QVPN vs. Fritzbox VPN - Sicherheit?

  • Gibt es noch konkrete Hardwareempfehlungen? Der SG-1100 ist mit 200€ ja nicht gerade ein Schnäppchen. Gibt es etwas günstigeres?

  • Das kostet eine Fritbox auch, die kann nur Netzwerktechnisch nix im Vergleich dazu.


    Vor allem was VPN angeht, sind die gut unterwegs.


    Habe gestern mal eben in 6h über VPN 90GB Backup geschoben, da ist die Leitung jetzt das Limit, die Fritz gurkte da nur rum. Da liegt Faktor 10 dazwischen.


    Und du kannst bei der jedes Setting einstellen und dran schrauben + super Logging.


    Das ist mir jedenfalls das Geld für eine sorgenfrei Hardware Appliance wert.

    Die Netgate Hardware läuft jedenfalls entsprechend gut.


    Günstiger geht es mit einem selbstbau ggf. schon, aber das muss dann ein x86 sein und die verbrauchen alle wieder mehr Strom. Die SG-1100 und SG-3100 sind aufgrund der ARM Bestückung extrem genügsam.

  • Wie bitte soll Variante 2 funktionieren, wenn kein Kabelmodem vor der pfsense steckt?

    Und noch ein Tipp für Kabelnutzer: Wer auf Gbit umsteigen will, dem nützt die SG1100 nichts, der muss zur SG3100 wechseln. Da werden dann 500€ fällig.

    Einmal editiert, zuletzt von biboca ()

  • Ich habe mir zuletzt zwei Geräte von Terra/Securepoint bei den gängigen Auktions- und Handelsplattformen gebraucht günstig kaufen können.

    Momentan ist die black dwarf für unter 100€ zu haben... Ich hatte zuletzt die rc100 g2 und aktuell die g3 im Einsatz, die rennen auch sehr gut (bei mir mit opnsense, aber das ist ja einheitsbrei).

    Könntest du auch drüber nachdenken wenn gebrauchte Teile für dich in Frage kommen...

  • Docsis 3 Modems bekommst bei eBay für wenig Geld, wenn du die angemeldet bekommst, hast für 30€ eine Lösung.


    Dann muss es keine Netgate Appliance sein, kannst die auch selber was zusammen schrauben, eine APU2 Teil würde ich aktuell nicht mehr wirklich kaufen, das kann so viel wie das SG-1100, verbraucht aber einiges mehr an Strom.


    Kannst auch einen custom Bild erstellen, Gehäuse, gescheites Board (Supermicro), am besten ein Deverton Atom und dann gehts ab.

    Dafür kann dir die Kiste dann bei einem Update um die Ohren fliegen.

    Ist halt das Risiko, wenn ich was fertiges kaufe, dann kann man davon aus gehen das es läuft.


    Aber wir sind hier in einem QNAP Forum, ein NAS kann ich auch mit einem Marvell Armada für wenig Geld zusammen schrauben, warum kaufen wir uns dann so eine fertige Kiste?

    Die kosten auch deutlich mehr als wenn ich die reinen Teile nehmen und selber Software zusammen suche und drauf packe.


    Da habe ich dann aber ggf. nur self support. Wenn das Ok, ist warum nicht.

  • Egal ob selbst geschraubt oder fertig gekauft, achtet darauf, dass der Prozessor Advanced Encryption Standard New Instructions (AES-NI) kann.

    Sonst habt ihr keine Freude mit VPN.

    Es wird häufig pfSense Hardware angeboten, die ein Celeron J1900 beherbergt, der kann kein AES-NI.

  • Noch eine Frage zur Stabilität. Ich habe beim Fritzbox VPN immer das Problem, dass irgendwann mal die Verbindung abreißt. Beim Surfen in öffentlichen WLANs ist das nicht groß von Relevanz, aber wenn man besagtes 90 GB durch die Leitung schiebt und das dann abbricht, ist das schon ärgerlich. Ich gehe davon aus, dass der VPN Server in pfSense stabiler läuft?

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Wie bitte soll Variante 2 funktionieren, wenn kein Kabelmodem vor der pfsense steckt?

    Guter Punkt:D Variante 2 ist totaler Quatsch. Hier die neue abgeänderte Variante 2:


    Variante 2.jpg

    Das bringt mich jetzt zu der Frage, was ich in diesem Fall mit meinem Telefon mache? Schließlich kann ich die Telefonanlage der Fritzbox nicht mehr nutzen.


    Variante 1 hätte ja im Grunde nur den Nachteil des doppelten NATs, korrekt? Was ist daran schlecht? Konfigurationsaufwand?


    Alternativ könnte ich auch ein einfaches Kabelmodem nutzen und "irgendein AP" durch meine Fritzbox ersetzen. Dann wäre das pfSense WLAN für Gäste und Mitbewohner und das LAN für PC und NAS wandert an die Fritzbox. Würde dann noch die Telefonanlage der Fritzbox funktionieren?

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Und noch ein Tipp für Kabelnutzer: Wer auf Gbit umsteigen will, dem nützt die SG1100 nichts, der muss zur SG3100 wechseln. Da werden dann 500€ fällig.


    Warum? Weil die SG-1100 kein GBit erreicht und damit zum Flaschenhals wird?

  • Nur Provider eigene Fritzen lasse sich ggf. als Modem nutzen, eigen haben diese Modus nicht und das sieht auch AVM nicht vor.


    Da eine 6490 eh Probleme mit dem Modem Chipsatz hat, war ein Austausch für mich der logische Schritt (Intel Puma Bug).


    Zudem kann man erst mit einem Modem die wahren Leistung eine Firewall Appliance wirklich nutzen, bis dahin limitiert bei doppeltem NAT die Session Zahl der Fritz und die Anzahl neuer Verbindungen pro Sekunde.


    Klar kosten ein Modem, das ist jedoch in meinem Fall ein DOCSIS 3.1 Modem und das kann ich damit einige Jahre nutzen, wenn es denn so lange hält.

    Dann kann ich die Kosten auf sagen wir mal optimistische 5 Jahre umlegen und dann sin das ein paar € pro Monat.

    Mir war es die Sache wert.


    Ja der Tunnel ist stabil bei der pfSense, so lange die Leitung stabil ist, wird aber abgebaut wenn der Client das sagt, oder keine Daten mehr durch laufen.

    Habe auch Mobike Support aktiv, das bedeutet auch Routing Änderungen im Internet, sprich eine andere WAN IP würden den Tunnel nicht crashen lassen, sondern die Endpunkte informieren sich augenblicklich über die neue IP und es läuft einfach weiter.


    Da ist halt ein Enterprise Produkt und kein Home Spielzeugs.


    Ist der nicht aktiv, ein Client will aber mit Daten durch, wird er augenblicklich aufgebaut, wenn die Gegenstelle erreichbar ist.


    Abstürze kenne ich von meinen Netgate Kisten keine, die laufen einfach.

  • Ich habe von Vodafone noch das Standard-Modem/Router. Könnte ich dieses als Modem (im sogenannten Bridge Modus (Vodafone Terminologie)) benutzen?


    Das einzige Modem, das ich gefunden habe, ist das TC4400, was auch gut 160€ kostet.


    Bleibt immer noch die Frage was dann mit meinem Telefon ist?

  • Warum? Weil die SG-1100 kein GBit erreicht und damit zum Flaschenhals wird?

    Genau.

    netgate.JPG


    Ich habe von Vodafone noch das Standard-Modem/Router. Könnte ich dieses als Modem (im sogenannten Bridge Modus (Vodafone Terminologie)) benutzen?


    Das einzige Modem, das ich gefunden habe, ist das TC4400, was auch gut 160€ kostet.


    Bleibt immer noch die Frage was dann mit meinem Telefon ist?

    Kommt darauf an, welchen Du hast. Der aktuelle DOCSIS 3.1 Router CGA4233DE kann das.

    Der TC4400 ist meines Wissens nach nur DOCSIS3, da würde ich heute kein Geld mehr für ausgeben.

    Telefon soll vom Bridge-Modus unberührt sein und bleibt auf dem Ex-Router.

    Einmal editiert, zuletzt von biboca ()

  • Throughput bedeutet alles was durch die Firewall durchgeht? Sprich entweder von einem Host ins Internet oder zwischen zwei Host, die sich in zwei verschiedenen Netzen befinden, zwischen denen die Firewall routet?


    Ich habe den TG3442DE. Der soll aber auch DOCSIS3.1 können.


    Mit "Ex-Router" meinst du das Vodafone Modem/Router?


    Wenn ich jetzt ein anderes Modem nutze, geht dann gar keine Telefonie mehr?

  • Nein, das Modem hat nichts mit der Telefonie zu tun.

    Das Modem leitet alles durch bis zum Router.

    Und erst danach kommt das "alte" Vodafone Modem.

    Ist der Router bzw. die Firewall richtig konfiguriert, dann wird VoIP wie zuvor über das Vodafone Kästchen abgefrühstückt ;).


    Alles andere (Netzwerk) geht aber über den Router und nicht mehr über die Vodafone Box.


    Gruss

  • Ja, Ex-Router ist das Vodafon-Gerät im Bridge-Modus.

    Wenn Du ein anderes Modem nutzen möchtest, musst Du zum telefonieren die Ports in der Firewall durchleiten und z.B. eine Fritte als TK-Anlage hinten drann schliessen.

    Throughput ist der Durchsatz.

  • Der TC4400 ist meines Wissens nach nur DOCSIS3, da würde ich heute kein Geld mehr für ausgeben.

    https://helpdesk.vodafonekabelforum.de/wiki/Einsetzbare_freie_Endgeräte


    SG-1100

    Routing 880MBit, Firewall 656MBit, VPN 74Mbit


    Was die VPN Bandbreite angeht, da habe ich hier schon mehr gemessen, die ist also konservativ angegeben.


    https://www.netgate.com/blog/n…way-above-its-weight.html


    Wie gesagt, mit einer APU2 fährst da auch nicht besser, da müsste schon die IPU Reihe ran und dann fressen die deutlich mehr Strom als ein SG-3100.


    Was SIP angeht, hier ist es beschrieben:

    https://forum.netgate.com/topi…ekom-voip-einstellungen/3

  • Noch eine doofe Frage: Würde nicht auch ein RaspberryPi 4 gehen? Der hat einen ähnlichen oder gar besseren Prozessor, mehr RAM und verfügt genauso über die Hardwareverschlüsselung. Gigabit Ethernet ist vorhanden und fehlende Netzwerkschnittstellen könnten per USB 3.0 nachgerüstet werden. Der Stromverbrauch liegt in einer ähnlichen Größenordnung. Ich werde das Gefühl nicht los, dabei etwas übersehen zu haben. Wo ist der Haken?

    Mod: Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Die Zitat Funktion des Forums richtig nutzen

    Zudem kann man erst mit einem Modem die wahren Leistung eine Firewall Appliance wirklich nutzen, bis dahin limitiert bei doppeltem NAT die Session Zahl der Fritz und die Anzahl neuer Verbindungen pro Sekunde.

    Könntest du den Satz nochmal näher ausführen? Was bedeutet Session Zahl und Anzahl neuer Verbindungen? Welche Auswirkung hat das im Alltag? Was kann die Fritzbox und was kann das SG-1100 diesbezüglich? Verstehe nicht so recht was du damit meinst?

    Einmal editiert, zuletzt von qnapNutzer89 () aus folgendem Grund: War wohl zu schnell. Scheinbar kann man pfSense nicht auf Raspberries installieren.

  • Eine richtige Firewall betreibt man nicht mit USB Netzwerkkarten.

    Die haben Probleme beim Offloading und dann muss man das deaktivieren und die CPU muss das mit leisten.

    Daher kauft man für Firewalls entsprechende Boads.

    Hier ein Bsp.:

    https://www.supermicro.com/en/…otherboard/A2SDi-2C-HLN4F


    Session = Verbindung die aus 2 states besteht.

    Eine Fritz kann 2-3k, also 5-6k States verwalten.

    Ist die Tabelle voll wartet der nächste Client bis wieder was frei wird.

    Kennst bestimmt, wenn ein Rechner den ganzen Upload blockiert ist dein Ping im Eimer.


    Hast du aber jetzt ein SG-1100 kannst die 99k States verwalten, also ist immer was frei und neue Anfragen von clients bekommen eine ack und keinen nak oder rst zurück.

    Die werden also direkt in den Sendebuffer aufgenommen und gehen einfach so mit raus.


    Das ist halt der Unterschied zwischen Home Zeugs und Enterprise und das SG-1100 ist im Vergleich zum Rest nur ein Spielzeugs.

    Hat aber schon mehr Ram als eine Fritz, habe da Werte von 512MB gefunden für Puma 7 in der 6591.


    Bei Cisco findet sich im Datenblatt noch wie viele Verbindungen oder Sessions eine FW pro Sekunde neu aufbauen kann.

    Wenn die überschritten wird, wird die Verbindung für den Client wieder abgelehnt statt aufgebaut.


    Ich kann hier zocken obwohl gerade ein Backup mit Max Upload durch den VPN-Tunnel läuft.

    Ich merke es einfach nicht, weil meine FW die Anfragen einfach immer bearbeitet.


    Bei der Fritz war ich immer tot wenn meine Frau ihr Handy Abends ansteckte und das Backup den kompletten Uplink vernascht hat.


    Kann man aber als nicht Netzwerker kaum nachvollziehen, man muss es mal erlebt haben was mit so einem Teil alles geht.


    Mit VPN Performance und Sicherheit geht es dann weiter. IKEv1 mit Aggressive Mode gab jedenfalls immer einen Anschiss von meiner pfsense beim Mail Report.


    Code
    fpm[53025]: /rc.newipsecdns: WARNING: Setting i_dont_care_about_security_and_use_aggressive_mode_psk option because a phase 1 is configured using aggressive mode with pre-shared keys. This is not a secure configuration.


    Sicherheit und Performance kosten Geld.

    Auch beim Auto.