VPN router met Gbit doorvoer

vrijdag 27 september 2019 09:10

Acties:

0 Henk 'm!

Topicstarter

Hallo Tweakers,

Veel internetverbindingen zijn tegenwoordig sneller dan 100 Mbit. Nu blijkt dat ook routers die als Gbit router worden verkocht weliswaar Gbit netwerk interfaces hebben maar geen Gbit router doorvoersnelheid. Zo halen veel Draytek routers (tenminste, die ik ken) maar ca. 130 Mbit. Om over de VPN doorvoersnelheid maar niet te praten.

Draytek:
Hier heb ik de meeste ervaring mee (laatste modellen die ik ken o.a. Vigor 2920). Deze werken meestal goed afgezien van wat firmware bugs. Voordeel: goede prijs/prestatieverhouding, simpele configuratie, veel opties. Nadelen: veel modellen met Gbit interface halen maar 130 Mbit.

Unifi USG:
Valt wat tegen. Configuratie via programma/database op PC vind ik wat omslachtig. Ik heb liever dat de settings in het apparaat zelf zitten en via een web interface geconfigureerd kunnen worden.
L2TP VPN blijkt in de praktijk niet stabiel, vaak onbereikbaar. Doorvoersnelheid VPN slechts ca. 50 Mbit.

Mikrotik:
Configuratie lastig. Er is een bug geweest waardoor vanuit internet configureerbare routers gehackt werden (ik stel dit trouwens nooit zo in). Voordeel: goedkoop. Snelheid voor zover ik weet ook goed. Zou ik niet snel weer voor kiezen.

Mijn vraag: welk merk en model router voldoet aan deze eisen:

0. BETROUWBAAR!
1. Gbit doorvoersnelheid
2. Web gui
3. Firewall
4. VPN
5. Prijs: ca. 100-200 euro idealiter.

Het gaat dus om een router voor het kleinbedrijf of wat meer veeleisende thuisgebruiker. SOHO, met de nadruk op extra opties zoals port forwarding en VPN.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 27 september 2019 09:23

Acties:

+2 Henk 'm!

MuVo

Wil je echt de controle in eigenhand nemen en ben je niet vies om Do it Your Self (DIY) (zelfbouw) op te bouwen en beheren, dan kun je kiezen voor custom router hardware met een opensource firewall pakket. Met hardware die krachtig genoeg is voor gigabyte speed met vpn.

Hardware keuze:
Optie 1: Chinese Qotom Intel i5*
Optie 2: Chinese Qotom Intel i7
Optie 3: pfSense met eigen pfSense hardware
^{* Hier heb ik zelf ervaring mee.}

Software keuze:
pfSense*
Sophos Home
OPNsense
^{* Hier heb ik zelf ervaring mee.}

Zie Zelfbouw project: Firewall / Router / AP voor tips en hardware alternatieven.

[ Voor 23% gewijzigd door MuVo op 27-09-2019 09:37 ]

vrijdag 27 september 2019 10:13

Acties:

+1 Henk 'm!

jeroen3

Is mikrotik helemaal geen optie meer?
Want een RB750Gr3 (hex) voldoet al aan alles wat je vraagt, €52.-

Dat er een bug was, zou ik niet zo snel als reden zien om van een bepaald merk af te zien.
Als de bug er nog is, dat is een ander verhaal.

Door de simpele opzet aan hun kant leggen ze veel verantwoordelijkheden bij de eindgebruiker.
Dat kan je als negatiefs zien, omdat je dan veel zelf moet doen. Of als iets positiefs, omdat je dan veel zelf kan kiezen.
Wil je iets out-of-the-box haal dan een Synology RT2600ac o.i.d. Die is ook vrij rap, alleen kan ik geen benchmarks van de vpn vinden.

vrijdag 27 september 2019 10:37

Acties:

+1 Henk 'm!

laurens0619

Gigabit internet doorvoer gaat je wel lukken met een router van 100-200 euro maar gigabit vpn doorvoer gaat lastig worden.
Heb je de edgerouter ER-4 al bekeken? Ding doet gigabit internet doorvoer en bijna 500mbit ipsec vpn
https://www.simonmott.co....router-ipsec-performance/

pricewatch: Ubiquiti EdgeRouter 4

Als 200mbit vpn en gigabit internet ook genoeg is kun je de edgerouter X ook overwegen (50 euro)

[ Voor 10% gewijzigd door laurens0619 op 27-09-2019 10:50 ]

CISSP! Drop your encryption keys!

vrijdag 27 september 2019 10:40

Acties:

+1 Henk 'm!

Paul

Ubiquiti heeft ook de EdgeRouter serie, dat zijn ook hele leuke apparaatjes. Ik had vroeger pfSense draaien als VM, maar toen ik het beu was dat het internet eruit lag als ik wilde hobbyen met die server heb ik een Edgerouter Lite gekocht.

"Lite" doet niet veel goeds vermoeden, maar volgens mij is de hoofdreden dat ze het ding 'lite' noemen dat er maar 3 poorten op zitten, want 1518 bytes packets routeert'ie op gigabit, als je alleen maar 64 byte pakketjes stuurt doet'ie "maar" 480 MBps.

Nu zit er in de Lite niet de beste processor, maar de pricewatch: Ubiquiti EdgeRouter 4 (de sterkste die nog in je budget valt) doet 440 MBps IPsec (https://www.simonmott.co....router-ipsec-performance/).

Edit: Ha, (bijna) tegelijkertijd dezelfde post

[ Voor 3% gewijzigd door Paul op 27-09-2019 10:41 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 27 september 2019 10:50

Acties:

+1 Henk 'm!

|sWORDs|

vSphere/ESXi

MuVo schreef op vrijdag 27 september 2019 @ 09:23:
Wil je echt de controle in eigenhand nemen en ben je niet vies om Do it Your Self (DIY) (zelfbouw) op te bouwen en beheren, dan kun je kiezen voor custom router hardware met een opensource firewall pakket. Met hardware die krachtig genoeg is voor gigabyte speed met vpn.

Hardware keuze:
Optie 1: Chinese Qotom Intel i5*
Optie 2: Chinese Qotom Intel i7
Optie 3: pfSense met eigen pfSense hardware
^{* Hier heb ik zelf ervaring mee.}

Software keuze:
pfSense*
Sophos Home
OPNsense
^{* Hier heb ik zelf ervaring mee.}

Zie Zelfbouw project: Firewall / Router / AP voor tips en hardware alternatieven.

Ik heb ervaring met de nieuwere machines (6 poorts + i3-7100u) en pfSense, zijn ideaal. Wel een net ander model: https://nl.aliexpress.com/item/32890451868.html

Benchmarks:
Celeron 3205U 1499
Celeron 3865U 1913
i5 4300Y 2505
i5 4200U 3280
i5 5200U 3495
i3 7100U 3766
i5 7200U 4567
i7 7500U 5122

Te Koop:24 Core Intel Upgradeset

vrijdag 27 september 2019 11:46

Acties:

+1 Henk 'm!

Kasper1985

Je geeft niet aan waarvoor je dit zoekt. Ik ben zelf erg enthousiast over Wireguard. Waarschijnlijk is dit wel op te zetten op een edge router aangezien die draaien op een debian variant en anders op een 5 euro p/m vultr vps als server en iets van een intel nuc op locatie.

Als je dit zoekt voor een (zakelijke) klant niet aan beginnen want wireguard is nog hevig in ontwikkeling en nog niet 100% geaudit (ik dek mezelf even in hier).

Zoek je een snelle vpn om thuis mee te klooien dan is wireguard erg leuk stabiel en snel. Ik haal op mijn 200mbit verbinding makkelijk 180mbit.

vrijdag 27 september 2019 20:12

Acties:

0 Henk 'm!

pinockio

Topicstarter

Interessante suggesties, mijn dank!
Ik zoek dit om te beginnen voor eigen gebruik (ZZP kantoor).
Als het goed bevalt ook bij klanten.

Zelf bouwen, VM's, pFsense etc. kan ik wel, maar ik heb voor deze toepassing heb ik het liefst een gewone hardware appliance die je reset door de stroom eraf te halen

Zelf veel instellen met trusted/untrusted interfaces, dingen koppelen etc. vind ik te omslachtig, daarom valt Mikrotik af, ik heb het liefst een interface zoals ik gewend ben van Draytek.

Gbit doorvoersnelheid in de VPN is niet persé noodzakelijk. Als ik toch weer op een Ubiquity apparaat kom: hebben die een web interface voor de config of is het weer iets wat je op een PC draait?

De nadelen daarvan zijn o.a.: Je moet er backups van maken, Als je de PC vervangt moet je data migreren, het is omslachtiger, je kunt het alleen vanaf één PC doen.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 27 september 2019 20:37

Acties:

0 Henk 'm!

Paul

EdgeRouters hebben webservertje onboard voor management

Maar dan nog zou je een up-to-date kopie van de config moeten willen bewaren (al is een export van de config ergens veiligstellen genoeg).

De firewall kun je zo makkelijk en moeilijk maken als je zelf wil. Voor de gebruikelijke zaken (1 LAN / 1 WAN, 1 LAN / 2 WAN, 2 LAN / 1 WAN) zijn wizards, maar het blijft wel een firewall; je ontkomt er niet aan om na te moeten denken over welke netwerken waarbij mogen. Op deze interface mag verkeer van X naar Y over poort Z, dat soort dingen. Al houdt niks je tegen om op LAN_IN een any:any:any:allow te zetten (bij voorkeur onder een any:(not smtprelay):25:deny).

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 27 september 2019 20:51

Acties:

0 Henk 'm!

pinockio

Topicstarter

Natuurlijk, een Draytek config backup ik ook na elke wijziging. Maar dat de Unifi USG een database draait op een PC om je config te beheren vind ik een idiote setup. Werkt trouwens vaak ook heel slecht op een Mac (ik heb twee keer mijn eigen Windows laptop mee moeten nemen naar mensen die Unifi AP's en/of USGs hadden omdat de config met hun Mac gewoon niet ging werken).

Als de Edgerouter net zo'n steile learning curve heeft als de Mikrotik laat ik dat voor gezien. Ik weet dan nooit zeker of ik het goed heb gedaan. Ik heb ook geen zin om weer uren me ergens in te verdiepen of - god betere het - hulp te moeten vragen haha. Zo heb ik met die Mikrotik apparaatjes de grootste moeite gehad om een VPN in te stellen, bleek ook via IPSec niet te gaan - ondanks "hulp" van iemand die daar elke week mee werkte, zat ik uiteindelijk toch weer met een PPTP VPN. Dat werkte dan wel. Maar dat werkte ook op die oude Draytek.
Ik weet hoe ik een USG in moet stellen, en een Draytek, en veel consumentenrouters.

Waar ik in alle gevallen genoeg aan heb is:

1 of 2 WAN interfaces
NAT
LAN (evt. een paar VLANS)
VPNs
Port Forwarding
Firewall (Van binnenuit mag in principe alles, inkomend verkeer alleen op de Port Forwards en dan soms met restricties qua IP)

Dat alles zit in een Draytek Vigor en ook in een Unifi USG. Veel ingewikkelder wil ik het niet.

[ Voor 47% gewijzigd door pinockio op 27-09-2019 20:57 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 27 september 2019 21:03

Acties:

0 Henk 'm!

lier

MikroTik nerd

Mikrotik is superieur aan Ubiquiti in alle opzichten als het om routers gaat. Hooguit dat de GUI van Ubiquiti voor basisfunctionaliteit iets toegankelijker is, maar met de zaken die je wil doen zal je meer moeite moeten doen.

Eigenlijk heb je je vraag zelf al beantwoord: Draytek is jouw merk. Meeste ervaring bij jou en leercurve is minder stijl.

Eerst het probleem, dan de oplossing

vrijdag 27 september 2019 21:42

Acties:

0 Henk 'm!

pinockio

Topicstarter

Dat is nogal een bewering. Twee dingen die ik ervaren heb bij Mikrotik:

- Vulnerability bij beheer vanaf internet
- Onduidelijke, niet up to date en niet werkende howto als het gaat om L2TP of IPSec VPN.

Natuurlijk zijn er altijd persoonlijke voorkeuren, smaken etc. maar zo iets beweren vereist bewijs. De bouwkwaliteit etc. van Ubiquiti komt op mij in ieder geval beter over.

Inderdaad zou ik het liefst een Draytek hebben met een hoge performance. Ik heb meer dan 10 jaar ervaring met Draytek, 2 jaar met Ubiquiti en ik ben niet overtuigd. Mikrotik ga ik niet opnieuw proberen.

Alleen weet ik niet of er Draytek modellen zijn die doen wat ik wil en dan met name - zoals aangegeven - die doorvoersnelheid. Ik heb ook de indruk dat Draytek nu weinig nieuwe modellen uitbrengt.

Misschien ga ik wel zo'n Edgerouter 4 bestellen en kijken wat het me brengt.

[ Voor 8% gewijzigd door pinockio op 27-09-2019 21:43 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 27 september 2019 22:04

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Kijk even op smallnetbuilder. Die hebben van vrijwel alle merken en types de snelheden staan. Wan-lan staat er zeker bij

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

vrijdag 27 september 2019 22:19

Acties:

0 Henk 'm!

Luxicon

pinockio schreef op vrijdag 27 september 2019 @ 20:12:
Interessante suggesties, mijn dank!
Ik zoek dit om te beginnen voor eigen gebruik (ZZP kantoor).
Als het goed bevalt ook bij klanten.

Zelf bouwen, VM's, pFsense etc. kan ik wel, maar ik heb voor deze toepassing heb ik het liefst een gewone hardware appliance die je reset door de stroom eraf te halen

Zelf veel instellen met trusted/untrusted interfaces, dingen koppelen etc. vind ik te omslachtig, daarom valt Mikrotik af, ik heb het liefst een interface zoals ik gewend ben van Draytek.

Gbit doorvoersnelheid in de VPN is niet persé noodzakelijk. Als ik toch weer op een Ubiquity apparaat kom: hebben die een web interface voor de config of is het weer iets wat je op een PC draait?

De nadelen daarvan zijn o.a.: Je moet er backups van maken, Als je de PC vervangt moet je data migreren, het is omslachtiger, je kunt het alleen vanaf één PC doen.

1) Snap wel wat je bedoeld hoor, maar als je de stroom eraf haalt, gaan alle apparaten uit.. en starten ze opnieuw op als je de aan knop indrukt.. maar je kan ook een monitor aansluiten om te zien wat er verder gebeurd, (indien de web interface onbereikbaar is)...

2) Het is makkelijk om een poort toe te wijzen aan de functie van WAN of LAN. Je kiest zelf welke poort je daarvoor gebruiken wil.

https://www.netgate.com/

Hier staat het voor geïnstalleerd. PfSense is open source, daarom kun je het ook zelf op een computer installeren. Als je de poorten WAN en LAN toegewezen hebt is het niets anders dan alle andere merken waarop de software al geïnstalleerd is.

Zelf heb ik misschien ook liever een Cisco of iets dergelijks, maar voor zover ik begrijp biedt PfSense mogelijkheden waar je normaal gesproken erg veel voor betaald.

PS. waar ik benieuwd naar ben of je een router kunt vinden onder de 200 EURO die meer dan 100Mbit OpenVPN doorlaat.

[ Voor 3% gewijzigd door Luxicon op 27-09-2019 22:32 ]

...

zaterdag 28 september 2019 13:14

Acties:

+1 Henk 'm!

Kasper1985

De Edge routers hebben een andere (web) interface dan die USG en unifi dingen.

Het is echt een andere wereld. Op de Edge router kan je terugvallen op vyaOS wat een fork is van Debian als ik me niet vergis.

Daar is dus enorm veel over te vinden op google etc.

De overhead aan snelheid waar jij het over hebt zit voornamelijk in het protocol/encryptie wat er gebruikt wordt. Daar begint de industrie nu ook achter te komen dus er komen wel nieuwe snellere alternatieven zoals bijvoorbeeld Wireguard. Dat gaat ooit ook opgenomen worden in linux kernels.

Ik denk dat je met een Edgerouter heel blij gaat zijn. Ik doe 99% in de web gui het komt zeer zelden voor dat ik de terminal moet openen om iets aan te passen wat in de web gui niet mogelijk is.

zondag 29 september 2019 10:32

Acties:

0 Henk 'm!

pinockio

Topicstarter

Interessant! Ik ga zo'n ding testen en dan horen jullie ervan.
Wat ik nodig heb is een standaardmodel dat ik gewoon overal kan toepassen. Wie weet wordt dat die Edgerouter dan

OK... ik kreeg de Edgerouter 4 gisteren binnen.

Mooi degelijk apparaatje, voelt goed aan.

Ik gebruik altijd port forwards voor bepaalde services (ssh, rdp) waarbij alleen een paar ip-adressen "trusted" zijn. Dat is helaas niet een config die bij de voorbeelden van Unifi staat.

Firewall instellen was om die reden even lastig - waar ik dus al bang voor was - maar ik weet nu hoe ik de rules aan moet maken met de juiste interfaces en defaults.

En hij is snel!

Na aanvankelijk gekloot werkt het nu goed, een redelijk goede ervaring dus.

[ Voor 66% gewijzigd door pinockio op 06-10-2019 21:14 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Onderwerpen