7390 VPN-Performance

[PCMor]

Hm - wenn dieser Artikel richtig ist, dann werkelt bspw. in der 7390 diese CPU - und die macht die VPN-Verschlüsselung in Hardware.



Mal ganz davon abgesehen, dass 3DES nicht umsonst das "Triple" im Namen hat: im Gegensatz zu AES durchläuft in der Tat jedes Paket drei Mal den DES-Algorhithmus, bevor es weitergeschickt wird.

Bei meinem IPSec-VPN zur Firma hatte ich als Erstes 3DES zum Laufen bekommen, danach dann AES - und mit AES "fühlt" sich der Tunnel in der Tat geschmeidiger an, als mit 3DES...

 

[jimknopf78]

Hm - wenn dieser Artikel richtig ist, dann werkelt bspw. in der 7390 diese CPU - und die macht die VPN-Verschlüsselung in Hardware.

Wenn AVM das implementiert hat. Von allein verschlüsselt die HW Einheit nämlich nichts, die will ordentlich angesteuert werden.

 

[PCMor]

Wenn AVM das implementiert hat.

Ok, das weiß man nicht wirklich.
Andererseits: man sucht sich ja nicht ein SOC aus, dessen Features man zwar bezahlt, aber hinterher nicht nutzt.
Würde ich meinen.

 

[Gompf]

Naja, der gute Wille und ein Plan steht sicher immer am Anfang des Auswahlprozesses... Aber oft werden die Sachen dann doch anders gemacht. Und gerade bei der 7390, die ja eine schwere Geburt war kann ich mir das ganz gut vorstellen

Toll waere es natuerlich wenn dem so ist. Aber eigentlch muesste sich dass ueber kurz oder lang ja herausfinden lassen.

/Chris

 

[cuco88]

Ein Freund von mir hat seit heute VDSL. Leitungskapazität fast 90 Mbit/s Down und fast 25 Mbit/s Up. Dementsprechend werden die 50 bzw. 10 Mbit/s auch voll erreicht. Nun haben wir unsere beiden Fritzbox 7390-Router via VPN miteinander verbunden. Dann kopiere ich via Samba/Windows-Dateifreigabe eine große Datei über das Netz.
Ergebnis: Es dauert eine Weile, bis die Geschwindigkeit wirklich nach oben geht, dann bleibt sie bei gut 7,8 Mbit/s und pendelt sich da ein. Mehr geht nicht. Die CPU-Last beider Boxen geht auf je 99%.

Damit scheint die Hardware-Verschlüsselung nicht an zu sein. Und die Performance ist ok, aber nicht perfekt.
Da VPN ja auch Overhead erzeugt, haben wir mal die Upload/Downloadauslastung angeguckt.
Auf der Sendeseite liegt sie bei ca. 9 von 10 Mbit/s. Auf der Empfangsseite bei 10,5-11 Mbit/s - wobei hier noch Internetradio nebenbei läuft und gesurft wird.
Kurz: Die CPU ist limitierender Faktor, die Datenrate ist mit knapp 8 Mbit/s aber ok.
Surfen und Telefonieren funktioniert auch "nebenbei" noch, das schafft die Box. Das Webinterface dagegen fühlt sich an wie über Modem... Nach ein paar Aufrufen wird es zwar schneller, aber bleibt träge...

Da bei meinem "Gegenüber" eh ein Server 24 Std. durchläuft und bei mir das auch demnächst der Fall sein soll, werden wir VPN wohl darauf auslagern. Das müsste performanter sein und die Box ist dann nicht am absoluten Limit.

Im Anhang zwei Screenshots. Wo die stündlichen CPU-Peaks herkommen, weiß ich nicht...

 

[ReneV]

Die Frage ist jetzt, mit was die Fritze verschlüsselt (AES, 3DES ect.). Wenn du das Tool von AVM benutzt um die config Datei zu erstellen, werden alle Einstellungen auf default gesetzt. Ich kann mir auch nicht vorstellen das AVM die Hardwareverschlüsselung implementiert hat, da hätten sie ja alles neu programmieren müssen um den Chip auch richtig anzusprechen.

 

[Gompf]

Ich kann mir auch nicht vorstellen das AVM die Hardwareverschlüsselung implementiert hat

Zumal das nur ganz wenige Leute wirklich bemerken wuerden. Ich denke die meisten Fritzboxen werden ueberhaupt nicht mit VPN betrieben und die dies es tun, werden wohl nie die Bandbreite noch die CPU Last dabei messen, nur wir hier. Schade trotzdem, ich faende es auch super wenn es das tun wuerde, aber dann waere die FB schon kein Consumer Produkt mehr.

/Chris

 

[ReneV]

Würde ich so nicht sagen, zum einen gibt es immer mehr Anwendungen bei Privatleuten die nach einer Vernetzung verlangen (PVR fernsteuern, Web Cam, Haussteuerung), zum anderem werden die Fritzen auch für kleine Unternehmen immer interessanter, die sich keine Standleitung leisten können.
Der Markt währe vorhanden und von den Profi Routern hebt man sich noch deutlich genug ab, schon aus dem Grund das man die Fritze nicht ohne WLAN bekommt und der eingebaute Switch nicht managebar ist.

 

[cuco88]

@Rene: Ja die VPN-Einstellungen stammen vom Tool und sind unmodifiziert auf die Fritzbox geladen worden. Sowohl bei meiner als auch bei der Fritzbox gegenüber ist jeweils noch ein weiterer VPN-Kanal "aktiv", der zum Zeitpunkt der Datenübertragung zwar verbunden aber unbenutzt war.
Meine 7390 hat wie gesagt die Firmware 84.04.86-18561, gegenüber läuft die 84.04.86 Release Firmware.

Auch wenn man vielleicht für die Hardwareverschlüsselung was umprogrammieren müsste - an AVM-Stelle sollten sie das tun ;-) Das würde halt die CPU stark entlasten.

 

[sixpacktrinker]

Also ich bekomme an meinem 32 Mbit/s Anschluss (KD) mit der 7170 ca. 5,5 Mbit/s Durchsatzrate hin mit IPsec-VPN, und bin eigentlich dran mir ne 7270 oder gar 7390 zu kaufen in der Hoffnung die Durchsatzrate ist um einiges höher als mit der 7170... Allerdings wenn ich das so hier lese das die 7390 auch "nur" max 8 Mbit/s schafft, ist es kein riesiger Zugewinn und rechtfertigt zumindest aus diesem Grund nicht den Kauf der 7390.. Schade.

 

[ReneV]

Wieviel Upload hast du und dein VPN Partner denn?

 

[sixpacktrinker]

ich down 32 up 2
"er" down & up 100

 

[ReneV]

OK. bei 100Mbit/s Synchron sollte unwesentlich mehr drin sein. ;-)
Ich gehe mal davon das an der 100Mbit/s Seite auch ein Profi Router installiert ist, nicht das da der Flaschenhals ist. Und hier benutzt auch AES zum verschlüsseln und nicht DES oder 3DES?

 

[sixpacktrinker]

genau so ist es.

Wie gesagt, interessant wäre zu wissen ob es tatsächlich mit einer 7390 bei den max 8 Mbit/s bleiben würde oder doch ein wenig mehr in dieser Konstellation drin wäre.. 15 Mbit/s sollten es idealerweise schon sein.

Vielleicht hat ja jemand ähnliches am laufen und kann zumindest mal ne Indikation abgeben.. bevor es heisst "kauf dir die 7390 und dann weisst du´s"...

 

[cuco88]

Hmm... ganz ehrlich: Ich glaube nicht, dass ihr auf 15 Mbit/s kommt. Schließlich war bei meinem Versuch weder der Upstream meines Gegenüber noch mein Downstream voll ausgelastet. Voll ausgelastet waren lediglich die beiden CPUs...

Ohne es ausprobiert zu haben - ich schätze nicht, dass man über knapp 8 Mbit/s kommen kann, das schien bei meinem Versuch das Limit zu sein und dürfte recht allgemeingültig sein. Behaupte ich einfach mal!

Wenn man die Verschlüsselung loswerden könnte oder diese per Extra-Bereich der CPU berechnet werden würde, wäre mehr drin.

 

[cuco88]

Hi

So inzwischen haben mein Gegenüber und ich beide VDSL 50.000 mit super Leitungswerten (Kapazität ginge bis 90 Mbit/s). Es müsste sich also eigentlich per VDSL via VPN eine synchrone 10Mbit/s Übertragung in beide Richtungen realisieren lassen. Die Datenrate erreicht via Samba/SMB/Windows-Dateifreigabe aber nur 6,3 Mbit/s aktuell. Dabei steigt die Datenrate gaaaaaanz langsam. Gestartet bin ich mit 4Mbit/s, jetzt nach einer Stunde bin ich wie gesagt bei 6,3 Mbit/s. CPUs in den beiden Fritzbox 7390 hängt wieder bei 99% Auslastung. Und es scheinen noch ca. 2 Mbit/s Overhead zusätzlich zu entstehen.

Das ist eine ganze Menge Overhead - entsteht der durch das VPN-Protokoll oder durch Samba?

Aber ich finde es echt schade, dass man nicht einmal an die 10 Mbit/s (inkl. Overhead) kommen kann... Damit werden wir wohl wirklich externe Hardware für das VPN benutzen.

 

[Outlaw]

Danke für die Aktualisierung.

Ist die Fritzen CPU also doch recht "schwach" aber ich denke, für 99% ihres Aufgabengebietes dennoch ausreichend.

Eine hier - nicht näher zu nennende - Interessengruppe müsste sich in der Tat doch nach anderen Geräten umsehen.

Ob da AVM nicht doch Potential und damit Kunden verschenkt ??

Also AVM, bitte ins der 8390 nen stärkeren Prozzi rein.

 

[MaxMuster]

Also, wenn die Messung hier korrekt ermittelt war (wovon ich ausgehe), liegt es eher am Samba, denn mit FTP sollte mehr drin sein:

Der ganz klare Vorteil der 7390 ist die on-chip cryptographic engine des IKANOS-Chips für IPSec-VPNs, mit dem ich einen sehr kleinen Overhead von nur rund 4 % gegenüber der unverschlüsselten FTP-Übertragung bei 10 MBit/s Upload bestätigen konnte.

 

[cuco88]

Hi

Die Geschwindigkeit meines Kopiervorgangs ist gestern noch auf knapp 7 Mbit/s gestiegen, das war es dann aber auch.
Mache gerade einen weiteren Test und übertrage die Daten via http. Die Geschwindigkeit pendelt sich gerade wieder bei 6,4 Mbit/s ein, die CPU der Box bei mir (die gerade sonst gar nichts zu tun hat) geht wieder auf 99% hoch. Irgendwie scheint die on-chip-cryptographic nicht so wirklich performant zu sein...

//EDIT Geschwindigkeit ist gerade noch auf 7,5 Mbit/s gestiegen. Mehr scheint aber wieder nicht möglich zu sein. Wirklich übertragene Datenmenge scheint wieder bei ca. 8 Mbit/s zu liegen, ist aber nicht leicht aus dem Diagramm der Fritzbox abzulesen, ist nur ein Schätzwert. Damit bleib ich aber dabei - die CPU schafft es nicht, den VDSL-Upstream wirklich auszunutzen.

 

[MaxMuster]

Was genau hast du denn getestet: Daten von der oder durch die Box zu transferieren? Das dürfte ein massiver Unterschied sein, denke ich.