Tunnelkonzept: Unterschied zwischen den Versionen
Leo (Diskussion | Beiträge) (→Implementierungen: IPSec unterstützt X509) |
Leo (Diskussion | Beiträge) (→Implementierungen: Performancemessungen unterteilt in unterschiedliche Testreihen, weil nur diese miteinander vergleichbar sind) |
||
| Zeile 43: | Zeile 43: | ||
! Implementierung | ! Implementierung | ||
! NAT-Unterstützung | ! NAT-Unterstützung | ||
| − | ! Performance | + | ! Performance [P1] |
| + | ! Performance [P2] | ||
! Verschlüsselung | ! Verschlüsselung | ||
! Authentifikation | ! Authentifikation | ||
| Zeile 52: | Zeile 53: | ||
| ja | | ja | ||
| ~10 MBit/s | | ~10 MBit/s | ||
| + | | 28MBit/s | ||
| ja | | ja | ||
| X.509 | | X.509 | ||
| Zeile 60: | Zeile 62: | ||
| ja | | ja | ||
| ~20 MBit/s | | ~20 MBit/s | ||
| + | | - | ||
| ja | | ja | ||
| ein Schlüssel je Client | | ein Schlüssel je Client | ||
| Zeile 68: | Zeile 71: | ||
| ja | | ja | ||
| ? | | ? | ||
| + | | - | ||
| nein | | nein | ||
| nein | | nein | ||
| Zeile 76: | Zeile 80: | ||
| ja | | ja | ||
| ? | | ? | ||
| + | | - | ||
| ja | | ja | ||
| ? | | ? | ||
| Zeile 84: | Zeile 89: | ||
| nein | | nein | ||
| ~80 MBit/s | | ~80 MBit/s | ||
| + | | 91MBit/s | ||
| nein | | nein | ||
| nein | | nein | ||
| Zeile 92: | Zeile 98: | ||
| nein | | nein | ||
| ? | | ? | ||
| + | | - | ||
| ja | | ja | ||
| shared key, X.509 | | shared key, X.509 | ||
| Zeile 97: | Zeile 104: | ||
| je nach Schlüsselverwaltung | | je nach Schlüsselverwaltung | ||
|} | |} | ||
| + | |||
| + | [P1] Erfahrungen mit Opennet Installationen | ||
| + | |||
| + | [P2] https://justus.berlin/2016/02/performance-of-tunneling-methods-in-openwrt/ | ||
Version vom 1. März 2016, 20:55 Uhr
Überblick
Bis 2016 (Firmware v0.5.2) werden im Opennet zwei Arten von Tunneln verwendet (siehe auch Opennet FAQ#Im Opennet gibt es so viele Begriffe, was bedeuten diese? (Glossar)):
- Nutzer-Tunnel für die verschlüsselte Verbindung eines Nutzer-APs mit einem Gateway-Server
- Mesh-Tunnel für die Routing/OLSR-Verbindung eines Spender-APs (UGW) mit einem oder mehreren Gateway-Servern
Beide Tunnel wurden bisher via OpenVPN aufgebaut.
Die Einführung von OLSRv2 und IPv6 stellt im Jahr 2016 eine gute Gelegenheit dar, diese Tunnel-Techniken zu überdenken und eventuell anzupassen.
Anforderungen
 |
Die untenstehenden Anforderungen sind noch nicht diskutiert, sondern nur ein Entwurf. |
Allgemeine Anforderungen:
- Unterstützung in OpenWrt
- stabile Entwicklungs-Community
| Eigenschaft \ Tunnel | Nutzer-Tunnel (Nutzer-AP <-> UGW-Server) | Mesh-Tunnel (UGW-AP <-> UGW-Server) |
|---|---|---|
| NAT-Unterstützung | nicht erforderlich | IPv4: erforderlich IPv6: unklar |
| Performance / Bandbreite | ~20 MBit/s | ~50 MBit/s (Nutzer-Tunnel sollen über die Mesh-Verbindung fließen) |
| Verschlüsselung | erforderlich | nicht erforderlich |
| Authentifikation | idealerweise via X.509 | eventuell halb- oder vollautomatisch? |
Implementierungen
Die Performance/Bandbreite-Werte stammen aus unterschiedlichen Quellen und sind kaum vergleichbar. Beispielsweise wird OpenVPN bei einer Messung von Justus Beyer mit 28 MBit/s bewertet, während unter Opennet-Bedingungen (Konfiguration, Anbindung) mit vergleichbarer Hardware nicht mehr als 10 MBit/s erreichbar sind.
| Implementierung | NAT-Unterstützung | Performance [P1] | Performance [P2] | Verschlüsselung | Authentifikation | OpenWRT-Paketierung | Committer (letzte 12 Monate) |
|---|---|---|---|---|---|---|---|
| OpenVPN | ja | ~10 MBit/s | 28MBit/s | ja | X.509 | ja | >10 |
| fastd | ja | ~20 MBit/s | - | ja | ein Schlüssel je Client | ja | 1 |
| tunneldigger | ja | ? | - | nein | nein | inoffizielles Paket | ~3 |
| µAnytun | ja | ? | - | ja | ? | ja | 1 |
| GRE / L2TP / IP in IP | nein | ~80 MBit/s | 91MBit/s | nein | nein | ja | viele (Linux-Entwicklungsgemeinde) |
| (GRE / L2TP / IP in IP) + IPsec | nein | ? | - | ja | shared key, X.509 | ja | je nach Schlüsselverwaltung |
[P1] Erfahrungen mit Opennet Installationen
[P2] https://justus.berlin/2016/02/performance-of-tunneling-methods-in-openwrt/
