VPN client via router: Tomato/DD-WRT of PfSense?

Vergeet ook niet, dat je PC dan ook dag en nacht aan staat. EN ook je router. Misschien kost een paar tientjes per jaar, maar waarom zou je moeilijk doen? Eerst flashen op router, kijken hoe dat werkt. Als dat tot tevredenheid is, laat het zo. Indien niet, dan de PC inzetten.

Vergeet ook niet, dat als je nu een 120 Mbps lijn hebt dat je dat nooit gaat halen met VPN. Neem "genoegen" met 50 á 80 Mbps (als je ook dát uberhaupt haalt).

Anoniem: 203842 schreef op maandag 26 oktober 2015 @ 19:39:
Vergeet ook niet, dat je PC dan ook dag en nacht aan staat. EN ook je router. Misschien kost een paar tientjes per jaar, maar waarom zou je moeilijk doen? Eerst flashen op router, kijken hoe dat werkt. Als dat tot tevredenheid is, laat het zo. Indien niet, dan de PC inzetten.

Vergeet ook niet, dat als je nu een 120 Mbps lijn hebt dat je dat nooit gaat halen met VPN. Neem "genoegen" met 50 á 80 Mbps (als je ook dát uberhaupt haalt).

Ik zie niet meteen waarom TS een router zou aanschaffen als er gekozen word voor de PC optie. Derhalve verwacht ik ook niet dat beide aan zullen staan. Wat betreft power consumption is het verbruik van de Zotac vergelijkbaar met een ASUS Nighthawk en indien je voor een consumentenrouter wil gaan, zul je op een dergelijk apparaat uitkomen.

Ik zou eens kijken naar een Ubiquiti EdgeRouter. Ik heb in een review gelezen dat er 111 Mbits/s door een IPSec tunnel heen ging. Dit is uiteraard in een gecontroleerde setup en de resultaten die je zelf behaalt worden sterk beinvloed door de mogelijkheden van de VPN provider.
Nadeel is wel dat je een appart WiFi AP moet aanschaffen want een EdgeRouter heeft geen onboard WiFi.

Ik heb ook eerst geprobeerd met OpenVPN op mijn router maar de snelheden zijn dan belabberd. High-end modellen, nu op de markt, halen maximaal 50 Mbit volgens reviews. Mijn Netgear WNDR3700 haalde zo'n 12 Mbit. De EdgeRouter haalt alleen 111 Mbits met IPSec, maar niet met OpenVPN: dat wordt niet hardwarematig geaccelereerd. Dus als je dat wilt gebruiken heb je daar ook niets aan.

Wat ik uiteindelijk heb gedaan is een simpele PC neergezet en daar PfSense op geïnstalleerd. Dat werkt als een tierelier! De setup die ik nu heb staan:

#	Product	Prijs	Subtotaal
1	Gigabyte GA-C1037UN-EU	€ 67,-	€ 67,-
1	Antec ISK 110 Vesa	€ 75,95	€ 75,95
1	Crucial CT51264BA160BJ	€ 19,51	€ 19,51
Bekijk collectie Importeer producten		Totaal	€ 162,46

CPU is een 1037U embedded op het moederbord en is passief gekoeld. Deze heeft ook geen ondersteuning voor AES-NI dus de CPU zal de encryptie op zich nemen. Per core (en hij heeft er 2, maar OpenVPN ondersteunt maar 1 core per connectie) haalt ie tegen de 300 Mbit/s. Als ik de 2 CPU's naast elkaar zet hier: https://www.cpubenchmark....php?cmp[]=2485&cmp[]=1988 moet met de 2961Y ook wel ruim 200 Mbit mogelijk zijn.

De case heeft al een picoPSU met externe adapter. Booten doe ik vanaf een USB stick met PfSense embedded: die versie minimaliseert de writes op de opslag om te voorkomen dat je USB stick vroegtijdig sterft door te veel schrijfacties.

Houdt er rekening mee dat je zo'n 7 % van je 120 Mbit gaat inleveren aan overhead van de VPN, dus 110 Mbit is zeker haalbaar.

Voordeel van PfSense is ook meteen de flexibiliteit: ik laat al het verkeer via de VPN, met uitzondering van een lijst met hostnames waar ik direct heen wil verbinden. Bij het falen van de VPN gaat ie direct naar buiten, met uitzondering van wat hosts op het netwerk die ik alleen via VPN naar buiten wil laten gaan.

Als je de zelfbouw route wil gaan is Zelfbouw project: Firewall / Router / AP (PfSense) wel interessant.

Wellicht kun je iets als ESXi (hypervisor) draaien, kun je pfSense als VM draaien en de server ook nog voor andere zaken gebruiken. Als je dan tenminste een beetje redelijke performance overhoudt, ik heb wel een ESXi server (NUCje) maar gebruik hem niet als firewall.

Ik weet niet wat die Zotac doet met stroomverbruik maar volgens mij is het voor de meeste thuisapplicaties best duur en inefficiënt om een volwaardige pc/server/htpc te laten draaien als router.
Niet dat dat je als Tweaker moet tegenhouden als je dat leuk vind, maar zou persoonlijk toch opteren voor een knappe router waar alle netwerkmeuk gewoon aan boord zit. Eventueel met DD-WRT inderdaad.

Edit:

Stressed lijkt dat ding (volgens deze site) 20 watt uit het stopcontact te trekken, dat is best zuinig.
Ongeveer 4 euro per maand. Valt me niet tegen.

[ Voor 30% gewijzigd door Anoniem: 80487 op 26-10-2015 21:55 ]

Ik draai op USB omdat de case geen SD reader heeft ingebouwd, en natuurlijk wel USB poorten. Ik denk dat het weinig verschil maakt, alleen het booten gebeurt vanaf USB/SD. De lees/schrijfsnelheid is dus niet heel relevant, alleen het booten zal er sneller van gaan als je vlotte storage hebt. Er zijn images van PfSense tot 4 GB, dus grotere storage dan dat heeft geen extra voordeel. Ik draai op een 16 GB stick, maar er is dus maar 4 GB gepartitioneerd.

Daarna wordt alleen de config weggeschreven naar storage, al het overige gebeurt in memory. Er worden 2 in memory mounts gedaan voor /var en /tmp, daarvoor is je geheugen handig. Standaard zijn dat 40 MB en 60 MB mounts (en met een standaard PfSense installatie ruim voldoende). PfSense zelf gebruikt vrij weinig, met 4 GB zit ik op 4 % gebruik. Dus met 1 x 2 GB ga je het prima redden.

pfSense werkt erg fijn en als ik een energiezuinige computer ervoor zou kunnen gebruiken die een paar watt verbruikt dan zou ik dat graag willen. Bijvoorbeeld met zo een Atom die je in tablets vind. Alleen die ga je niet vinden. Laagste verbruik wat je dan kunt realiseren (met inachtneming dat je 2 NICs nodig hebt) is met een N3050/3150 en externe voeding (Zoals een laptopvoeding) maar dan moet je denk ik nog rekenen op minimaal 15 watt ofzo. Dat is grofweg 30e per jaar. Heb je overigens wel hardwarematige AES versnelling.

Memory modules in paren installeren is tegenwoordig niet meer nodig. Een DIMM module heeft, net als de processor, een datapath van 64-bit. Vroeger, toen we nog allemaal SIMM modules in onze computers stopte, was het aan te raden om SIMMs in paren te installeren omdat een SIMM een datapath heeft van 32-bit.

Wat mij erg geholpen heeft is deze tutorial:
https://airvpn.org/topic/...up-pfsense-21-for-airvpn/

Voor PIA zal het niet veel anders zijn vermoed ik.

Ligt er ook aan of je later misschien naar een hogere snelheid dan +/- 200 Mbit internet wilt gaan. De CI321 gaat tot die snelheid (met VPN dus), wil je sneller dan moet ofwel de CPU sneller zijn ofwel AES-NI ondersteuning opzitten om de CPU te offloaden. Of het dus nuttig is om te cancellen ligt aan je eigen toekomstwensen. De prijs zal waarschijnlijk wel hoger liggen dan de CI321 nu.

jvdburgt1980 schreef op dinsdag 24 november 2015 @ 13:40:
Vandaag eindelijk alles binnengekregen (incl. de Zotac CI-323) dus komend weekend aan de slag met pfSense!

Daarover nog één praktische vraag. Ik begrijp dat wanneer mijn "zelfbouw-router" eenmaal geconfigureerd is, dat ik dan Ziggo (mijn provider) moet bellen om mijn huidige modem/router in bridgestand te laten zetten (zodat deze enkel als modem fungeert). Aangezien dit mijn eerste keer wordt dat ik met pfSense aan de slag ga, kan ik de configuratie testen voordat ik de Ziggo-modem in bridgestand laat zetten? Met andere woorden: kan ik hem gewoon "unbridged" tussen de Ziggo-modem en mijn switch zetten (waarop de rest van mijn network zit) om te kijken of alles goed is ingesteld?

Hoor het graag!

In feite wel. Je hebt dan NAT achter NAT. Waar je denk ik wel even rekening mee moet houden is dat jeje DHCP server niet de range 192.168.178.0/24 laat uitdelen, deze deelt het Ziggo modem dan ook uit namelijk waardoor jij een IP adres in deze range krijgt toegewezen op je WAN interface. Zorg er dus voor dat je LAN op je pfSense bak in een andere IP range zit.

Zodra je modem in bridge modus is gezet ontvang je uiteraad een WAN IP op je WAN interface.

Je kunt ook meerdere malen bellen met de helpdesk hoor. Mijn record is volgens mij 5 x op één avond gebeld om het modem in bridge danwel router modus te laten zetten

[ Voor 4% gewijzigd door MisteRMeesteR op 24-11-2015 21:20 ]

Beste TS,
Is het gelukt en zou je jouw ervaring willen delen?

Na wat zoeken op GoT kwam ik dit draadje tegen, en ik ben heel benieuwd of het is gelukt met de Zotac CI323 i.c.m. pfSense! Zo ja, wat heb je uiteindelijk aan hardware gekocht/gebruikt en hoe makkelijk verliep de installatie van pfSense en wilde het een beetje lukken met het verbinden naar PIA? Heb je ook goed wifi-bereik?

Als het allemaal een beetje is bevallen dan wordt dit een hobbyproject voor de komende tijd.

Basje schreef op donderdag 07 januari 2016 @ 18:57:
Na wat zoeken op GoT kwam ik dit draadje tegen, en ik ben heel benieuwd of het is gelukt met de Zotac CI323 i.c.m. pfSense! Zo ja, wat heb je uiteindelijk aan hardware gekocht/gebruikt en hoe makkelijk verliep de installatie van pfSense en wilde het een beetje lukken met het verbinden naar PIA? Heb je ook goed wifi-bereik?

Als het allemaal een beetje is bevallen dan wordt dit een hobbyproject voor de komende tijd.

Ook ik ben hier uiterst geïnteresseerd in. Nadat ik al een tijdje ruzie heb met mijn ESXi bak waar pfSense als VM op draait, wil ik een setup maken waar pfSense gewoon los op een systeem werkt, zodat mijn internet niet de hele tijd wegvalt als mijn server en ik weer eens niet door één deur kunnen.

Graag hoor ik je ervaringen!