Nutzung Router als (reinen) VPN-Server [gelöst]

#1

Hallo Freunde!

Meine Anfrage hat eigentlich nichts mit Freifunk zu tun. Aber weil ich mit 5 betriebenen Knoten aktiver Freifunker bin, wage ich trotzdem mal diese Frage.

Ich betreibe seit mehreren Jahren ein kleines Netz bestehend aus drei per VPN verbundenen Fritz!Boxen. Aber aus zwei Gründen möchte ich vom AVM-VPN weg: die geringe mögliche Bandbreite des Tunnels im Vergleich zum heutzutage möglichen Uplink und auch “Dank” TR069 mangelndes Vertrauen in diese Funktion der Fritz!Boxen.
Deshalb schwebt mit jeweils ein externes Gerät als VPN-Server oder VPN-Endpunkt vor. Dieses Gerät sollte hardwaremäßig so zwischen 10 bis 30 Mbit/s an verschlüsseltem Traffic leisten können. Als VPN würde ich gern IPsec (da kenne ich mich berufsbedingt am besten aus) oder auch openVPN nutzen.
Die realisierte Test-Lösung (“Machbarkeitsstudie”) mit dem RasPi funktioniert zwar, ist aber erwartungsgemäß viiiieeeel zu langsam. Ein kommerzieller Minirechner (“Barebone”) ist mir sowohl von den Anschaffungs- wie auch von den Betriebskosten zu mächtig und leistungsmäßig auch überdimensioniert.
Ich suche also etwas, was Kosten- und Leistungsmäßig so “zwischen RasPi und Barebone” liegt - und denke dabei an einen der bei uns üblicherweise verwendeten Router.

Frage: Hat da jemand von euch schon Erfahrungen oder kann mir jemand einen Tipp geben, welches Produkt dafür vielleicht geeignet ist?

Vielen Dank fürs Lesen :wink:

MfG Peter

#2

Wie wäre es mit einem gebrauchten thin client? Diese Geräte haben einen geringen Stromverbrauch aber meistens trotzdem hardwaregestützte Verschlüsselung, sodass sie auch in Freifunk-Kreisen gerne für das Auslagern der VPN-Last verwendet werden.
Du kannst mal hier im Forum nach “Offloader” suchen.

#3

Danke, Milan!

Da werde ich mich mal in dieser Richtung umsehen.

MfG Peter

#4

Bei mehr als zwei Endpunkten im VPN schau dir unbedingt tinc an. Selbstvermaschend und kann Layer3 und 2 tunneln. Performance ist vergleichbar OpenVPN würde ich behaupten.

#5

Womit? Mit OpenVPN ist klar (Kontextwechsel), aber mit Wireguard (da kernelbasiert) sollte nem aktuellen RPi 2/3 um die 50 MBit/sec schaffen können?

#6

Wenn Du nicht schon vorhandene HW hast, so würde ich auch einen Blick auf den UBNT ERX werfen, sehr kompakt, vernünftiges Gehäuse, energetisch sicher auch sinnvoll. Und auch nicht teuerer als ein Raspi brutto, oder wenn dann leistet er ja eben auch eben mehr bei dieser Aufgabe.
(wenn kein hw offloading ggf, dann dual core 880MHz). Hat dann auch mehr Ports und nicht wie beim Raspi noch die USB Flaschenhälse (@wusel).

#7

Es ging um unter 50 MBit/sec, um 100 schafft ein RPi zumindest nativ. Ansonsten: klar, Anwendungsfall und Geldbeutel bestimmen die HW. Insofern, wenn 1GB ‘Platte’ reicht, dürften Futros für 20 EUR aus der Bucht das beste Preis-Leistungsverhältnis bieten, rechnerisch 500 MBit/sec als GW (ob das per WG tut: dunno) reicht auch für Kabel :slight_smile:

#8

Hier ist ja richtig was los! Danke.

RasPi: Ja, es sind die “USB-Flaschenhälse”. Ich mache zwar viel mit den Dingern (Seafile zum Synchronisieren der /home meiner drei Rechner, pi-hole, radicale für Kalender und Adressbücher sowie NUT-Server für meine USV - aber was den Durchsatz icl. Verschlüsselung betrifft, da kann ich dann auch bei der Fritte bleiben (wenn ich mein Misstrauen ggü. TR069 unterdrücke).
Das “Problem” ist auch noch, dass ich für mein VPN drei möglichst identische (Wartung …) Geräte benötige. Und in DK vlt. noch ein viertes hinstellen kann, damit ich bei einer Störung nicht hinfahren muss. Das engt die Suche hinsichtlich Gebrauchtgeräten doch stark ein.
Daher mein Gedanke, dafür einen Router (Archer C7 o.ä.) zu nutzen.

Ich werde mal meinen C7 aus dem Netz nehmen und diesen (temporär) zur “SINA-Box für Arme” umbauen. Als Gegenstelle kann ich ja einen PC benutzen. Mal sehen, was das bringt. Oder einen BananaPi o.ä mit zwei echten Schnittstellen.

Wirequard: Wäre auch, zumindest was das VPN betrifft, eine Lösung. Wenn das “USB-Problem” der RasPi nicht wäre. Aber testen kann ich das ja auch mal. Kost ja nix. Ich habs bislang noch nicht angefasst, weil das IMHO noch nicht “fertig” und vor allem noch nicht hinsichtlich Sicherheit zumindest mit “positiven Meinungen” versehen wurde.

@wusel: dein zweiter Beitrag macht mir Mut! Ich fasse es mal an.

MfG Peter

#9

Dann kommst Du am UBNT ER-X kaum vorbei. Die Futros sind zwar auch super-stabil und dank “bootet aus externem USB-Stick” ähnlich gut “auf dem Postweg wartbar” wie RPIs, aber wenn man die Bandbreite nicht wirklich braucht, dann sind die ziemliche Stromvergeudung.
(Und Futros sind erstmal ein Gebasteln mit zusätzlichen Lankarten, respektive einem vorgelagerten Smartswitch als Lan-Portmultiplyer)

Als zusätzliche Anregung sei noch das Bananapi-Routerboard in den Ring geworfen. Das ist dann zwar wieder teuer (gibt dafür aber immerhin Blechgehäuse), aber es kommt evtl. vom Ansatz her entgegen, wenn man mit der dürftigen Distro-Situation bei den Bananapis zurechtkommmt auf die eine oder andere Weise.

#10

Hallo Andreas,

auch dir meinen Dank!
Ich habe mich entschieden, und werde den UBNT ER-X bestellen. Für das, was ich in den letzten Stunden gelesen habe, sehe ich die 48 €nen dafür auch als angemessen an.
Mit dieser HW muss ich mich zwar von einigen Gedanken lösen (völlig einheitliche Firmware ohne jegliche Nutzer-Konfiguration, bootbar von einem schreibgeschützten Datenträger und einen ext. Datenträger nur mit der Konfiguration), aber man kann nicht alles haben. Jetzt werde ich mich mal mit der zu installierenden FW befassen. Mal sehen, was am Ende dann herauskommen wird.

Mein im ersten Beitrag beschriebenes Problem ist hiermit bestens beantwortet. Ich bedanke mich bei allen Beteiligten!

MfG Peter

1 Like