Ähnlich zum dem Site-to-Site VPN Throughput Test der FortiGate Firewalls wollte ich mal den FRITZ!Boxen auf den Zahn fühlen und herausfinden, in wie fern sich der VPN-Durchsatz bei den Modellen unterscheidet, bzw. welche Rolle die ausgewählten Verschlüsselungsverfahren spielen. Getestet habe ich eine (etwas ältere) FRITZ!Box 7270v3 mit FRITZ!OS 06.06 sowie eine (neuere, obgleich nicht Topmodell) FRITZ!Box 7430 in Version 06.30. Als VPN-Endpunkt auf der Gegenseite habe ich eine FortiGate Firewall genommen. Getestet wurde das reine Routing/NATting sowie verschiedene Phase 2 Proposals mit dem Netzwerk Tool Iperf.
Ein paar mehr Details bezüglich des Testaufbaus kann man in dem vorherigen Artikel von mir durchlesen. Hier wurde nur die eine FortiGate als Router umfunktioniert und dahinter die jeweilige FRITZ!Box gesetzt. Auf den Testnotebooks lief wieder Knoppix.
Labor
Folgende Einstellungen nahm ich auf der FRITZ!Box vor:
- Internetzugang über LAN 1, Internetverbindung selber aufbauen
- Übertragungsgeschwindigkeit auf 100.000 kbit/s für beide Richtungen gesetzt
- Portfreigabe “Exposed Host” an Test-Client IP
- WLAN deaktiviert
- VPN zur FortiGate gemäß dieser Vorlage aufgebaut
- An der FortiGate zwischen 3DES und AES256 in Phase 2 manuell gewechselt, bzw. auch mit “nur Routing” ohne VPN getestet.
Logisch sah das Labor dann so aus:
Physikalisch in etwa so: 
Testergebnisse
Dies waren meine Testergebnisse (TCP):
Bzw. in Rohform (TCP und UDP):
| Modell | Phase 2 Proposal | TCP Tx/Rx [MBit/s] | UDP Tx/Rx [MBit/s] |
|---|---|---|---|
| IPerf Optionen | -r | -u -r -b 100M | |
| 7270v3 06.06 | Kein VPN, nur Routing | 70/65 | 96/94 |
| 3DES | 5,2/5,2 | 2,5/0,1 | |
| AES256 | 9,4/9,8 | 5,5/0,1 | |
| 7430 06.30 | Kein VPN, nur Routing | 94/94 | 96/96 |
| 3DES | 6,7/6,4 | 5,2/0,5 | |
| AES256 | 14,6/15,5 | 9,1/10,7 |
Ohne VPN liefert die 7270 einigermaßen gute Ergebnisse. Zumindest beim UDP Tests waren die Maximalergebnisse (96 MBit netto) sehr gut. Beim Einsatz eines VPNs raucht die Geschwindigkeit aber total ab. Das Maximum war bei einer AES256 Verschlüsselung mit 10 MBit herauszuholen. Warum beim UDP Test der Rückweg nur 0,1 MBit liefert, kann ich nicht beurteilen.
Die 7430 liefert beim reinen Routing/NAT Test starke Werte um die 95 MBit. Aber auch sie knackt beim VPN-Durchsatz Test stark ein. Maximal 15 MBit bei der Verwendung von AES256 waren drin.
Fazit
Gerne wird die FRITZ!Box im privaten als auch im semi-professionellen Umfeld nicht nur als Internet-Router, sondern auch als VPN-Gateway eingesetzt. Ungeachtet der Tatsache, dass man im Firmenumfeld sowieso nicht auf ein Privatprodukt setzen sollte, ist der nutzbare VPN-Durchsatz bei knapp 15 MBit/s teilweise deutlich unter den reinen Internetgeschwindigkeiten, die man heute durch VDSL und Glasfaser so bekommt. Daher sollte man sich gut überlegen, wo und wie man die FRITZ!Box dafür einsetzt.
Mangels Hardware konnte ich leider nicht noch das aktuelle Topmodell von AVM, die FRITZ!Box 7490, testen. Da dasVer- und Entschlüsseln der VPNs aber rein in Software/CPU passiert, lässt ein Blick auf Vergleichstabellen der CPUs der Geräte [1, 2, 3] leider nur erahnen, dass auch das Topmodell nur wenig besser sein dürfte, da die Geschwindkeit der CPU nur leicht angehoben wurde.