VPN Router verbinden mehrere Netzwerke an verschiedenen Standorten zu einem gemeinsamen virtuellen Netzwerk. In der Zwischenzeit sind diese Fähigkeiten nicht mehr nur teueren Geräten von Cisco vorbehalten. In der Preisklasse um die €150 findet man in der Zwischenzeit mehrere Geräte, die mehrere VPN Tunnel gleichzeitig unterstützen.
Wir haben zwei Linksys RV042 in unser Testlabor geholt, um den mit diesen Geräten maximal erreichbaren VPN Durchsatz genauer zu vermessen.
Im ersten Schritt wurde mit netio der maximal erreichbare Durchsatz zwischen den beiden beteiligten Systemen (PowerMac G5, Dual 1,8GHz und einem intel Centrino, 1,5GHz) vermessen.
Im Schnitt wurden in Senderichtung 79,6MByte/sec übertragen. Auffällig ist hier die starke Abweichung zwischen Senden und Empfangen. Da beide Werte jedoch weit über den Möglichkeiten der Netzwerkanschlüsse der Router liegen, sind wir dieser Diskprepanz nicht weiter auf den Grund gegangen. Bei allen Geschwindigkeitsangaben handelt es sich übrigens um Transferraten basierend auf TCP Verbindungen. Die Firewall war bei allen Tests deaktiviert.
Verbindet man beide WAN Ports der Router direkt miteinander, kann man erkennen, dass der Router ca. 80% der maximal möglichen Bandbreite nutzen kann.
Mit DES bzw. 3DES Verschlüsselung werden immerhin noch knapp 7MByte/sec übertragen. Dabei macht es praktisch keinen Unterschied welche DES Variante und welche Hashfunktion gewählt wird. Selbst bei AES Verschlüsselung kommt der Router noch auf durchschnittlich 5,4MByte/sec. Hier sind die gesamten Ergebnisse im Überblick:
Fazit
Der Router liefert bei sicheren Verbindungen mehr als genug Durchsatz und ist momentan vermutlich in der Lage alle üblichen DSL-Verbindungen voll auszuschöpfen. Leider unterstützt er kein L2TP über IPSec, so dass man am Mac nur die Möglichkeit hat, sich über PPTP einzuwählen oder auf teuere Lösungen von Fremdherstellern auszuweichen.
Update 23.04.2008
Leider läuft die VPN Verbindung zwischen zwei Routern nicht immer ganz rund. Überträgt man viele Daten über das VPN, bricht sporadisch die Verbindung ab. Leider wird dies vom Router nicht bemerkt (obwohl die Dead Peer Detection an ist). Trennt man die Verbindung manuell im Web Interface sind die Probleme dann sofort behoben. Mein Eindruck von der Firmware 1.3.9 ist, daß die Probleme damit nicht mehr so häufig auftreten. Vollständig behoben sind sie aber auch damit noch nicht.
Da demnächst noch einige zusätzliche Netze dazukommen werden, werden wir unser VPN langfristig wohl auf OpenVPN basierende Router umstellen. Dabei werden dann auch nicht mehr alle Netze direkt miteinander verbunden, sondern der Traffic über einen zentralen Server geroutet werden. Sobald es mehr Infos gibt, wird es natürlich auch einen Blogartikel dazu geben.
Update 18.05.2008
Es sieht so aus, als ob ich nicht der Einzige mit diesem Problem wäre. Allerdings ist RIP in unserem Netzwerk schon immer deaktiviert, so daß es daran nicht liegen kann. Bei einem Bekannten tritt das Problem bei gleichen Einstellungen nicht auf. Sein DSL wird alle 24 Stunden von der Telekom getrennt, meines nicht. Ich vermute, das ist der Unterschied…
Update 07.03.2009
Ich habe einen meiner RV042 an das dd-wrt Projekt gespendet. Wenn alles glatt läuft, wird es wohl bald eine Version für diese Hardwareplattform geben. Ich bin gespannt!
Nutze seit Jahren „IPSecuritas“ als Frontend für racoon und ipsec-tools. Läuft auch auf Leopard prima.
http://www.lobotomo.com/products/IPSecuritas/
Damit experimentiere ich im Moment selbst auch. Leider habe ich es noch nicht geschafft, eine IPSec Verbindung basierend auf Zertifikaten mit dem Router herzustellen. Sollte das irgendwann mal klappen, dann könnte es zu diesem Artikel durchaus einen Folgeartikel geben 😉