Router con supporto Client VPN OpenVPN

Aaldo332 · 2020-08-31T15:30:26+00:00

Sale,
apro una nuova discussione visto che nonostante se ne trovino di simili sul forum credo possa essere comunque utile a qualcuno condividere qui le informazioni che ho raccolto per la mia configurazione.

Nel mio caso sto cercando un router (la funzione modem non è richiesta), che faccia da VPN client con una VPN di tipo OpenVPN. Il Wi-Fi è preferibile ma non necessario, in ogni caso va bene anche senza banda 5Ghz, e non mi serve neanche una copertura vasta.

Da quello che ho visto in giro di router che supportano OpenVPN nativamente non se ne trovano, quindi sto cercando il più adatto da flashare poi con DDWRT/OpenWRT/Tomato/ecc, non ho preferenze a riguardo, la cosa importante è che supporti OpenVPN.

Per quanto riguarda le performance non sono esigente, mi basta regga 100 Mbps con OpenVPN in TCP. Come dispositivi connessi siamo sui 4 max, wifi+wired.

Mi chiedevo su qualcuno di voi avesse esperienza con router sotto i 100€, che sarebbe il mio budget, non mi va di spendere di più viste le specifiche di sopra. L’unica specifica che rende la ricerca un po’ difficile temo siano i 100 Mbps con OpenVPN, per giunta in TCP.

Quelli senza supporto per l’accelerazione hardware per la crittografia, ovvero tutti quelli sotto i 200 mi sembra di aver capito (1), faticano ad arrivare ai 50 Mbps. Per ora sembrerebbe che l’unico router con supporto all’accelerazione hardware è questo ASUS, che sta intorno ai 150€:

https://www.amazon.it/Wireless-Dual-Band-Gigabit-802-11ac-Supporto/dp/B07595BZJV/ref=sr_1_1?__mk_it_IT=ÅMÅŽÕÑ&dchild=1&keywords=Asus+RT-AC86U+%28AC2900&qid=1598459465&sr=8-1

Qualcuno conosce altri router che potrei considerare?

Come altra soluzione per non spendere cifre astronomiche, e vista la poca banda in gioco, avevo pensato ad un Thin Client come l’HP t620, di quelli che si trovano usati a meno di 100, su cui metterci pfSense. Per la singola porta aggirerei il problema con uno Switch Managed. Sullo Switch configurerei due VLAN, una per la WAN e l’altra per connetterci i dispositivi. L’unico problema sarebbe l’assenza del Wi-Fi, ma potrei anche farne a meno diciamo, se così risparmiassi centinaia di euro.
La porta Ethernet singola pur condividendo le due VLAN dovrebbe essere già più che sufficiente visto la banda massima di 100Mbps.

Rispetto alla soluzione router spenderei intorno ai 100€ tra Thin Client e Switch, e in più suppongo avrei prestazioni decisamente superiori a qualunque altro router sotto i 200 € visto la CPU, senza contare il supporto all’AES-NI. Non avrei il wifi però .
Invece dello switch credo ci si potrebbe arrangiare anche con x adattatori ethernet USB, visto che i Thin Client abbondano di porte USB 3.

(1): https://www.privateinternetaccess.com/blog/hardware-acceleration-is-here-for-routers-using-openvpn/

HHeavy · 2020-08-31T15:38:53+00:00

Mikrotik noi suoi router supporta Open VPN in TCP, dalla versione di firmware 7.xx che attualmente è in beta supporta se non erro anche Open VPN in UDP e dall'ultima beta (7.1 beta 2) anche WireGuard

alcuni prodotti di punta SOHO di mikrotik:

https://mikrotik.com/product/chateau_lte12
https://mikrotik.com/product/rb4011igs_5hacq2hnd_in

Senno vedi qua la lista completa:

https://mikrotik.com/products

Attenzione che non sono facilissimi da configurare, ma comunque non sono neanche poi cosi difficili una volta letta la documentazione

Aaldo332 · 2020-08-31T15:55:00+00:00

Heavy Hai idea delle prestazioni con OpenVPN? Perché sul sito c'è soltanto per IPSec, e vista la scheda tecnica non sono molto ottimista sulle capacità. In ogni caso grazie, cercherò anche un po' in giro qualche test con i Mikrotik.

Eeang · 2020-08-31T16:05:41+00:00

Anche i router Ubiquiti supportano OpenVPN.

Sstemax97 · 2020-08-31T16:13:34+00:00

aldo332 Da quello che ho visto in giro di router che supportano OpenVPN nativamente non se ne trovano, quindi sto cercando il più adatto da flashare poi con DDWRT/OpenWRT/Tomato/ecc, non ho preferenze a riguardo, la cosa importante è che supporti OpenVPN.

Per quanto riguarda le performance non sono esigente, mi basta regga 100 Mbps con OpenVPN in TCP. Come dispositivi connessi siamo sui 4 max, wifi+wired.

Non è proprio un requisito così facile da soddisfare purtroppo.
Due link che parlano di OpenVPN e OpenWrt:

Secondo quella tabella, parlando di OpenWRT, come minimo ti servirebbe un ipq806x come processore (quindi Netgear R7800, ad esempio).
Purtroppo temo che con €100 tu non possa raggiungere quelle performance con OpenVPN, che tende a essere una VPN computazionalmente molto pesante.

HHeavy · 2020-08-31T16:16:17+00:00

aldo332 io lo uso come server ovpn non come client e funziona adeguatamente, non faccio questa mole di traffico però da poterti dire se sopra un certo livello possa crollare, comunque la 4011 ha un processore ARM quadcore da 1.4 Ghz e secondo me dovrebbe tenerli 100 mega di traffico in vpn, alternativamente c'è anche la versione senza wifi che costa qualcosa di meno (e scalda di meno) oppure la 3011 che è un dual core ARM da 1.4, io ho quest'ultima nel mio armadio rack e mi trovo bene, non ho problemi di cpu alta anche ad alto livello di traffico, però ripeto, non so come si comporti con una mole di traffico elevata in VPN, specialmente se usi cifrature importanti. Ma penso che le prestazioni siano livellate per tutti i router di questa fascia sennò devi valutare di andare su qualcosa piu "prosumer" tipo una CCR1009 o una CCR1016 ma vai su prezzi decisamente piu elevati (parlando di Mikrotik), altrimenti qualche piattaforma CISCO o, stando sul consumer, come ga detto @eang qualcosa della ubiquiti come la dream machine (o la dream machine pro) ma vai sopra i 300 euro

Karakurt · 2020-08-31T16:33:08+00:00

Anche la stragrande maggioranza dei router ASUS supportano OpenVPN come client, ma non sono sicuro che quello che dici tu abbia il "supporto" hardware.

Eeang · 2020-08-31T16:36:06+00:00

Heavy Che io sappia anche un entry-level come l'EdgeRouter X (< 100€) dovrebbe avere OpenVPN già installato.

Mmkonsel · 2020-08-31T21:29:15+00:00

Ho provato il collegamento in vpn con il fritzbox, e ho notato che in vpn se si fa lo speedtest la banda è limitata a circa 10mbit in up/down.

Qualcuno che usa la vpn del fritz riscontra lo stesso problema?

[cancellato] · 2020-08-31T21:46:02+00:00

Heavy andare su qualcosa piu "prosumer" tipo una CCR1009 o una CCR1016 ma vai su prezzi decisamente piu elevati (parlando di Mikrotik)

Il problema non è tanto la potenza pura, quanto che OpenVPN "fa schifo" perché essendo userland non può essere accelerata via hardware e tocca far fare copie di pacchetti da kernel space a user space e viceversa.
Inoltre non vorrei che fosse single core, nel qual caso salire ai CCR con le CPU Tile (molti core ma "scarsi") potrebbe non rappresentare un vantaggio.

Poi, non andrebbe mai fatta una VPN in TCP, perché hai il problema del TCP Meltdown in cui combini gli effetti del delay del tunnel ai packet loss che ti porta ad avere velocità molto basse.

DDani25 · 1 set 2020

mkonsel non è un problema, è proprio una limitazione hardware

Mmkonsel · 1 set 2020

Dani25 sono 10mbit tondi tondi, a me sembra una limitazione impostata a livello firmware... Riuscire a trasmettere traffico in vpn a velocità maggiore di 10mbit, non richiede chissà che potenza di elaborazione. Inoltre dalle statistiche, l'uso della cpu non aumenta durante il collegamento in vpn , come se venisse gestita da qualche chip in hardware

DDani25 · 1 set 2020

mkonsel dipende dal sistema usato, openvpn ad esempio è molto pesante per l'hardware, il nuovo wireguard è molto più leggero

TTechnetium · 1 set 2020

aldo332
Come mai vuoi che il router faccia da client per la VPN su protocollo OpenVPN ?

Braccoz · 1 set 2020

aldo332 Per quanto riguarda le performance non sono esigente, mi basta regga 100 Mbps con OpenVPN in TCP. Come dispositivi connessi siamo sui 4 max, wifi+wired.

stai scherzando vero? OpenVPN e' gia' pesantissima, figurarsi in TCP. se vuoi quelle performance metti su un pc dedicato perche' con i routerini consumer/soho i 100Mbps li vedi col binocolo...

Aaldo332 · 2 set 2020

Braccoz Eh sì sono perfettamente consapevole delle prestazioni di OpenVPN in TCP, però è un requisito necessario per la mia configurazione. Come dicevate probabilmente la cosa più conveniente come rapporto prestazioni/prezzo è proprio pfSense sopra hardware Thin Client.

Per quanto riguarda il router ASUS di cui parlavo, su Amazon ad esempio si trovano varie opinioni.
C’è chi dice che con una linea gigabit dietro OpenVPN raggiunge i 20 Mbps, chi dice che con una linea 100 Mbps arriva a 70/80, chi addirittura riesce ad avere dei fantomatici 120MB/s su linea non specificata. In media togliendo le recensioni non realistiche sembrerebbe che 100 Mbps con un po' di sforzo li regge.

PS: Uso già da tempo un Thin Client HP t610 come server OpenVPN, e regge tranquillamente i 100 Mbps in TCP. E questo è un Thin Client senza supporto hardware per la crittografia, quindi la versione più recente (t620) dovrebbe poter anche arrivare a 200 Mbps in TCP.

Braccoz · 2 set 2020

aldo332 si ma io ti sconsiglierei di percorrere la strada del routerino, primo perche' come vedi non si ha la certezza di raggiungere quel troughput, anche perche' dipende da mille cose, secondo perche' oggi magari li raggiunge, ma domani con qualche aggiornamento no, e allora meglio avere un po' di potenza in piu' per poter assorbire il colpo in futuro

la strada del thin client e' ottima, altrimenti considera che vendono dei mini-pc fatti apposta per essere usati come router con Pfsense/openwrt ecc, costano "poco" su aliexpress...

Aaldo332 · 2 set 2020

Braccoz Avevo esplorato anche quel tipo di hardware però non avevo trovato niente con prestazioni accettabili. Tuttavia confesso che non avevo cercato su Aliexpress, darò un'occhiata anche lì.