Generelle Frage: Traffic des routers durch Ipsec/ikev2 Tunnel



  • Hallo,
    ich bin hier im Forum neu und habe bereits einige Recherchen angestellt.
    Momentan bin ich auf der Suche nach einer Lösung einen Router mit pfsense als VPNClient (Ipsec/ikev2) zu nutzen. Dabei soll er sich zu bestehenden VPN Provider verbinden.
    In diesem Fall ist der VPN Provider ein V-Server von mir mit strongswan, welcher das oben genannte Protokoll unterstützt.

    Dadurch soll der gesamte traffic des Netzwerks durch den Tunnel geroutet werden.

    Klassische Side-To-Side Lösungen sind daher wohl nicht das, was ich suche.  Dazu findet sich massiv viel im Internet.

    Ich habe die Erfahrung gemacht, dass bei Open/DD-WRT ROutern dieses Vorhaben sehr gut mit OpenVPN zu realisieren ist, jedoch sind die Einbußen der Geschwindigkeit massiv. Meine Idee war es daher einen Router selbst zusammenzubauen mit pfsense und mehr Leistung. Zusammen mit einem etwas sparsameren Protokoll (Ipsec/ikev2) sollte das wieder schneller gehen.

    Mit einem Client vom Rechner direkt auf den VPN Server komme ich ohne Probleme (ist auch kein Wunder :)  )… Und auch die Geschwindigkeit ist atemberaubend.

    kurzum:
    bevor ich mir einen ROuter mit pfsense baue, würde ich gerne von Euch wissen, ob mein Vorhaben überhaupt mit pfsense realisierbar ist?!
    Wenn "Ja"… bin ich nur zu blöd zum suchen oder hat jemand einen Tipp?

    Grüße
    FIeldy


  • LAYER 8 Moderator

    Ich habe die Erfahrung gemacht, dass bei Open/DD-WRT ROutern dieses Vorhaben sehr gut mit OpenVPN zu realisieren ist, jedoch sind die Einbußen der Geschwindigkeit massiv.

    Warum sind diese massiv? Wo sind diese massiv? Wie treten die auf? So einen Satz in den Raum zu zimmern ist in etwa wie zu behaupten: "Ich habe gelesen, dass der Himmel rot ist". Mag stimmen, vor allem abends und morgens um die immer gleiche Zeit, aber da gehört auch etwas Rahmenbedingung dazu ;)

    Wenn du einen vServer irgendwo stehen hast, haben im Normalfall bei ner guten Virtualisierung deine vCPUs auch Zugriff auf Dinge wie AES-NI und Co. Wenn dein Eigenbau-Router das dann auch noch halbwegs sinnig unterstützt und/oder ein wenig Bumms hat, ist bspw. 100MBit/s Vollverschlüsselung auch mit OpenVPN überhaupt kein Thema. Aber weder schreibst du was über Bandbreiten noch über Hardware - insofern ist die Aussage, dass OpenVPN da Einbußen hat schlicht nicht richtig :) Wir fahren da auch lustige 100MBit/s site-to-site Tunnel drüber und da beklagt sich niemand ;)

    Die Frage gestaltet sich also eher: Willst du das mit IPSec unbedingt machen oder gehts auch via VPN? Es hat nun ja auch einen Grund, warum die (aller)meisten Anbieter von VPNs das via OpenVPN abwickeln und nicht via IPSec. Mein letzter Stand (der etwas alt ist), war dein Vorhaben mit IPSec nur schwerlich/mit Aufwand machbar und dafür recht trivial mit OpenVPN, weshalb das die meisten bevorzugen.

    Grüße



  • Danke erstmal für die Antwort.  :)

    Warum sind diese massiv? Wo sind diese massiv? Wie treten die auf? So einen Satz in den Raum zu zimmern ist in etwa wie zu behaupten: "Ich habe gelesen, dass der Himmel rot ist". Mag stimmen, vor allem abends und morgens um die immer gleiche Zeit, aber da gehört auch etwas Rahmenbedingung dazu

    Nun gut; da es sich hier nicht um ein DD/OPEN-Wrt Forum handelt, dachte ich, ich bleibe beim Wesentlichen… trotzdem zu deiner Frage:
    Mein Router ist ein Netgear Nighthawk R7000 mit ner Kong Firmware (DD-WRT v3.0-r29155M kongac (02/25/16)).
    Dieser taktet normalerweise mit zwei Kernen (je 1000 Mhz). Aufgrund der guten Erfahrung, habe ich den aber aktuell auf 1400 übertaktet (ein Referenzwert, der von der DD-WRT Community max. empfohlen wird).

    Zu meiner Leitung:
    Glasfaser (200 Mbit); kommen auch an

    Leistung mit VPN (z.B. ikev2) über nativen Client:
    ca. 160-180 Mbit (ca. 22 MB/sec, gemessen).

    Leistung mi VPN (OpenVPN) über Tunnelblick am Rechner:
    ca. 150 Mbit (ca. 18 MB/sec, gemessen).

    Leistung mit VPN (OpenVPN) über DD-WRT Router:
    ca. max. 40 Mbit (ca. 5 MB/sec, gemessen).

    (Anmerkung: Es handelt sich um Durchschnittswerte)

    Das macht im Falle des DD-WRT Routers Einbußen von rund 160 Mbit. Ich habe inzwischen mit einer Reihe von unterschiedlichen Configs gearbeitet (auf Server und Router seite), aber da kommt nicht viel mehr. Das Phänomen ist in der Community bekannt und in den meisten Fällen wird es der mangelnden Leistung des Routers zugeschoben… UND dass OpenVPN deutlich CPU fressender sei, als z.B. ipsec/ikev2.

    Ich gebe dir Recht, es liegt nicht nur an OpenVPN (denn über Tunnelblick geht ja schon etwas, wenn auch leicht weniger als ipsec), aber ich vermute, dass der Router nicht stark genug ist.

    Wenn du einen vServer irgendwo stehen hast, haben im Normalfall bei ner guten Virtualisierung deine vCPUs auch Zugriff auf Dinge wie AES-NI und Co. Wenn dein Eigenbau-Router das dann auch noch halbwegs sinnig unterstützt und/oder ein wenig Bumms hat, ist bspw…

    Kurze Anmerkung zum V-Server: Ubuntu 14.04.4 x64, 8 GB RAM, 4 Cores
    Dass das dicke(!) reichen sollte zeigt der Test mit Tunnelblick über den PC direkt. Da schaffe ich annähernd das, was mich zufrieden stimmt.

    Die Frage gestaltet sich also eher: Willst du das mit IPSec unbedingt machen oder gehts auch via VPN? Es hat nun ja auch einen Grund, warum die (aller)meisten Anbieter von VPNs das via OpenVPN abwickeln und nicht via IPSec

    Nein nicht unbedingt. Nur, da man mir sagte, IPsec sei nicht so ein CPU fresser, dachte ich, es sei vll erstmal über IPsec/ikev2 zu probieren (was sich mit DD-WRT nicht so, oder nicht so einfach realisieren lässt).
    Dass es theoretisch auch schön mit OpenVPN gehen kann zeigt ja das Ergebnis aus Tunnelblick. Mir wäre das sogar egal.
    Ich habe zu Testzwecken auch mal ein VPN Provider ausprobiert (bietet relativ viele Protokolle) und da war das Ergebnis fast dasselbe…:
    Alles direkt über den PC ist fix; über den Router massiv (ca. eine 3/4ung der Rate) langsamer.
    Der Canon in der WRT Community lautet diesbezüglich stets "du hast schon relativ gute Werte,... mehr kannst du über den Router nicht erwarten"

    ... und nun hat mich ein Kollege auf die Idee mit pfsense und einem eigenen leistungsstärkeren Router gebracht.
    Wegen mir könnte man das auch über OpenVPN machen... wenn das geht?! (und das konnte ich bisher noch nicht ersehen)
    Aber da ich dachte, mit Ipsec geht noch mehr, wegen mir auch das.

    Wohlmöglich hast du aber Recht, dass das kompliziert wird (weshalb sich auch nichts finden lässt); aber wenn das über OpenVPN geht, wäre mir das auch lieb. Die Frage ist dann halt nur: Schafft ein guter Router mit pfsense annähernd das, was auch Tunnelblick über den PC schafft?


  • LAYER 8 Moderator

    Wenn du mit Tunnelblick (über MAC wohl ;)) die Leistung schaffst, dann kann das auch ein ordentlicher Router mit genug Power. Das ist das einzige Kriterium, dass eben CPU/Acc/Codecs sowie NICs passen sollten. Dann wirst du auch ähnliche/gleiche Werte sehen. Wieso auch nicht? ;)

    Wegen mir könnte man das auch über OpenVPN machen… wenn das geht?! (und das konnte ich bisher noch nicht ersehen)
    Was konntest du noch nicht ersehen? Es gibt ja nun genug dutzend+1 Anleitung, wie man via OpenVPN Provider (oder eben deine eigene Maschine) allen Traffic vom Router an den Provider/via deinen Host ins Netz schickt. Dass das wesentlich einfacher via OpenVPN zu handhaben ist, liegt daran, dass das Setup via OpenVPN am Ende dir ein vollständiges Interface + Gateway + Regeltab in pfSense gibt, auf dem du alles nötige konfigurieren kannst bzw. dessen Gateway du eben in Regeln zum policy based routing verwenden kannst. Mit IPSec ist das zumindest meines Wissens nicht so ohne weiteres einfach möglich (weil da das Pseudo Interface fehlt). Ich gestehe aber gern ein, dass ich die Aufgabenstellung via IPSec noch nicht hatte, für sowas (vollverschlüsselten Traffic von A via B versenden) wurde in fast jeder Doku OpenVPN verwendet.

    Grüße


Log in to reply