Privacy - Wat niemand over je mag weten

OpenVPN hardware

26-02-2015, 11:13 door Anoniem, 17 reacties
Ik ben op zoek naar een hardwarematige oplossing om mijn hele LAN over OpenVPN naar buiten te sturen (externe VPN aanbieder). Ik heb al gezocht, maar ik krijg maar niet gevonden wat ik zoek, hopelijk kom ik daar via deze weg wel uit.

Naar deze eigenschappen ben ik op zoek:

- Dedicated hardware oplossing (geen oude PC oid) ivm ruimtegebrek en energie efficiëntie
- Minimaal 2 ethernet aansluitingen (gigabit), WiFi is niet nodig
- Volledige OpenVPN ondersteuning
- Ondersteuning voor meerdere OpenVPN profielen, waardoor je makkelijk kunt switchen van end-point
- Automatische cut-off bij verlies van de OpenVPN verbinding
- Automatische re-negotiation bij het terug opkomen van de verbinding
- Bij voorkeur voorzien van een (web) GUI

Ik heb al veel gelezen over een Netgear R7000 met DD-WRT, maar daar kan ik (zover ik weet) maar één OpenVPN profiel opvoeren. Ook betaal ik dan voor WiFi hardware die ik niet nodig heb.
Verder werden Ubiquiti EdgeRouters mij aangeraden, maar daar hoor ik weer horrorverhalen over de enorm complexe configuratie van die dingen (hoewel de GUI wel precies is wat ik zoek). Ook weet ik niet of ik met 512MHz (ipv 1GHz in de R7000) wel genoeg CPU kracht heb voor AES-256-CBC verkeer en enkele honderden connecties (van een 5 tot 10 clients).

Hopelijk kan iemand mij op weg helpen!
Reacties (17)
26-02-2015, 14:22 door Anoniem
Asus RT66U kan volgens mij meerdere profielen, al dan niet na een upgrade naar Merlin firmware.
26-02-2015, 15:29 door Anoniem
Met deze (met Pfsense (https://www.pfsense.com):
http://www.miniserver.it/home-page-products/apu-firewall-entry-level-3-nic-2gb-ram.html
maar dan de 4GB (voor snort en squid) variant verbruikt ik 20% cpu als ik het max van mijn (Open)VPN haal 20Mbit. Verbruikt is 6w tot 12w.
Kan verder wat jij wilt.

Hoeveel versleuteld verkeer wil je gaan doen?
Het kan handig zijn om naar een appliance te kijken met dedicated VPN chip (lees encryptie chip). Of een processor die AES-NI ondersteund (OpenVPN in Pfsense 2.2 kan met AES-NI omgaan)
26-02-2015, 16:14 door Anoniem
Ik zou toch gaan voor een 'PC', vanwege het simpele feit dat je dan volledige controle hebt over het OS, en daarmee over de VPN tunnels. Daarnaast vergt VPN toch redelijk wat CPU power, waar veel huis-tuin-en-keuken routers niet aan kunnen voldoen. Een populair apparaat dat volgens mij prima voldoet (klein en energiezuinig) kun je hier vinden https://forum.pfsense.org/index.php?topic=75415.0. Trekt met gemak de snelheden van de gemiddelde huis-tuin-en-keuken internetaansluiting. En ja, PFsense is een prima (router)OS om te gebruiken in combinatie met je wensen op gebied van VPN. Maar zelf aan de gang met Linux kan ook, dat is het voordeel van de standaard x86 hardware.

Overigens zou ik zeker niet al je internetverkeer via een externe VPN dienstverlener laten lopen. Waarom zou je dat doen? Welk risico perk je daarmee in? Waarom meer vertrouwen in die externe VPN leverancier dan in je eigen ISP? etc etc. Maar dat terzijde.
26-02-2015, 17:32 door Anoniem
Kijk eens naar Mikrotik routers, zie hier bv. de wiki voor Openvpn: http://wiki.mikrotik.com/wiki/OpenVPN#Download_OpenVPN
26-02-2015, 18:23 door Anoniem
TS hier. Welk OS draai je dan op een pfsense? En is dat ARM of x86?
27-02-2015, 11:22 door Jan Joris Vereijken
Ik heb hele goede ervaringen met pfSense, op PC Engines hardware.

pfSense is FreeBSD-gebaseerd, en draait zo ongeveer op alle i386/amd64 hardware. De OpenVPN ondersteuning is voorbeeldig (want FreeBSD), meerdere profielen, meerdere clients, meerdere servers, noem maar op. Alles is keurig via de GUI te configureren. Je kunt ook naar de command-line, maar dat heb ik nog nooit nodig gehad, en ik heb best een lastige set-up.

https://www.pfsense.org/

De PC Engines APU hardware (1GHz, dual core, 4GB RAM) loopt op een passief gekoelde low-power AMD 64bit CPU, en heeft drie gigabit ethernet poorten die volledig onafhankelijk zijn (geen interne switch). Mooi kleine doosje, wordt wel vrij warm, maar is ook in de meterkast goed te draaien zonder actieve koeling als je een metalen behuizing neemt.

Deze config draait bij mij al jaar superstabiel, en bedient een dozijn OpenVPN clients. Zeer tervreden over.

http://www.pcengines.ch/apu.htm

Preassembled hier te koop:

https://www.pfsense.org/hardware/pfsense-store.html#vkt40e

maar wel erg duur. Zelf in elkaar zetten scheelt de helft. Ik heb hele goede ervaringen met deze winkel:

http://varia-store.com/Hardware/PC-Engines-Bundles/PC-Engines-APU1D4-Bundle-with-Embedded-Box::3274.html

Die bundle is exact dezelfde config als de preassembled versie van pfSense store, alleen nog een SD kaartje toevoegen, of een mSATA kaartje.

Veel plezier,

- Jan Joris -
27-02-2015, 12:06 door Anoniem
Door Anoniem: Kijk eens naar Mikrotik routers, zie hier bv. de wiki voor Openvpn: http://wiki.mikrotik.com/wiki/OpenVPN#Download_OpenVPN
Open vpn werkt niet al te best met mikrotik servers.
Ik zou een pc engine kopen kosten rond de 100 euro. Zet er pfsense op en je hebt ook nog een een hele fijne firewall er bij.
27-02-2015, 20:02 door Anoniem
Ddwrt ?
28-02-2015, 13:04 door Anoniem
Door Anoniem: Ik zou toch gaan voor een 'PC', vanwege het simpele feit dat je dan volledige controle hebt over het OS, en daarmee over de VPN tunnels. Daarnaast vergt VPN toch redelijk wat CPU power, waar veel huis-tuin-en-keuken routers niet aan kunnen voldoen.
Inderdaad. Hier staat een Asus RT-N66U, wat nu niet bepaald een budget model is, en de standaard firmware heeft ook een OpenVPN client en server. De default DH keysize van de server is echter maar 512 bit ipv het minimum aanbevolen 2048. Het is wel mogelijk om via omwegen dit aan te passen(SSH, Telnet) maar met grotere keys wordt de boel er een stuk langzamer op.
28-02-2015, 13:07 door Jan Joris Vereijken
Door Anoniem:
Door Anoniem: Kijk eens naar Mikrotik routers, zie hier bv. de wiki voor Openvpn: http://wiki.mikrotik.com/wiki/OpenVPN#Download_OpenVPN
Open vpn werkt niet al te best met mikrotik servers.
Ik zou een pc engine kopen kosten rond de 100 euro. Zet er pfsense op en je hebt ook nog een een hele fijne firewall er bij.

Inderdaad! Ik heb een aantal Miktotik routers, mooi spul, maar OpenVPN willen ze alleen over TCP doen, en dan ook nog met driekwart van de opties niet ontsloten via de GUI. Bizar en onbruikbaar.
28-02-2015, 16:10 door Anoniem
Draai hier PfSense in VM waarbij al het LAN verkeer via OPENVPN het net op gaat.
28-02-2015, 22:48 door Eric-Jan H te D
De FritzBoxen (Xs4all) hebben dit standaard dacht ik. Maar blijft een soft/firm-ware VPN
04-03-2015, 07:27 door Anoniem
Heb hier een Dell optiplex 745 staan, 1 extra nic ingestopt vervolgens PFsense op geinstalleerd.

PFsense zit bomvol met leuke netwerk tools,

Zo draai ik dus
OpenVPN voor mijzelf, deze knijpt er soms uit en dan gebruik ik IPsec
PFBlocker ( Voor het blocken van Spammers)
Snort (Een soort Wireshark maar van dan PFsense)
Squid proxy en Squid Filter (Voor het filteren en cachen van paginas binnen mijn domein)
Traffic shapers (Layer 7 filter)
Meerdere Vlans (Cam VLAN, Admin VLAN etc etc)
HAFV (Antivirus op de firewall client)

En ga zo maar door, Zo heb ik voor nog geen 75 euro een complete oplossing binnen mijn huidige netwerk.


Specs van de Optiplex:
Intel Core 2 Duo (2,0 GHz)
4GB Geheugen
2x Intel 10/100/1000 nics
160GB hdd (Voor de cache etc)
Na 2,5 jaar stabiel te draaien (uptime) zit mijn cache van de squid nooit vol, mijn cache is soms 9 GB maar dat is in uiterste situaties.

Zoals veel hier raad ik je dit programma sterk aan. Er zit een sterke community achter als je in de problemen komt maar het is veelal zelf op te lossen!
04-03-2015, 09:49 door Anoniem
Door Anoniem: Heb hier een Dell optiplex 745 staan, 1 extra nic ingestopt vervolgens PFsense op geinstalleerd.

PFsense zit bomvol met leuke netwerk tools,

Zo draai ik dus
OpenVPN voor mijzelf, deze knijpt er soms uit en dan gebruik ik IPsec
PFBlocker ( Voor het blocken van Spammers)
Snort (Een soort Wireshark maar van dan PFsense)
Squid proxy en Squid Filter (Voor het filteren en cachen van paginas binnen mijn domein)
Traffic shapers (Layer 7 filter)
Meerdere Vlans (Cam VLAN, Admin VLAN etc etc)
HAFV (Antivirus op de firewall client)

En ga zo maar door, Zo heb ik voor nog geen 75 euro een complete oplossing binnen mijn huidige netwerk.


Specs van de Optiplex:
Intel Core 2 Duo (2,0 GHz)
4GB Geheugen
2x Intel 10/100/1000 nics
160GB hdd (Voor de cache etc)
Na 2,5 jaar stabiel te draaien (uptime) zit mijn cache van de squid nooit vol, mijn cache is soms 9 GB maar dat is in uiterste situaties.

Zoals veel hier raad ik je dit programma sterk aan. Er zit een sterke community achter als je in de problemen komt maar het is veelal zelf op te lossen!
Door Anoniem: Heb hier een Dell optiplex 745 staan, 1 extra nic ingestopt vervolgens PFsense op geinstalleerd.

PFsense zit bomvol met leuke netwerk tools,

Zo draai ik dus
OpenVPN voor mijzelf, deze knijpt er soms uit en dan gebruik ik IPsec
PFBlocker ( Voor het blocken van Spammers)
Snort (Een soort Wireshark maar van dan PFsense)
Squid proxy en Squid Filter (Voor het filteren en cachen van paginas binnen mijn domein)
Traffic shapers (Layer 7 filter)
Meerdere Vlans (Cam VLAN, Admin VLAN etc etc)
HAFV (Antivirus op de firewall client)

En ga zo maar door, Zo heb ik voor nog geen 75 euro een complete oplossing binnen mijn huidige netwerk.


Specs van de Optiplex:
Intel Core 2 Duo (2,0 GHz)
4GB Geheugen
2x Intel 10/100/1000 nics
160GB hdd (Voor de cache etc)
Na 2,5 jaar stabiel te draaien (uptime) zit mijn cache van de squid nooit vol, mijn cache is soms 9 GB maar dat is in uiterste situaties.

Zoals veel hier raad ik je dit programma sterk aan. Er zit een sterke community achter als je in de problemen komt maar het is veelal zelf op te lossen!

Snort is geen Wireshark voor PfSense, Snort is IDS/IPS
04-03-2015, 11:52 door [Account Verwijderd]
[Verwijderd]
04-03-2015, 14:43 door Anoniem
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.