[Kaufberatung] Hardware für PFSense Firewall - minimum 250MBit OpenVPN Durchsatz

*mv*

*mv*

Enthusiast
Thread Starter
Mitglied seit
01.01.2010
Beiträge
291
Ort
Hamburg
Hallo zusammen,

ich würde gerne meine alte PFSense Firewall auf dem APU2C4 ablösen.
Die schafft aktuell nur so 50-60MBit über OpenVPN.

Der Internet Anschluss hat aktuell 250/50 Mbit. Die sollten auch als absolutes Minimum durch das VPN gehen. Upgrade auf 500Mbit bzw 1Gbit möglich

Als Idee hatte ich sowas wie nen Qotom Q550G6 überlegt. Oder nen Eigenbau.

Allerdings lassen sich die passenden Boards nicht wirklich gut finden. Geizhals listet keine Boards mit mehr als 3 Ports.

Also zusammenfassend:
- min 250MBit OpenVPN Performance -> gerne Spielraum für 500/1000MBit
- Intel NICs
- gerne halbwegs stromsparend
- min 3 Ports lieber mehr
( - gern lüfterlos )

Gruß

Marcel
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hi,
das wird sehr sportlich was du da vorhast.

Unter der Sophos UTM siehts bei mir so aus:

ca 100mbit VPN Load. Allerdings noch Filter gesetzt, wovon ich bei dir auch mal ausgehe. (PFBlockerNG etc..)

forgetit.JPG

Ist ein I3-6100 (2c/4t) - 3,7GHz.
 
Nutze einfach IPSec, damit sind mit der APU auch mehr drin...für Gigabit OpenVPN brauchst du ne CPU mit sehr hohem Takt, also i7 (übertaktet) oder Xeon Entry das größte Modell, sonst sehe ich da wenig Hoffnung. Aus Performance-Sicht ist OpenVPN einfach schrott...
https://www.firewallhardware.it/en/firewall-hardware-sizing-guide/
Vielleicht die passende Lektüre für dich
 
Zuletzt bearbeitet:
Schau ins pfsense Forum: Dort werden permanent Hardware-Konfigurationen verglichen bzgl. VPN-Durchsatz.

Belastbarer wirst du es nicht kriegen. Lüfterlos kannst du bei 250mbit/s per vpn aber nicht kriegen. Das dürfte einen i3 schon Richtung Limit drücken.

p4n0 schrieb:
ca 100mbit VPN Load. Allerdings noch Filter gesetzt, wovon ich bei dir auch mal ausgehe. (PFBlockerNG etc..)

Ist ein I3-6100 (2c/4t) - 3,7GHz.
Zum Vergrößern anklicken....

Betreibe bei mir über einen i3-6100 eine pfsense inkl. pfblocker, snort etc. virtualisiert auf zwei Kernen. Wenn ich da 100 Mbit via openvpn ziehe, dann habe ich ca. 60-70% Load. Der 6100er sollte somit eigentlich problemlos 250mbit ziehen können, vor allem wenn man auf snort verzichtet.

Sehe hier keinen Vorteil von Sophos.
 
Und wenn du dort schon kaum echte Erfahrungen findest, dann hoffst du hier mehr Glück zu haben? ;)

250mbit/s und darüber ist keine gebräuchliche Hausnummer für VPN, vor allem wenn es noch auf der Firewall direkt laufen soll. Da bist halt schnell in Bereichen, die bislang dem Business-Sector vorbehalten waren. Solche Bandbreiten kommen erst langsam bei der Masse an.

Ach ja, zum Thema Ports: Such dir gebrauchte Netzwerk-Karten von HP etc. Dort gibts 2 bzw. 4-Port Karten oft für 20-30 Euro. Alternativ kannst dir auch direkt ein Supermicro-Board holen, wo 4 NICs drauf sind. Bei Supermicro solltest aber direkt merken, dass wir hier von klassischen Sockeln reden, d.h. nicht ohne aktive Kühlung. Alternativ fasse von Netgate eine SG-5100 bzw. XG-7100 ins Auge. Dann kannst Netgate auch direkt anschreiben und nach belastbaren Werten fragen. Immerhin kosten die Dinger 800 USD aufwärts.
 
Hi

Wenn Du auch ein anderes Protokoll verwenden kannst, die Zyxel Zywall 110 macht für kleines Geld 300-500Mbit/s VPN Durchsatz bei 50 lizenzierten Usern.

Allerdings proprietär, Zyxel eigenes Protokoll. Ausserdem keine UTM Lizenzen dabei bei der Hardware, die müssen separat lizenziert werden. Und etwas tricky zu konfigurieren.

Aber geiles Stück Hardware für den Preis, auf jeden Fall. Hab die schon ne Weile im Einsatz.

Wobei mir nicht ganz erschliesst, wofür man bei einer asymetrischen 250Mbit/s Leitung so nen VPN Durchsatz benötigt. Schiebst Du mit 250 Mbit/s Daten auf Deinen Server? Oder tunnelst Du Deinen gesamten Verkehr? Geht es um die Anbindung zu Hause?
 
Zuletzt bearbeitet:
Sonst, kannst du dir auch mal wireguard als VPN Lösung anschauen. Geht halt leider nicht mit Windows, sonst ist es aber schön schlank und schnell.
 
Hallo zusammen,

danke erstmal für die ganzen Antworten.

Um es nochmal genauer zu spezifizieren:

- privater 250/50 Mbit Anschluss
- sämtlicher Verkehr vom lokalen Netzwerk soll durch das VPN gehen
- VPN Anbieter is Perfect Privacy

IPSec hab ich gestern versucht einzurichten aber zum VPN Anbieter müsste ich ja als Client auftreten!? Ich kann aber nur Site2Site machen oder halt als Server für andere Clients auftreten.

Gruß

Marcel
 
Vertraust du deinem VPN Provider mehr als deinem ISP?
 
p4n0 schrieb:
Vertraust du deinem VPN Provider mehr als deinem ISP?
Zum Vergrößern anklicken....

Deutschen ISPs vertrauen ? :lol:
PP würde ich da voll und ganz vertrauen.

B2T: Es scheint wohl das du da zur CLI zurückgreifen müsstest, im Webinterface von pfSense kann man wirklich keinen IPSec-Client einrichten :/ Vielleicht hilft es in OpenVPN auf eine schwächere Cipher runter zu gehen, was nutzt du da momentan ?
 
da der PP Betreiber nen Bekannter von mir ist vertrau ich dem tatsächlich mehr ...

Hab schon auf 128 Bit AES-GCM umgestellt.

hab noch das hier gefunden: https://forum.netgate.com/topic/103216/pfsense-hardware-for-home-router-openvpn-performance/53

Figured I'd show my J3455 results:

Intel Celeron J3455 4x1.5GHz -TDP 10W -CPU Mark 2134 -Single Thread 782


AES-256-CBC : 267.9 Mbps
AES-256-GCM: 282.4 Mbps


AES-128-CBC: 270.0 Mbps
AES-128-GCM: 284.9Mbps
Zum Vergrößern anklicken....

Das wären ja durchaus Werte mit denen man leben könnte.

Wenn ich dann vergleiche:J3455 vs i7-6500u https://cpu.userbenchmark.com/Compare/Intel-Core-i7-6500U-vs-Intel-Celeron-J3455/m36930vsm200485

Wäre ja folgendes eine Überlegung: Qotom Q570G6 mit Intel i7 6500U und 6 Intel NICs

https://de.aliexpress.com/item/Qoto...-AES-NI-6-Gigabit-NIC-Router/32863096123.html
 
Anmelden, um zu antworten.

Ähnliche Themen

O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
1K
OsiMosi
O
M
Home-Server / Proxmox / PfSense / HomeAssistant
Antworten
10
Aufrufe
2K
B1naryCoop3r
B
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh