Salve ragazzi! Ho collegato (metodo LAN-WAN) un router Asus in cascata alla VPS. Ho configurato e attivato il server OpenVPN sul router Asus e ho fatto una prova di connessione tramite l'app ufficiale Android in cui ho importato il file di configurazione di OpenVPN, nel quale ho sostituito l'IP statico associato al router Asus con quello pubblico fornito da Vodafone. Nonostante i primi tentativi in cui sull'app mi dava un errore del tipo "certificato non valido", riavviando router e telefono sono riuscito finalmente a connettermi al server e tutto funziona a dovere. L'unico problema è che, da speed-test, la velocità di navigazione si aggira in media sempre su 10/10, abbastanza bassa considerando che ho a disposizione una velocità di upload lato server di 45-50 mbps (profilo Vodafone FWA 5G 300/50).
La mia domanda è: è possibile modificare opportunamente il file di configurazione .ovpn generato dal router al fine di migliorare le prestazioni complessive della VPN? Allego inoltre i miei attuali settaggi sul router Asus.
Grazie in anticipo! 🙂

  • Rekko ha risposto a questo messaggio
    matteoc ha rimosso il tag Eliminato .
    • [cancellato]

    La cifratura della VPN richiede potenza di calcolo da parte dei processori di ambo le parti. Se uno dei due processori non è un granché potente, e specialmente non ha la possibilità di accelerare certe finzioni crittografiche in hardware, la velocità ne risentirà, e non di poco. Puoi provare a cambiare l'algoritmo di cifratura, e usarne uno meno pesante e/o che può essere accelerato in hardware, e vedere se guadagni qualche Mb/s - ne va a scapito della sicurezza, ma dipende dall'uso che ne fai.

      [cancellato] Ok, quale tra questi mi consiglieresti di provare?

        • [cancellato]

        Comincia a provare AES-128-CBC, lascerei perdere i DES e gli RC che sono ormai veramente poco sicuri. I Camellia potrebbero non avere supporto per la cifratura in hardware (se c'è) anche se si possono implementare con le primitive per AES. Puoi provare anche ad usare un algoritmo meno pesante per l'HMAC Authentication, di nuovo non userei MDx, anche SHA1 è deprecato. Vedi un po' se e quanto guadagni, e sii conscio delle implicazioni di sicurezza. Magari per la rete di casa può andare anche bene, non sono impostazioni da replicare in ambienti che richiedono un livello di sicurezza più elevato.

        La versione di OpenVPN su quel router sembra molto vecchia....ora come ora OpenVPN supporta AES-XXX-GCM e CHACHA20POLY1305. Il primo é piú veloce della controparte CBC e va benissimo per dispositivi che hanno l'accelerazione in hardware. Per ARM e cellulari vari invece converrebbe CHACHA20POLY1305.

        Purtroppo questo e un problema comune di router con firmware stock: aggiornano OpenVPN una volta ogni ... bhu, non si sa quanto 🙂

        Secondo me, ti converrebbe appunto andare su AES-128-CBC, come giá suggerito ed usare SHA1 per l'auth (per questo tipo di funzionalità può ancora essere utilizzato).

        MA non aspettarti di guadagnare tanto, purtroppo.

        @[cancellato] @ordex Perfetto, vi ringrazio per i chiarimenti! In effetti, sul mio router Asus sono fermi all'ultima release della versione 2.4 di OpenVPN, che è stata inclusa tra l'altro nell'ultimo firmware uscito a settembre se non vado errato. Ho fatto una prova con AES-128-CBC e non è cambiato quasi nulla, ma la cosa interessante è che nel log fornito da OpenVPN Connect mi riporta AES-256-GCM come algoritmo di cifratura utilizzato, nonostante io abbia selezionato quello AES-128-CBC. Evidentemente viene applicato il GCM a prescindere..

        • ordex ha risposto a questo messaggio

          Generoso perché dalla versione 2.4 c'é la negoziazione dei cipher, con switch automatico a AES-GCM se supportato da entrambi.
          La UI del router é talmente indietro che non espone tutti i campi necessari a modificare questa negoziazione.

            ordex Ah ecco. Allora deduco che se alla fine viene utilizzato AES-GCM e non ci sono grossi miglioramenti, probabilmente il collo di bottiglia è il router stesso, il cui hardware non è proprio all'altezza della situazione.. 🙄

            Generoso Che tipo di modello di Asus è?
            Potresti provare il firmware Merlin che migliora le prestazioni di OpenVPN,solo se è supportato ovviamente

            Generoso

            Installa il firmware Merlin se il tuo Asus lo supporta.
            Dopodichè vai di AES128-GCM o Chachapoly.
            Giusto per correttezza sappi che l'RSA encryption dovrebbe stare a 2048 (1024 è considerata non sicura) e che il protocollo SHA1 è stato violato da tempo.
            Quindi se vuoi rimanere sul firmware di default ti consiglio di rifare le chiavi con RSA 2048 e di usare AES-128-CBC con SHA256

            @Rekko @documibozu E' un DSL-AC55U, mi sa che non è supportato.. Ok allora setto a 2048, pensavo che 1024 andasse comunque bene per uso casalingo. In ogni caso, AES e SHA me li setta automaticamente una volta stabilita la connessione, quindi i valori che imposto vengono di fatto ignorati..

              Diciamo che la velocità che raggiungo allo stato attuale mi permette comunque di fare ciò che mi serve senza grossi problemi, ad esempio oggi ho provato dei trasferimenti tramite Filezilla (upload) sul server FTP sempre del router e andava a 700/800 KB/s. A questo punto credo se non posso intervenire sul router con un firmware di terze parti, l'unica alternativa è configurare il server su Windows. Voi per caso avete a portata di mano una guida ben fatta che spiega passo-passo e in maniera chiara come configuare il server, "replicando" esattamente tutti i vari settaggi offerti dal router?

              6 giorni dopo

              Generoso

              Con quel modello di router, che attualmente utilizzo a casa di mia madre per una vpn site-to-site, più di 15m-17m non li fai.
              Strano cmq che non ti prenda i settaggi che imposti, io come client gli faccio prendere tranquillamente tutti i protocolli AES (sia GCM che CBC) per il data channel mentre per il control channel digerisce addirittura il Chachapoly.
              Che firmware hai?
              L'ultimo è il 1.1.2.3_979-g45f957d....

                documibozu Ho aggiornato all'ultima versione disponibile, ovvero la 1.1.2.3_979. Ma come client VPN che app usi? Io utilizzo OpenVPN Connect sia su pc che su smartphone. Comunque perdona l'ignoranza ma non capisco cosa intendi quando parli di data e control channel. Potresti spiegarmi a riguardo? Thanks! 🙂

                  Generoso

                  Io openvpn lo uso per una vpn site to site tra casa, ufficio e casa di mia madre. Server a casa e in ufficio e da mia madre due dsl-ac55u.
                  Spiegarti come funziona openvpn sarebbe lunghetto, sappi cmq che ci sono due canali, uno di controllo e uno dei dati. Ognuno può avere le sue codifiche.
                  L'ultimo firmware dell'ac55u aggiorna a openvpn 2.4 e per esperienza posso dirti che regge tranquillamente sia aes-cbc con hmac che aes-gcm.
                  Temo che il problema sia in openvpn connect, che è mooooooooooolto fatto male se ti si connette solo con aes-cbc.
                  Puoi mandarmi il file ovpn che ti genera il server (omettendo chiaramente le chiavi)?

                    documibozu OpenVPN Connect mi setta a prescindere AES-256-GCM, nonostante io imposti AES-128-CBC. Di seguito i parametri del file "client.ovpn" generato dal router:

                    float
                    nobind
                    proto udp
                    dev tun
                    sndbuf 0
                    rcvbuf 0
                    keepalive 10 30
                    auth-user-pass
                    client
                    auth SHA256
                    cipher AES-128-CBC
                    remote-cert-tls server

                      Generoso

                      AES-GCM ha sempre la priorità rispetto a AES-CBC perché più sicuro e veloce.
                      Puoi settare nel server AES-GCM-128?
                      Io prima di domani non ho modo di provare sul dsl-ac55u in ufficio (da remoto preferisco non far prove)....

                      Generoso
                      Ricontrollando meglio la tua configurazione, prova a sostituire

                      cipher AES-128-CBC

                      con
                      ncp-ciphers AES-128-GCM:AES-128-CBC

                        documibozu Dal pannello del router mi propone soltanto CBC, comunque ok perfetto proverò con questa modifica che mi hai suggerito!

                        Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                        P.I. IT16712091004 - info@fibraclick.it

                        ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile