Suche eine Aufstellung von WLAN-Routern, die Hardware-AES-Verschlüsselung bieten

[santander]

Der soll ja nach letzten Informationen WireGuard im OS unterstützen. Allerdings wohl erst seit den letzten Firmwarerevisionen ... schon immer! Müsste ich nun einmal upgraden, und sehen, ob und wie das im OS umgesetzt wurde.

Habe vorhin die Version 4.2 aufgespielt. Davor war noch 3.2 installiert, die aber schon ein Jahr alt war.

Geändert hat sich in Sachen WireGuard-Unterstützung aber nicht allzuviel. Out-of-the-box werden nur Mullevad und AzureVPN unterstützt.

Ob für meinen momentanen Provider, NordVPN, es überhaupt möglich ist, diesen zum Laufen zu bringen, wage ich zu bezweifeln, da dieser das WireGuard-Protokoll nur in leicht abgeänderter Version benutzt.

Der BCM49408 in dem Asus gehört schon zu den leistungsfähigsten "Consumer" Router SoCs. Wenn der bei 250Mbit Schluss macht, wirst Du da in diesem Segment nichts viel leistungsfähigeres finden.

Mir ging es vor allem auch darum zu wissen, ob es überhaupt noch andere bezahlbare Router gibt, die an die OpenVPN-Leistungsfähigkeit des RT-AC86U herankommen. Und inwieweit das bei anderen Modellen auch in der Firmware, also auch für Laien nutzbar ohne Kommandozeile, implementiert ist.

Aber ich glaube fast, dass dieser AC86U (oder sein Pedant der AX88U) fast einmalig am Markt sind.

 

[Raijin]

Ist doch klar: Ich möchte einen Router, der hardwaremäßig AES entschlüsseln kann (= hohe Geschwindigkeit) und beide Standards OpenVPN sowie WireGuard vom OS her unterstützt.

OpenVPN quasi als "Rückfall", falls der VPN-Provider WG noch nicht anbietet und unterstützt. Und WG, damit auch die höheren Internetgeschwindigkeiten jenseits der 250 MBit für die Zukunft (wenn ich einen schnelleren Tarif buche) genutzt werden können.

Das ist mitnichten klar, weil du eine wenig sinnvolle Anforderung scheinbar auf Prio1 setzt, was impliziert, dass dir der Rest weniger wichtig ist. Dein aktueller Asus ist schon ein recht potentes Gerät und viel mehr bietet der Consumer-Markt einfach nicht. Selbst bei den Flaggschiffen von Asus und Netgear im Raumschiff-Gaming-Design mit fancy LEDs und für mehrere Hundert Euro wird kein Wort zu HW-AES erwähnt, wovon du wie bereits dargelegt sowieso nur begrenzten Nutzen hättest - wenn überhaupt

Die besten Chancen hast du de facto mit einer HW-Firewall mit pfSense, o.ä. Aber sei's drum, trotzdem viel Glück bei deiner Suche.

 

[santander]

Der Asus RT-AC86U ist übrigens stark im Preis gestiegen. Vor 1 1/2 Jahre konnte ich ihn noch für 110 € kaufen, nun kostet er ungefähr 140 €.

 

[DLMttH]

Der wird ja auch längst nicht mehr hergestellt und hat ca. 15 Nachfolger mit AX. Weiß jemand, wie es bei denen um die CPU steht?

 

[foofoobar]

Mir ging es vor allem auch darum zu wissen, ob es überhaupt noch andere bezahlbare Router gibt, die an die OpenVPN-Leistungsfähigkeit des RT-AC86U herankommen. Und inwieweit das bei anderen Modellen auch in der Firmware, also auch für Laien nutzbar ohne Kommandozeile, implementiert ist.
Aber ich glaube fast, dass dieser AC86U (oder sein Pedant der AX88U) fast einmalig am Markt sind.

Ich hatte noch im Hinterkopf das openvpn aufgrund seiner Architektur (tun/tap plus alles im Userspace) sowieso an eine Decke stößt. Vor Jahren habe ich da mal für einen Kumpel rumgefrickelt und analysiert um dann auf wireguard zu wechseln.
Vorläufiges Ergebnis war damals das openvpn bzw. tun/tap ein Bufferbloat-artiges Verhalten an den Tag legt so das TCP in Folge immer wieder beschleunigt und bremst, bis hin zu heftigen Spikes mit Paketloss.
HW-AES hilft da ab bestimmten Bandbreiten wenig bis nix, weil tun/tap plus alles im Userspace vorher bremst,

Ich habe mal 2 verschiedene openvpn Tunnel zwischen einer Physik und einer VM aufgebaut, einmal mit AES256-CBC und einmal ohne Crypto. Die OpenVPN-Verbindung ohne Crypto ist nicht wesentlich schneller.
CPU-Bumms ist ausreichend vorhanden, wireguard schafft auf der Strecke 2,5 Gbit/s und ohne Tunnel sind es 25 Gbit/s.

Vergiss einfach openvpn für "schnelle" Links!!!

$ sudo openvpn --secret static.key --cipher AES-256-CBC --remote XXX --dev tun1 --ifconfig 10.9.8.2 10.9.8.1

$ iperf3 -t 15 -c 10.9.8.1
Connecting to host 10.9.8.1, port 5201
[ 5] local 10.9.8.2 port 52546 connected to 10.9.8.1 port 5201
[ ID] Interval Transfer Bitrate Retr Cwnd
[ 5] 0.00-1.00 sec 43.6 MBytes 366 Mbits/sec 29 209 KBytes
[ 5] 1.00-2.00 sec 46.9 MBytes 394 Mbits/sec 0 333 KBytes
[ 5] 2.00-3.00 sec 48.0 MBytes 402 Mbits/sec 0 425 KBytes
[ 5] 3.00-4.00 sec 45.0 MBytes 378 Mbits/sec 312 221 KBytes
[ 5] 4.00-5.00 sec 46.3 MBytes 388 Mbits/sec 46 248 KBytes
[ 5] 5.00-6.00 sec 45.8 MBytes 384 Mbits/sec 0 357 KBytes
[ 5] 6.00-7.00 sec 46.2 MBytes 388 Mbits/sec 0 439 KBytes
[ 5] 7.00-8.00 sec 45.4 MBytes 381 Mbits/sec 174 122 KBytes
[ 5] 8.00-9.00 sec 39.7 MBytes 333 Mbits/sec 8 155 KBytes
[ 5] 9.00-10.00 sec 47.2 MBytes 396 Mbits/sec 0 301 KBytes
[ 5] 10.00-11.00 sec 47.8 MBytes 401 Mbits/sec 0 397 KBytes
[ 5] 11.00-12.00 sec 47.8 MBytes 401 Mbits/sec 0 477 KBytes
[ 5] 12.00-13.00 sec 47.8 MBytes 401 Mbits/sec 0 544 KBytes
[ 5] 13.00-14.00 sec 40.7 MBytes 341 Mbits/sec 162 183 KBytes
[ 5] 14.00-15.00 sec 47.3 MBytes 397 Mbits/sec 12 216 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-15.00 sec 685 MBytes 383 Mbits/sec 743 sender
[ 5] 0.00-15.04 sec 684 MBytes 381 Mbits/sec receiver

iperf Done.
$ iperf3 -t 15 -R -c 10.9.8.1
Connecting to host 10.9.8.1, port 5201
Reverse mode, remote host 10.9.8.1 is sending
[ 5] local 10.9.8.2 port 33178 connected to 10.9.8.1 port 5201
[ ID] Interval Transfer Bitrate
[ 5] 0.00-1.00 sec 44.2 MBytes 371 Mbits/sec
[ 5] 1.00-2.00 sec 49.5 MBytes 415 Mbits/sec
[ 5] 2.00-3.00 sec 50.4 MBytes 423 Mbits/sec
[ 5] 3.00-4.00 sec 46.5 MBytes 390 Mbits/sec
[ 5] 4.00-5.00 sec 46.7 MBytes 392 Mbits/sec
[ 5] 5.00-6.00 sec 49.7 MBytes 417 Mbits/sec
[ 5] 6.00-7.00 sec 45.9 MBytes 385 Mbits/sec
[ 5] 7.00-8.00 sec 45.9 MBytes 385 Mbits/sec
[ 5] 8.00-9.00 sec 49.4 MBytes 414 Mbits/sec
[ 5] 9.00-10.00 sec 49.2 MBytes 412 Mbits/sec
[ 5] 10.00-11.00 sec 49.8 MBytes 418 Mbits/sec
[ 5] 11.00-12.00 sec 50.0 MBytes 419 Mbits/sec
[ 5] 12.00-13.00 sec 49.5 MBytes 415 Mbits/sec
[ 5] 13.00-14.00 sec 49.1 MBytes 411 Mbits/sec
[ 5] 14.00-15.00 sec 50.7 MBytes 425 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-15.05 sec 728 MBytes 406 Mbits/sec 157 sender
[ 5] 0.00-15.00 sec 727 MBytes 406 Mbits/sec receiver

iperf Done.
$

-------------------------------------------

$ sudo openvpn --remote XXX --dev tun1 --ifconfig 10.9.8.2 10.9.8.1

$ iperf3 -t 15 -c 10.9.8.1
Connecting to host 10.9.8.1, port 5201
[ 5] local 10.9.8.2 port 41608 connected to 10.9.8.1 port 5201
[ ID] Interval Transfer Bitrate Retr Cwnd
[ 5] 0.00-1.00 sec 67.6 MBytes 567 Mbits/sec 28 568 KBytes
[ 5] 1.00-2.00 sec 66.2 MBytes 556 Mbits/sec 21 486 KBytes
[ 5] 2.00-3.00 sec 66.2 MBytes 556 Mbits/sec 80 455 KBytes
[ 5] 3.00-4.00 sec 65.0 MBytes 545 Mbits/sec 0 553 KBytes
[ 5] 4.00-5.00 sec 65.0 MBytes 545 Mbits/sec 0 633 KBytes
[ 5] 5.00-6.00 sec 62.5 MBytes 524 Mbits/sec 291 254 KBytes
[ 5] 6.00-7.00 sec 66.2 MBytes 556 Mbits/sec 0 403 KBytes
[ 5] 7.00-8.00 sec 66.2 MBytes 556 Mbits/sec 0 512 KBytes
[ 5] 8.00-9.00 sec 65.0 MBytes 545 Mbits/sec 328 258 KBytes
[ 5] 9.00-10.00 sec 66.2 MBytes 556 Mbits/sec 0 404 KBytes
[ 5] 10.00-11.00 sec 66.2 MBytes 556 Mbits/sec 0 513 KBytes
[ 5] 11.00-12.00 sec 66.2 MBytes 556 Mbits/sec 36 455 KBytes
[ 5] 12.00-13.00 sec 65.0 MBytes 545 Mbits/sec 84 179 KBytes
[ 5] 13.00-14.00 sec 53.8 MBytes 451 Mbits/sec 18 269 KBytes
[ 5] 14.00-15.00 sec 67.5 MBytes 566 Mbits/sec 23 351 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-15.00 sec 975 MBytes 545 Mbits/sec 909 sender
[ 5] 0.00-15.05 sec 972 MBytes 542 Mbits/sec receiver

iperf Done.
$ iperf3 -t 15 -R -c 10.9.8.1
Connecting to host 10.9.8.1, port 5201
Reverse mode, remote host 10.9.8.1 is sending
[ 5] local 10.9.8.2 port 58328 connected to 10.9.8.1 port 5201
[ ID] Interval Transfer Bitrate
[ 5] 0.00-1.00 sec 62.0 MBytes 520 Mbits/sec
[ 5] 1.00-2.00 sec 62.2 MBytes 522 Mbits/sec
[ 5] 2.00-3.00 sec 62.4 MBytes 524 Mbits/sec
[ 5] 3.00-4.00 sec 59.7 MBytes 501 Mbits/sec
[ 5] 4.00-5.00 sec 61.1 MBytes 512 Mbits/sec
[ 5] 5.00-6.00 sec 60.7 MBytes 509 Mbits/sec
[ 5] 6.00-7.00 sec 60.7 MBytes 509 Mbits/sec
[ 5] 7.00-8.00 sec 61.7 MBytes 517 Mbits/sec
[ 5] 8.00-9.00 sec 60.1 MBytes 504 Mbits/sec
[ 5] 9.00-10.00 sec 59.7 MBytes 501 Mbits/sec
[ 5] 10.00-11.00 sec 62.5 MBytes 524 Mbits/sec
[ 5] 11.00-12.00 sec 60.7 MBytes 509 Mbits/sec
[ 5] 12.00-13.00 sec 60.3 MBytes 506 Mbits/sec
[ 5] 13.00-14.00 sec 61.1 MBytes 513 Mbits/sec
[ 5] 14.00-15.00 sec 61.0 MBytes 512 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bitrate Retr
[ 5] 0.00-15.04 sec 919 MBytes 512 Mbits/sec 1256 sender
[ 5] 0.00-15.00 sec 916 MBytes 512 Mbits/sec receiver

iperf Done.
$
-------------------------------------------
$ lscpu
Architecture: x86_64
CPU op-mode(s): 32-bit, 64-bit
Address sizes: 43 bits physical, 48 bits virtual
Byte Order: Little Endian
CPU(s): 16
On-line CPU(s) list: 0-15
Vendor ID: AuthenticAMD
Model name: AMD Ryzen 7 1700X Eight-Core Processor
CPU family: 23
Model: 1
Thread(s) per core: 2
Core(s) per socket: 8
Socket(s): 1
Stepping: 1
Frequency boost: enabled
CPU max MHz: 3400,0000
CPU min MHz: 2200,0000
BogoMIPS: 6786.37
Flags: fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt pdpe1gb rdtscp lm constant_ts
c rep_good nopl nonstop_tsc cpuid extd_apicid aperfmperf rapl pni pclmulqdq monitor ssse3 fma cx16 sse4_1 sse4_2 movbe popcnt aes xsave avx f16c rdrand lahf_
lm cmp_legacy svm extapic cr8_legacy abm sse4a misalignsse 3dnowprefetch osvw skinit wdt tce topoext perfctr_core perfctr_nb bpext perfctr_llc mwaitx cpb hw_
pstate ssbd vmmcall fsgsbase bmi1 avx2 smep bmi2 rdseed adx smap clflushopt sha_ni xsaveopt xsavec xgetbv1 xsaves clzero irperf xsaveerptr arat npt lbrv svm_
lock nrip_save tsc_scale vmcb_clean flushbyasid decodeassists pausefilter pfthreshold avic v_vmsave_vmload vgif overflow_recov succor smca sme sev
Virtualization features:
Virtualization: AMD-V
Caches (sum of all):
L1d: 256 KiB (8 instances)
L1i: 512 KiB (8 instances)
L2: 4 MiB (8 instances)
L3: 16 MiB (2 instances)
NUMA:
NUMA node(s): 1
NUMA node0 CPU(s): 0-15
Vulnerabilities:
Itlb multihit: Not affected
L1tf: Not affected
Mds: Not affected
Meltdown: Not affected
Mmio stale data: Not affected
Retbleed: Mitigation; untrained return thunk; SMT vulnerable
Spec store bypass: Mitigation; Speculative Store Bypass disabled via prctl and seccomp
Spectre v1: Mitigation; usercopy/swapgs barriers and __user pointer sanitization
Spectre v2: Mitigation; Retpolines, STIBP disabled, RSB filling, PBRSB-eIBRS Not affected
Srbds: Not affected
Tsx async abort: Not affected
$

Ergänzung (1. April 2023)

Der wird ja auch längst nicht mehr hergestellt und hat ca. 15 Nachfolger mit AX. Weiß jemand, wie es bei denen um die CPU steht?

4 Cortex A53 mit 1-2 GHz ist Stand der Technik für solche SOCs.
Der entsprechende Kram von Qualcomm ist nicht wesentlich anders.