VPN "site to site"

beror ju lite på hur seriösa ni ska vara. är det bara för att dela filer och spela spel tillsammans så räcker nog mjukvaru-vpn, som t.ex. hamachi

https://secure.logmein.com/products/hamachi2/download.aspx

mina privata åsikter om alternativen då:

* kan inte rekomendera privatpersoner att köpa en ASA, det kräver rätt mycket förkunskap för att sätta upp.

* en router orkar nog inte med höga filöverföringshastigheter om du ska köra en vpn-lösning som t.ex. openswan. det går väl, men några 100mbit lär du inte få. det är ju ingen Core i7 i en vanlig router direkt

* en äldre dator är nog en bra lösning. kul att meka med, du kan ha den som brandvägg osv och lära sig massa på köpet. kommer nog ge bra hastigheter förutsatt att den har ett dedikerat nätverkskort istället för on-board. cpu'n i en äldre dator kommer inte orka med högre hastigheter om den ska driva nätet och räkna kryptot för vpn

Det finns home routrar som klarar 100mbit wan / lan throughput. DD-WRT kompatibilitet är en annen issue.

ASA är dyr, och overkill. Finns cisco 1700 el 2600 series som är ganska billiga och klrar at köra IPSEC IOS. Titta efter minst 32 mb flash, och 64mb med ram. Kolla med azalea global eller stril networks. Har köpt grejer där för. Azalea brukar vara billigast som regel.

Men den klart billigaste alternativ är en gamal dator med 2 nät kort och en switch. En gbit NIC kostar 99 spenn på webhallen, en netgear gigabit switch kostar ca 400 tror jag.

Med t.ex http://www.clearfoundation.com/Software/downloads så får du en fullt fungerande linux FW. Du kan också kolla på PFSense

Varför ta gammal sunk-hårdvara när du har budget för att köpa nytt? Ett Atom-kort med dubbla nic och pfsense borde fungera fint. Titta lite på hårdvarukraven för pfsense och bestäm dig för hur mycket kräm du behöver ha.

Jag vill betona att de specifikationer för produkterna på tillverkarnas hemsida kan vara tämligen "sugar coated". Tillverkarna, med undantag från Cisco (och andra "seriösa" märken), vill ju givetvis få deras produkt att se så bra ut som möjligt. Så tex 100Mbit throughput behöver nödvändigtvis inte betyda att den klarar det. Att det står tex 100Mbit/s betyder alltså att tillverkarna har testat utrustningen med optimala testmiljöer med övriga tjänster inaktiverade. Gämför på nätet och hitta referenser från andra personer och testat utrustningen.

peace

Det finns flera revisioner av 1721. Må titta på mängd av Flash för IOS och RAM. Apsolut minimum är 32mb flash och 64mb ram. Beställde 10x 1721 från azalea, och 4 stk var jätte gamla, och kunde ej köra ipsec enabled IOS.

Problemet med 1721 är at den har bara en 10/100 ethernet port, så då må man köpa eventuelt en HWIC-4ESW, som er en 4 ports switch modul.

Barebone 1721 kan du få billigt, TOM gratis, det er modulene som kostar. Oftast kan du hitta någon på ebay. Kostar ca 150$.

----------------------------------------------------------------------------------

Då har jag wasta lite mer tid och kommit fram til fölgende, som är faktisk en ganska bra lösning för mig själv också.

http://www.komplett.se/k/ki.aspx?sku=613713#extra
+
http://dd-wrt.com/wiki/index.php/Linksys_E3000
+
WAN - LAN 218 mbit
LAN - WAN 249 mbit
Total Simultaneous 258 mbit
=
Det du letar efter.

Siffrorna kommer från http://www.smallnetbuilder.com/wireless/wireless-reviews/3113...

Vilken hastighet vill du ha site-site? Om man använder FreeS/WAN så verkar det som overhead är runt 140 "Pentium 2 klockcykler"/byte (härlig enhet!), Om man använder en högoptimerad krypteringskod. Vad det blir på en modern RISC som sitter i konsumentrouter har jag inte en aning om.

Möjligen skulle man kunna uppskatta hur många klockcyklar routern behöver för att routa en byte, lägga till 140 och sedan räkna ut hur många bytes man får per sekund. Men resultatet är antagligen inte vatten värt.

CLI hjälper lite när routeren fastnar i boot pga för lite minne

E4200 är WIP, altså work in progress, därfor tok jag E3000. Dom kör samma CPU, så skilnaden er i så fall marginal.

OpenBSD med GRE/IPSEC tunnel skulle jag rekommendera. Kör med två billiga 6000 kr servrar med c2d propp, ett plus var även att dom hade lights-out management så man kan felsöka setupen även om nätet/tunneln är nere. Dom fixa runt 350-400 Mbit trafik genom tunneln.

Om du inte har några bekymmer med att din trafik flyter okrypterad kan du alltid köra med en GRE tunnel utan ipsec, då får du förmodligen lätt 100 Mbit throughput på en Atom setup.

Något man ska lägga med i ekvationen är också är att det är en viss overhead på GRE/IPSEC så en del av CPU-kraften kommer även gå till att skriva om MTU-storleken på de paket som ska skickas genom tunneln.