murpel
Goto Top

Welches Board für VPN Appliance?

Moin Moin an alle,

ich möchte mir nach diesem Tutorial gerne eine Appliance mit pfSense und OpenVPN aufbauen.
Kann mir einer sagen welches von den PC Engines Boards für wie viele VPN Verbindungen geeignet ist bzw. wie man das berechnen kann?

Schon mal vielen Dank im Voraus.

Content-Key: 614333

Url: https://administrator.de/contentid/614333

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: 146189
Lösung 146189 20.10.2020 aktualisiert um 12:04:37 Uhr
Goto Top
Tach auch.
  • Um wie viele Verbindungen geht es bei dir?
  • Welchen Durchsatz benötigst du /Anzahl Clients hast du / Welche Anbindung?
Da OpenVPN pro Verbindung immer nur auf einem Kern der CPU läuft haben die APUs schon von Haus ein Limit für einzelne Verbindungen (ca. 100MBit/s bei pfSense), siehe:
APU2 / APU3 / APU4 - OpenVPN Performance
Die Hardware würde mehr schaffen, OpenVPN ist aber nicht für's MultiThreading optimiert.

Brauchst du also mehr wie 100MBit/s pro einzelner Verbindung, dann wirst du zu performanteren Boards greifen müssen.

Hier auch noch ein Vergleich der VPN Performance der verschiedenen Boards.
APU/TLSense boards spec comparison
APU vs TLSense CPU performance comparison

Modernere VPN Spielarten wie Wireguard performen da schon deutlich besser auf den kleinen APUs als das in die Jahre gekommene OpenVPN.

Gruß w.
Mitglied: ChriBo
Lösung ChriBo 20.10.2020 um 12:04:17 Uhr
Goto Top
Als Ergänzung noch:
Unterschied der Boards

Wähle auf alle Fälle die 4GB Version

CH
Mitglied: aqui
Lösung aqui 20.10.2020 um 12:33:12 Uhr
Goto Top
Alternative zu OpenVPN ist dann IPsec oder L2TP. Hat den großen Vorteil das man keinerlei extra VPN Client Software auf den Endgeräten benötigt sondern bei allen OS, Smartphones usw. es mit den bordeigenen Clients machen kann:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Was das Board an sich anbetrifft machst du mit einem APU4 oder APU4 nichts falsch. 50 gleichzeitige VPN Clients fackelt das schon ab. Sollte es mehr sein bei dir gibt es aber auch etwas leistungsfähigere HW:
https://www.ipu-system.de
Zum Rest ist oben schon alles gesagt.
Mitglied: Murpel
Murpel 20.10.2020 um 12:46:48 Uhr
Goto Top
Cool, danke für die schnellen Antworten. Dann besorge ich mir mal eins der Boards und teste mal.

Eine doofe Frage habe ich aber noch. Hatte mal vor einem Jahr ein VPN über ein Windows Server mit PPTP probiert und die Verbindung konnte ich manchmal wenn ich mit dem Laptop übers Handynetz mit dem Internet verbunden war oder in einem Hotspot befand nicht aufbauen.

Woran kann das liegen? Das der Anbieter bestimmte Ports gesperrt hat? Womit könnte man das umgehen?
Mitglied: BirdyB
Lösung BirdyB 20.10.2020 um 12:59:41 Uhr
Goto Top
Moin,

wenn du (auch) OpenVPN verwendest, könntest du OpenVPN auch (zusätzlich) auf Port 443(TCP) laufen lassen. Das ist dann zwar von der Encapsulation her nicht optimal, aber Port 443 wird seltener geblockt.
Wenn der Traffic per DPI analysiert wird, müsste man noch mehr tricksen, aber ehrlichgesagt ist man dann auch meistens in dem Bereich, wo man gegen die Nutzungsbedingungen des jeweiligen Hotspots verstößt.

VG
Mitglied: Murpel
Murpel 20.10.2020 um 13:17:57 Uhr
Goto Top
Kann ich den Port bei IPsec oder L2TP auch einfach auf 443 ändern?

Hat das irgendwelche Auswirkungen auf das restliche System? 443 ist doch der Port für HTTPS.
Mitglied: aqui
Lösung aqui 20.10.2020 aktualisiert um 13:44:08 Uhr
Goto Top
Eine doofe Frage habe ich aber noch.
Doofe Fragen gibts doch nicht nur doofe Antworten. (außer am Freitag !) face-wink
Das der Anbieter bestimmte Ports gesperrt hat?
Ja, ist häufig aus Sicherheitsgründen gesperrt. Oder...der Anschluss liegt hinter einem NAT (Adress Translation) oder DS-Lite. Dann kann das ESP Protokoll nicht geforwardet werden und PPTP scheitert.
Aber so oder ist das längst Geschichte:
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
PPTP ist mittlerweile aus allen Betreibssystemen aus dem o.a Grund entfernt worden !
Kann ich den Port bei IPsec oder L2TP auch einfach auf 443 ändern?
Nein !
Muss man auch nicht denn beide Protokolle nutzen bekanntlich ein internes Feature NAT Traversal über Port UDP 4500 was das alles elegant umgeht und dadurch solche Frickeleien obsolet macht !
Mitglied: Murpel
Murpel 20.10.2020 um 14:26:06 Uhr
Goto Top
Danke Aqui und natürlich auch an die anderen.

Ja, weiß, dass man PPTP nicht mehr nehmen soll.

Dann werde ich in Zukunft ja keine Probleme mehr.

Danke.