Internetsnelheid via VPN server op eigen router

Orion84 schreef op dinsdag 20 januari 2015 @ 10:51:

Je zou ook eens kunnen kijken of andere VPN protocollen beter presteren.

Zelf gebruik ik doorgaans OpenVPN (via een Asus AC66U router of via mijn Synology NAS). Maar aangezien mijn upload slechts 18Mbps is, kan ik niet veel zinnigs zeggen of die router veel sneller presteert.

Orion84 schreef op dinsdag 20 januari 2015 @ 10:57:
[...]

Wel degelijk. Want tijdens die test was er geen sprake van VPN waarbij de data tegelijk naar binnen en naar buiten moet.

RGAT schreef op dinsdag 20 januari 2015 @ 10:58:
[...]


Ik heb nog geen koffie gehad....
Maar 13Mb van de 50Mb is wel erg laag, heb wat gezocht en kwam hier uit: http://gathering.tweakers.net/forum/list_messages/1595936
Ben bang dat het niet gaat lukken.

palthe schreef op dinsdag 20 januari 2015 @ 11:01:
Kun je niet een pc of een laptopje aan je netwerk thuis hangen met VPN open?
Dan heb je in ieder geval een full-blown cpu die het werk verricht en kun je die bottleneck uitsluiten.
VPN inrichten onder Windows is heul makkelijk (heb ik ook op mijn nuc-je) en (moderne) laptop/desktop cpu's moeten om dat soort load lachen vermoed ik.

Edit: ah, in het kader van leren lezen: is zo'n nuc-je niet wat voor je? Het is een "servertje" met een celeron erin (in mijn geval de 2830) en idle trekt ie misschien 6 watt of zo. Hoef je niet van wakker te liggen.
Je bent dan voor 160 euro wel klaar inclusief geheugen en hdd/ssd (ik was voor 200 euro klaar inclusief 8 GB en 128 GB SSD). Voordeel is dat je ook meteen een volwaardige mediaplayer hebt dan.
Dit is exclusief OS dan, maar goed daar heb je allerlei alternatieven voor.

[ Voor 6% gewijzigd door belly89 op 20-01-2015 11:29 ]

palthe schreef op dinsdag 20 januari 2015 @ 11:41:
170 euro was wel heel optimistisch zag ik al aan mijn eigen factuur , ik was voor 200 euro klaar met dus de goedkoopste nuc en 8 GB SODIMM. Hier kom je ook wel weg met 2 of 4 GB geheugen.
Ik heb daar nog een SSD bij gezet, maar daar kun je natuurlijk enorm op besparen.

Mijzelf schreef op dinsdag 20 januari 2015 @ 11:48:
Ja het kan zeker aan je CPU liggen. Maar je schrijft dat je internetstreams wilt gaan tunnelen. Waarom zou je die willen encrypten?

Over een 'nuc' of whatever achter je router, PPTP gebruikt GRE, en ik weet dat veel routers maar een beperkt aantal GRE tunnels tegelijk kunnen dragen. (Waarbij 'beperkt aantal' best 1 kan zijn). Waarom dat zo is weet ik niet, en ook niet of DD-WRT er ook 'last' van heeft.

Mijzelf schreef op dinsdag 20 januari 2015 @ 12:10:
[...]

Ja en nee. Zolang de server op de router draait is dit geen probleem, denk ik. Pas als de server achter de router staat gaat dit tellen. De restrictie zit op het routeren van GRE tunnels, niet op het 'endpoint zijn'.

Mijzelf schreef op dinsdag 20 januari 2015 @ 12:10:
[...]

Voor zover ik weet kun je in DD-WRT de encryptie op PPTP uitzetten. Dan is volgens mij de login nog steeds beveiligd (die is op een challenge gebaseerd), maar het verkeer is verder niet encrypted. Je kunt het proberen. Overigens kost tunnelen nog steeds meer processor kracht dan simpel routeren. Aangezien de paketten worden geencapsuleerd moet de payload verschoven worden in het geheugen.

Thralas schreef op dinsdag 20 januari 2015 @ 12:13:
[...]

Toch zou ik PPTP willen afraden. OpenVPN access server is gratis bruikbaar tot 2 gelijktijdige gebruikers (wel enkel te installeren op Linux, of direct te booten als virtual machine). SoftEther VPN is volgens mij ook redelijk gebruiksvriendelijk (nooit geprobeerd) en implementeert zelfs 4 protocollen.

Thralas schreef op dinsdag 20 januari 2015 @ 12:13:

Ik vrees dat je met een zo'n TP-Linkrouter weinig keus hebt..

edit:
Oh DD-WRT, dat schept mogelijkheden qua tunneling inderdaad. En anders wel met OpenWRT..

edit:
Yup, dat kan, zowel bij PPTP als OpenVPN zonder cipher. Kun je in ieder geval aan de gang zonder crypto..

[...]

Goed punt. Non-TCP/UDP/ICMP IP-protocollen icm. consumentenrouters is soms problematisch. Kan me voorstellen dat het als client prima werkt (PPTP is helaas nog populair), maar succes met het invullen van je GRE NAT forwarding als je kunt kiezen uit 'TCP' of 'UDP

Wat weer een extra argument is om een protocol te gebruiken dat gewoon over UDP (of desnoods TCP) werkt. OpenVPN bijvoorbeeld.

Mijzelf schreef op dinsdag 20 januari 2015 @ 12:55:
[...]

Ja.

[...]

Hangt ervan af of je broadcast wilt

Waarschijnlijk niet. Broadcasts worden hoofdzakelijk gebruikt voor detectie van apparaten. Als jij een netwerk printer aansluit wordt die automagisch gevonden, hetzij doordat hij broadcast 'Ik ben een printer', of omdat het OS roept: 'is er nog een printer in de zaal?'.
Verder gaan dingen als WOL met een broadcast.

mati1983 schreef op dinsdag 20 januari 2015 @ 14:49:
De rekenkracht van de CPU in dergelijke routertjes is zeer beperkt. Een soort rekenmachine.. ;-)
Kun je je resources monitoren wanneer je data door je tunnel verstuurt? Waarschijnlijk staat je CPU op 100% te knallen. Wellicht is een alternatief protocol of de encryptie aanpassen een oplossing inderdaad.

Een mooie oplossing zou een edgerouter Lite zijn. Genoeg instelmogelijkheden en wél de nodige power.
Gebasseerd op Vyatta en daarmee wel iets uitdagender dan de standaard hiep-hiep-hoera-huis-tuin-en-keuken-router, maar zeker de moeite waard!

pricewatch: Ubiquiti EdgeRouter Lite 3-Poort Router

BlueInk schreef op dinsdag 20 januari 2015 @ 14:52:
[...]

Beveiliging is altijd belangrijk!
Er is/zijn zelfs al vpn-provider(s) die PPTP ondersteuning hebben stopgezet:
http://www.securitykiss.c...ticles/pptp_discontinued/
Misschien toch maar voor een ander protocol kiezen? L2TP staat sterker in zijn schoenen.

Thralas schreef op dinsdag 20 januari 2015 @ 15:04:
[...]

Naast het feit dat TS aangeeft niet heel erg in de materie te zitten, en ik me daardoor afvraag of de ERL wel zo'n handige keuze is, hangt dat 'power' nogal af van je toepassing.

[...]

Ergo: accelerated IPsec wil wel, maar dan zit je daar aan vast. Al het andere kun je wel vergeten met je 2 MIPS64 cores

mati1983 schreef op dinsdag 20 januari 2015 @ 15:26:
Ik was inderdaad een beetje kort door de bocht.. Thanks voor je aanvulling.

Wel schijnt de webinterface aanzienlijk te zijn verbeterd de laatste tijd, maar het blijft inderdaad lastiger dan de gemiddelde router.

Het andere wat je meldt klopt ook. Echter, een ander alternatief voor het vermelde budget ken ik niet. Het inzetten van een PCtje met bv pfsense is ook een optie, maar het inzetten van een volledige server was geen optie zo begreep ik.

Pakjebakmeel schreef op dinsdag 20 januari 2015 @ 15:34:
PPTP wil je niet.. einde verhaal..

L2TP zou kunnen maar dan wil je het beveiligen met IPSec. Echter is op een edgerouter L2TP niet geaccelereerd en daarom ook traag. Verwacht maximaal 20Mbit/s. De Edge moet het hebben van offload, de CPU zelf is niet zo snel.

OpenVPN werkt prima maar draait in 'userspace', zelfs op snellere hardware zijn de resultaten tegenvallend. Dit heeft te maken met de interrupts en de calls tussen userspace en kernelspace. Op mijn D2700 bordje haalde ik maximaal 25 a 30 Mbit/s met 100% CPU load.

Ikzelf heb 2 EdgeRouter Lite's aangeschaft om IPSec in tunnel mode te draaien tussen 2 sites maar mijn resultaten zijn zeer teleurstellend. Zie inderdaad mijn bovenstaande review en vooral het linkje naar mijn topic op het EdgeRouter forum. De software is bugged blijkbaar en ik haal geen hoge throughput. Echter in mijn lab test, gewoon 2 ERL's aan elkaar zonder internet ertussen ging beter. De IPSec tunnel ging richting 100+Mbit/s. Helaas wil dit niet werken via het WAN zoals vermeld in het topic. Hier dus:

http://community.ubnt.com...-issue/m-p/1153938#M53574

Momenteel draai ik IPSec op Ubuntu server. Aan de ene kant in een VM op een gentoo doos, aan de andere kant op een Atom D2700 bordje. Ik kan je melden dat de D2700 (net) in staat is om 180Mbit/s aan te tikken met AES192 encryptie. Je router gaat dat nooit halen, zelfs een edgerouter niet als het naar behoren werkt.

Echter is dat niet routed maar policy based, ik denk dat dit al ingewikkeld genoeg is en zeer specifieke kennis vereist om op te zetten. VTI's ben ik zelf nog niet mee bezig geweest. Je zou dan moeten connecten met een ShrewSoft VPN client of iets dergelijks voor client-access. Ik draai het gewoon in tunnel tussen 2 subnets.

Pakjebakmeel schreef op dinsdag 20 januari 2015 @ 16:46:
Ik heb ook zo snel geen pasklare oplossing..

De simpele webbased oplossingen bieden geen performance door de software implementatie of tekortkomen van de CPU.

Edgerouter zou kunnen werken als je geen last hebt van dezelfde problemen als ik. Echter vereist het kennis en je komt sowiezo niet ver boven de 100Mbit/s ALS het werkt.

Mikrotik is leuk maar alles wat geen cloud core router is (had zelf een 493g) performt ook niet beter dan 20 a 25 Mbit/s. En bovendien vereist het wederom kennis.

De encryptie op die snelheid vereist nogal wat power. Je gaat dan snel naar de duurdere Cisco oplossingen die tevens kennis vereisen of desktop hardware maar dat wordt knutselen en kennis vergaren.

Als ik dit zelf zou doen zou ik een MiniITX bordje nemen met de goedkoopste i3 die AES-NI instructies ondersteund icm met een shrewsoft VPN cliënt. Native IPSec geeft dan de beste performance.

Deze hardware icm strongswan zou 500 Mbit/s aan moeten kunnen, maar je moet weten wat je doet. Zowel met de Linux CLI alsmede netwerk, routing en IPSec policies.

Dit is door een IPSec tunnel met AES192 getermineerd door een D2700:

[afbeelding]

[afbeelding]

Strak 180Mbit/s dus maar wel flinke CPU load.. Atom redt het maar net.

mati1983 schreef op dinsdag 20 januari 2015 @ 16:46:
Kijk eens naar pfsense. Met wat (oudere) hardware zou je een heel eind moeten kunnen komen.
Gisteren nog zitten spelen; ik trek makkelijk 100/100 door een openvpn tunnel over een 100/100 lijntje met ca. 50% CPU load op een AMD E350 bordje.

Zo'n bordje is zuinig en met geïntegreerde CPU en NIC al te halen voor 5-6 tientjes..

Zoek even op youtube voor een pfsense tutorial. Werkt zo goed als out-of-the-box en geheel via een duidelijke webinterface te besturen.

Thralas schreef op dinsdag 20 januari 2015 @ 17:08:
[...]


Met gemak. Helemaal als de desbetreffende processor AES-NI ondersteunt, dan is zelfs 1000/1000 geen probleem qua crypto.

Probeer even het een en ander uit, en kijk wat het makkelijkste werkt voor jouw situatie.

- Windows: SoftEther VPN
- Dedicated/VM/LiveCD: OpenVPN AS / pfSense

pfSense is eigenlijk een firewalldistro, dat kan zowel een voordeel als ontzettende overkill zijn.

De bottomline is dat je die 100/100 probleemloos gaat halen met redelijk recente x86 hardware of zo'n simpel bordje als de poster boven me voorstelt. Als het ook nog future proof (> 100/100) moet zijn is iets met AES-NI verstandig. En in dat laatste geval is het zinnig om uit te zoeken of je nog andere toepassingen hebt, als je toch 'fatsoenlijke' x86 hardware hebt draaien (NAS?)

Pakjebakmeel schreef op dinsdag 20 januari 2015 @ 20:23:
Je hebt encryptie uitgezet.. Dat klinkt verstandig. Sneller is het wel ja.

Mijzelf schreef op woensdag 21 januari 2015 @ 10:39:
[...]

Nee. De stream gaat naar buiten zoals die binnenkomt. Waarom zou je hem encrypten tussendoor?

Je kunt ook veilig browsen door de tunnel. Een https verbinding is al encrypted, en bij een http verbinding kon het je blijkbaar al niet schelen.

Encryptie wordt pas belangrijk als je van buitenaf apparaten binnen die lan gaat benaderen. Als je je daar zorgen over maakt zou je een firewall regel in je router kunnen zetten dat VPN clients alleen het internet op mogen.

Pakjebakmeel schreef op woensdag 21 januari 2015 @ 13:15:
Het probleem is dat als die VPN wordt misbruikt dat ze ook meteen bij jou binnen zijn. Niet zozeer het verkeer zelf wat er doorheen gaat. Ik weet niet welke VPN oplossing je momenteel gebruikt maar als het username en password ook plain text gaat is het alleen een kwestie van onderscheppen.

Voor zover ik weet kun je in DD-WRT de encryptie op PPTP uitzetten. Dan is volgens mij de login nog steeds beveiligd (die is op een challenge gebaseerd), maar het verkeer is verder niet encrypted

mati1983 schreef op woensdag 21 januari 2015 @ 13:18:
[...]


Ik heb vorige week nog een goedkoop doosje gemaakt:

pricewatch: Gigabyte GA-C1037UN-EU
Zit CPU onboard (genoeg power voor openvpn 100/100 tunnel
2 NICs

Nog wat geheugen erbij (2gb is zat) --> 30,- ong

Kastje miniitx incl voeding ca. 50,-
bv: pricewatch: Spire PowerCube SPM210B-300W-PFC

Verder heb je nog ergens 100+ MB aan opslag nodig.. Bijvoorbeeld een (oud) hard diskje of een USB stick

Mijzelf schreef op woensdag 21 januari 2015 @ 15:48:
[...]

Het gaat om PPTP, zoals in de startpost staat, en de login daarvan is challenge gebaseerd. Dus username&password gaan niet plain over internet.

PPTP wordt niet meer als erg veilig gezien, maar dat staat hier verder los van.

[ Voor 8% gewijzigd door belly89 op 21-01-2015 15:54 ]

Mijzelf schreef op woensdag 21 januari 2015 @ 16:56:
[...]

Ik ken DD-WRT verder niet, maar je hebt een range aan IP's toegewezen voor de VPN clients. In de firewall moet je iets invoeren als:

Source: VPN-client-range
Destination: LAN-range
Action: Drop