7
PfSense Performence VPN-Tunnel Kaskadierung
Hallo Gemeinde,
derzeit stelle ich einige Überlegungen an, mir eine HW-Firewall zu beschaffen.
Als HW habe ich mir folgendes rausgesucht:
APU.1D4, 1 GHZ DUAL-CORE T40E, 4 GB RAM, 3 X GIGE, 2 X MPCIE, USB
Gehäuse W-LAN-Karte + Antennen
Ich habe einen V-DSL 50 Anschluss, würde meine Fritzbox als Modem benutzen und dahinter die HW-Firewall schalten, dann kommt mein restliches Netzwerk. Die genaue Aufteilung tüftel ich noch aus!
Hier meine Fragen:
1. Wie ist der Datendurchsatz bei einem mit 256bit verschlüsselten VPN-Tunnel (IPSec), bekomme ich noch meine vollen 50MBit?
2. Kann ich einen Tunnel durch einen weiteren Tunnel schicken -> Kaskadierung? (Falls ja, wie siehts mit der Performance aus?)
(Wird von einigen VPN-Anbietern angeboten, ist für mich kein Ausschlusskriterium aber durchaus interessant)
3. Kann ich zwei Tunnel öffnen und bestimmte Geräte durch Tunnel 1 schicken und andere durch Tunnel 2 und weitere ohne Tunnel (bestimmt durch die IP-Adresse des jeweiligen Netzwerkteilnehmers)?
4. Kann ich mich beispielsweise von unterwegs mit meinem Handy über VPN-Einloggen (dies sollte kein Problem sein) und diese Verbindung dann über einen weiteren VPN-Tunnel ins Internet schicken?
5. Besteht die Möglichkeit die Sendeleistung des W-LANs selbst einzustellen/regulieren? (Diese Möglichkeit wird von ASUS angeboten und kann sogar die in Deutschland maximal zugelassene Leistung von 100mWatt überschreiten)
Das sind schon einige Fragen, ich bedanke mich schonmal vorab an alle die sich die Zeit nehmen ihre Erfahrungen mit mir zu teilen!!!
Falls ihr nicht alles wisst, dann bin ich natürlich auch für Antworten einzelner Punkte dankbar
derzeit stelle ich einige Überlegungen an, mir eine HW-Firewall zu beschaffen.
Als HW habe ich mir folgendes rausgesucht:
APU.1D4, 1 GHZ DUAL-CORE T40E, 4 GB RAM, 3 X GIGE, 2 X MPCIE, USB
Gehäuse W-LAN-Karte + Antennen
Ich habe einen V-DSL 50 Anschluss, würde meine Fritzbox als Modem benutzen und dahinter die HW-Firewall schalten, dann kommt mein restliches Netzwerk. Die genaue Aufteilung tüftel ich noch aus!
Hier meine Fragen:
1. Wie ist der Datendurchsatz bei einem mit 256bit verschlüsselten VPN-Tunnel (IPSec), bekomme ich noch meine vollen 50MBit?
2. Kann ich einen Tunnel durch einen weiteren Tunnel schicken -> Kaskadierung? (Falls ja, wie siehts mit der Performance aus?)
(Wird von einigen VPN-Anbietern angeboten, ist für mich kein Ausschlusskriterium aber durchaus interessant)
3. Kann ich zwei Tunnel öffnen und bestimmte Geräte durch Tunnel 1 schicken und andere durch Tunnel 2 und weitere ohne Tunnel (bestimmt durch die IP-Adresse des jeweiligen Netzwerkteilnehmers)?
4. Kann ich mich beispielsweise von unterwegs mit meinem Handy über VPN-Einloggen (dies sollte kein Problem sein) und diese Verbindung dann über einen weiteren VPN-Tunnel ins Internet schicken?
5. Besteht die Möglichkeit die Sendeleistung des W-LANs selbst einzustellen/regulieren? (Diese Möglichkeit wird von ASUS angeboten und kann sogar die in Deutschland maximal zugelassene Leistung von 100mWatt überschreiten)
Das sind schon einige Fragen, ich bedanke mich schonmal vorab an alle die sich die Zeit nehmen ihre Erfahrungen mit mir zu teilen!!!
Falls ihr nicht alles wisst, dann bin ich natürlich auch für Antworten einzelner Punkte dankbar
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 266726
Url: https://administrator.de/contentid/266726
Printed on: April 25, 2024 at 01:04 o'clock
7 Comments
Latest comment
Hallo,
am ersten WAN Anschluss terminiert werden und wenn die AVM FB als Router eingesetzt
wird ist es natürlich dumm dahinter erst das VPN terminieren zu wollen, es geht ist aber
in meinen Augen nichts halbes und nicht s ganzes.
1. Nie im Leben hast Du volle 50 MBit/s!
2. Wenn es denn machbar ist kommt es sicherlich auf die Protokolle bzw. VPN Methoden an
aber die Performance ist dann wohl eher gering.
3.Das sollte kein Problem sein und lässt sich ganz bestimmt sogar regeln
4. Das ist von Deinem ISP ab und von der Technik die er einsetzt, das mit den Tunneln
sollte aber klar gehen.
5. Ja die Möglichkeit besteht sicherlich nur es besteht eben so die Möglichkeit dass mal ein
VW Bulli mit einer Antenne auf dem Dach auftaucht und Dir dann Dein ganzes Equipment
weg nimmt bzw. es beschlagnahmt und pro Fall als pro Beschwerde kann das dann auch
bis zu 1.600 € kosten, sprich wenn sich 6 Nachbarn beschweren sind das dann eben auch
6 x 1.600 € + das Equipment ist futsch!!!
Gruß
Dobby
Ich habe einen V-DSL 50 Anschluss, würde meine Fritzbox als Modem benutzen und
dahinter die HW-Firewall schalten
Das würd eich auch machen wollen wenn man mit VPN arbeitet sollte immer vornedahinter die HW-Firewall schalten
am ersten WAN Anschluss terminiert werden und wenn die AVM FB als Router eingesetzt
wird ist es natürlich dumm dahinter erst das VPN terminieren zu wollen, es geht ist aber
in meinen Augen nichts halbes und nicht s ganzes.
1. Nie im Leben hast Du volle 50 MBit/s!
2. Wenn es denn machbar ist kommt es sicherlich auf die Protokolle bzw. VPN Methoden an
aber die Performance ist dann wohl eher gering.
3.Das sollte kein Problem sein und lässt sich ganz bestimmt sogar regeln
4. Das ist von Deinem ISP ab und von der Technik die er einsetzt, das mit den Tunneln
sollte aber klar gehen.
5. Ja die Möglichkeit besteht sicherlich nur es besteht eben so die Möglichkeit dass mal ein
VW Bulli mit einer Antenne auf dem Dach auftaucht und Dir dann Dein ganzes Equipment
weg nimmt bzw. es beschlagnahmt und pro Fall als pro Beschwerde kann das dann auch
bis zu 1.600 € kosten, sprich wenn sich 6 Nachbarn beschweren sind das dann eben auch
6 x 1.600 € + das Equipment ist futsch!!!
Falls ihr nicht alles wisst, dann bin ich natürlich auch für Antworten einzelner Punkte dankbar
Welchen ISP benutzt Du denn für den VDSL Internetzugang?Gruß
Dobby
Hi Dobby,
erstmal vielen Dank für die Antwort.
Ich habe einen ganz normalen privaten V-DSL50 Anschluss bei 1und1 (50mbit down und 10 up).
Da ich für VDSL nunmal ein extra modem brauche, da meine HW dies nicht unterstützt bleibt mir vermutlich nichts anderes übrig als die HW-FW nach die AVM FB zu schalten. Oder gibt es hier einen Weg den ich noch nicht kenne?
1. 50 mbit hätte ich schon erwartete, es ist immerhin ein 1 GHz Dual-Core...
2. hmmm... aber ob es möglich ist, scheinst du auch nicht zu wissen,..
3. perfekt!
4. perfekt
5. In meinem Fall würde ich sogar drosseln wollen, war rein informativ...
Kann mir abr trotzdem kaum vorstellen, dass das irgendjemand merkt, wenn man mit 120 mWatt sendet....
Vielen Dank nochmal für deine Antworten!!
D.h. für einen etwas ausgeprägteren privaten VPN-Einsatz brauche ich noch eine leistungsstärkere HW? Hast du da einen Vorschlag?? Sollte aber bitte nicht zu teuer werden.... (<250)
erstmal vielen Dank für die Antwort.
Ich habe einen ganz normalen privaten V-DSL50 Anschluss bei 1und1 (50mbit down und 10 up).
Da ich für VDSL nunmal ein extra modem brauche, da meine HW dies nicht unterstützt bleibt mir vermutlich nichts anderes übrig als die HW-FW nach die AVM FB zu schalten. Oder gibt es hier einen Weg den ich noch nicht kenne?
1. 50 mbit hätte ich schon erwartete, es ist immerhin ein 1 GHz Dual-Core...
2. hmmm... aber ob es möglich ist, scheinst du auch nicht zu wissen,..
3. perfekt!
4. perfekt
5. In meinem Fall würde ich sogar drosseln wollen, war rein informativ...
Kann mir abr trotzdem kaum vorstellen, dass das irgendjemand merkt, wenn man mit 120 mWatt sendet....
Vielen Dank nochmal für deine Antworten!!
D.h. für einen etwas ausgeprägteren privaten VPN-Einsatz brauche ich noch eine leistungsstärkere HW? Hast du da einen Vorschlag?? Sollte aber bitte nicht zu teuer werden.... (<250)
1. 50 mbit hätte ich schon erwartete, es ist immerhin ein 1 GHz Dual-Core...
Von 50 MBit/s hast Du in der Regel wieviel ohne VPN Belastung durch dieVerschlüsselung? Doch keine real existenten 50 MBit/s, das wäre mir aber neu!
Bei 16.000 über die T-Com habe ich 1,8 MBs und das ist dann auch das
rein theoretisch höchste der Gefühle und nutzt die angebotenen 16.000
fast voll aus, aber etwas Verlust bleibt ja immer durch;
- Die Güte der Leitungen
- Die Entfernung
- Die Anzahl der Kunden die sich den Router auf der ISP Seite teilen (Überbuchung)
- Was alles am Netzknoten los ist
- Was alles zur zeit im Internetlos ist
2. hmmm... aber ob es möglich ist, scheinst du auch nicht zu wissen,..
Sag doch erst einmal die VPN Methoden und die verwendeten Protokolle dazu!5. In meinem Fall würde ich sogar drosseln wollen, war rein informativ...
Die 100mW beziehen sich auf den höchsten Punkt an der Antenne!!!Kann mir abr trotzdem kaum vorstellen, dass das irgendjemand merkt, wenn
man mit 120 mWatt sendet....
Das kommt auch nicht darauf an ob es jemand merkt oder nicht, sondern obman mit 120 mWatt sendet....
Du damit andere Teilnehmer in der näheren Umgebung störst!
D.h. für einen etwas ausgeprägteren privaten VPN-Einsatz brauche ich noch
eine leistungsstärkere HW?
Eigentlich nicht! Warum?eine leistungsstärkere HW?
Die pfSense läuft auf dem Alix APU recht schnell und das mit dem VPN handelt
das Alix Board auch ruckl zuck ab, gar kein Thema, nur wenn Du doppelt VPN
betreiben möchtest und dann auch noch AES256 verwendest ist das schon
hart an der Grenze denn es kommt schon auf die Erwartung an die man hat!
Ein MikroTik RB1100AHx2 oder ein MikroTik CCR1009-8G-1S-1S+-PC
kommen mit VPN Hardwareunterstützung daher und ist da weitaus die
bessere Wahl in meinen Augen, oder aber ein Draytek Vigor3900 VPN
Konzentrator die bringen alle samt aber auch eine VPN Hardwareunterstützung
mit die die CPU der Firewall bzw. des Routers entlastet und somit einen höheren
VPN Durchsatz garantiert! Gar keine Frage.
Man kann auch für den kleinen Geldbeutel einen RB435G, RB450G
oder RB493G bei eBay kaufen der keine Lizenz mehr hat
und darauf dann OpenWRT installieren und eine oder zwei Soekris vpn1411
Karten installieren. Da geht dann schon noch was.
Aber ich würde erst einmal mit der AVM Fritz!Box ausprobieren was die bringt.
Dann ausprobieren was die Alix pfSense lösung bringt.
Und wenn das zu langsam ist kann man immer noch Überlegungen anstellen!
Hast du da einen Vorschlag??
Mit einem Alix 2D oder einem Soekris net5501 Boardund einer Soekirs vpn1411 Karte kommt man zusammen
mit pfSense auf folgende Werte!
AES128 CBC
ohne Karte = 14 MBit/s
mit Karte = 42 MBit/s
AES256 CBC
ohne Karte = 12 MBit/s
mit Karte = 32 MBit/s
> aber bitte nicht zu teuer werden.... (<250)
Klar, nur warte doch erst mal ab, denn die o.g.
Boards sind alle super alt und haben nur einen
500 MHz Prozessor!!!! Das Alix APU wird schon
recht schnell werden, keine Angst!
Gruß
Dobby
Hi Dobby,
ich glaube es besteht ein grundsätzliches Missverständnis was die Frage nach der Geschwindigkeit angeht... Mir ist durchaus bewusst, dass VPN einen gewissen overhead erzeugt und ich niemals komplette 50 mBit bekommen werde (ohne Tunnel nicht und mit noch etwas weniger). Mir ging es mehr darum, welchen durchsatz das APU Board schafft bei einer theoretisch unbegrenzten Internetgeschwindigkeit. In Zukunft will ich evtl. auf 100 mBit aufstocken, daher will ich verhindern, dass das APU-Board gleich von vorne rein der Flashenhals ist.
Denk ich muss mich dann noch etwas über die FritzBox informieren (7260SL), ich bezweifle allderdings, dass ich da ohne Firmwareänderung weit komme... Du siehst das Problem, dass jeder der bis vor die Firewall kommt, die Möglichkeit hat auf meine FritzBox zuzugreifen? Wie hoch ist die Gefahr, dass hier was passiert?
Was die Methode und die Protokolle angeht für die Tunnel in Tunnel-Verbindung, da bin ich mir noch nicht schlüssig. Es wird dann letzten Endes drauf ankommen wie es überhaupt möglich ist.
ich glaube es besteht ein grundsätzliches Missverständnis was die Frage nach der Geschwindigkeit angeht... Mir ist durchaus bewusst, dass VPN einen gewissen overhead erzeugt und ich niemals komplette 50 mBit bekommen werde (ohne Tunnel nicht und mit noch etwas weniger). Mir ging es mehr darum, welchen durchsatz das APU Board schafft bei einer theoretisch unbegrenzten Internetgeschwindigkeit. In Zukunft will ich evtl. auf 100 mBit aufstocken, daher will ich verhindern, dass das APU-Board gleich von vorne rein der Flashenhals ist.
Denk ich muss mich dann noch etwas über die FritzBox informieren (7260SL), ich bezweifle allderdings, dass ich da ohne Firmwareänderung weit komme... Du siehst das Problem, dass jeder der bis vor die Firewall kommt, die Möglichkeit hat auf meine FritzBox zuzugreifen? Wie hoch ist die Gefahr, dass hier was passiert?
Was die Methode und die Protokolle angeht für die Tunnel in Tunnel-Verbindung, da bin ich mir noch nicht schlüssig. Es wird dann letzten Endes drauf ankommen wie es überhaupt möglich ist.
auf 100 mBit aufstocken, daher will ich verhindern, dass das APU-Board gleich
von vorne rein der Flashenhals ist.
von vorne rein der Flashenhals ist.
Du siehst das Problem, dass jeder der bis vor die Firewall kommt,
die Möglichkeit hat auf meine FritzBox zuzugreifen?
Mit einer alten Firmware kann man die AVM FB noch als reinesdie Möglichkeit hat auf meine FritzBox zuzugreifen?
Modem nutzen! Also damit wäre doch dann alles klar oder?
Ansonsten kann die AVM FB IPSec VPN machen!
Und SSH geht glaube ich auch noch zusätzlich.
Also via IPSec VPN von unterwegs auf die AVM FB zugreifen
und die baut dann einen zweiten Tunnel zu dem VPN ISP auf
und gut ist es, dann braucht man nicht einen VPN Tunnel in den
anderen packen!
In Zukunft will ich evtl. auf 100 mBit aufstocken, daher will ich verhindern,
dass das APU-Board gleich von vorne rein der Flashenhals ist.
Aha ok, das ist natürlich etwas anderes! Gar keine Fragedass das APU-Board gleich von vorne rein der Flashenhals ist.
Soekris net6801-70: C2758, 8C 2.4 Ghz CPU, 8 Gbyte ECC DRAM, Standby 9W, Acitve 31W
Die hat auch Hardwareunterstützung für VPNs und nicht zu wenig, aber sie kommt
erst im Q4 / 2015 raus und ist auf jeden Fall teurer als die ~200 €
Oder aber man benutzt einen kleinen Intel Core i3 auf einem MiniITX Board,
die CPU hat AES-NI Unterstützung das wird auch von pfSense genutzt!!!!
Gruß
Dobby
Hi Dobby,
nochmal vielen Dank für deine ganzen Auskünfte.
Dann lässt sich abschließend sagen das APU.1D ist zu langsam für meine Bedürfnisse...
Ich hätte eigentlich erwartet diese HW reicht mir locker leicht um zwei bis drei VPN-Tunnel aufzuziehen und ggf. noch einen kaskadierten Tunnel zu verwenden, ich habe ja kein großes Firmennetz oder ähnliches. Das Tunnel in Tunnel Szenario würde ich einfach gerne testen, ohne von einem externen Tunnel da durch zu wollen, mir würde dies intern reichen, um beispielsweise einfach einen weiteren Hop in meine Verbindung zu bekommen. Das hört sich an als hätte ich bei meinen Aktivitäten etwas zu verbergen, geht mir aber nur ums auszuprobieren.
Es will nicht so recht in meinen Kopf, dass ein Dual-Core 1 Ghz mit 4 gb RAM dafür nicht ausreichen sollte
selbst ohne HW-Verschlüsselung.
nochmal vielen Dank für deine ganzen Auskünfte.
Dann lässt sich abschließend sagen das APU.1D ist zu langsam für meine Bedürfnisse...
Ich hätte eigentlich erwartet diese HW reicht mir locker leicht um zwei bis drei VPN-Tunnel aufzuziehen und ggf. noch einen kaskadierten Tunnel zu verwenden, ich habe ja kein großes Firmennetz oder ähnliches. Das Tunnel in Tunnel Szenario würde ich einfach gerne testen, ohne von einem externen Tunnel da durch zu wollen, mir würde dies intern reichen, um beispielsweise einfach einen weiteren Hop in meine Verbindung zu bekommen. Das hört sich an als hätte ich bei meinen Aktivitäten etwas zu verbergen, geht mir aber nur ums auszuprobieren.
Es will nicht so recht in meinen Kopf, dass ein Dual-Core 1 Ghz mit 4 gb RAM dafür nicht ausreichen sollte
selbst ohne HW-Verschlüsselung.Es will nicht so recht in meinen Kopf, dass ein Dual-Core 1 Ghz mit 4 gb RAM
dafür nicht ausreichen sollte selbst ohne HW-Verschlüsselung.
Dann würde ich mal im Internet oder aber im pfSense Forum nachschauendafür nicht ausreichen sollte selbst ohne HW-Verschlüsselung.
was denn dort so angegeben wird hinsichtlich des VPN Durchsatzes.
Eventuell bist Du da dann schon besser informiert.
Gruß
Dobby
