Hardwareempfehlung für Kabel Deutschland 400.000er Leitung gesucht

bax2000

Hallo!

Ich habe seit einigen Jahren die pfSense auf einem Alix 2D13 an einer 16.000er VDSL-Leitung am laufen.
Nach Umstellung durch den Vermieter lande ich nun bei Kabel Deutschland und bekomme bald den 400er Anschluß.

Da meine Verbindung generell über VPN rein und rausgehen, wird mein guter kleiner Alix sicherlich an seine Grenzen stoßen.

Habt Ihr hier Empfehlungen für mich? Welche Hardware kommt mit dieser Geschwindigkeit gut klar?

Ich werde sicherlich nicht ständig alles am Limit bewegen, es wäre aber natürlich schön zu wissen, das es im Fall der Fälle auch ausgereizt werden könnte.

Vielen Dank!!

JeGr

Verstehe ich dich korrekt, dass du die 400MBit/s ggf. vollständig verschlüsseln willst, also sehr wahrscheinlich 400/20 mit full encryption?

bax2000

Ich würde mal so sagen: Ich werde wahrscheinlich nach dem ersten Jahr, in dem ich die 400Mbit günstig habe, max. auf eine 200MBit Anbindung wechseln.
Ich brauche diese 400MBit eigentlich nicht wirklich.

Zielweise wäre also eine Hardwarebasis für die 200MBit verschlüsselt mein Ziel.

Momentan geht hier alles vollverschlüsselt rein und raus. Ob das sein muß kann/werde ich in den kommenden Monaten hoffentlich noch lernen und begreifen ;)

Danke!

JeGr

Dann kann ich dazu ggf. die nächste(n) Woche(n) was näher sagen, da ich hier nochmal Geräte zum Testen und Benchmarken bekomme. Aus dem Bauch heraus müssten 200MBit - theoretisch - mit guter Gegenstelle und sinnvoll gewählten Einstellungen mit einer APU2 oder eher mit einer NCA-1010B zu packen sein. Könnte aber je nachdem was ein wenig eng werden, das Problem wird hier aber eher sein, dass es kaum gute Geräte gibt, die zwischen der Power einer kleinen Kiste wie APU2 oder was größerem wie bspw. FW7525 oder C2000 Atom angesiedelt ist.

Aber wie gesagt, ich kann das explizit nochmal testen sobald ich Geräte hier habe, dann kann ich bis ca. 850MBit/s hoch testen (Gegenstelle) und ggf. gibts auch Hardware-technisch was Neues was rein passt (sofern es bei dir nicht gerade zeittechnisch brennt).

Grüße

bax2000

Hier brennt nix!

Ich gucke erstmal wo ich mit dem alten Alix so liege.
Ich denke das ich auch wegen der Preise wohl eher zur APU2 tendieren werde. Ist ja primär der eigene Haushalt, da brauch ich nicht Sonstwas.

Danke für zukünftige Tests!!

Gruß!

JeGr

Ich glaube für die Bandbreiten könnte auch die APU2 schon ziemlich am Limit sein, aber schauen wir mal was da kommt ;) Kann da leider noch nichts Genaues sagen, da mir selbst noch die Muster fehlen, bin aber guter Dinge.

m0nji

@JeGr: wärst du so freundlich und würdest dein Fazit bzw. deine Ergebnisse dann hier veröffentlichen. Wäre sicherlich hilfreich für viele….
@bax2000: versteh ich das richtig, du jagst sämtlichen traffic über einen externen vpn provider? falls du beispielsweise das ganze über openvpn realisierst, kann ich das ggf. auch mit 2 geräten(Zotac ci323 inkl. AES-NI und Kettop Mi19N ohne AES-NI) testen und nachstellen. habe aktuell eine KD 400/25er Leitung.

JeGr

@JeGr: wärst du so freundlich und würdest dein Fazit bzw. deine Ergebnisse dann hier veröffentlichen. Wäre sicherlich hilfreich für viele….

Selbstredend, das ist ja Sinn des Ganzen. Es wird auf jeden Fall nochmal einen Nachtest der NCA1010 geben sowie einen Test (ggf. ein klein wenig später) der FW7525-B sowie -D. Dazu kommt noch ein Gerät über das ich bislang keine Aussagen und Werte habe, deshalb hab ich hier noch keine Ahnung was es sein wird, mutmaßlich sollte es aber etwas sein, was sich performance technisch zwischen den beiden Geräten befinden soll. Sobald ich näheres weiß, werde ich die Hardware Topics entsprechend erstellen und verlinken.

@bax2000: da ich im Homeoffice auch eine Kabelleitung (UM) mit 400/20 habe, werde ich sobald ich (hoffentlich nächste Woche) die Spielhardware habe, das gerne mal Testen und versuchen Realwerte zu erhalten.

Grüße
Jens

keule

Moin,
hast du ein eigenes Modem für deinen KD/Vodaphone Anschluß?
Hast du Zugangsdaten für die Telefonie bekommen (Sip Daten)?

Gruß

Die Keule

m0nji

@keule: die daten findest du doch im "mein Vodafone" portal. ist aber etwas offtopic…


un1que

@JeGr, könntest du dann vllt. auch mal einen Test mit der neuen 2.4 Beta durchführen? Ich habe schon mehrmals gelesen, dass erst ab 2.4 und der Verschlüsselung mit dem GCM-Verfahren die Leistung der CPU-seitigen AES-NI Unterstützung so richtig ausgenutzt werden kann. Mich interessiert es halt sehr, ob die Unterschiede in Wirklichkeit so enorm sind. Daher wäre es auch sehr spannend herauszufinden, wie es sich im Vergleich zum CBC-Verfahren auf gleicher Hardware verhält.

Ich wäre sehr dankbar dafür, wenn du Zeit für einen solchen Test finden könntest ;)

JeGr

Kommt darauf an wie meine Zeit es in den nächsten 2-3 Wochen noch zulässt, da ich danach in Urlaub bin, aber ich hoffe ich kann das noch unterbringen. 2.3.x werden wir auf jeden Fall testen, 2.4 versuche ich ebenfalls noch zu machen.

Grüße

bax2000

Da schaut man mal einige Tage nicht hier rein und dann gibts so viele neue Beiträge… :o

Ich hätte da mal auch noch eine eher kleine Bitte @JeGr:

Mich würde interessieren wie ich die Box von KD konfigurieren muss.
Gibt es da dann einen "Bridged mode" oder wie wird das dann an die pfSense angebunden?

Danke für Deine super Hilfe und Unterstützung!

JeGr

Mich würde interessieren wie ich die Box von KD konfigurieren muss.

Sorry, ich habe KD selbst nicht und kann da keine AUssage drüber treffen  :-[

hornetx11

Sorry,
ich bin nicht JeGr (auch wenn ich seine Beiträge sehr schätze).

Kabel Deutschland liefert einen sogenannten ONT. Dieser setzt vom GPON (Gigabit Passiv Optical Network) auf Kupfer um. Daran wird nach Meinung von KD eine normale Fritzbox als Router benutzt.
Anstelle der Fritzbox kann dort natürlich eine pf platziert werden.

hornetx11 mobil

Ps: Ob ein BiDi GBIC in der pf anstelle des ONT reicht habe ich noch nicht probiert.

JeGr

@hornetx11

Danke :)
Das hört sich für mich nach Beschreibung eher nach einem (passiven?) Medienkonverter an? Kein Modem oder ähnliches, das Docsis spricht?

hornetx11

Moin,
DOCSIS auf FTTx ?
Sch…ade, da war ich im völlig falschem Film.  :-[
KD nicht DG oder MEGA! BK nicht FTTx!  :-
Die oben gemachten Angaben beziehen sich auf FTTx und sind damit im Zusammenhang mit deiner Frage irrelevant.

Sorry aber mit KD hatte ich noch nicht das Vergnügen und kann hier nicht wirklich helfen.
HornetX11  :-[

D-Kun

Hi,

nutze die pfsense in "unter" einem:
Atom(TM) CPU D510 @ 1.66GHz 4 CPUs: 1 package(s) x 2 core(s) x 2 HTT threads
als dedizierten Router an meinem 200 Mbit Kabeldeutschland/Vodafone (Coax) Anschluss. Vor der pfsense hängt ein compal-modem welches über das Webinterface("Interneteinstellungen") von Kabeldeutschland auf "bridged" konfiguriert wurde. Die pfsense ist mittels RJ-45 und DHCP-Konfiguration @WAN-Interface direkt an dem KabelD-Modem angeschlossen.

Die 200 Mbit von KDG kommen problemlos an. Ich nutze auf der pfsense noch das snort-package welches unter traffic-load ordentlich CPU-Last verursacht.
Bei 200 Mbit bzw. 20-24 Mb/s downstream (ohne VPN) habe ich eine CPU-Auslastung von 40-55%.

Wie das Ganze mit VPN und welchen Ciphern/Protokollen auch immer aussieht kann ich Dir leider aktuell nicht sagen. Ich habe zwar 2 aktive Site2Site (IPsec SHA256 AES256) & (IPsec SHA1 & AES128) aktiv, hier geht jedoch nahezu kein Traffic durch, somit bemerke ich hier auch keine besondere Last. AES-Support hat die Atom-CPU von mir nicht.

VPN-Tunnel zu Anonymisierungsdiensten nutze ich Clientseitig hinter der pfsense nach Bedarf. Hier ist der Datendurchsatz von 200 Mbit nicht zu schaffen (hauptsächlich schon wegen Snort). Solche Tunnel permanent zu halten und von der pfsense aufbauen zulassen + jeden Traffic aus dem LAN durchzuschicken wäre auch denkbar, jedoch ist das mit meinem aktuellen Setup nicht einfach so umstellbar.

Ich werde ggf. heute Abend mal ein paar Tests durchführen (abgesehen von dem tunnel als Defaultroute).

Greetz

m0nji

@bax2000:
Ich gehe davon aus, du bekommst bei KD den Kabel-Router (ggf. mit WLAN). Diesen kannst über das "Mein Vodafone" Portal in den Bridge-Modus schalten. Der Router startet danach neu und fungiert nur noch als reines Modem. Du kannst dann EIN Gerät daran anschließen, welches als Router fungiert und sich eine öffentliche IP per DHCP holt. (pfSense)

Alternativ kannst du auch eine eigenen Kabel Router/Modem anschließen und diesen in den Bridge Modus schalten, sofern supported. Im Falle von der Fritzbox 6490 geht das aber nur über eine Hintertür in der Firmware. Vorteil einer eigenen Fritzbox ist aber, du bekommst natives Dualstack IPv4/IPv6.

magicteddy

Moin,

Dual Stack aber nur mit nachboren, und bei jeder Kleinigkeit musst Du damit rechnen wieder an einem DS-Lite Tropf zu hängen.
Bei der ersten Änderung ging das Speed Upgrade "verloren", es wurde nur der Router getauscht  :(. Nach einem Telefonat und 2 Tagen hatte ich dann wieder eine IPv4.
Jetzt noch das Speed Upgrade eingetütet und wieder nur DS-Lite. Wieder angerufen, ja machen wir … NIX  :'(, erneut angerufen und wieder mal NIX  :'(, heute erneut telefoniert, die Abschaltung der Homespot Option muss erst abgeschlossen sein dann gibt es eine IPv4  :'( Nur habe ich den Homespot gleich nach Bekanntgabe der ungefragten Aktivierung abgeschaltet, das ist schon einige Jahre her ... Was für ein Pappnasenhaufen im Entscheidungsbereich.

-teddy