А если не весь трафик через VPN пускать ?

тогда встанет вопрос о разделении трафика пусть уж лучше весь идет поверх vpn

Ubiquity Edgerouter, 1043-й использовать как свитч и wi-fi ap.

Тут задумался о заворачивании всего домашнего трафика в openvpn туннель.

а зачем?

Не хочу раскрывать информацию 3-м лицам.ИМХО информация какой порн я предпочитаю моему куратору из ФСБ не нужна

Маршрутизатор RB750GL

сам не пользовал, но друг хвалил очень.

http://www.linksys.com/videos/gallery/838/509/WAG120N Left.png

Процессор слабоват, лишь чуть-чуть быстрее сабжевого.

так и скажи что параноя

Вариант с роутером вряд ли прокатит. Даже в дорогих моделях ставят довольно слабое железо. Если мне не изменяет память, из домашних роутеров самое мощное железо стоит в Keenetik II.
Так что варианта три. Первый и самый оптимальный - лечить паранойю. Ну сам подумай - использование VPN само по себе является подозрительным фактом и сильно привлекает внимание.
Второй вариант - повесить VPN на сервер.
Третий - поискать б/ушный офисный роутер, думаю, что там ситуация получше, чем с домашними мыльницами.

Скорость шифрования для некоторых моделей маршрутизаторов можно посмотреть по ссылке http://wiki.openwrt.org/inbox/benchmark.openssl

По тесту «openssl speed twofish» tp-link wdr3600 почти в 2 раза быстрее чем linksys wrt160nl, который примерно соответствует tp-link wr1043nd v1.

RB750GL

Он крут, но не достаточно, чтобы тянуть 20 метров в туннеле. Надо что-то получше, типа RB951

http://market.yandex.ru/guru.xml?CMD=-RR=0,0,0,0-PF=2142560471~TR~sel~select-...

http://images.netbynet.ru/imgs/fd5bf1668adda495f2f98a9a9408b4cd.png

Alix во все поля. Ставишь на нее все что хочешь (на мой взгляд — лучший выбор — OpenBSD). Процессор поддерживает аппаратно шифрование aes-128ctr и его можно задействовать в OpenVPN. Более кошерный вариант - мат платы на VIA С7, но они достаточно редко попадаются.

Проверил еще cubieboard2, в тесте «openssl speed blowfish» она примерно в 3.3 раза быстрее wrt160nl в одно-поточном режиме, и в ~6.5 раз в двух-поточном.

странно, что еще никто mikrotik не посоветовал.

http://market.yandex.ru/model.xml?modelid=8486674

про его производительность я уже дважды писал.

тут про замер через wifi (WPA2) -> NAT -> VLAN -> internet

Оседлал новый роутер

а тут также, но через впн

Microtik. L2TP. просили замер сделать.

Сначала прочитал сабж как «маршрутизаторов вред»

А так - микротик бери

Столлман не одобрит

Микротики весьма хороши, но:
- проприетарщина, наработки сообществу не отдают
- OpenVPN только по TCP. UDP не умеет, по крайней мере год назад было именно так

Спасибо

Спасибо тебе, конечно, но сервер есть, менять сервер я пока смысла особого не вижу

Параноя, но мне не приятно, что кто-то без моего разрешения будет копаться в моем белье

Archer C7 не держит AC на openWRT, лучше доложить косарь и взять Asus RT-AC56U, вот это зверская железка с полным набором плюшек.

Тот же процессор, что и в модели у ТС.

Смотри в сторону mikrotik rb450g, там мипс на 680МГц умеет до 500Мбит в бридже и маршрутизаторе без фильтров. Разгоняется штатными средствами до 800МГц.

как выше уже советовали что модель можно и помощнее выбрать, у меня ADSL и Netgear 3800, поэтому не в курсе немного какие мощностя нужны для 70 мб потока

Тут не столько в модели дело, сколько в реализации VPN. Популярные в наших краях для предоставления интернет pptp/pppoe/l2tp имеют реализацию на уровне ядра, а вот openvpn полностью userspace, потому и медленно пашет. Если действительно критична скорость - ищите VPS с поддержкой этих протоколов или VDS, но это немного дороже.

Недавно поднимал openvpn на WD MyBook Live (ARM какой-то 1ГГц), iperf показал 65 мбит. Вообще ИМХО дешевле будет в серваке атом поменять на процессор.

спасибо. Буду знать.

Выбирай роутеры: https://github.com/elvanderb/TCP-32764

Проблема OpenVPN в том что оно работает через TUN/TAP подсистему, т.е. весь трафик как минимум один лишний раз мотается из ядра в юзерспейс.

Кстати, а на кой тебе для данного случая шифрование? Как я правильно понял, тебе ведь GeoIP обходить нужно. А на всех критичных сервисах: гугль, фтентактль и проч., уже из коробки есть TLS.

Покупай сыску с аппаратным шифровальщиком и паранойа будет довольно. (всего-то 40-50к :) )

mikrotik + openvpn udp.

С компа конект идет на полной скорости, так что проблема именно в маршрутизаторе.

не все сайты поддерживают https, увы. А цели 2 - сменить ip и чтобы провайдер хранил мой трафик в шифрованном виде

чтобы провайдер хранил мой трафик в шифрованном виде

Провайдер чисто технически не может хранить твой трафик. И чисто технически не сможет залезть внутрь туннеля.

Это, кстати, не гут. Нетфлоу при таком раскладе будет весьма и весьма специфическим... А вот оно — действительно хранится.

Без шифрования какая скорость? Может быть все упирается в OpenVPN?

Поставь RC4. Не слушай «аналитегов»: никакой *практически* осуществимой атаки при *правильном* использовании на него нет и не предвидится. Ну, поставь рекей почаще, если паранойя одолевает.

Не умеет микротиковский openvpn udp. Только TCP. Пичалька.

Не умеет микротиковский openvpn udp. Только TCP. Пичалька.

Жесть как она есть О_О

Сам офигел в своё время. Ну, 4-ка и 5-ка точно не умели. Я больше года уже микротиков не видел, может и допилили

Сам офигел в своё время. Ну, 4-ка и 5-ка точно не умели. Я больше года уже микротиков не видел, может и допилили

Я уже в саппорт отписал. Подождем ответа.
Хотя я openvpn использую в 95% в tcp.

http://wiki.mikrotik.com/wiki/OpenVPN

There is one limitation to using OpenVPN on the RouterOS platform: currently only tcp is supported. udp will not work.

Ещё не допилили.

А зачем TCP? У тебя для надёжных соединений внутри всё равно ещё один TCP завёрнут. По-моему, единственная разумная причина для TCP - кривые настройки шейпинга у провайдеров(@#$%& бы таких провайдеров).

По-моему, единственная разумная причина для TCP - кривые настройки шейпинга у провайдеров(@#$%& бы таких провайдеров).

В моем случае это единственная причина использования openvpn.

Фичареквест с 2009 висит: http://wiki.mikrotik.com/wiki/MikroTik_RouterOS/Feature_Requests

Ни в коем случае не берите Mikrotik RB. Они последнее время очень глючные.
С каждым обновлением RouterOS багов все больше, а старые они или совсем не исправляют или исправляют очень медленно и неохотно. Кому интересно может почитать их официальный форум http://forum.mikrotik.com. Там видно, что с каждой новой версией RouterOS неприятие их оборудования все больше и больше, хотя изначально идея очень даже хорошая.

RC4 медленней BF. я тестил. самый быстрый алгоритм BF.

Все упирается в роутер. с дескопа при тех-же настройках скорость в районе 70 мб

С компьютера-то не мудрено. Знаю, что сейчас в меня полетят какахи, но сравнивать гигагерцы с доп. инструкциями в х86 и совсем обрезанный mips/arm с ускорителями не совсем правильно. Вон у ralink даже PPE запилили для железного ускорения NAT, обработки pppoe соединений и ipv6.

RC4 медленней BF. я тестил.

Ы-ы-ы-ы? А каким именно образом ты тестил?

Кстати, каким образом у тебя OpenVPN устроен? Он, например, может пользоваться как OpenSSL, так и PolarSSL.

Отключение шифрования помогает?

Какая именно PRF используется? Может быть затык именно в ней. Я к сожалению не эксперт по сабжу, тем более на MIPSe, и в этом помочь могу очень мало.

Оптимизации?

Поиграться с режимами работы блочных шифров, поставить CFB или OFB.

Попробовать отключить IV, но только на CBC.

Отключить защиту от релпея.

ЗЫ: Вопрос к общественности, а почему эти наркоманы из OpenVPN не поддерживают ECB, CTR и GCTR режимы?

Zyxel Keenetic умеет шустро гонять pptp и у меня пока хорошее впечатление от него. Но про openvpn не знаю. У него есть кучка дополнительных приложений, вероятно, среди них найдётся или можно как-нибудь нештатно поставить.

При снятии шифрования канал в районе 60 мбит.

Использую openssl. Выбирал шифрование командой openssl speed.

Cравнивая производительность iperf с разным шифрованием корреляция между результатами тестов алгоритмов и скорости канала присутствует

Выбирал шифрование командой openssl speed

Шайтан какой-то! Ну быть такого не может!!! Это какие-то глюки.