Home VPN Konzentrator

Hallo Leute,

Ich suche nach einem erschwinglichen Stück Hardware mit dem ich
(1) mittels OpenVPN, PPTP oder L2TP ein ausgehendes VPN (Client) zu einem VPN Provider aufbauen kann. Zweck ist die Verschleierung der IP der surfenden Clients im Heimnetzwerk.
(2) mich von einem externen Netzwerk (=Road-Warrior) mittels o.g. Protokolle ins Heimnetzwerk einwählen kann (Server)

Ich hätte dafür gerne eine eigene kleine Appliance aber kA was ich nehmen soll.
Wichtig ist mir auch dass die Appliance meine asynchrone 100MBit Internet Leitung nicht ausbremst (der VPN Provider sollte dazu in der Lage sein), etwas Luft nach oben wäre für die Zukunft gut.

Budget max. €400, gerne auch was im 19" Format - ansonsten eben mit Standblech.
Bitte nur nichts mit Cisco IOS, da bekomme ich bei der Administration die Weißglut

LG

pfSense (bez. ausgehend zu einem VPN Anbieter müsstest aber nochmals final abklären ob das geht) auf einem Alix wäre eine Idee, die CPU für VPN Verschlüsselung aber eher ungenügend - drum wäre ein kleiner PC mit 2 NIC und Atom basierter CPU (ein Modell das AES-NI Beschleunigung unterstützt) sinnvoller.
Für eingehende VPN Verbindungen (Roadwarrior) kein Problem - ist innert Minuten eingerichtet mittels OpenVPN. Musst noch drauf achten dass Du eine native IPv4 vom Anbieter hast und nicht DSlite.

Beispiele Systeme:
https://geizhals.at/zotac-zbox-ci327-nano-zbox-ci327nano-be-a1605469.html?hloc=at&hloc=de&hloc=pl
https://geizhals.at/gigabyte-brix-iot-gb-eace-3450-a1617700.html?hloc=at&hloc=de&hloc=pl
https://geizhals.at/gigabyte-brix-gb-bsi3hal-6100-a1426577.html?hloc=at&hloc=de&hloc=pl (mit i3U)
Für's pfSense reicht m.W.n. sogar bereits ein USB Stick, brauchst also nicht mal eine SSD/HDD verbauen (RAM natürlich schon, da reichen aber 2, besser 4 GB). Der Brix müsste genügend Leistung haben um z.B. noch als NAS oder/und Medienserver hinzuhalten (es gibt ihn auch noch mit i5U).
Damit die AES Beschleunigung der CPU greift, muss diese im pfSense übrigens separat aktiviert werden.

Hi,

würde auch pfSense empfehlen, je nach Gusto auf entsprechend leistungsfähiger Hardware.

VG,
Mad

Die Zotac Boxen haben idR Realtek NICs und sind nicht für pfsense zu empfehlen, dann auch eher den Brix mit i3.
PPTP brauchst nicht mehr nutzen, dann kannst VPN auch gleich sein lassen. L2TP bzw IPSec nutzt die AES-NI Komponente der CPU falls vorhanden (daher i3 ) und openVPN macht das Ganze in Software mit einem Thread pro Client afaik.
Da das Gerät aber nicht Router werden soll sondern "nur" VPN-Server im Netz reicht auch ein Gerät mit nur einer NIC.

Dass "Verschleierung" nur begrenzt hilft, ist dir hoffentlich bewusst? Systeme werden heutzutage über Browser Fingerprinting o.ä. identifiziert und wenn der Druck hoch genug ist dann wird jeder VPN-Provider mit Gerichtsbeschluss Logs rausrücken (oder einschalten).

Installation empfiehlt sich auch bei pfSense auf SSD/HDD/emmc/etc da doch die ein oder anderen Logs anfallen, Performance Daten & Metriken entstehen etc. und USB Sticks so zeitnah sich verabschieden.

Vielen Dank für die Antworten!

Dass die CPU die VPN Verschlüsselung hardwarebeschleunigt ist eigentlich eine gute Idee, da dürfte eine i3 o.ä. wirklich gut passen

Ich verwende schon lange VPNs von unterschiedlichen Herstellern, bis jetzt aber fast immer mit OpenVPN weil das am einfachsten in der Einrichtung ist.
PPTP habe ich der Vollständigkeit dazugeschrieben weil es die aktuellen VPN Anbieter alle unterstützen, wird aber whs nicht verwendet.

pfSense/OPNSense war auch einer meiner ersten Ideen, ansonsten evtl. ein Debian Linux da wäre ich noch etwas flexibler für andere Spielereien.

Die Limiterung von VPNs ist mir durchaus bewusst und auch welche OPSec Fails zu deanonymisierung führen können, bin schließlich beruflich in der IT Forensik

Die Atom CPUs können die AES-NI Beschleunigung btw auch. Hier ist aber der Nachteil die eher lahme Singlethread Leistung falls mal weder die Beschleunigung noch Multithreading möglich ist.

Das stimmt wohl aber wie gesagt: Dann ist er abhängig von einem IPSec VPN wenn das Gerät nicht der Flaschenhals sein soll. Muss man eben immer im Hinterkopf behalten, gleiches bei den NICs.

Ja klar, würde in dem Fall auch was stärkeres nehmen, je nachdem was sonst noch draufkommt vielleicht sogar gleich auf einen i5U gehen.
Das mit den NICs ist ein guter Hinweis.

Hab mir eure Vorschläge nochmal durch den Kopf gehen lassen und auch etwas reflektiert bezüglich zukünftige Verwendung v.a. nachdem es bei mir bald ans Hausbauen geht
Würde mir gerne einen Server basteln der auch gleich mehr kann: neben o.g. VPN auch Firewall zwischen mehreren Netzen (DMZ, IoT Netz, ...) und dann auch gleich das NAS integrieren
Ich würde dann gleich ein Linux drauf installieren, auf dem bringe ich alles zum laufen.

Die folgende Konfiguration mit i3 Coffe Lake sollte bei etwa 34 Watt im Idle liegen, natürlich nicht so sparsam wie eine kleine Appliance aber nachdem es eine Eierlegende-Wollmilchsau wird kann man sich denke ich nicht beschweren. Mit den zwei PCIe Karten habe ich dann auch 5 NICs in einem 19 Zoll Rack Gehäuse.

1 Intel Core i3-8100, 4x 3.60GHz, boxed (BX80684I38100)
1 G.Skill NT Series DIMM 8GB, DDR4-2400, CL15-15-15-35 (F4-2400C15S-8GNT)
1 ASRock H110M-DVP (90-MXB1S0-A0UAYZ)
2 LogiLink PC0075, 2x 1000Base-T, PCIe x1
1 Inter-Tech IPC 4U-4098-S, 4HE (88887177)
1 be quiet! System Power B8 350W ATX 2.4 (BN257)
~ € 450

Was meint ihr zu der Zusammenstellung? Oder habt ihr einen Vorschlag wo man mit ähnlicher Leistung noch etwas Strom sparen kann?