Hallo Leute

kurz und Buendig: Ich suche einen non-WLAN Router (mit oder ohne integriertem Modem ist voellig gleich) der abgesehen von einem hohen WAN zu LAN Durchsatz ebenfalls IPsec VPN Verbindungen mit mindestens 100 mbit/s Durchsatz verarbeiten kann.

Anbei dachte ich an den Funkwerk bintec RS230A sowie RS120A. Budget waere bis 300 Euro. Wichtig waeren noch Firewall Funktionen. Usb oder sonstige Consumerfeatures benoetige ich nicht.

Zusaetzlich noch eine Frage zu der geplanten Infrastruktur: Gibt es performante / sicherheitstechnische Vorteile, wenn man ein NAS per Switch anbindet und die Clients im selben Areal ebenfalls am Switch haengen hat, oder die clients ueber die Routerswitchports anbindet?

Gruss
der Suchende

Hallo Leute

kurz und Buendig: Ich suche einen non-WLAN Router (mit oder ohne integriertem Modem ist voellig gleich) der abgesehen von einem hohen WAN zu LAN Durchsatz ebenfalls IPsec VPN Verbindungen mit mindestens 100 mbit/s Durchsatz verarbeiten kann.

Anbei dachte ich an den Funkwerk bintec RS230A sowie RS120A. Budget waere bis 300 Euro. Wichtig waeren noch Firewall Funktionen. Usb oder sonstige Consumerfeatures benoetige ich nicht.

Die Router sagen mir nichts, aber ich glaube nicht, dass es so ohne weiteres möglich ist. Verschlüsselung ist sehr rechenintensiv. So ohne weiteres sollte es ein Router nicht packen. Ich würde dir daher empfehlen das VPN über den jeweiligen Client zu realisieren. Da hast du dann in der Regel auch immer genug Rechenleistung. Es sei denn, du willst auch leistungsarme Clients anbinden (wie zum Beispiel Handys).

Zusaetzlich noch eine Frage zu der geplanten Infrastruktur: Gibt es performante / sicherheitstechnische Vorteile, wenn man ein NAS per Switch anbindet und die Clients im selben Areal ebenfalls am Switch haengen hat, oder die clients ueber die Routerswitchports anbindet?

Switch ist Switch, ob im Router oder außerhalb. Sofern du also nicht unbedingt einen speziellen Switch meinst, denke ich, dass es da keine Unterschiede gibt. Bedenke allerdings, dass aktuelle NAS schon sehr flink sind. Ein GbLAN-Switch bzw. ein Router mit GbLAN-Ports wäre daher schon empfehlenswert. Wenn du also nur einen normalen Router hast (mit 100 Mbit Ports), dann wäre für die lokalen Rechner ein GbLAN-Switch schon hilfreich, um schneller mit der NAS Daten auszutauschen. Für die Rechner außerhalb (bzw. über die Internet-Verbindung), macht es dagegen keinen Unterschied, denn da limitiert spätestens die Internet-Anbindung.

Danke für die schnelle Antwort.

Denkst du, es wäre für meinen Fall besser, einen eigenen VPN Server zu Hause aufzustellen, um dann eine site-to-site Verbindung zu realisieren? Der VPN Provider hat schön breit ausgelegte Leitungen und ich möchte unbedingt die mir zur Verfügungs stehende Bandbreite voll ausnutzen.



Würdest du den Server auf einem NAS (wird ein eigend zusammengebautes Gerät sein) realisieren oder die Firewall / den VPN als seperates Gerät aufstellen? Wie dick sollte solch ein Prozessor sein, um 100 MBit durchsatz für breit verschlüsseltes IPSec zu verarbeiten? Der CPU Load durch das Raid 5 wird durch eine Controllerkarte im Nas verringert, sodass ich durchaus einen i3 2300 in den Nas setzen würde, sobald er noch mehr Services verarbeitet (Cups, VPN, FW etc).

Gibt es Benches / Informationen hinsichtlich des CPU Loads von VPN Verschlüsselgungen?

-----------

Die Infrastruktur wird natürlich gleich auf GBit Lan ausgelegt, incl. fähigen NICs.

Danke für die schnelle Antwort.

Denkst du, es wäre für meinen Fall besser, einen eigenen VPN Server zu Hause aufzustellen, um dann eine site-to-site Verbindung zu realisieren?

Das kommt darauf an. Soll nur ein Rechner über die VPN-Verbindung arbeiten, dann ist ein Server übertrieben. Sollen es dagegen 100 Rechner sein, dann macht es Sinn.

Und wie schon erwähnt, wenn du Clients hast, die sehr wenig Rechenleistung bieten (Handys, Tablets, Netbooks) und die womöglich auch keine eigene Möglichkeit haben, ein VPN zu nutzen. Dann würde ein Server auch Sinn machen. Aber wenn du nur wenige Clients hast, die alle mit dicken CPUs ausgestattet sind und sich nur langweilen, dann würde ich den Server weg lassen.

Würdest du den Server auf einem NAS (wird ein eigend zusammengebautes Gerät sein) realisieren oder die Firewall / den VPN als seperates Gerät aufstellen?

Auf jeden Fall alles zusammen, sofern möglich. Je weiter du es streust, desto aufwändiger wird die Verwaltung. Also lieber alles zusammen. Ich selbst setze hier gern Fertig-Lösungen ein, die dann auch mit Web-Frontend für Blöde ausgestattet sind. Da muss man nicht viel Denken und braucht sich nur durch-zu-klicken.

Wie dick sollte solch ein Prozessor sein, um 100 MBit durchsatz für breit verschlüsseltes IPSec zu verarbeiten?

Keine Ahnung. Aber ich würde allein dafür 500-1000 MHz einkalkulieren.

Der CPU Load durch das Raid 5 wird durch eine Controllerkarte im Nas verringert, sodass ich durchaus einen i3 2300 in den Nas setzen würde, sobald er noch mehr Services verarbeitet (Cups, VPN, FW etc).

Ein Core i3 wäre schon etwas übertrieben, vor allem auch teuer. Ich denke ein aktueller Dual-Core Celeron 2x 2,4 GHz (Sandy Bridge - S1155) für 35 Euro ist schon mehr als ausreichend. Er entspricht Leistungsmäßig ungefähr einem 2x 3 GHz Core 2 Duo und ist ein echtes Schnäppchen. Mit ihm kannst du auch auf den intelligenten RAID-Controller verzichten. Und hast auch für weitere Zusatzdienste noch Luft nach oben.

Gibt es Benches / Informationen hinsichtlich des CPU Loads von VPN Verschlüsselgungen?

Ich hatte mal vor einiger Zeit gesucht, aber nie was gefunden. Falls du mal was findest, dann poste hier mal den Link, würde mich auch interessieren. Vor allem auch wieviel Leistung man für eine GbLAN-Leitung bräuchte.

Möchte das Thema hier nochmal aufwärmen.

Hab hier eine symmetrische 1GBit Leitung mit NAS die ich gerne von anderen Orten per VPN einbinden möchte. Setze aktuell ein Netgear Nighthawk X4 (R7500) als VPN Server ein. Der Router nutzt OpenVPN, allerdings nicht konfigurierbar.

Hab allerdings das Problem das mit einer client-seitigen 100 Mbit/s Leitung maximal 10-15 Mbit/s durch den VPN-Tunnel kommen. Ich schätze mal dass der 1.4 GHz taktende DualCore SoC im Router einfach nicht mehr schafft.

Gibt es irgendeine vernünftige, kostengünstige Lösung um 100 MBit/s durch den Tunnel zu bringen? Muss ja nicht gleich ein neuer Router sein, sondern evtl. ein Raspberry-Pi-artiges gerät, dass im Netzwerk als Server fungiert.

Welches Protokoll benutzt du denn?

openVPN nutzt standardmäßig doch ein "eigenes" protokoll auf TLS, wenn ich mich richtig erinnere, und er schreibt ja was von "nicht konfigurierbar". auch dem handbuch kann man diesbezüglich nichts entnehmen: http://www.downloads.netgear.com/files/GDC/R7500/R7500_UM_GR_29Jan2015.pdf. in der openvpn clientsoftware kann man glaub ich auch gar nix bzgl. protokollen verändern.

Ich meinte auch eher IPSec, OpenVPN oder vielleicht etwas ganz anderes und mit welchen Einstellungen. Gibt ja haufenweise Kram dafür und nicht alle Protokolle laufen über die Hardwarebeschleunigung. Schon IPSec bietet in den meisten Implementierungen zig AES-Modi an und nicht alle performen auf allen SoCs gleich. Mindestens clientseitig sollte man das eigentlich einsehen können.

Interessant wäre deshalb auch, welche Seite da überhaupt limitiert. Ein ARMv7-Kern mit 1,4 GHz sollte z.B. schon in Software bei praktisch jedem Protokoll und unabhängig von den Einstellungen mehr als 15 MBit/s schaffen. Der Flaschenhals ist mir da nicht so klar.

Siehe auch: https://calomel.org/aesni_ssl_performance.html

Also auf Seiten des Clients sehe ich das TAP verwendet wird mit einer AES-128-CBC verschlüsselung und lzo Komprimierung im adaptiv modus. Mehr kann ich nicht sagen und der Router lässt abseits von hostnamen und port Konfiguration keine andere Einstellung zu

Pfsense(https://www.pfsense.org/) auf irgend nem gerät mit AES beschleunigung, gehen auch neuere atoms oder so, Hauptsache AES-NI oder Intel RAND Unterstützung.(ipsec openvpn geht da alles wunderbar).(AMD E-350 müßte auch gehen)oder wenn strom nicht so wichtig ist irgend ne andere olle kiste mit Core2duo 2GHZ aufwärts.
Man kann Pfsense natürlich auc hals VM laufen lassen.

Hier mal ein Bsp.(hab gerade 2 Pfsense im Testsystem da)
AES-128-CBC und 256-CBC singlecore via cryptodev (Aes-NI...)
Als vergleich mal noch nen alter Atom ohne AES Beschl.(Zuhause)

Intel(R) Atom(TM) CPU C2758 cryptodev
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128-cbc 21972.29k 84099.78k 323492.89k 1649965.54k 10622424.41k
aes-256-cbc 22444.79k 110070.36k 355808.99k 1729564.43k 24130879.49k

Intel(R) Xeon(R) CPU D-1518 cryptodev
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-128-cbc 58728.35k 241553.88k 1214247.62k 4254540.95k 27139244.03k
aes-256-cbc 43018.06k 241905.08k 864353.44k 5397245.37k 20373482.15k

Intel(R) Atom(TM) CPU D510
type 16 bytes 64 bytes 256 bytes 1024 bytes 8192 bytes
aes-256 cbc 16616.40k 17902.04k 18254.17k 17620.07k 18422.63k
aes-128-cbc 22331.16k 24944.28k 25899.47k 26014.88k 26069.30k

Das sind kb/s sprich selbst nen Atom schaft da mit HW. beschl. mehr als genung für dein Vorhaben.

Ohne AES HW. brauchst für 100MBit schon sowas Core2duo 2GHZ aufwärts(und auch da kanns eng werden).
Mein oller Atom schafft also bei 128 20MB+ also ca. 200MBit, man sollte allerdings auch noch luft haben LZO...

Falls ihr andere werte braucht, einfach schreiben.

100MBit/s VPN Durchsatz ist schon ordentlich.
Da bist Du schon im Gebiet einer richtigen Firewall

http://www.watchguard.com/wgrd-products/appliances-compare/216/3592/3593

Eine … richtige Firewall? Eine richtige Firewall hat jeder Wald-und-Wiesen-Router, weil NAT Connection Tracking voraussetzt. Man sollte hier nicht auf das Marketing einiger Unternehmen reinfallen.

Eigentlich ist hier eine Firewall auch vollkommen irrelevant. Flusher braucht einfach nur einen SoC, welcher seine Verschlüsselung in Hardware abwickeln kann, oder eine ausreichend starke CPU.

Eventuell kann ein EdgeRouter X auch OpenVPN / AES-CBC in Hardware, aber da bin ich mir nicht sicher. Den bekommt man für ~50€.

Eine beliebige Intel-CPU mit AES-NI reicht natürlich auch. Jaschs Test zeigen das ja auch.

Zu Single-Board-Computern mit ARM-Kernen kann ich nicht so viel sagen, aber mein Moto G4 mit Cortex-A53-Kernen schafft die Vollverschlüsselung ohne weitere Probleme. Generell scheint alles mit ARMv8-Architektur ziemlich gut mit AES zu harmonieren.

Wer Lust und Laune hat, könnte ja mal auf so ner räudigen Atom-HW die neue Sophos XG drauf hauen.. :naughty:

Mein Testystem ist leider ein wenig ausgeschlachtet.

Ich hab ALIX APU mit pfsense oder Ähnlichem. 100MBit sind da kein Problem. Testprotokolle hab ich nimmer von den Tests... die LAN Karten waren wohl eher das Problem.

Preislich ginge sich das auch aus. Kostet nicht die Welt. Natürlich die neue APU Serie mit den 4 Kernern und AES NI nehmen. Dann hats noch mehr Luft.

Hmm - ich hab hier noch nen alten Mini-PC mit einem Intel Atom D525 rumliegen, allerdings sehe ich gerade, dass der kein AES-NI kann und ich weiss auch nicht ob das Board ein 1 GBit/s NIC hat.

Oder könnte ich auf meinen kleinen HTPC mit einem AMD A4-3400 die openVPN server software installieren und per WOL den PC aufwecken, sobald ein Client versucht sich zum server zu verbinden? :uponder:

Oder könnte ich auf meinen kleinen HTPC mit einem AMD A4-3400 die openVPN server software installieren und per WOL den PC aufwecken, sobald ein Client versucht sich zum server zu verbinden? :uponder:

Falls WOL so funktionieren kann, würdest du wahrscheinlich haufenweise Fehlweckungen haben. Das letzte Mal, als ich nachgeguckt habe, hatte alleine mein Router auf Port 22 für SSH knapp 20.000 versuchte Anmeldungen. Das war etwa in einem Zeitraum von drei Wochen.

Man kann leider den gesamten IPv4-Adressraum mittlerweile ziemlich einfach abgrasen. Ich meine irgendwo etwas von 1 - 2h gelesen zu haben. Das wird offenbar auch gemacht.

Bei IPv6 gehen die versuchten Anmeldungen bei mir übrigens gegen null.

Meine Firewall ist eine IPFire (http://www.ipfire.org/) mit Gigabyte GA-J1900N-D3V (https://geizhals.at/gigabyte-ga-j1900n-d3v-a1070252.html) und 4GB Ram + kleine SSD.

Läuft seit Jahren ohne Probleme, VPN mache ich hier aber unter Linux von Rechner aus an wenn ich dies brauche in die Firma.

Er will ja inbound auch bei mehreren Verbindungen hohen Durchsatz.

Hmm - ich hab hier noch nen alten Mini-PC mit einem Intel Atom D525 rumliegen, allerdings sehe ich gerade, dass der kein AES-NI kann und ich weiss auch nicht ob das Board ein 1 GBit/s NIC hat.

Eventuell ist für dich damit WireGuard interessant: https://www.wireguard.io/

Es setzt auf ChaCha20-Poly1305 anstatt auf AES(-CBC) und ist dadurch in Software massiv schneller. Zusätzlich bekommst du State-of-the-Art-Kryptographie.

Nachteil ist leider, dass du clientseitig damit abseits von Linux eine Userspace-Implementierung nutzen musst. Wenn du Windows benutzt, könnte das etwas frickelig werden.

Eventuell ist für dich damit WireGuard interessant: https://www.wireguard.io/

Es setzt auf ChaCha20-Poly1305 anstatt auf AES(-CBC) und ist dadurch in Software massiv schneller. Zusätzlich bekommst du State-of-the-Art-Kryptographie.

Nachteil ist leider, dass du clientseitig damit abseits von Linux eine Userspace-Implementierung nutzen musst. Wenn du Windows benutzt, könnte das etwas frickelig werden.

Ich nutze ausschliesslich Windows und Android. Ich kenne Linux zwar rudimentär aber ich weiss jetzt schon, dass das bei mir auf eine ewige Frickelei hinauslaufen wird.