Suche Gerät für Firewall + WLAN AP + VPN

[CyberNation_RX]

Hallo,

ich erhalte Internetzugang über ein LAN Netz. Habe zurzeit dort einen Switch angeschlossen um alle Geräte mit Internet zu versorgen, diese bekommen allerdings öffentliche IP Adressen innerhalb des Netzes und sind daher auch "sichtbar". Im ersten Schritt habe ich versucht diese ein wenig zu schützen indem ich verschiedene Dienste (smb etc...) deaktiviert habe. Meinen Internetverkehr tunnel ich zurzeit vollständig über einen eigenen VPN Server (ja ich bin sehr misstrauisch).

Nun habe ich überlegt eine Firewall zu kaufen um die Geräte von restlichen Netz besser abzuschotten. Außerdem möchte ich diese dazu verwenden, die VPN Verbindung für die Endgeräte herzustellen und entsprechende Routen für den Internetverkehr festzulegen. Als drittes soll diese noch die Möglichkeit haben als WLAN Access Point zu dienen.

Sonstiges Voraussetzungen:

• WLAN AC Standard wäre schön ist aber nicht zwingend notwendig.
• Mindestens 1000Mbit/s Durchsatz bei Kabelverbindung
• Einfach auszutauschendes OS (Installation von z.B. OpenWRT sollte möglich sein)
• max. 60 €

Kenn jemand ein passendes Gerät.

 

[black_assassin]

Gibt es in der Preiskategorie definitiv nicht, da wirst du mehr ausgeben müssen: http://geizhals.de/tp-link-archer-c7-v2-a923544.html?hloc=at&hloc=de

 

[nitech]

Mit 60€ kommst du nicht weit, insbesondere eine Firewall die auch ein VPN (ipsec?) aufbauen kann kosten um einiges mehr. das Gerät was black_assasin vorschlägt kann VPN auch nur passthrough d.h. der Tunnel wird von einem PC aufgebaut, und der Firewall stört nicht. Ich denke unter 200€ (z.b. Zyxel USG20W, aber auch kein OPEN-WRT) braucht man bei den Anforderungen gar nicht diskutieren.
mfg

 

[lodex]

• Mindestens 1000Mbit/s Durchsatz bei Kabelverbindung

Gigabit zu routen ist alles andere als ein Klacks. Bei diesen Anforderungen würde ich sogar noch etwas höher greifen als nitech und behaupten, dass du mindestens 350€ - 400€ ansetzen musst.

 

[CyberNation_RX]

Oh
hatte gehofft, dass die Geräte deutlich günstiger sind. Für dieses Geld kriegt man ja problemlos einen Gigabit Router (inkl. Firewall, AP, VPN)

Als VPN Protokoll nutze ich zurzeit OpenVPN, würde auch ungerne wechseln.
Mit OpenWRT auf dem Archer C7 V2" OpenWrt müsste es doch möglich sein passende Pakte für den VPN nachzuinstallieren oder?

 

[lodex]

Du musst bedenken, dass die meisten Router lediglich Gigabit Interfaces haben. Das heißt leider noch lange nicht, dass der integrierte Switch Gigabit schafft, geschweige denn der Prozessor schnell genug ist, Gigabit zu routen.

 

[Raijin]

Hm.. Du willst eine eierlegende Wollmilchsau zum absoluten Budgetpreis. Das haut nicht hin.

Ein EdgeRouter Lite oder auch ein MikroTik könnten zumindest das Routing sowie VPN leisten. Der ERLite kostet knappe 100€, hat aber kein WLAN. MikroTiks gibt's auch mit WLAN. Das sind die einzigen Geräte, die mir im unteren Preissegment einfallen, die zumindest einen Teil deiner Anforderungen erfüllen können.

Ansonsten gibt es dann noch ALIX-Boards mit pfSense.

So oder so sind aber All-In-One gerade in anspruchsvollen Szenarien wenig sinnvoll. Ich würde zumindest das WLAN stets separat halten, wenn die Routing-Funktion leistungsfähig sein soll - sprich ein dedizierter Router + WLAN-AP.

 

[CyberNation_RX]

@Raijin hey, da bist du ja wieder, dein OpenVPN Skript läuft echt super, danke nochmal


Ihr habt vermutlich Recht , dann werde ich wohl auf ein paar Funktionen verzichten und mir die Geräte einzeln kaufen.
Einen AP und einen Router/Firewall, die VPN Verbindung können auch die Endgeräte weiterhin herstellen.

Der AP wird es wohl tun:
http://www.amazon.de/TP-Link-TL-WR8...=1456934335&sr=8-1&keywords=wlan+access+point
leider kein ac aber dafür günstig.


Hat jemand eine Router Empfehlung?

 

[lodex]

Hab mit den TP-Link Geräten, entgegen den Erwartungen aufgrund ihrer Preise, wirklich gute Erfahrungen gemacht. Zu Hause und auch bei Bekannten laufen diverse Access Points und Router einwandfrei.

 

[lakekeman]

pfsense auf APU2

AP extra.

Aber keine Chance auf Gigabit über OpenVPN, das packen solche kleinen Kisten nicht.

 

[Love Guru]

pc mit entsprechender software als router verwenden. sollte wenigstens zweimal gbit haben und ausreichend cpupower.

früher hat man mittels windows server geroutet, bis w2k3srv enterp. edtn. kann man das glaub ich auch mit windows.

aber sollte nicht auch ein router mit wan via lan-port mit gbit-tauglichen lan-ports diese aufgabe übernehmen können. damit liese sich dann ähnlich wie daheim hinter dem router fortfahren.
den router dabei so einrichten als bekäme man ip via dhcp zugeteilt oder eine statische ip und den rest wie geabt. oder nicht?

ich würde dem alten pc den vorrang geben und nur bei leistungseinbußen zu einem neuen router greifen.

 

[Raijin]

Aber keine Chance auf Gigabit über OpenVPN, das packen solche kleinen Kisten nicht.

Hm.. Ich weiß auch nicht ob das so gemeint war. VPN mit 1 Gbit/s ist bei dem Budget in der Tat illusorisch, dafür braucht man entweder viel CPU-Power oder aber hardwareunterstützte Verschlüsselung. Ich glaube aber es ging um den Durchsatz beim LAN2LAN-Routing.

 

[error]

Moin,

wie breiets vorgeschlagen könntest du dir auch einen kleinen PC als Firewall/Router/VPN-Gateway nutzen. Darauf dann eine Sophos UTM oder pfsense. Mit dem PC sollte dann auch das VPN relativ performant laufen.
Dahinter kannst du dir dann einen kleinen AP hängen der ausschließlich WLan macht.

Thema VPN und Router:
Die TP-Link WRND machen beim Freifunk-VPN knapp 18 Mbit/s. Je nachdem wie schnell deine Internetverbindung ist das reine Verschwendung von Bandbreite.

Hm.. Ich weiß auch nicht ob das so gemeint war. VPN mit 1 Gbit/s ist bei dem Budget in der Tat illusorisch, dafür braucht man entweder viel CPU-Power oder aber hardwareunterstützte Verschlüsselung. Ich glaube aber es ging um den Durchsatz beim LAN2LAN-Routing.

Es kann nur LAN2LAN sein. Wenn das dein normaler Router mit FW+Antivirus+VPN kann, will ich den auch

 

[CyberNation_RX]

Danke für eure Vorschläge, habe die Idee erstmal zurückgestellt, da ich auf eine deutlich kostengünstigere Lösung gehofft habe. Ich werde es bei einem WLAN AP belassen, die Geräte müssen sich dann halt selbst schützen und dürfen was die Dienste angeht nicht ganz so viel Angriffsfläche bieten wie in einem privaten LAN.

Abschließend noch eine Frage an die VPN Experten unter euch:
Nutze zurzeit OpenVPN auf meinen Geräten. Bei der Übertragung werden aber nur etwa (60Mbit/s up/down) erreicht obwohl ohne VPN weit über 100Mbit/s drin sind. Auf dem VPN Server wird 1 von 4 Kernen bei der Übertragung stark ausgelastet, was zu meiner Frage führt ob OpenVPN Multi Threading unterstützt oder ob bei diesen Übertragungsraten einfach Schluss ist.

EDIT: Client und Server Version ist "OpenVPN 2.3.2"

 

[Raijin]

Schau dir mal diesen Artikel an. Wenn du die Punkte abarbeitest, wirst du sicher noch ein paar Mbit/s aus OpenVPN rausquetschen können ;-)

https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_Linux