Welche Hardware für performante IPsec Zweigstellenanbindung



  • Hallo zusammen

    Ich habe vor einigen Monaten angefangen die überholte Firewall Strategie auf PFsense umzustellen. Die Hauptfirewall läuft soweit SUPER!
    Bisher ist es so das die Roadworker sich per OpenVPN an die Zentrale anmelden und arbeiten können.

    Durch den Zuwachs von VDSL kommt die frage auf ob es kostengünstig möglich ist Zweigstellen per IPsec fest an die Hauptfirewall anzubinden.
    Natürlich läuft das ohne Probleme bis auf die Performance. Zur theoretischen Tests alles per IPsec Fritz!Box…. (Ja ich weiß ist zu schwach von der CPU)

    Aufbau sieht wie folgt aus:

    Zentrale:
    100 MBit Symetrisch mit statischer IPv4

    Zweigstellen:
    VDSL mit 100 Mbit DL / 40 Mbit UL
    Cable mit 200 Mbit DL / 20 Mbit UL

    Welche aktuelle Hardware könnt ihr empfehlen damit die Leitungsperformance per IPsec ausgenutzt werden kann. ?!

    Besten Dank für die Info

    viele Grüße
    greenhornXXL


  • LAYER 8 Moderator

    Hallo Greenhorn,

    Durch den Zuwachs von VDSL kommt die frage auf ob es kostengünstig möglich ist Zweigstellen per IPsec fest an die Hauptfirewall anzubinden.

    Das muss nichtmal per IPSec sein, da tuts OpenVPN auch :)

    Welche aktuelle Hardware könnt ihr empfehlen damit die Leitungsperformance per IPsec ausgenutzt werden kann. ?!

    Kommt darauf an, ob du die 20/40MBit als Limit willst oder bspw. die 100Mbit. Also auf Richtung und Durchsatz. Da mehr als 100/200MBit erstmal eh nicht zu erwarten sind, würde somit für volle Leitung verschlüsselt Hardware genügen, die entweder von der CPU schnell genug ist das zu encrypten oder entsprechendes Offloading hat dafür (AES-NI/Quickassist). Die APU1 wäre dafür raus, aber eine APU2 oder die neue kleine Lanner NCA-1010 würden das schon sehr gut stemmen können.

    Grüße



  • Hallo,

    ich hab noch im Kopf, dass AES-NI bei OpenVPN kaum was bringt, bei IPSec aber einen gewaltigen Durchsatzschub bewirkt.
    Hat sich daran nun schon was geändert?


  • LAYER 8 Moderator

    @virago: sofern openssl mit support für aesni gebaut wurde, kann OpenVPN das auch nutzen. Siehe

    openvpn –show-engines

    Laut letzter Info ist damit AES-CBC bei OpenVPN durchaus schneller, allerdings wirkt es sich auf AES-GCM noch stärker aus:

    "For non-parallel modes of AES operation such as CBC-encrypt AES-NI can provide a 2-3 fold gain in performance over a completely software approach. For parallelizable modes such as CBC-decrypt and CTR, AES-NI can provide a 10x improvement over software solutions."

    Deshalb wird ja auch bei IPSec momentan der neue GCM genutzt, der auch für OpenVPN kommen wird (mit 2.3?).

    Ich habe aber noch eine Hardware vergessen in der Aufzählung: Da wäre natürlich noch die SG-4220 direkt von pfSense selbst. 2 Intel NICs und ein Atom Rangeley C2358 mit AES-NI.



  • Hallo

    @ JeGr

    Vielen Dank für die Hilfreichen INFO's -
    Ich denke ich werde auf einen Preis für den Lanner NCA-1010 warten und es damit testen bzw. betreiben.
    Die Site2Site Connection wollte ich gerne per IPsec betreiben und die einzelnen Roadworker per OpenVPN lassen. Ist mir von der logischen Trennung her lieber.

    Grüße



  • @JeGr:

    Siehe

    openvpn –show-engines

    Zeigt bei mir nur das:

    BSD cryptodev engine [cryptodev]
    RSAX engine support [rsax]
    Intel RDRAND engine [rdrand]
    Dynamic engine loading support [dynamic]
    

    pfSense 2.2.6

    Die Hardware unterstützt AES-NI und in den Advanced Settings ist es aktiviert.
    In der OVPN Servereinstellung allerdings steht "Hardware Crypto" auf "No Hardware Crypto Acceleration". Auch das folglich einer nicht allzu alten Empfehlung (pfSense Docs, glaub ich). Laut dieser sucht OpenVPN selbst nach Hardware Beschleunigern im System und verwendet diese, wenn verfügbar.


  • Banned

    Nur ein Gedanke: Wenn die Latenz zwischen den Netzen gruselig ist, dann nützt die beste Hardware nichts. Ich habe in Teutscheland so einen Anschluss beim ehemaligen Gilb (mal googlen: "doblepaid traffic" da müsste was kommen), da kommt man mit Xeons auf beiden Seiten nicht über ein gutes altes 56.6 kb/s Modem raus, trotz 16 Mbit/s als schlechtester Anbindung am einen Ende (anderes 100 Mbit/s Glasfaser).

    Also nicht traurig sein, wenn das nicht "performiert", trotz Hardware Overkill…


  • LAYER 8 Moderator

    @virago: Jup, hatte ich falsch im Kopf, unter BSD ist das etwas anders gelöst. Aber da sollte sich OpenVPN wie gesagt selbst bedienen und immerhin noch so 1,5-3x rausbekommen. Natürlich wesentlich weniger als AES-GCM mit ~ 10x

    und 2chemlud spricht natürlich nen anderen wundern Punkt an, wenn die Leitung nix hergibt, ist natürlich ebenfalls Essig :)



  • Moin,

    Ich kann nur zustimmen, die Lanner NCA-1010B kannste ohne bedenken nehmen,
    ich habe sie gerade Freitag bekommen und habe pfSense 2.2.6 drauf gepackt.
    Heute habe ich hier 3 x IPSec Site-toSite (die gegenstelle ist immer eine Fritzbox 7490),
    1 x OpenVPN für meinen Mac läuft und da ist noch luft nach oben.
    bei mir dümpel sie nur rum an meiner leider zurzeit nur 50/10 VDSL Leitung.




  • Habe die Woche eine Jetway JBC150F9N-2930-B mit 4fach NIC Erweiterung bestellt. Mal schauen wir gut das Teil läuft wenn die da ist. Ich kann ja bei Bedarf in ein / zwei Wochen mal Bescheid geben wie die an einer 100er Standleitung mit mehreren VPN Einwahlen und Site to Site Verbindungen so läuft.

    Die Lanner NCA-1010B hatte ich mir auch mal anbieten lassen, preislich und insgesamt sehr interessant. Die hatte für dieses Projekt aber eine NIC zu wenig und ich habe im Prinzip noch zwei Firewalls der gleichen Leistung mit 2 bzw. 3 NIC (Box Eigenbau mit GA-J1900n-D3v bzw. APU1D4) rumliegen und daher keinen Bedarf an weiterem Spielzeug.

    Meine Meinung bzgl. OpenVPN und IPsec: ich habe den Eindruck IPsec ist schneller. Messtechnisch (Durchsatz) hin oder her: der Tunnel wird bei IPsec in jedem Fall schneller aufgebaut und ich kann mobile Clients ohne Umwege anbinden. Vorteil des OpenVPN: in der pfSense kann ich mehrere Server einrichten.


  • LAYER 8 Moderator

    @bon-go: Was die VPNs angeht, stimme ich teils zu. Schneller aufbauen o.ä. sehe ich da zwar nicht (das hängt immer an der Konfiguration), aber der Durchsatz, wenn du volle Leistung von synchron 100MBit/s oder 1Gbit/s brauchen würdest, wäre sehr wahrscheinlich schneller, dank AES-GCM. Da sich hier aber auch auf OpenSSL/-VPN Seite einiges tut, sehe ich das zukünftig eher auf Augenhöhe.

    Was "Einfachheit" der Konfiguration angeht, sehe ich allerdings OpenVPN eher vorne. Gerade wenn man nicht nur Clients anbindet (was meistens einfacher ist), sondern ganze Netze und nicht beide Endpunkte kontrolliert (Gerät der Gegenseite != pfSense) kann das echt fies werden mit IPSec. Hatte deshalb viel auf Konferenzen oder Versammlungen bei Netzwerk oder auch IPv6 Vorträgen gehört, die lieber OpenVPN nutzen als IPSec, auch weil dann Dinge wie Policy Based Routing einfacher zu realisieren sind. :)


Log in to reply