Ähnlich zum dem Site-to-Site VPN Throughput Test der FortiGate Firewalls wollte ich mal den FRITZ!Boxen auf den Zahn fühlen und herausfinden, in wie fern sich der VPN-Durchsatz bei den Modellen unterscheidet, bzw. welche Rolle die ausgewählten Verschlüsselungsverfahren spielen. Getestet habe ich eine (etwas ältere) FRITZ!Box 7270v3 mit FRITZ!OS 06.06 sowie eine (neuere, obgleich nicht Topmodell) FRITZ!Box 7430 in Version 06.30. Als VPN-Endpunkt auf der Gegenseite habe ich eine FortiGate Firewall genommen. Getestet wurde das reine Routing/NATting sowie verschiedene Phase 2 Proposals mit dem Netzwerk Tool iperf.
Ein paar mehr Details bezüglich des Testaufbaus kann man in dem vorherigen Artikel von mir durchlesen. Hier wurde nur die eine FortiGate als Router umfunktioniert und dahinter die jeweilige FRITZ!Box gesetzt. Auf den Testnotebooks lief wieder Knoppix.
Labor
Folgende Einstellungen nahm ich auf der FRITZ!Box vor:
- Internetzugang über LAN 1, Internetverbindung selber aufbauen
- Übertragungsgeschwindigkeit auf 100.000 kbit/s für beide Richtungen gesetzt
- Portfreigabe “Exposed Host” an Test-Client IP
- WLAN deaktiviert
- VPN zur FortiGate gemäß dieser Vorlage aufgebaut
- An der FortiGate zwischen 3DES und AES256 in Phase 2 manuell gewechselt, bzw. auch mit “nur Routing” ohne VPN getestet.
Logisch sah das Labor dann so aus:
Physikalisch in etwa so: ;)
Testergebnisse
Dies waren meine Testergebnisse (TCP):
Bzw. in Rohform (TCP und UDP):
Modell | Phase 2 Proposal | TCP Tx/Rx [MBit/s] | UDP Tx/Rx [MBit/s] |
---|---|---|---|
IPerf Optionen | -r | -u -r -b 100M | |
7270v3 06.06 | Kein VPN, nur Routing | 70/65 | 96/94 |
3DES | 5,2/5,2 | 2,5/0,1 | |
AES256 | 9,4/9,8 | 5,5/0,1 | |
7430 06.30 | Kein VPN, nur Routing | 94/94 | 96/96 |
3DES | 6,7/6,4 | 5,2/0,5 | |
AES256 | 14,6/15,5 | 9,1/10,7 |
Ohne VPN liefert die 7270 einigermaßen gute Ergebnisse. Zumindest beim UDP Tests waren die Maximalergebnisse (96 MBit netto) sehr gut. Beim Einsatz eines VPNs raucht die Geschwindigkeit aber total ab. Das Maximum war bei einer AES256 Verschlüsselung mit 10 MBit herauszuholen. Warum beim UDP Test der Rückweg nur 0,1 MBit liefert, kann ich nicht beurteilen.
Die 7430 liefert beim reinen Routing/NAT Test starke Werte um die 95 MBit. Aber auch sie knackt beim VPN-Durchsatz Test stark ein. Maximal 15 MBit bei der Verwendung von AES256 waren drin.
Fazit
Gerne wird die FRITZ!Box im privaten als auch im semi-professionellen Umfeld nicht nur als Internet-Router, sondern auch als VPN-Gateway eingesetzt. Ungeachtet der Tatsache, dass man im Firmenumfeld sowieso nicht auf ein Privatprodukt setzen sollte, ist der nutzbare VPN-Durchsatz bei knapp 15 MBit/s teilweise deutlich unter den reinen Internetgeschwindigkeiten, die man heute durch VDSL und Glasfaser so bekommt. Daher sollte man sich gut überlegen, wo und wie man die FRITZ!Box dafür einsetzt.
Mangels Hardware konnte ich leider nicht noch das aktuelle Topmodell von AVM, die FRITZ!Box 7490, testen. Da dasVer- und Entschlüsseln der VPNs aber rein in Software/CPU passiert, lässt ein Blick auf Vergleichstabellen der CPUs der Geräte [1, 2, 3] leider nur erahnen, dass auch das Topmodell nur wenig besser sein dürfte, da die Geschwindkeit der CPU nur leicht angehoben wurde.
Featured image “Views of the LHC tunnel sector 3-4” by Maximilien Brice is licensed under CC BY-SA 4.0.
Auch wenn die Werte erschreckend gering sind, sind sie im Gegensatz zu meiner Fritzbox 6360 nahezu traumhaft.
Da komme ich mit AES256 nicht über 1Mbit/s!
Getestet mit einer Netscreen SSG550M und einem Windows Client dahinter, der Daten auf eine Synology hinter der Fritzbox kopiert hat.
7490 an einem vdsl50 mit AES 256 dh2 Gegen eine pfsense 2.3.1 erreicht 18 bis 19 Mbit/s Datendurchsatz im Windows 10 task manager … Getestet Mmit dateikopieren von netzlaufwerk. Ping latenz 48ms.
Ah, cool, vielen Dank für die Info. Also stimmt die Vermutung, dass auch die 7490 nur minimals besser ist von ihrer Verschlüsselungsleistung.
Danke für diese Übersicht!
Jetzt habe ich Gewissheit, dass ich nichts an RSYNC schrauben brauche um einen besseren Copy-Durchsatz durch zwei FB@VDSL mittels VPN zu erhalten.
Anbei ein Screen Shot der CPU/Energie-Auslastungen.
https://1drv.ms/i/s!Ak2fFOX7cX_wlcga6h53FLATMMWs-A
Lg
Oliver
Sadly AVM is killing performance with firmware updates. 7390 with 6.20 was easily saturating 10mbit internet link. Now with 6.83 (latest) it can barely reach 400 kbit. And the tech support suggests to buy newer device (!). Can you call it fair practice?
Per VPN schaffe ich über eine Fritzbox 7490 etwa 10 MBit/s an einer DSL-Leitung mit 50 MBit/s Download und 35 MBit/s Upload.
wie bzw wo hast du die 3des/aes-einstellungen eingestellt? Habe nur eine laufende config mit 3des und würde gerne mal aes ausprobieren, kenne die richtige syntax aber nicht.
LG stoertebeker
Hi stoertebeker,
ich habe auf meinem Blog eine ganze Reihe an Tutorials zum Thema Fritzbox-VPN. Du kannst oben mal auf die Seite “VPNs” gehen um eine Übersicht zu bekommen. Oder du folgst den FRITZ!Box Tags/Kategorieren.
Was du konkret wissen möchtest findest du vermutlich hier:
https://weberblog.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert/
Cheers,
Johannes
alles klar, vielen dank! nu läuft das. schafft so rund 14.5 MBits mit meiner Fritzbox 7360
Vorsicht; wenn die Fritzbox vom VPN her ausgereizt ist, dann gibt es hässliche Probleme z.B. bei VoIP weil die CPU Last woanders verbraten wird die kleine Kiste total überfordert ist.
Hi ich muss das noch mal aufholen.
ich habe nicht geändert nur das neue Update auf die Fb 7490 installiert und bin jetzt auch bei 1MB/s Transfer im VPN … gegenstelle 7590 mit aktueller OS. ich habe eine 100/40 er Leitung gegenstelle 50/10 Leitung
1 Gb Leitung server hängt an der 7590 — hat immer alles gepasst bis auf jetzt nach dem update
danke für die Hilfe schon mal
Ich glaube nicht, dass ich da viel helfen kann. Die Fritzbox hat einfach keine Prio auf VPN Durchsatz. Ist ja auch “nur” ein Home-Router und keine Enterprise Firewall…
how or where did you set the 3des / as settings? I only have a running config with 3des and would like to try as, but don’t know the correct syntax.
Hey Alexendre,
please have a look at this post: https://weberblog.net/fritzos-ab-06-23-ipsec-p2-proposals-erweitert/
However, that post is quite outdated as well. I’m not sure whether or not AVM has updated their ciphers again. At least you can find the aes settings there.
Cheers
Es kommt etwas auf die SHA2 Verfahren an. DH14 reisst die Performance ziemlich runter.
Siehe hier:
https://administrator.de/forum/routingprobleme-ueber-openvpn-auf-fritzbox-4941192029.html#comment-5529769659
Ja, es kommt in der Tat (auch) auf die Hash-Verfahren an. Der symmetrische Cipher ist ja eigentlich immer AES. Welches DH Verfahren angewandt wird, ist allerdings egal. Diese dienen nur der Schlüsselvereinbarung am Anfang der Lifetime und kommen bei der eigentlichen Verschlüsselung des IP-Verkehrs nicht mehr zum Einsatz.