1781A mögliche VPN Performance

[1781er]

Hallo Forum,
auf Anraten meines Freundlichen habe ich mehrere 1781A Router erworben, da ich mit der VPN Performance der bisherigen Netgear Geräte nicht zufrieden war. Konkret geht es darum, dass die Standorte jeweils mit 10 MBit TK D LAN verbunden sind. Jetzt habe ich zum Test zwei der Standorte mit 1781A Routern ausgerüstet, die Firmware aktualisiert und per Wizard verbunden. Das Ergebnis gleicht leider der Performance der Netgear Hardware. Beim Kopieren von Server 1 am Standort A nach Server 2 am Standort B geht es nur äußerst an 2 MBit heran. Meistens dümpelt es bei 600 - 700 KBit herum.

Nun zu meinen Fragen: Ist die VPN Performance beim 1781A beschränkt? Gibt es abweichend vom Wizard sinnvolle Skalierungsmöglichkeiten, die noch getest werden könnten? Macht es Sinn den Support der TK wegen der Schwankungen mit ins Boot zu nehmen?

Vielen Dank
1781er

[GrandDixence]

Das LANCOM Techpaper "Routing Performance" Kapitel "IPSec-Routing-Performance" gibt gerne Auskunft über die VPN (IKE/IPSec)-Performance des LANCOM-Routers:

https://www.lancom-systems.de/lcs_publi ... a1b00952a8

[GrandDixence]

Gibt es abweichend vom Wizard sinnvolle Skalierungsmöglichkeiten, die noch getest werden könnten?

Mit IPerf3 die Performance der VPN-Verbindung ausmessen und mit Wireshark den Datenverkehr aufzeichnen und untersuchen. Eventuell werden die IP-Pakete fragmentiert (MTU-Size-Problem), was zu Leistungseinbussen führt. Siehe auch:

http://www.lancom-forum.de/post85420.html#p85420

Damit der im LANCOM-Router eingebaute VPN-Hardware-Beschleuniger die VPN-Ver- und Entschlüsselung optimal beschleunigen kann, sollte ausschliesslich AES-128-SHA-(2) Verschlüsselung eingesetzt werden.

[Bernie137]

Gibt es abweichend vom Wizard sinnvolle Skalierungsmöglichkeiten, die noch getest werden könnten?

Vielleicht wäre es sinnvoll anzugeben, welche Einstellungen der Wizzard überhaupt gesetzt hat? Im einfachsten Fall per LANmonitor Rechtsklick auf das VPN-Schloss und dann "VPN-Verbindungen anzeigen". Ist IPSec-over-https im Spiel, sollte ja eigentlich nicht?

Damit der im LANCOM-Router eingebaute VPN-Hardware-Beschleuniger die VPN-Ver- und Entschlüsselung optimal beschleunigen kann, sollte ausschliesslich AES-128-SHA-(2) Verschlüsselung eingesetzt werden.

Das interessiert mich. Hast Du da noch nähere Infos dazu? Das Lancom TechPaper geht ja nicht wirklich auf einen Vergleich beispielsweise zwischen AES-128-SHA gegen AES-256-SHA ein. Letzteres (AES-256-SHA) nimmt aber der Assistent per Default für VPN-Tunnel. Es ist vermutlich immer ein Kompromiss zwischen Geschwindigkeit und angemessener Verschlüsselung.

@all: Gibt es für die Praxis gute Paarungen für besseren Durchsatz bei angemessener Sicherheit, die man konfigurieren/verwenden sollte? Ich hab meistens AES-CBC 256Bit und HMAC-SHA1.

Gruß Bernie

[MariusP]

Hi,
Zeig uns doch bitte, was auf beiden Geräte konfiguriert ist.

Code: Alles auswählen

show vpn long

hilft dir dabei.
Damit wir wissen was du verhandelst.

Wie testest du denn die Verbindung?
Denn wenn die Server selber nicht mehr liefern wie soll eine VPN Verbindung das dann beschleunigen.
Gruß

[1781er]

Danke schon einmal für die zahlreichen interessanten Antworten. Leider kann ich aus Betriebsgründen erst am Wochenende testen & entsprechende Rückmeldungen geben.

[GrandDixence]

Hast Du da noch nähere Infos dazu? Das Lancom TechPaper geht ja nicht wirklich auf einen Vergleich beispielsweise zwischen AES-128-SHA gegen AES-256-SHA ein. Letzteres (AES-256-SHA) nimmt aber der Assistent per Default für VPN-Tunnel. Es ist vermutlich immer ein Kompromiss zwischen Geschwindigkeit und angemessener Verschlüsselung.

Gemäss:

http://www.lancom-forum.de/post69557.html

http://lancom-wiki.de/index.php?title=H ... usstattung

kommt bei LANCOM-Geräten der 1781-Serie bei normalen LCOS-Versionen für Verschlüsselungsaufgaben der Hardware-Beschleuniger im Freescale-Prozessor zum Einsatz. Mangels entsprechender Zertifizierung darf der Hardware-Beschleuniger im Freescale-Prozessor im CC-Modus (LANCOM CC-Gerät mit Spezial-Betriebsystem CC-LCOS) nicht verwendet werden!

Das Freescale-Dokument:

http://cache.freescale.com/files/32bit/ ... nt_AMS.pdf

beschreibt auf Seite 14, welche Verschlüsselungsaufgaben vom Hardware-Beschleuniger im Freescale P1014E-Prozessor übernommen werden können.

@all: Gibt es für die Praxis gute Paarungen für besseren Durchsatz bei angemessener Sicherheit, die man konfigurieren/verwenden sollte? Ich hab meistens AES-CBC 256Bit und HMAC-SHA1.

Mindestens einmal jährlich sollte die Technische Richtlinie TR-02102 vom BSI konsultiert werden, ob die verwendeten Verschlüsselungsverfahren von den Kryptoexperten als genügend sicher betrachtet werden:

https://www.bsi.bund.de/DE/Publikatione ... x_htm.html

[Bernie137]

@GrandDixence
Besten Dank! Da hab ich ordentlich Lektüre.

[Jirka]

Hallo GrandDixence,

Das Freescale-Dokument:

http://cache.freescale.com/files/32bit/ ... nt_AMS.pdf

beschreibt auf Seite 14, welche Verschlüsselungsaufgaben vom Hardware-Beschleuniger im Freescale P1014E-Prozessor übernommen werden können.

PDF-Seite 14 nehme ich an (entspricht Dokument-Seite 16).

Hmm, interessant. Und wo steht da jetzt ganz genau, dass "ausschliesslich AES-128-SHA-(2) Verschlüsselung" in Hardware beschleunigt wird?

Vielen Dank und viele Grüße,
Jirka

[SpiderPig]

Hallo zusammen,

was ich hier lese ist extrem interessant
aber wo genau kann ich das denn einstellen? Es gibt im Lancom ja 1,2,3,viele Einstellungen, was er verwendet. Welche davon ist denn die, um die es hier geht?


Gruss Benni

[stefanbunzel]

Hallo Benni,

bezüglich der VPN-Verschlüsselung wirst du zum Beispiel in LANconfig unter
"VPN - IKE/IPSec - IPSec-Proposal-Listen - Proposal" bzw.
"VPN - IKEv2/IPSec - Verschlüsselung" fündig.

Viele Grüße,
Stefan

[LancomF]

Konnte durch angepasste Einstellungen bereits eine höhere Übertragungsgeschwindigkeit erreicht werden?

[MariusP]

Hi,
Meist liegt der Flaschenhals in der verfügbaren DSL Verbindung.
Daher rate ich dir AES-CBC mit 256bit zu verwenden und als Hash mindestens SHA256, im DH ist min Gruppe 14 am besten Gruppe 16 zu nutzen.
Sollte es Neuigkeiten dazu geben, für gute Sicherheit und höhere Transferraten, werden diese sicher von Lancom veröffentlich.
Gruß

[Vancouverona]

Hallo zusammen,

meine Erfahrungswerte bei VPN-Verbindungen zu ausländischen Standorten mit einem 1781EW als Gegenstelle waren ca. 30 MBit/s. Die Kollegen vor Ort waren damit sehr unzufrieden, weil sie die externe Leitung von 20 auf 50 MBit haben schalten lassen und die theoretische Mehrleistung praktisch nicht nutzbar war. Erst ein 7100er hat uns hier weitergebracht.

Grüße aus Düsseldorf
Jörg

[Vancouverona]

Hallo Forum,
auf Anraten meines Freundlichen habe ich mehrere 1781A Router erworben, da ich mit der VPN Performance der bisherigen Netgear Geräte nicht zufrieden war. Konkret geht es darum, dass die Standorte jeweils mit 10 MBit TK D LAN verbunden sind. Jetzt habe ich zum Test zwei der Standorte mit 1781A Routern ausgerüstet, die Firmware aktualisiert und per Wizard verbunden. Das Ergebnis gleicht leider der Performance der Netgear Hardware. Beim Kopieren von Server 1 am Standort A nach Server 2 am Standort B geht es nur äußerst an 2 MBit heran. Meistens dümpelt es bei 600 - 700 KBit herum.

Nun zu meinen Fragen: Ist die VPN Performance beim 1781A beschränkt? Gibt es abweichend vom Wizard sinnvolle Skalierungsmöglichkeiten, die noch getest werden könnten? Macht es Sinn den Support der TK wegen der Schwankungen mit ins Boot zu nehmen?

Vielen Dank
1781er

Die 10MBit sind symmetrisch, also Up- und Download gleich?
Wie schnell ist den der Weg von Server B nach A?
Der bis auf die Schnittstellen gleiche 1781EW hat bei uns jedenfalls ca. 30 MBit geschafft, was den Kollegen immer noch zu langsam war.

Grüße aus Düsseldorf
Jörg