High Speed Router gesucht

[LL0rd]

Hallo Leute,

ich suche derzeit einen neuen Router für das Office und brauche etwas Hilfe dabei. Derzeit liegt hier eine 100/2,5MBit Cable-Leitung und als Router verwende ich derzeit ein alix2d3 mit 500MHz und 256MB RAM, auf dem pfsense läuft. Das Setup funktioniert soweit auch ganz gut, nur wenn viele Verbindungen (so ca.30) mit voller Bandbreite etwas machen, habe ich nen CPU Load von 100% und das System wird instabil. Verbindungen brechen ab, etc.

Ab April habe ich zudem 200/15MBit hier. Spätestens da ist der Router wegen seinen 100MBit Ports nicht mehr geeignet. Deshalb suche ich etwas neues mit etwa folgenden Specs:

Firewall Pass Through: 250MBit/s

Paket Filter

IDS / IPS

kein WLAN

5 gleichzeitige VPN Verbindungen ins LAN

Preislich kann das Gerät bei 400€ liegen. Bis etwa 700€ würde ich noch zahlen, absolute Schmerzgrenze sind 800€. Kann mir jemand da etwas empfehlen?

[DocInfra]

Also wenn du einen Durchsatz von 250 MB durch die Firewall haben willst, dann musst du schon sowas hier nehmen.

[LL0rd]

Also wenn du einen Durchsatz von 250 MB durch die Firewall haben willst, dann musst du schon sowas hier nehmen.

250MBit, nicht MB. Das Juniper Ding ist aber auch ein Overkill. Und mit 1650€ für das SSG-140-SB außerhalb des Budgets.

[DocInfra]

250MBit, nicht MB. Das Juniper Ding ist aber auch ein Overkill. Und mit 1650€ für das SSG-140-SB außerhalb des Budgets.

Mea culps, Typo meinerseits. Ich meinte natürlich 250 Mbps. Und die kleineren Juniper SSG schaffen das nicht.

[LL0rd]

Mea culps, Typo meinerseits. Ich meinte natürlich 250 Mbps. Und die kleineren Juniper SSG schaffen das nicht.

Aber da frage ich mich gerade, wieso die das nicht schaffen. Mit einem D525 Board und zwei 1000 PT Karten @ freebsd bekomme ich den Traffic problemlos rüber.

[DocInfra]

Aber da frage ich mich gerade, wieso die das nicht schaffen. Mit einem D525 Board und zwei 1000 PT Karten @ freebsd bekomme ich den Traffic problemlos rüber.

Es kommt darauf an ob du den Verkehr einfach nur routen willst, wie komplex dein Regelwerk ist oder ob es verschlüsselter VPN Verkehr ist. Bei Letzterem wird der D525 schon bei weniger als 250 Mbit/s ****en.

[LL0rd]

Naja, die Regeln sind eben einfache IP Tables Regeln, die den Zugriff auf bestimmte Ports und ganze Länder anhand von einigen Netzen (ca. 300 Regeln) sperren. Sonst wird der ausgehende Traffic per L7 untersucht, um z.B. P2P Traffic zu sperren oder SSH Traffic nur zu bestimmten Servern zuzulassen.

Der VPN Traffic ist wirklich gering. Ein paar E-Mails abrufen und verschicken, SSH Zugriff auf die Server.

Also bei dem aktuellen kleinen 500MHz AMD Prozessor schaffe ich 7.5MByte/s problemlos. Deshalb denke ich, dass ich mit 2x1,8GHz Atom CPU und schnellen Netzwerkkarten die rund 25 bzw. 30MB/s durchaus routen kann.

[DocInfra]

Also bei dem aktuellen kleinen 500MHz AMD Prozessor schaffe ich 7.5MByte/s problemlos. Deshalb denke ich, dass ich mit 2x1,8GHz Atom CPU und schnellen Netzwerkkarten die rund 25 bzw. 30MB/s durchaus routen kann.

Und das wäre schon lahm. Die SSG5 schafft bei 3DES ca. 35 MB/s bis 40 MB/s.

[LL0rd]

Und das wäre schon lahm. Die SSG5 schafft bei 3DES ca. 35 MB/s bis 40 MB/s.

Hm? Was wäre denn lahm? Und wie kommst du auf 35MB/s 3DES (bzw. VPN) Traffic??

[DocInfra]

Hm? Was wäre denn lahm? Und wie kommst du auf 35MB/s 3DES (bzw. VPN) Traffic??

Gegenfrage: Wie kommst du auf deine Werte?

Ich habe die 35 MB/s aus den Specs. Zudem kann man das recht gut nachbauen. Site-2-Site Tunnel per 100 Mbit Ethernet zwischen zwei SSG5 und NetIO laufen lassen.

[LL0rd]

Gegenfrage: Wie kommst du auf deine Werte?

Ich habe die 35 MB/s aus den Specs. Zudem kann man das recht gut nachbauen. Site-2-Site Tunnel per 100 Mbit Ethernet zwischen zwei SSG5 und NetIO laufen lassen.

Meine Werte sind gemessen. Einerseits über die pfsense eigenen Statistik-Methoden, andererseits werden Pakete sowohl vor dem Router als auch hinter dem Router per Switch an einen Server weitergeleitet, der per Snort auf Verdächtiges untersucht wird. Gleichzeitig wird der Traffic gemessen. Der VPN Traffic spielt bei mir eine sehr kleine Rolle. Es geht nicht darum, Standorte per VPN miteinander zu vernetzen, sondern Leuten den Zugriff auf das Netz zu gestatten, wenn diese unterwegs sind. Der Flaschenhals wird da eher die UMTS Verbindung sein und nicht die Performance des Routers.

[DocInfra]

Der Flaschenhals wird da eher die UMTS Verbindung sein und nicht die Performance des Routers.

Dann sind die 35 MB/s, welche die SSG5 schafft, mehr als ausreichend. Schau dir die Kiste mal an.

[LL0rd]

Dann sind die 35 MB/s, welche die SSG5 schafft, mehr als ausreichend. Schau dir die Kiste mal an.

Der Router hat aber nur 100MBit Ethernet Ports => ich kann da nicht mit 200MBit rangehen.

[DCR2]

Hast du schon mal drüber nachgedacht, einfach die Hardware aufzurüsten und bei PfSense zu bleiben, nutz ich auch und das läuft eigentlich top nie über 3% CPU Last (D410), mit passender Hardware dürfte das dann auch mit mehr Bandbreite hinhauen.

Mainboards mit CPU im Preisvergleich bei Schottenland.de

Die haben z.B. schnellere LAN Ports und z.T. sogar WLAN da kaufst dann einfach eine PCIe LAN Karte zu, vorzugsweise eine INTEL und schwupps gehts weiter!

Und wenn das nicht reichen sollte, hast bei dem Budget ja immernoch genug Spielraum um dir was "dickeres" zu basteln.