Multi-VPN Router/Firewall gesucht - OPNsense/PFSense..oder was noch?

S

snoopy78

Experte
Thread Starter
Mitglied seit
23.12.2013
Beiträge
145
Hallo,

aktuell betreibe ich zu Hause eine Zyxel Zywall 110 als Hauptgateway mit WAN 1 = DTAG VDSL 100 & WAN 2 = LTE im Spillover.
Eigentlich wollte ich mir als nächstes eine Zyxel ATP 200 holen, da ich aber meine Geräte und Netzdesign konsolidieren möchte suche ich eine "eierlegende Wollmilchsau". ;)

Grundsätzlich laufen mehrere VLANs sowie mehrere IPSec Site-to-Site & roaming Client VPNs auf der Zyxel.
Zudem habe ich diverse incomming Rules, so dass nur Traffic welcher von bestimmten Quelladressen kommt, zulässig ist.

Weiterhin habe ich noch eine 2. Router (DIR-895L mit DD-WRT) welcher lokal zwischen den VLANs der Zyxel und dem LAN des DIR-895L routet.
Zudem baut dieser 895L ein OpenVPN Client VPN auf und alle Clients aus dem LAN des 895L sollen über diesen Tunnel "raus" gehen.

Da nun die Zyxel etwas älter ist (> 5 Jahre) möchte ich das ganze, wenn möglich in einen neuen Gerät vereinen.
Zudem habe ich die Idee mehrere parallele OPENVPN Clients (z.B. Hidemyass, Windscribe, Nordvpn, Surfshark) laufen zu lassen und per Firewall Rule bestimmten Clients/VLANs nur bestimmte Ausgänge (wege) zu erlauben.


Hat jemand von euch Vorschläge/Ideen von "fertigen" Appliances, welche das leisten könnten?

Ich habe auch schon mal geschaut und gelesen und ich DENKE dass ich das alles mit pfsense oder opnsense umsetzen können sollte. Kann das in Grundzügen jemand bestätigen?

Welche Hardware würdet Ihr empfehlen? Ich möchte gerne lokal wirespeed routen können und am besten auch im VPN Bereich die maximale Leitungskapazität (also 100Mbit) ausnutzen können.
Idealerweise wäre das ganze noch etwas Stromsparend & WLAN wird nicht benötigt.

Kostenmäßig sage ich mal max. 1000€...idealerweise deutlich drunter...^^

Danke
Snoopy78
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Die Frage ist: willst Du das alles zwingend auf Hardware Router(n) laufen lassen?

Bei der Menge an Anforderungen, mit vermutlich div. Anderungen und erweiterungen die so laufen oder noch kommen,
könntest Du dir überlegen, den Netzzugang (VDSL, LTE etc) in HW zui machen, und für den Rest einen kleinen Virtualisierungsserver aufzustellen, wo Du dann die ganzen Firewalls (Sophos UTM Home, PFsense, Owncloud, whatever) etc als VMs laufen lässt. Wäre am flexibelsten.
 
danke für die Mikrotik Info. können die denn jetzt OPENVPN mit UDP in einer ordentlichen Performance.
Mein "alter" CRS-210 ist da grandios gescheitert...

Ja, eigentlich wollte ich damit die Zyxel und den DIR ersetzen und das Netzwerk ordentlich redesignen

Mit einer Virtualisierung habe ich wieder das Problem, dass ich zu viel Stromverbrauch habe....ist halt wieder ein Server der permanent läuft...
 
Zuletzt bearbeitet:
Also openVPN over UDP ist ein ko Kriterium gegen Mikrotik, das ist einfach nicht unterstützt bisher:
Manual:Interface/OVPN - MikroTik Wiki (gleich zu Beginn unsupported features).

Unabhängig davon ist Dein CRS wie der Name schon sagt ein Switch und für ernsthaftes Routing/Firewalling/VPNing nicht ansatzweise ausgelegt. Da wäre selbst ein hEX S leistungsfähiger. Die richtige Modellreihe hierfür sind die CCR.
 
Wenn kein IDS/IPS verwendet werden soll -> aktueller i3, 8-16 GB ECC RAM, kleines Fujitsu S1151/v2-Board und NICs nach Wahl. Darauf dann pfSense/OPNSense, dürfte alles können was du vor hast.
Preislich dürftest du so bei ~500 € raus kommen.
 
ok, dann werd ich mir erst mal nen alten Rechner nehmen und pfsense/opnsense probieren um ein gefühl zu bekommen.... wenn das dann läuft würd ich mir nen schönes board mit cpu holen..

btw.... was haltet ihr von den SOC boards von supermicro?

X10SDV-TP8F | Motherboards | Products | Super Micro Computer, Inc.
X10SDV-2C-TLN2F | Motherboards | Products | Super Micro Computer, Inc.
A2SDi-4C-HLN4F | Motherboards | Products | Super Micro Computer, Inc.
A2SDi-H-TF | Motherboards | Products | Super Micro Computer, Inc.
 
Mal rein interessehalber (ich nutze praktisch nur ipsec und sstp):
Was ist der Vorteil von openVPN über UDP? Wenn ich jetzt mal rein von UDP ausgehe, ist das doch praktisch nur für Echtzeitkommunikation (und paar angestaubte Protokolle wie DNS/UDP etc.) interessant.
Im MikroTik Forum gab es diesbezüglich auch schon paar FeatureRequests und wird wohl auch bald kommen, aber welchen großen Vorteil bietet es, dabei auf UDP zu setzen? Ohne mich damit jemals beschäftigt zu haben, sehe ich auf den ersten Blick nur Nachteile.
Gut, beim Mediastreaming oder Zocken wird es wohl noch etwas performanter sein. Beides nichts, das ich per VPN mache :)
 
Zuletzt bearbeitet:
martingo schrieb:
Mal rein interessehalber (ich nutze praktisch nur ipsec und sstp):
Was ist der Vorteil von openVPN über UDP? Wenn ich jetzt mal rein von UDP ausgehe, ist das doch praktisch nur für Echtzeitkommunikation (und paar angestaubte Protokolle wie DNS/UDP etc.) interessant.
Im MikroTik Forum gab es diesbezüglich auch schon paar FeatureRequests und wird wohl auch bald kommen, aber welchen großen Vorteil bietet es, dabei auf UDP zu setzen? Ohne mich damit jemals beschäftigt zu haben, sehe ich auf den ersten Blick nur Nachteile.
Gut, beim Mediastreaming oder Zocken wird es wohl noch etwas performanter sein. Beides nichts, das ich per VPN mache :)
Zum Vergrößern anklicken....

OpenVPN ist meistens langsamer als IPSEC, dafür aber meiner Meinung nach sicherer.
 
Ceiber3 schrieb:
dafür aber meiner Meinung nach sicherer.
Zum Vergrößern anklicken....

Nö. Gibts keine Belege dafür, das IPSec unsicherer ist. Es hat die größte Verbreitung aller VPN Lösungen, performt sehr gut, aber eben schwieriger zu konfigurieren und zu debuggen, wenns mal doch nicht läuft.
 
Mmmmh, ich habe auch eine Zywall 110, und würd mir höchstens eine zweite als Ersatz holen, damits nahtlos weiter geht im Notfall. Das openVPN halt hinterher. So siehts aus bei mir... Zywall ftw., wenn Du damit durch blickst.
 
Ceiber3 schrieb:
OpenVPN ist meistens langsamer als IPSEC, dafür aber meiner Meinung nach sicherer.
Zum Vergrößern anklicken....
Deswegen ist ipsec auch quasi Industriestandard... Sorry, aber das ist Käse.
Und meine Frage war auch nicht, was der Vorteil von openVPN im Allgemeinen, sondern wieso über UDP (statt über TCP).
 
wie ich schon schrieb wollte ich mir eigentlich zuerst eine neue appliance zyxel atp 200 (oder 500) holen.
Nachdem ich aber vom Zyxel Support erfahren habe, dass eine Konfigurationsübertragung manuell (also eine grundlegende Neukonfiguration) erfolgen muss habe ich von diesem Vorhaben abstand genommen und will etwas haben, wo ich "später" relativ einfach die Hardware und Leistung anpassen kann aber meine grundlegende Konfig relativ einfach weiter verwenden kann.

Daher fiel mein Interesse auf OPNsense oder PFSense, wobei ich eher zu OPNSense tendiere.
=> nachdem was ich gelesen habe, sind die beiden Systeme nahezu gleichwertig.

Ein Wunsch von mir, war es schon immer mein 10G Netz (lokales internes VLAN Routing OHNE ACLs) direkt auf die Firewall connecten zu können. Nach "aussen" dann normales NAT und innen per ACLs.
Nach "aussen" hin, habe ich leider aktuell nur 1x VDSL 100 und eine LTE FLAT (o2). Ziel soll es sein die beiden parallel zu betreiben und ggfls. ein Spillover zu machen. (wenn WAN1 voll => nimm WAN2)

Und ja, ich nutze/will die VPNs primär nutzen um Geo-Restricions zu umgehen und somit Audio/Video zu streamen. Hierzu will ich eigentlich dieverse VLANs aufspannen, welche dann zwar intern routen können (wegen meines eigen IPTV-Servers) aber immer nur über das jeweilige Tunnel-Interface nach aussen gehen.

So kann ich mit 2 Befehlen an meinem Switch (oder per Wahl der SSID) die Clients einfach ohne Modifikation verschieben.

Gehen eigentlich bei den System ACLs (incomming) wo eine bestimmte Quell-Adresse (z.B. DynDNS Name) abgefragt wird?
Also Pakete kommen an der Firewall an. => Paket 1 kommt von "richtiger" Quelle => darf druch die firewall durch & paket 2 kommt von "unbekannter" quelle und wird direkt geblockt.

IDS/IPS wäre nett, ist aber kein muss
DNS-/WebProxy wird kommen, wenn die Kinder irgendwann größer sind und mit handy/pc ins Netz können.

Gibt es eigentlich sonst noch etwas zu beachten?

Ich persönlich tendiere hier zu einem Atom SOC von Supermicro, alleine schon wegen des Verbrauches

A2SDi-H-TF | Motherboards | Products - Super Micro Computer, Inc.

8C mit 10G NIC und TPD von 25W...sowie AES NI und Intel Quick Assist

hat hier jemand Erfahrungen damit?


Danke noch einmal in die Runde ^^
 
asche77 schrieb:
Sieht nach ziemlichem OVERKILL aus für die Leitung ... (wobei allerdings 10G NIC viele "normale" appliances schon ausschließt)
Zum Vergrößern anklicken....

ja, ich will das System eigentlich aufbauen und dann die nächsten Jahre für möglich Erweiterungen gerüstet sein. Lebenszeit der Hardware (ausser bei defekten) plane ich mit 5-10 Jahre ein.
Da kann selbst in DE noch viel bei den verfügbaren WAN Bandbreiten passieren..^^

Eine ATP 200 kostet auch seine 700-800€....selbst meine "alte" Zywall 110 liegt noch bei fast 500€

Daher wollte ich auch mit der Migration langsam anfangen um nicht in den Zwang zu geraden kaufen zu müssen, wenn die Firewall doch mal sterben sollte...^^
 
OK....... nach langem Nachdenken und Nachrechnen habe ich mich für den C3758 8Kern Atom a2sdi h tf entschieden....

es sollte leistungsfähig genug und dabei auch noch relativ stromsparend sein...
 
Anmelden, um zu antworten.

Ähnliche Themen

P
[Kaufberatung] Zwei Heimserver für OPNsense und Proxmox
Antworten
5
Aufrufe
706
Pixolantis
P
O
pfSense Hardware - Empfehlungen / Kaufberatung / Erfahrungen
Antworten
0
Aufrufe
101
OsiMosi
O
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh