der-phil
11.01.2017
view2708
view15
0
Goto Top

IPSEC oder OVPN-Router für 100MBit-VDSL Homeoffice

gelöstFrageInternet
Hallo!

Ich suche gerade einen brauchbaren Router, der eine VDSL 100/40-Leitung voll VPN-Traffic auslasten kann. Alles, was ich bisher getestet habe, war entweder zu langsam (Bintec RS353J) oder zu stromhungrig und irgendwie übertrieben (Mikrotik CCR1016)

Es laufen praktisch 100% des Traffics durch das VPN.

Habt ihr dazu eine gute Empfehlung?
IPSEC wäre mit am Liebsten, Open-VPN auch möglich.
Wenn mindestens 6 LAN-Ports vorhanden sind, könnte ich mir den Switch sparen.

WLAN würde ich eh über separate APs im Haus verteilen.
VOIP-Telefonie wird über eine Fritzbox gemacht, die "hinter" dem Router stehen darf/kann.


Bisher in den Sinn kamen mir:

- Mikrotik CCR1009
- performant
- scheinbar Probleme beim Reordering durch Nutzung der vielen Cores bei VPN

- Linksys WRT3200ACM mit OpenWRT
- Keine Ahnung, was das Gerät realistisch schafft. Vielleicht auch nur ein emotionaler Ausflug zum alten WRT54GL

- Fritzbox 7850 oder 7490 und ein Intel NUC mit Linux für das VPN dahinter
- komplexeres Setup, aber recht flexibel


Was würdet ihr hier nehmen? Habt ihr einen Tipp?

Danke und Grüße
Phil
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 326048

Url: https://administrator.de/contentid/326048

Ausgedruckt am: 23.11.2024 um 02:11 Uhr

15 Kommentare
Neuester Kommentar
Goto Top
Lochkartenstanzer
Lochkartenstanzer 11.01.2017 aktualisiert um 10:39:07 Uhr
Goto Top
Zitat von @Der-Phil:

Was würdet ihr hier nehmen? Habt ihr einen Tipp?

Einfach die Fritzbox mit IPSEC nehmen? Ansonsten eine kleine Cisco, wie aqui es beschreibt.

lks
Kuemmel
Kuemmel 11.01.2017 um 10:41:04 Uhr
Goto Top
Bei 100 MBit/s wird es bei dem 880 aber eng, da er nur 100 MBit/s-Ports hat. Dann müsste man schon zu dem Cisco 891/892 oder 896 greifen.

Gruß
Kümmel
Lochkartenstanzer
Lochkartenstanzer 11.01.2017 aktualisiert um 10:46:17 Uhr
Goto Top
Zitat von @Kuemmel:

Bei 100 MBit/s wird es bei dem 880 aber eng, da er nur 100 MBit/s-Ports hat. Dann müsste man schon zu dem Cisco 891/892 oder 896 greifen.

o.k. ich hätte dazuschreiben sollen, daß er die "größere" kleine Cisco nehmen soll. face-smile Andererseits reicht bei einem downlink von 100Mbps oft auch eine LAN-Anbindung von Fast Ethernet.

ich bin davon ausgegangen, daß er sich die Modellliste nochmal durchschaut und das passende sich raussuchen kann.

Aber wenn da schon eine Fritzbox 7490 steht, würde ich die einfach mit IPSEC an das VPN andübeln und alles darübe rlaufen lassen.

lks
Der-Phil
Der-Phil 11.01.2017 um 10:56:28 Uhr
Goto Top
Hallo!

Ich habe noch nie aktiv mit der 7490 IPSEC genutzt, hätte jedoch NIE gedacht, dass sie 100 MBit/s wirklich schafft. Hattet ihr das mal im Einsatz?

Grüße
Phil
Der-Phil
Der-Phil 11.01.2017 um 11:00:58 Uhr
Goto Top
Hallo!

Ich habe nochmal Google bemüht. Scheinbar schafft die Fritzbox 7490 nur ca. 20 MBit/s.
119944
119944 11.01.2017 um 11:04:25 Uhr
Goto Top
Wenn mindestens 6 LAN-Ports vorhanden sind, könnte ich mir den Switch sparen.
Das nützt dir aber auch nur etwas sobald hinter diese Ports ein Switch hängt. Bei den neuen CCR1009 z.B. sind alles Routet Ports welche du in eine Bridge packen müsstest was wiederum die CPU belastet.
Durch die IPsec reordering Probleme aktuell sowieso nicht zu empfehlen.

Warum kein APU2C4 Board mit PfSense? In verbindung mit einem kleinen Switch meiner Meinung nach die bessere Variante.

Schafft ein Cisco 896 überhaupt 100Mbit Traffic mit AES256 und SHA1?

VG
Val
Der-Phil
Der-Phil 11.01.2017 aktualisiert um 11:11:27 Uhr
Goto Top
Hallo!

Der CCR ist irgendwie ein Thema für sich. Super interessant auf dem Papier, aber dann irgendwie doch nicht ausgereift. Ich denke, die CPU dürfte start genug sein, dass für meine Belange das Bridging ohne zu viele Regeln noch klappen müsste, aber das Reordering ist eh ein KO-Kriterium, befürchte ich.

PFSense wäre eine Alternative zur NUC-Variante. Scheinbar schafft aber auch das APU2C4 nur ca. 45 MBit/s bei IPSEC.

Viele Grüße
Phil
119944
119944 11.01.2017 um 11:18:51 Uhr
Goto Top
Scheinbar schafft aber auch das APU2C4 nur ca. 45 MBit/s bei IPSEC.
Mein APU1D4 schafft den Durchsatz auch ohne AES-NI, da sollte die APU2 weit darüber liegen.

VG
Val
Lochkartenstanzer
Lochkartenstanzer 11.01.2017 um 11:41:06 Uhr
Goto Top
Zitat von @Der-Phil:

Hallo!

Ich habe noch nie aktiv mit der 7490 IPSEC genutzt, hätte jedoch NIE gedacht, dass sie 100 MBit/s wirklich schafft. Hattet ihr das mal im Einsatz?

An 100er-VDSL-Anschlüssen bisher nicht. Du solltest aber auch bedenken, daß die VPN-Geschwindigkeit auch vom uplink/downlink der Gegenstelle abhängt, wenn die nur einen uplink von 40Mbps (VDSl 100/40) hat, wirst Du auch ncith üebr 40 Mbps hinauskommen. An Anschlüssen bis 16Mbps schaftt die Frizox jedenfalls die volle Leitungsgeschwindigkeit. Daürber hinaus habe ich meist keine fritzboxen, sondern andere Router im Einsatz.

lks
Der-Phil
Der-Phil 11.01.2017 um 11:48:13 Uhr
Goto Top
Hallo!

Die Gegenstelle ist potent, da gibt es keine Probleme (155MBit/s symmetrisch).
Auf die Fritzbox bin ich ja nicht wirklich versessen. Mir fehlt nur eine gute Alternative, die nicht dann 100Watt idle benötigt.

Grüße
Phil
aqui
aqui 11.01.2017 um 13:09:41 Uhr
Goto Top
pfSense auf einer entsprechend potenten Hardware (APU2) wäre auch eine klassische Option face-wink
Ansonsten Cisco...
Der-Phil
Der-Phil 11.01.2017 um 13:53:40 Uhr
Goto Top
Hallo!

Ich denke, dann gebe ich pfSense einmal eine Chance. Das letzte Mal habe ich das vor vielen, vielen Jahren angeschaut.

Würdet ihr dann pfSense oder OPNsense nutzen?

Grüße
Phil
aqui
Lösung aqui 11.01.2017 aktualisiert um 13:58:37 Uhr
Goto Top
Immer pfSense. Die Software ist derzeit in Bezug auf VPN erheblich stabiler und zuverlässiger.
Ein paar weitere Infos dazu findest du hier:
PfSense auf APU1D4 Board mit mSata und 5-ghz WLAN - Erfahrungsbericht
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Der-Phil
Der-Phil 11.01.2017 um 15:08:27 Uhr
Goto Top
Hallo!

Super! Vielen Dank!

Grüße
Phil
biteater123
biteater123 04.03.2017 um 19:30:53 Uhr
Goto Top
z.B. Cisco 1921, vpn-durchsatz 149 Mbit/s (100+40 passt) also, hsec noch nicht noetig,
(vgl. http://www.anticisco.ru/pubs/ISR_G2_Perfomance.pdf )
zwei echte gig ports und Netzteil eingebaut. -sec- lizenz natuerlich noetig, (evtl auch -data-)
... und manchmal recht preiswert gebraucht zu bekommen.
gelöstFrageInternet
Mehr von Der-PhilDer-PhilWindows-Updates ohne WSUS über ProxyDer-Phil - 4 KommentareDer-PhilWas nutzt ihr als OnPrem Groupware-Mailserver?Der-Phil - 9 KommentareDer-PhilWie automatische Windows Updates zuverlässig verhindernDer-Phil - 9 KommentareDer-PhilAlternative zu Mailstore - hohes VolumenDer-Phil - 11 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare