Freifunk - Geschwindigkeitseinbußen durch verschlüsselten VPN-Tunnel auf dem Router?

Lutz1 · 23. September 2014 um 19:07

Wenn ich einen Freifunk-Router in Betrieb nehme, wird eine VPN-Verbindung zu den entsprechenden Servern des Rheinland-Backbone hergestellt (ich selbst bzw. meine Eltern, wo das Gerät stehen würde, leben in keiner Nähe zu einem anderen Freifunk-Router, daher ist ein Meshing leider nicht möglich).
Erfolgt die Datenübertragung über den VPN-Tunnel in verschlüsselter Form? - Wenn ja: Hat das keine gravierenden Auswirkungen auf die Geschwindigkeit, da die meisten Router ja nur über eine schwache CPU verfügen?
Meine Eltern haben bspw. eine 32-Mbit-Leitung von Unitymedia. Kann ich diese Bandbeite nahezu komplett mit der Öffentlichkeit teilen oder ist dies aufgrund einer Verschlüsselung des Traffics nicht möglich? - Siehe in diesem Zusammenhang u.a. folgenden Foreneintrag, bei dem es genau um dieses Problem geht:

@nVpn
hab da eine kurze Frage, ich habe auf einem DD-WRT Router erfolgreich euren VPN-Tunnel laufen.
Da aber darüber, ich denke die Router-Hardware ist zu schwach dafür, der OCH Download-Speed rund 500 Kb/s runtergeht, würd ich gerne über meinen normalen Router die OCH-Downloads machen aber als HTTP-Proxy. Geht das, dass der DD-WRT(Tunnel) und Lappi(HTTP-Proxy) gleichzeitig online sind, oder wird das bei euch im Sysem als Betrug gemeldet. Die ausgehende IP(also meine) ist ja im grunde genommen dieselbe....

Quelle: http://boerse.to/thema/nvpn-diskussionsthread.1240522/page-172#post-10227971 (das Zitat ist nur nach Anmeldung in dem besagten Forum sichtbar).

Solche starken Geschwindikeitseinbußen vermute ich beim Vorliegen einer Verschlüsselung ebenfalls.

Welches Protokoll kommt für den VPN-Tunnel bei Euch zum Einsatz: (verschlüsseltes oder unverschlüsseltes) PPTP, L2TP/IPsec, IKv2 oder OpenVPN?

roland · 23. September 2014 um 19:12

Schoene Anfaenger-Frage.

In der heutigen Zeit ist Verschluesselung CPU-seitig kein Thema mehr. Verschluesselung selbst komprimiert sogar etwas die Daten, also sogar besser. Und ohne solltest du VPN nicht betreieben, da sonst jeder im Internet deinen Traffic sieht und ihn manipulieren kann.

Details kann ich dir nicht erklaeren (VPN ist fuer mich auch neu).

fragstone · 23. September 2014 um 19:24

FF verschlüsselt den Traffic nicht. Da die Router das nicht in Hardware können und dadurch der Traffic zu weit runter gehen würde.
Zumal der Traffic eh ins unverschlüsselte Netzwerk geht …

Diese auf deinen Servern kannste natürlich mit SSL usw. anbieten.
Außerdem ist angeraten auch nur SSL encodierte Dienste zu nutzen.

Gruß
Thomas

Lutz1 · 23. September 2014 um 19:41

Wundert mich dann aber, dass nicht wenige sich über einen lausigen Speed beklagen, wenn bspw. OpenVPN auf einem Router anstelle eines PCs oder Laptops läuft (siehe der oben zitierte Beitrag).
Der genannte Dienst nVPN nutzt z.B. OpenVPN mit AES-256-CBC und SHA512: Kein Wunder, dass damit die CPU eines OpenVPN-tauglichen DD-WRT-Routers überfordert ist, was in einem entsprechend niedrigen Speed resultiert!

Um die Dinge nicht durcheinander zu bringen: Wenn ich mich mit einem PC/Notebook/Smartphone mit einem Freifunk-AP verbinde, setze ich selbstverständlich ein VPN ein; es sei denn, ich möchte nur Webradio hören oder bspw. in belanglosen Nachrichtportalen stöbern. Beim Online-Banking wäre dagegen ein VPN geradezu Pflicht, aber darauf beziehe ich mich nicht, sondern auf den VPN-Tunnel, der zwischen dem Freifunk-Router und Euren Servern aufgebaut wird: Um eine IP aus dem Freifunk-Netz zu erhalten, muss ich als Kunde von Unitymedia, der Telekom, 1&1, Versatel usw. doch erst einmal eine Verbindung zu Euren Servern herstellen und dies geschieht, wenn ich richtig informiert bin, mittels eines VPNs. Jetzt kommt es darauf an, welches Protokoll dabei eingesetzt wird: Es macht auf einem kleinen Router halt einen Unterschied, ob bspw. unverschlüsseltes PPTP zum Einsatz kommt oder OpenVPN mit AES-256.

Lutz1 · 23. September 2014 um 19:44

fragstone hat bereits geantwortet, während ich noch meinen obigen Beitrag verfasste.

Ich brauchte mir also keine Sorgen zu machen, dass wenn ich meine Bandbreite der Öffentlichkeit komplett zur Verfügung stelle und natürlich ich dann auch selbst über den Freifunk-Zugang online gehe, von den 32 Mbit/s nur 1 bis 2 Mbit/s übrig bleiben?

fragstone · 23. September 2014 um 19:45

eher so 800 kbit/s

aber mit dem fastd der hier im Einsatz ist kein ding. ich habe altuell 10/1 mbit freigegeben und merke kein unterschied zu 50/10 beim surfen und arbeiten … nur die latenz ist ein wenig größer …

Lutz1 · 23. September 2014 um 19:51

Also, die vollen 32 Mbit/s kann ich nicht freigeben?
Am einfachsten wäre es doch, die komplette Bandbreite freizugeben und den Zugang auch noch selbst mit zu nutzen. Bei den Flatrates heutzutage sollte das eigentlich kein Problem darstellen, oder?

fragstone · 23. September 2014 um 20:14

doch doch … nim einfach nen default router image … damit geht das

adorfer · 24. September 2014 um 01:20

fastd statt openvpn hat schonmal seinen Grund, dass es weniger Last auf der Plasterouter-CPU erzeugt. Zumal die derzeit üblichen -von Exoten abgesehen- eben keinen MIPS-SoC mit Hardware-AES o.ä. haben.
So weit ich weiss schafft ein WR841v9 so ca. 10-12MBit/s.

Was jedoch die Anon-Diskussion betrifft @Lutz1: Das ist für mich nicht nachvollziehbar. Das hat nichts mit Freifunk zu tun. Ob man solche Services nutzt oder nicht und wenn ja welche, muss jedeR selbst entscheiden. Zumal wenn man über ein unverschlüsseltes Wlan im Netz unterwegs ist.

adorfer · 24. September 2014 um 10:44

Jetzt folgt ein Rant, der reichlich off_topic ist:

Was würde man von zwei medizinisch interessierten erwachsenen Mitmenschen halten, die sich darüber unterhalten „was für Aua“ sie haben?
Aber bei IT spricht niemand von RoundTripDelay, überall heisst es nur „was für ein Ping“, selbst in „Fachmagazinen“.

Und das setzt sich leider bei dem Begriff „VPN“ fort:
Ein VPN ist primär eine Vernetzung von Maschinen an verschiedenen Standorten, die vorzugsweise miteinander(!) kommunzieren wollen statt nur „mit dem Rest der Welt“.
Also das was z.B. ein Unternehmen mit mehreren Standorten benötigt weil die Zentral-IT gerne auf die Drucker in den Filialen zugreifen möchte (z.B. wenn die IT der Meinung ist, dass man so unverschlüsselte Dienste und schlecht abgesicherte Geräte betreiben könne, weil Innenangriffe als Risiko vernachlässigt werden dürfen.)

Erstaunlicherweise wird „VPN“ umgangssprachlich inzwischen gleichgesetzt mit IP-Tunneln.
Also z.B. als „Pseudonymisierungsdienst“ („damit ich Filme schauen kann, die ich ‚mit deutscher IP‘ nicht sehen darf“) oder "Anonymisierungsdienst („Damit ich Sachen im Netz machen kann, von denen Mamma und/oder Staatsanwalt besser nichts mitbekommt“).

Um den Bogen zum Freifunk zu schlagen:
FF ist zum Tunneln über Exitnodes faktisch gezwungen, weil die Störerhaftung (und teilweise auch die AGB der Provider bezüglich Anschlussmitnutzung) als Damoklesschwert über den Mitwirkenden baumelt. Ob man da jetzt Exitnodes in Skandinavien geht oder ob es reicht, von einem EU-Rechenzentrum mit einem Ripe-Eintrag zu kommen, der auf einen Verein (oder Genossenschaft) registriert ist, der ggf. auch bei der Bundesnetzagentur als Provider gemeldet ist, darüber kann man sich gewiss streiten.

Ich habe den Eindruck, dass wegen dieser „Notlösung“ Freifunk für viele Leute interessant wird, die „eigentlich“ nur einen Pseudo-/anonymisierungs-Tunnel haben wollen und denen „eigenen Internetzugang mit anderen teilen“ oder „providerunabhängig meshen“ ziemlich egal sind.

Zumindest bin ich glatt versucht mir auszumalen, was passieren würde, wenn man eine Freifunk-Werbekampagne starten würde unter dem Motto „Lebenslanges VPN für einmalig 17€“.
(Ja, wieder „falsche Begriffsverwendung ‚VPN‘“. Und „Lebenslang“ nach Definition der deutschen Post, siehe epost.de)

MPW · 20. Januar 2015 um 20:16

Ich würde keine Versprechungen machen. Die fliegen einem bei Ausfällen schnell um die Ohren.

roland · 28. Januar 2015 um 15:59

Er meint eher die VPN-Verbindung und VPNs sollten immer verschluesselt sein …

adorfer · 28. Januar 2015 um 17:31

-vv bitte.
Sorry, aber ich kann gerade gedanklich nicht folgen.
Zumindest mit Deiner obigen Aussage wirst Du Dir dann vermutlich etwas anderes als Freifunk suchen müssen. Denn die Verschlüsselung beim Freifunk ist nuc der Hack gegen die Stöerhaftung. Es geht nicht um Datensicherheit oder die Bekämpfung von Taubenscheisse auf dem Autodach.

roland · 28. Januar 2015 um 18:06

Gehe mal bitte oberhalb meines Postings auf den Pfeil neben @fragstone 's avatar, dann siehst du worauf ich mich beziehe (und nein, es gibt dazu kein Screenshot … ;-)).

adorfer · 28. Januar 2015 um 18:16

Gut, dann bist Du bei Freifunk leider im falschen Theater.

CaptainChaosMS · 10. April 2015 um 12:34

und ich Frage mich auch …

A: Grundsätzlich warum ein VPN verschluesselt sein „muss“ ? Das klingt hier ein bischen so.
Im Ursprung sagt es nur Virtuell Privates Netzwerk. Dazu gereicht ein Punkt zu Punkt oder gerne auch Multipunkt Tunnel Protocol z.B. fastd method „null“ oder GRE oder auch sowas wie L2TP bzw MPLS. Alles reicht erstmal aus um ein geschlossenes von aussen nicht erreichbares IP Netzwerk zu schaffen. Ein VPN. Alternativ kann man das auch durch Verschluesseln erreichen.

B. Unter Berücksichtigung von A und der Tatsache das die SSID beim Freifunk ja auch ohne Verschlüsselung ist.
Was bringt das verschlüsseln beim Knoten zum Gateway?
Ausser das der Traffic zwischen einem Knoten und dem Gateway nicht gelesen werden kann?
An Sicherheit bringt es meiner Meinung nach nur was fuer Dienste die nicht über die SSID laufen (z.B. am LAN Port) und innerhalb der Community bleiben ? Denn alles was über die SSID reinkommt oder in das „Internet“ geht kann (sofern man nicht anderweitig dafuer sorgt) sowieso gelesen werden.
Komerzielle Dienste zum Filtern von WLAN etc wie Zscaler nutzen zumeist GRE um ein VPN aufzubauen und den User Traffic zur Zentralen Filter/Portal Platform umzuleiten.

Oder soll damit einfach auch die Herkunft weiter verschleiert werden. Quasi das Senario jemand am Gateway liest mit und schaut dann von welchem Knoten das gekommen ist ? Das wird vermutlich auch so gehen nur das der Aufwand grösser wird und ehr timing gesteuert ablaufen wuerde.

Warum also hört man immer das umbedinegt verschluesselt werden muss um den Knotenbetreiber zu schuetzen. ?
Das verstehe ich noch nicht so ganz.

SenorKaffee · 10. April 2015 um 12:46

Es ist nicht signifikant langsamer und - naja - je mehr verschlüsselter Datenverkehr unterwegs ist, desto weniger ist man verdächtig, wenn man verschlüsselt.

apo · 10. April 2015 um 13:06

Wir haben keine Ahnung was User über einen FF Router alles machen. Sollte da Illegales bei sein möchte ich nicht, dass mein Provider theoretisch in der Lage wäre das mitzuschneiden. Für mich käme ein nicht verschlüsselter fastd Tunnel daher nicht in Frage.

fragstone · 10. April 2015 um 13:44

Ich möchte nicht, das irgendein Provider mit seiner Deep Paket inspection Pakete Datenströme Manipulieren kann (Werbung einblenden oder einfach Informationen verfälchen).
Somit müssen die Tunnel zum zwecke der „Netzneutralität“ verschlüsselt sein.

Gruß
Thomas

adorfer · 10. April 2015 um 13:50

Muss nicht.
Wir tun es.
Es hat keine Nachteile und ist ein wenig Schlangenöl für gewisse Zielgruppen.
(Ich stimme Dir zu, es gibt kein Szenario in der ein Provider die FastD-Paket reassemblen würde für DPI. DAs machen allenfalls die Dienste. Und selbst die werden den Weg eines geringeren Widerstandes gehen im Zweifelsfall.)