ComputerBase Menü
Aktuelles

Suche eine Aufstellung von WLAN-Routern, die Hardware-AES-Verschlüsselung bieten

S

santander

Lieutenant
Registriert
Juni 2010
Beiträge
716
Hi!

Ich bin auf der Suche nach einer Aufstellung von WLAN-Routern, bei denen Chips (Broadcom?) verbaut sind, die hardwareseitig AES-Verschlüsselung bieten.

Hintergrund ist, dass dann der Datenverkehr über einen VPN-Provider via dem OpenVPN-Protokoll um ein vielfaches schneller läuft, als wenn dies die meist leistungsschwache CPU eines WLAN-Routers erledigen muß.

Momentan nutze ich einen Asus RT-AC86U mit einem Broadcom BCM4906-Chipsatz an Bord in Verbindung mit NordVPN, mit dem ich so weit auch zufrieden bin. Dieser würde seine Leistungsgrenze bei ca. 260 MBit/s Down/Up erreichen.

Speedtest des Routers siehe hier
https://www.skadligkod.se/vpn/vpn-speedtest-asus-rt-ac86u-merlin-firmware/

Momentan nutze ich eine 100/50 MBit-Leitung (Glasfaser), will aber evtl. nach Auslaufen des Internetvertrags in einigen Monaten weiter upgraden und auf das WireGuard-Protokoll umsteigen.

Idealerweise unterstützt der künftige Router über das Webinterface beide Protokolle, und hat wie gesagt Hardware-AES-Verschlüsselung.

Zusatzfrage: Welche Asus-Router haben oben genannten Chip außerdem noch verbaut? Ist über die Herstellerwebseite nicht herauszufinden, was da intern werkelt.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Yesman9277
foofoobar schrieb:
Wireguard nutzt kein AES:
Zum Vergrößern anklicken....
Das weiß ich.

foofoobar schrieb:
In den jeweiligen Directorys für deine CPU kann man nachschauen ob es eine spezielle vektorisierte chacha20 Implementierung dafür gibt:
Zum Vergrößern anklicken....
Sorry, das hilft mir jetzt nicht unbedingt weiter. Was ich erwarten würde, ist eine konkrete Nennung von Routern, die hardwaremäßig AES-Verschlüsselung unterstützen.
 
Zuletzt bearbeitet:
Der GT AXE11000, GT AX11000 und RT-AX88U haben jeweils einen Broadcom BCM4908 (64 bit quad-core @ 1.8 GHz).
 
  • Gefällt mir
Reaktionen: santander
Gibt es noch andere Chipsätze neben BCM4906 und 4908, die Hardware-AES-Verschlüsselung unterstützen?

Evtl. auch noch weitere Router? Ich denke da vor allem an die Asus-Modelle RT-AX56U, AX58U oder der neue AX59U?

Wenn ich die Produktpolitik von Asus richtig deute, haben nur die Firmwares der AX-Modelle kürzlich Unterstützung für WireGuard bekommen.

Die AC-Serie blieb außen vor. Hat das bestimmte Gründe in der Hardware oder ist das einfach teilweiser "End of support" von Asus.
 
Zuletzt bearbeitet:
Warum kein Selbstbau Router mit pfSense/OPNSense?

NUC, oder Thin Client mit 2x LAN
 
  • Gefällt mir
Reaktionen: netzgestaltung, conf_t, Fenugi und 2 andere
  • Gefällt mir
Reaktionen: santander und netzgestaltung
nur weil die CPU die Instructions unterstützen WÜRDE, heißt es noch lange nicht, dass die entsprechenden Funktionen auch genutzt werden/durch die Firmware bedient werden.

Die gleiche/ähnliche CPU ist also bestenfalls ein Hinweis darauf, dass der Router es unterstützen könnte.
 
  • Gefällt mir
Reaktionen: santander und TomH22
Um mal hier den Sprichwörtlichen Bären im Raum zu benennen ....

Warum zum Teufel willst du UNBEDINGT AES-Fähige Hardware während du gleichzeitig sagst das du auf Wireguard umsteigen willst welches kein AES KANN ?? Was soll dieser Unsinn ?

Entweder Wireguard ODER AES ..... wobei die Frage bleibt ob sich der Aufwand mit AES dann überhaupt auch WIRKLICH also in Netto-Leistung lohnt, ich für meine Teil denke eher nicht.
 
  • Gefällt mir
Reaktionen: MadMax_87
Es ist in dieser Form eine etwas sinnlose Fragestellung. Sehr viele SoC haben AES Hardware (im ARM/MIPS Bereich eher als Peripherie Einheit, bei X86/64 als Befehlssatzerweiterung (AES-NI). Dazu kommen oft noch spezielle Netzwerk-Beschleuniger, die Funktionen wie stateful inspection oder L2/L3 switching unterstützen.
Die entscheidende Frage ist, ob das jeweilige Router Betriebsystem die Funktionen unterstützt.
Am Ende ist aber bei den proprietären Betriebssystemen der Router Hersteller nicht herausfindbar welche Hardware Funktionen genutzt werden. Das einzige was hilft sind Benchmarks, Testberichte oder ggf. auch Herstellerangaben zum erreichbaren Durchsatz.
So sind z.B. Fritzboxen für ihre eher geringe die IPSEC VPN Geschwindigkeit bekannt, obwohl sie teilweise durchaus SoCs mit entsprechender Hardware haben
 
  • Gefällt mir
Reaktionen: TomH22
Das hat doch mit dem OS nix zu tun. Es geht doch erst mal darum, zu ermitteln, welche HW AES beschleunigen kann. Dazu dienen beide von mir geporsteten Tabellen, dass dass zufällig mal von Openwrt kommt ist ja egal, da die HW-Beschleunigung erst mal OS unabhängig ist.

im zweiten Schritt, ist natürlich korrekt, dass man sich fragen muss, ob das Hersteller OS überhaupt die HW-Beschleunigung nutzt. Das kann man aber nicht ohne weiteres herausfinden, außer es wurde zufälligerweise getestet. Aber bei Routern wird VPN-Durchsatz seltener getestet, viele Tests sind nur aufs WLAN bezogen.

und man kann wie andere natürlich die ganze Fragestellung hinterfragen. Tue ich für mich im Stillen auch.
 
Noch ist überhaupt nicht klar was @santander überhaupt genau vorhat. Bisher möchte er lediglich eine Liste von Routern "präsentiert bekommen", die zumindest in der Hardware AES unterstützen - obwohl er scheinbar weiß, dass dies für sein mutmaßliches Vorhaben (Wechsel auf Wireguard) nicht relevant ist. Das klingt alles ziemlich vage und ohne echten Praxisbezug, eher nach "Ein Kumpel hat gesagt AES ...".

Bei All-In-One-Routern von der Stange halte ich es für wenig sinnvoll, die Auswahl nach so einem speziellen Kriterium zu treffen. Was wenn der Router dann zwar ganz toll AES in Hardware macht (und mit Glück auch das OS), aber ansonsten .. .. besch..eiden ist? Da bin ich dann definitiv bei dem Vorschlag von @Dig.Minimalist , weil man bei einem PC-basierten Router deutlich mehr Auswahl bei der Hardware und dem Betriebssystem hat als es bei einem 08/15 Router der Fall ist, der in der Regel maximal noch OpenWRT unterstützt - und das unter Umständen noch nicht mal vollständig.
 
conf_t schrieb:
Aber bei Routern wird VPN-Durchsatz seltener getestet, viele Tests sind nur aufs WLAN bezogen.
Zum Vergrößern anklicken....
CLP Tutorials (Youtube) macht das gelegentlich. Der Kanal ist etwas AVM lastig, aber testet auch andere Sache
conf_t schrieb:
Das hat doch mit dem OS nix zu tun. Es geht doch erst mal darum, zu ermitteln, welche HW AES beschleunigen kann.
Zum Vergrößern anklicken....
Ja, nur hat man nichts davon, wenn das OS es entweder nicht unterstützt, es nicht relevant ist (z.B. bei Wireguard). Es kommt oft vor, das Hardware Funktionen bestimmte Einschränkungen haben, z.B. nicht in Kombination mit gewünschten anderen Features stehen, oder in manchen Situationen sogar langsamer sind als Software. Am Ende kommt es nur darauf an "was hinten rauskommt". Wenn also ein Router den gewünschten Durchsatz erreicht, ist es völlig egal wie es realisiert ist. Aber ja, wenn man sich besser fühlt, wenn man einen Chip im Router hat, der AES kann, ist das ja auch ok ;)
Ich selber bin auch nicht frei davon, ich versuche mir auch das Datenblatt vom Router SoC zu beschaffen und fühle mich besser wenn ich den Chip "mag". Ist komplett irrational, aber es ist ja nicht ungewöhnlich das bei der Produktauswahl das Bauchgefühl eine Rolle spielt.

conf_t schrieb:
und man kann wie andere natürlich die ganze Fragestellung hinterfragen. Tue ich für mich im Stillen auch.
Zum Vergrößern anklicken....
Geht vielleicht im Geoblocking (bzw. die Umgehung desselben). Oder das Bauchgefühl, siehe oben...

Raijin schrieb:
Da bin ich dann definitiv bei dem Vorschlag von @Dig.Minimalist , weil man bei einem PC-basierten Router deutlich mehr Auswahl bei der Hardware und dem Betriebssystem hat als es bei einem 08/15 Router der Fall ist, der in der Regel maximal noch OpenWRT unterstützt - und das unter Umständen noch nicht mal vollständig.
Zum Vergrößern anklicken....
Da hat man nur halt nicht mehr die Möglichkeit einer kompakten All-in-One Lösung. Wenn man sowieso z.B. ein getrenntes WLAN Mesh-Systems betreibt oder gar kein WLAN hat, etc. dann ist das ok.
Und nur um VPN Durchsatz zu erreichen ist es auch Overkill.
 
  • Gefällt mir
Reaktionen: santander
Für OpenVPN gibt es ja nun auch noch DCO zur Beschleunigung. OpenWRT scheint das zu unterstützen, der Rest eher nicht.
 
Auch wenn mich der TO gleich wieder anpflaumt weil das nicht die direkte Antwort auf seine Frage und ich es wage den Kontext seines Posts zu interpretieren: GL.iNet liefert Router mit openwrt aus, und schreibt den Durchsatz von Openvpn und Wireguard Durchsatz bei einigen Produkten auf die Webseite, allerdings steht da nicht ob die HW-AES können und ob das genutzt wird.
 
NatokWa schrieb:
Um mal hier den Sprichwörtlichen Bären im Raum zu benennen ....
Zum Vergrößern anklicken....
Ist das nicht der Elefant? ;)

NatokWa schrieb:
Warum zum Teufel willst du UNBEDINGT AES-Fähige Hardware während du gleichzeitig sagst das du auf Wireguard umsteigen willst welches kein AES KANN ?? Was soll dieser Unsinn ?

Entweder Wireguard ODER AES ..... wobei die Frage bleibt ob sich der Aufwand mit AES dann überhaupt auch WIRKLICH also in Netto-Leistung lohnt, ich für meine Teil denke eher nicht.
Zum Vergrößern anklicken....

Raijin schrieb:
Noch ist überhaupt nicht klar was @santander überhaupt genau vorhat. Bisher möchte er lediglich eine Liste von Routern "präsentiert bekommen", die zumindest in der Hardware AES unterstützen - obwohl er scheinbar weiß, dass dies für sein mutmaßliches Vorhaben (Wechsel auf Wireguard) nicht relevant ist. Das klingt alles ziemlich vage und ohne echten Praxisbezug, eher nach "Ein Kumpel hat gesagt AES ...".
Zum Vergrößern anklicken....
Ist doch klar: Ich möchte einen Router, der hardwaremäßig AES entschlüsseln kann (= hohe Geschwindigkeit) und beide Standards OpenVPN sowie WireGuard vom OS her unterstützt.

OpenVPN quasi als "Rückfall", falls der VPN-Provider WG noch nicht anbietet und unterstützt. Und WG, damit auch die höheren Internetgeschwindigkeiten jenseits der 250 MBit für die Zukunft (wenn ich einen schnelleren Tarif buche) genutzt werden können.

foofoobar schrieb:
Auch wenn mich der TO gleich wieder anpflaumt weil das nicht die direkte Antwort auf seine Frage und ich es wage den Kontext seines Posts zu interpretieren: GL.iNet liefert Router mit openwrt aus, und schreibt den Durchsatz von Openvpn und Wireguard Durchsatz bei einigen Produkten auf die Webseite, allerdings steht da nicht ob die HW-AES können und ob das genutzt wird.
Zum Vergrößern anklicken....
Also, den GL.iNET GL-AX 1800 habe ich mir Anfang letztes Jahr gekauft und der liegt mittlerweile seit längerem in meinem Schrank. Der hat defintiv KEIN Hardware-AES. Deshalb ist auch bei so ca. 90 MBit OpenVPN-Entschlüsselungsleistung Feierabend, weil alles über den Prozessor laufen muss.

Der Router soll ja nach letzten Informationen WireGuard im OS unterstützen. Allerdings wohl erst seit den letzten Firmwarerevisionen. Müsste ich nun einmal upgraden, und sehen, ob und wie das im OS umgesetzt wurde.
 
Zuletzt bearbeitet:
Der BCM49408 in dem Asus gehört schon zu den leistungsfähigsten "Consumer" Router SoCs. Wenn der bei 250Mbit Schluss macht, wirst Du da in diesem Segment nichts viel leistungsfähigeres finden.

Neben der hier schon genannten Möglichkeit PCs dafür zu verwenden, kann man sich natürlich im "Small Business Bereich" umsehen.
Hersteller wie Sonicwall https://www.sonicwall.com/de-de/products/firewalls/entry-level/ oder Watchguard haben einen spezifizierten Durchsatz.
Ich habe das hier nur als Beispiel aufgeführt, ich kenne die Produkte von denen nicht, und weiß auch garnicht ob sie OpenVPN oder Wireguard unterstützen. Die meistens dieser Unternehensfirewalls nutzen IPSec oder SSL VPNs, weil sie auch für andere Anwendungsfälle gedacht sind.

WLAN muss man dann aber auch eher extern machen. Die haben das zwar manchmal integriert, aber meist veraltete Standards, wie Wifi5.

Bei den Geräten ist mal dann auch schnell bei 500-1000 EUR.


 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Nero Atreides
Sicherheit von Hardware-AES-Verschlüsselung mit ATA-Passwort bei SSDs?
Antworten
9
Aufrufe
4.136
Bogeyman
B
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz