10
Was ist die bessere Lösung für VPN?
Hallo,
was ist denn die bessere Lösung für eine VPN-Verbindung von Gateway zu Client:
a) VPN-Server auf einem EdgeRouter Pro
b) VPN-Server auf einem dedizierten Server, z.B. per Virtualisierung einer pfSense?
Performance hätte ich gerne 50 Mbit bei AES 256.
Ich vermute, dass der dedizierte Server aufgrund der höheren Rechenleistung deutlich überlegen wäre?
was ist denn die bessere Lösung für eine VPN-Verbindung von Gateway zu Client:
a) VPN-Server auf einem EdgeRouter Pro
b) VPN-Server auf einem dedizierten Server, z.B. per Virtualisierung einer pfSense?
Performance hätte ich gerne 50 Mbit bei AES 256.
Ich vermute, dass der dedizierte Server aufgrund der höheren Rechenleistung deutlich überlegen wäre?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 305224
Url: https://administrator.de/contentid/305224
Printed on: April 26, 2024 at 20:04 o'clock
10 Comments
Latest comment
c.) VPN Server auf einer Firewall z.B. pfSense
Was das "bessere" ist lässt sich aber mit solch einer banal gestellten Frage wie immer schwer beantworten. Das Budget, Umfeld und die Zielstellung fliessen da immer auch mit ein.
50 Mbit bekommst du aber auch auf einem ALIX APU1D4 realisiert.
Ich vermute, dass der dedizierte Server aufgrund der höheren Rechenleistung deutlich überlegen wäre?
Logischerweise nicht in einer Virtualisierung. Als "bare metal" Installation allerdings schon. Mal abgesehen davon das man FWs besser nicht auf einem Hypervisor betreibt aus Sicherheitsgründen.Was das "bessere" ist lässt sich aber mit solch einer banal gestellten Frage wie immer schwer beantworten. Das Budget, Umfeld und die Zielstellung fliessen da immer auch mit ein.
50 Mbit bekommst du aber auch auf einem ALIX APU1D4 realisiert.
Zitat von @aqui:
c.) VPN Server auf einer Firewall z.B. pfSense
c.) VPN Server auf einer Firewall z.B. pfSense
Ich vermute, dass der dedizierte Server aufgrund der höheren Rechenleistung deutlich überlegen wäre?
Logischerweise nicht in einer Virtualisierung.Warum nicht in einer Virtualisierung? Wenn man der VM genug CPU und RAM zur Verfügung stellt, dann hat sie doch die notwendige Rechenleistung?
Für Gateway to Clients ist L2TP over IPsec mit SHA2-256 die beste und sicherste Wahl vermute ich?
Was ist Sinn und Zweck einer UTM Lösung? Sicherheit - was passiert, wenn du eine Garnison auf Sand baust? - Genau, sie wird unterminiert.
Ich denke sowas is einfach ne Geschmacks-, Geld- und Fertigkeitenfrage. Man kann es z.B. mittels Astaro Security Gateway, Cisco ASA,... bauen - und das sind Geräte die dafür recht gut sind und bei 50 MBit noch nicht mal warm werden (je nach Modell). Da guckt auch der Hersteller idR. nach Patches und (ggf. mit passendem Wartungsvertrag) kümmert sich recht schnell.
Andersrum kann man (wenn man kann) bei einer eigenen Lösung (z.B. Linux StrongSWan, OpenVPN,...) alternativen suchen und ggf. mehrfache Dinge nutzen. Dafür muss man sich selbst darum kümmern das aktuelle Patches eingespielt werden und das die Grundkonfig auch gesichert ist...
Bei den 50 MBit sollte weder eine VM noch eine Hardware an die Grenzen kommen - eher begrenzt durch die Anzahl der gleichzeitigen VPN-Verbindungen (und die sind dann eher bei 50 MBit begrenzt).
Andersrum kann man (wenn man kann) bei einer eigenen Lösung (z.B. Linux StrongSWan, OpenVPN,...) alternativen suchen und ggf. mehrfache Dinge nutzen. Dafür muss man sich selbst darum kümmern das aktuelle Patches eingespielt werden und das die Grundkonfig auch gesichert ist...
Bei den 50 MBit sollte weder eine VM noch eine Hardware an die Grenzen kommen - eher begrenzt durch die Anzahl der gleichzeitigen VPN-Verbindungen (und die sind dann eher bei 50 MBit begrenzt).
Hallo,
- Am Router oder der Firewall direkt.
- An einem VPN Server in der DMZ
- An einem VPN Server der bei einem Hoster direkt im Internet steht.
VPN Server in einer VM.
Und welches VPN möchtest Du denn benutzen?
Bei dem Durchsatz von VPNs kommt es immer auf beide Endpunkte an! D.h. wie stark sie sind,
wie schnell sie und wie gut sie die Software unterstützen.
Einsatz von IPSec (AES-GCM) VPN zu realisieren, ein Xeon E3-12xxv3 @3,0GHz kann das auch und ein
Jetway NF9HG2930 ist dazu auch in der Lage ganz ohne AES-NI, also es kommt einmal auf die VPN
Hardwareunterstützung an und/oder auf die Stärke der verwendeten Hardware.
aber einen VPN Server in der DMZ betreiben damit das LAN nicht offen im Internet "steht".
Gruß
Dobby
a) VPN-Server auf einem EdgeRouter Pro
Es gibt da drei Möglichkeiten die recht weit verbreitet sind.- Am Router oder der Firewall direkt.
- An einem VPN Server in der DMZ
- An einem VPN Server der bei einem Hoster direkt im Internet steht.
b) VPN-Server auf einem dedizierten Server, z.B. per Virtualisierung einer pfSense?
Das beißt sich beides leider, entweder habe ich einen dezidierten VPN Server oder einenVPN Server in einer VM.
Performance hätte ich gerne 50 Mbit bei AES 256.
Welche Hardware hast Du denn zur Auswahl?Und welches VPN möchtest Du denn benutzen?
Bei dem Durchsatz von VPNs kommt es immer auf beide Endpunkte an! D.h. wie stark sie sind,
wie schnell sie und wie gut sie die Software unterstützen.
Ich vermute, dass der dedizierte Server aufgrund der höheren Rechenleistung deutlich überlegen wäre?
Ein Supermicro A1SRi-2758 ist mittels AES-NI in der Lage bis zu 500+ MBit/s an Durchsatz und unter demEinsatz von IPSec (AES-GCM) VPN zu realisieren, ein Xeon E3-12xxv3 @3,0GHz kann das auch und ein
Jetway NF9HG2930 ist dazu auch in der Lage ganz ohne AES-NI, also es kommt einmal auf die VPN
Hardwareunterstützung an und/oder auf die Stärke der verwendeten Hardware.
Für Gateway to Clients ist L2TP over IPsec mit SHA2-256 die beste und sicherste Wahl vermute ich?
Entweder direkt am Router oder der Firewall terminieren, weil man dann keine Ports öffnen muss, oderaber einen VPN Server in der DMZ betreiben damit das LAN nicht offen im Internet "steht".
Gruß
Dobby
Hey,
Ich würde die Firewall auch auf eigenständiger Hardware betreiben und nicht virtualisieren. Wie schon geschrieben wurde, ist es auch ein bzw. kann es ein Sicherheitsrisiko darstellen.
Zum testen um sich damit vertraut zu machen ist es ok.
Die nächste Frage wäre dann wie viele Interfaces der Server hat? Teilt sich die Firewall die Interfaces mit den Diensten des Servers? Dann kann das schon Performance-Probleme geben... Aber da hat ja @aqui schon geschrieben das für eine bessere bzw gezieltere Antwort noch ein paar Infos fehlen.
Gruß
Ich würde die Firewall auch auf eigenständiger Hardware betreiben und nicht virtualisieren. Wie schon geschrieben wurde, ist es auch ein bzw. kann es ein Sicherheitsrisiko darstellen.
Zum testen um sich damit vertraut zu machen ist es ok.
Die nächste Frage wäre dann wie viele Interfaces der Server hat? Teilt sich die Firewall die Interfaces mit den Diensten des Servers? Dann kann das schon Performance-Probleme geben... Aber da hat ja @aqui schon geschrieben das für eine bessere bzw gezieltere Antwort noch ein paar Infos fehlen.
Gruß
Zum testen um sich damit vertraut zu machen ist es ok.
Absolut richtig...keine Frage !Die nächste Frage wäre dann wie viele Interfaces der Server hat?
Mmmhhh die Frage ist unverständlich, denn das kannst du ja selber bestimmen. Kannst ja soviel Interfaces als Steckkarten in den Server stecken wie der Slots hat. Wenn du dann noch 4 Port Karten nimmst hast du schon neganze Menge Interfaces.... Das Ziel dieser Frage oder was du damit ausdrücken willst ist unverständlich ??Teilt sich die Firewall die Interfaces mit den Diensten des Servers?
Auch das kann man wegen der Oberflächlichkeit der Frage nicht genau beantworten.Es hängt ja davon ab in welchem Modus diese NICs im Hypervisor konfiguriert sind. Bridge Mode, Host Mode oder NAT Mode.
Je nach Mode kann es zu einem Sharing von Traffic kommen oder eben nicht.
Zitat von @aqui:
Mmmhhh die Frage ist unverständlich, denn das kannst du ja selber bestimmen. Kannst ja soviel Interfaces als Steckkarten in den Server stecken wie der Slots hat. Wenn du dann noch 4 Port Karten nimmst hast du schon neganze Menge Interfaces.... Das Ziel dieser Frage oder was du damit ausdrücken willst ist unverständlich ??
Mmmhhh die Frage ist unverständlich, denn das kannst du ja selber bestimmen. Kannst ja soviel Interfaces als Steckkarten in den Server stecken wie der Slots hat. Wenn du dann noch 4 Port Karten nimmst hast du schon neganze Menge Interfaces.... Das Ziel dieser Frage oder was du damit ausdrücken willst ist unverständlich ??
Ich meinte damit das er nicht geschrieben hat ob er nur 2 Netzwerkkarten hat / nutzen will und somit für ein Produktivsystem dies ein Flaschenhals sein kann.Es war mehr als Beispiel gemient worauf man noch alles achten müsste / sollten. Das habe ich evtl. ein bisschen unglücklich geschrieben bzw. mich unglücklich ausgedrückt.
Teilt sich die Firewall die Interfaces mit den Diensten des Servers?
Auch das kann man wegen der Oberflächlichkeit der Frage nicht genau beantworten.Es hängt ja davon ab in welchem Modus diese NICs im Hypervisor konfiguriert sind. Bridge Mode, Host Mode oder NAT Mode.
Je nach Mode kann es zu einem Sharing von Traffic kommen oder eben nicht.
ja gut das stimmt^^
OK, ist ja in einem Forum wo man sich nicht sieht oft schwer zu verstehen wenns mehrere Deutungsmöglichkeiten gibt 
ja das timmt allerdings 