisiert sind auf AES Verschlüsselung. Dabei gilt aber zu beachten, dass die auch nicht alle AES Cipher Kombinationen abkönnen.

    Ich persönlich würde von den vorgefertigten Routern die Finger lassen, dann lieber nen Linux OpenVPN Router aufsetzen und daran nen WLAN Router. Der WLAN Router verbindet die Clients und geht über die Linux Kiste via OpenVPN ins Netz. Am Linux Router muss dann halt noch n Router/Modem hängen, das die eigentliche Verbindung aufbaut.. Gut etwas overkill aber das beste, was du speedmäßig erreichen kannst.

    Edit:
    Ich werd Abends mal paar Tests machen, ich hab hier 2 Linux Maschinen, eine mit nem Quad, eine mit nem Dual-Core, wobei soweit ich weiß beide dieselbe MHz Zahl haben. Es sollte dann eigentlich annähernd gleich bleiben vom Speed.

    Es gibt die Hoffnung, dass OpenVPN mit dem 3er Zweig wohl Multithreading abkann, dann bringen die Core iX Maschinen wieder was ;-)

    Wenn man deine Werte dann auf die angezeigten 26,6 % umrechnet, würde der Dual-Core immerhin ca 43 Mbit/s hinkriegen, was nicht schlecht wäre, da er wahrscheinlich stromsparender ist als der andere.
     
    Last edited: Mar 25, 2016
  6. PP Frank

    PP Frank Staff Member

    Das wäre für uns extrem genial. Bisher fahren wir X Prozesse auf verschiedenen Ports um das weg zu bügeln.
     
  7. w

    wolfibär44 New Member

    Oki ja die Frage ist der anschluss gibt leider eh nicht mehr her als 12mbps .
     
  8. t

    theoth Junior Member

    Ja, hardware macht einen großen Unterschied. z.B. die Intel AES-NI. Consumer router dürften wohl kaum Hardwarebeschleunigung haben.
    Hier ein Link, wo >3GBit getestet wurden (two servers running CentOS 5.5 64bit, with an Intel Xeon E5440 CPU running @ 2.83GHz; the L2 cache size is 6 MB.)
    https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_Linux
     
  9. w

    wolfibär44 New Member

    Was würdet ihr mir denn empfehlen hatte es auch versucht mit dem tp link wr841nd mit open wrt was aber nixs bringt es happert schon bei der installation da sofort die meldung kommt speicher voll sobald ich die pakete holen möchte die für vpn benötigt werden.
     
  10. G

    Gerd Junior Member

    Hängt von deiner Internetgeschwindigkeit ab. Einmal den Speed testen und die Ergebnisse vom Download und Upload hier posten. Danach kann man mehr sagen welche Maschine du brauchst.

    Edit: Die Frage hat sich erledigt, weil die Antwort ja schon da war. Habe ich übersehen.

    Solange es nicht mehr als 20 Mbit/s sind, würde ich an deiner Stelle ein Router von Loreas Einkaufsguide nehmen.

    Alle Router in Einkaufsguide haben ein großen Flash-Speicher. Also würde ich davon ausgehen das alle neuen Router (also alle Router von Loreas Einkaufsguide) DD-WRT mit OpenVPN unterstützen.
     
    Last edited: Mar 27, 2016
  11. G

    Gerd Junior Member

    ..Mal einige Fragen..
    Was sind bitte "prof/semi-prof." Router? Werden damit Ubiquity Router gemeint? Sicher gibt es irgendwo einen Beitrag, warum gerade "prof/semi-prof." Router besser abschneiden, als Consumer-Router.

    Sehr interessant. Wo erfährt man so etwas? o_O

    Werden damit diese Prozessoren gemeint?

    Wäre wieder interessant zu wissen welche CPUs das nicht abkönnen.
     
  12. t

    theoth Junior Member

    Die profi-router sind üblicherweise von Cisco oder Juniper. Unbquity ist eine Firma, die ähnliche Features aber zu einem wesentlich günstigeren Preis anbietet, also den Markt von der Preisseite her aufrollt.
    Berichte und Vergleiche mit Consumer-routern gibt es in einschlägigen Online.Magazinen (Arstechnica z.B) .
    Eines der Merkmale ist z.B. ob der router tatsächlich 1GB/sec gleichzeitig bei allen oder mindestens mehreren Ports routen kann, oder ob er nur 1GB connectivity und vielleicht throughput zwischen zwei ports hat.
    Ein weiteres ist das Fehlen von Wifi - das frißt extra Resourcen und wird besser durch dedizierte Hardware erledigt. Auch dazu gibt es Berichte, daß die besten Consumer wireless AP den enterprise APs (z.B. auch von Ubiquity) nicht das Wasser reichen können, was Speed und Reichweite angeht. Desweiteren Management per CLI, Vlans usw. Außerdem ist der Support und Firmware-update/Bugfixing wegen des Profi-Einsatzes deutlich besser.

    Jack hat Recht, daß ovpn nicht multithread fähig ist. Das findet sich auf der opvpn support Seite. Offenbar wurde es aus Version 1.x entfernt. Damit spielt muticore nur eine Rolle, wenn man mehr als einen vpn gleichzeitig betreibt. Ob der thread-Mechanismus von Intel überhaupt für sowas Vorteile hat ist ohnehin fraglich, denn multithread bedeutet ja nur, daß es mehrere Execution pipelines gibt, aber nicht alles existiert mehrfach, wie bei echtem Multicore. Damit hängt der Vorteil stark vom Programm ab. Vielleicht gewinnt man 30% damit.

    Mit Hardware dürfte AES-hardware gemeint sein. Die gibt es nicht nur von Intel, sondern auch von einigen anderen Prozessoerherstellern. Die Ubiquity-router laufen nur mit 500MHz, lassen aber beim routen zumindestn die Consumer-router im Staub stehen. ob die auch AES Hardware haben, weiß ich nicht, könnte man aber erfragen. Ich wollte auch nur darauf hinweisen, daß man nicht unbedingt immer nur populäre Produkte mit schriller Werbung in Betracht ziehen, sondern auch mal die preiswerten Enterprise router ansehen sollte.
     
    Loreas and Gerd like this.
  13. JackCarver

    JackCarver Junior Member

    Ja ich meinte Prozessoren, die in Hardware AES Ver/Entschlüsselung leisten können. Intel nennt das zb AES-NI:

    http://www.intel.de/content/www/de/...-/data-protection-aes-general-technology.html

    Wenn du bei deiner Suche diese Befehlssatzerweiterung eingegeben hast, sollten das diese CPUs sein.

    Nach dem AES-NI Datenblatt von Intel werden 128, 192 und 256 Bit AES Schlüssellängen unterstützt. Es gibt aber CPUs, die zb nur 128 Bit Schlüssellängen unterstützen, das gilt eben zu beachten.

    Edit:
    Ich hatte zb mal ein Alix-Board mit nem AMD Geode LX als Router aufgebaut. Diese CPU unterstützte zb nur AES 128 Bit.
     
    Loreas and Gerd like this.
  14. G

    Gerd Junior Member

    Jack meintest du einen Rechner als OpenVPN Router zu nutzen?

    Ich bin über 2 günstige Mainboards von Gigabyte gestolpert, mit AES-NI unterstützung und niedrigem Verbrauch (natürlich gibt es weitere in Mini-ITX Format). Die sind wahrscheinlich mit aufgelöteten CPUs.
    Mainboard1
    Mainboard2

    Würdet ihr von so etwas abraten?
     
  15. JackCarver

    JackCarver Junior Member

    Ja das meinte ich, da du dort frei bist, welche Hardware du nutzt und auch das Linux, das du als OS verwendest leistungsfähiger ist, als ne OpenWRT oder DD-WRT Lösung. Du kannst es deutlich besser erweitern usw.

    Wenn diese eingebauten CPUs AES-NI abkönnen, ist das definitiv performanter als jede Router-Lösung, hat ja immerhin 1,6 GHz, welcher Router hat das?
     
  16. t

    theoth Junior Member

    So ein Mainboard ist die beste Lösung, wenn man noch Lust/Zeit/Know-How zum Frickeln hat.
    Die Fertigrouter haben das alles mehr oder weniger vorbereitet. Der Proz. im Ubiquity-Router z.B. scheint auch AES per Hardware zu unterstützen:
    Code:
    Integrated coprocessors for application acceleration 
    • Packet I/O processing, QoS, TCP acceleration 
    • Support for IPsec, SSL, DH, SRTP, WLAN security, DES, 3DES, AES (up to 256-bit including GCM), SHA1, SHA-2 up to SHA-512, RSA, ECC, KASUMI, and Data-at-rest security (AES-XTS)
    
    http://www.cavium.com/pdfFiles/CN50XX_PB_Rev1.pdf

    Kann sogar sein, daß es dafür open/dd-wrt gibt.
    Ich würde bei einer Fertiglösung jedenfalls darauf achten, daß dort entsprechende Hardware-acceleration eingebaut ist.
    Eine Mainboard-Lösung hat vermutlich das beste Preis/Leistungsverhältnis.
     
  17. w

    wolfibär44 New Member

    Ich bedanke mich erstmal für die vielen antworten . Habe mir jetzt folgenden Router mal angesehen Asus RT-AC56U und denke mal dieser wird es. Funktioniert auf diesen router die openvpn unterstützung mit ddwrt? oder kann ich auch die orginale von asus nutzen ?
     
  18. JackCarver

    JackCarver Junior Member

    Laut DD-WRT Seite ist dieser Router unterstützt, sollte also gehen mit OpenVPN. Laut der Asus Merlin Seite ist dieser Router auch unterstützt, sollte also auch mit Merlin gehen, it's your choice...
     
  19. d

    denkiyen New Member

    Dank Loreas Anleitung und dem Forum arbeitet openvpn/dd-wrt ohne Problemem auf einem D-Link 890L. :)Vielen dank dafür an dieser Stelle.
    Nun möchte ich ganz gerne das meine Streamer nicht über vpn gehen. Dazu gab es ja folgenden Tip:

    iptables -I FORWARD -i br0 -s 192.168.1.xyz -j ACCEPT
    iptables -I FORWARD -o br0 -d 192.168.1.xyz -j ACCEPT


    Hier habe ich die korrekten IPs eingetragen. Jedoch ohne Erfolg. Die Streamer haben als lokale Adresse immer noch den Server für den Tunnel. Ich bekomme die Ausnahme nicht hin. Für eine Hinweis wie ich das Anstellen kann würde ich mich sehr freuen.
    Gruß denkiyen
     
    Loreas likes this.
  20. JackCarver

    JackCarver Junior Member

    Hast du das auch genau so gemacht wie unter Punkt 2 der Anleitung beschrieben? Also alle IPs, die nicht über VPN sollen bei Richtlinienbasiertes Routing eingetragen?

    Hier ist noch ne Anleitung von DD-WRT selber zu dem Thema:

    https://www.dd-wrt.com/wiki/index.php/Policy_Based_Routing

    Evtl hilft das weiter.
     
  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Dismiss Notice