Ubiquiti Edgerouter Lite

@mrqaffe: Bara dumma switchar bakom är jag rädd.

EDIT: Eller jag måste kolla, men tror inte det går att ställa in något på dem.

@moron: Blir lite dyrt, har 5 st.

@moron: Ok, har sett det där innan.
Får kolla upp om det går att ändra i switcharna först.

@El_Raspberry:
Om det stämmer så kan man ju fundera hur puckade tillverkarna är egentligen. Så svårt är det inte att generera ett unikt cert vid behov istället för att köra med samma :/

Har kollat nu och kan inte ändra i switcharna.
Går det inte att sätta en begränsning på ett helt subnät?

På Edge Switcharna (iaf de som kör EdgeOS 1.3) får man generera sitt eget cert innan man kan köra https mot den iaf.

Vet vi att det inte är i beta-mjukvarorna som buggarna hittas? De har ju konstant betor ute och där kan jag tänka mig att det går att hitta en del.

Flertalet mycket större tillverkare har ju haft ganska svettiga säkerhetshål på sistone, bl a Cisco, Juniper och Fortinet vill jag minnas.

Japp. PPtP är ett "skitprotokoll". Det finns en del krypteringsmetoder som kan accelereras genom att ha ett "kryptokort". PPtP går det inte att göra så på. PPtP är förutom att vara långsamt väldigt osäkert. Jag skulle avråda från det om du vill skydda något viktigt.

Det kanske går att accelerera om du använder L2TP över IPSec. Förutsatt nu att routern stödjer det. I sådana fall kan du sätta att den inte ska använda MPPE-kryptering, utan bara IPSec. IPSec kör numera ofta AES som förmodligen är det vanligaste att krypteringskorten stödjer.

Alternativt går det att gå på "riktig" VPN och använda en VPN-klient. Vet inte om det finns några bra gratisvarianter där.

Misstänker att du kan köra OpenVPN på den där edgeroutern. Där har jag ingen aning om det går att välja AES och att accelerera det.

@Ture72:
Tjah får väl kolla på det. Fast just nu är den konfad och rullar på så...

Det stora problemet med PPtP och hastighet här är att någon skrev att Edgerouter har accelerering. PPtP är riktigt bökigt att accelerera så jag är säker på att du får dålig hastighet på tunneln just för att den inte kan använda accelerering. (Ett extrakort som avlastar CPUn genom att utför kryptering och dekryptering av paket så att den vanliga CPUn bara behöver jobba med okrypterade paket).

Nu är jag lite ute på djupt vatten, men jag kollade på deras forum...

Den enda accelereringen den stödjer är IPSec. (Min gissning är att det bara är AES och möjligen 3DES. Osannolikt att den accelererar andra algoritmer, även om det finns många som teoretiskt går att använda under IPSec).

Egentligen lite konstigt då SSL kan använda AES som krypteringalgoritm och det är precis den som accelereras i nästan alla fall av hårdvaruaccelererad kryptering, men Ubiquiti stödjer inte det. Däremot verkar det som om AES via SSL VPN accelereras av PFSense med samma hårdvara. Dvs, i det fallet är det en mjukvarugrej...

PPTP är inte långsamt som protokoll, tvärt om så är det det som kräver minst av "avkryptera", mest för att det generellt inte är krypterat alls eller använder väldigt svag kryptering. Detta är varför det används i billiga VPN tjänster, eller t. ex. Bahnhofs gratis VPN.

Problemet med ERL är att CPUn i sig är riktigt svag så man förlitar sig helt på hårdvaruaccelerationen för routing, switching, firewalling, etc. Eftersom att hårdvaran inte stöder PPTP så kommer det behandlas av CPUn, vilket förmodligen gör ett sämre jobb än vad hårdvaran gör med IPsec.

Nu skrev jag iofs inte att det normalt är snabbt, men som du säger är det sällan många bitar i krypteringen, men du kan få upp till 128 bitar och då tror jag inte att MPPE är så mycket snabbare än AES 128.
Har jag inte helt fel så är problemet med MPPE att man byter nycklar väldigt ofta och då blir det besvärligt att hårdvaruaccelerera när det hela tiden ska skickas ny information(nyckel) till krypteringskortet.

Som jag skrev tidigare brukar många krypteringskort (inline) dekrypter/kryptera paketen innan/efter de når CPU. Så att om man använder AES behöver CPU bara behandla okrypterade paket. Det är klart att det blir mycket snabbare än när den måste sköta den biten även om det bara är exmpelvis 40bitars MPPE.

Givetvis kan 10Mbps räcka alldeles utmärkt för VPN. Det är sällan så att man skickar upp några större filer. Själv har jag en Clavister som klarar 100Mbps VPN, men jag hade klarat mig lika bra med 10.

Samtidigt är jag en sådan som hatar när man inte får ut max. När man vet att det borde gå fortare och irriterar sig över det, även om det inte behövs.

http://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-Edg...

Varför vill du ha flera interface på samma nät?