Översikt Datorer

Overkill pfSense router + VPN

Skapat
2017-06-16
Skapat av
Senast ändrat
2017-06-16
Visningar
5 692

Hej,

Behövde en snabbare router för att hantera AES-256 VPN trafik i nivå med min inkommande hastighet (100/100 Mbit), varför inte överdriva lite?

En missuppfattning många har är att om man har VPN på routernivån så skulle all trafik bli krypterad, detta är helt fel och är något man kan konfigurera hur man vill. Så jag vill passa på att visa hur jag har tänkt och hur jag vill att mitt nätverk ska fungera.

Grundtanken:
* Ett godtyckligt antal värdar i nätverket ska ha all sin trafik över VPN och ENDAST VPN med en "kill-switch" om VPN-tunneln går ner.
* Ett godtyckligt antal värdar ska endast ha HTTP och HTTPS trafik över VPN så att man t.ex. kan spela spel obehindrat av extra latens i form av extra hopp och kryptering/avkryptering.
* Ett godtyckligt antal värdar ska inte ha trafik över VPN alls, utan bara köra okrypterat.

Val av delar:
Jag tittade länge på lite olika lösningar med mini-itx kort med dual nics men det var "relativt slöa" integrerade cpus. Intel AES-NI var ett måste kände jag.

* Fractal Design Node 202 med tillhörande 450W SFX nätagg
* Intel Skylake G4400, billigaste jag kunde hitta som var tillräckligt modernt för AES-NI.
* MSI H110I Pro mITX
* Noctua NH-L9i för minimal ljudnivå och begränsad höjd på kylare
* Intel Pro/1000GT för LAN-NIC
* Äldre SSD 120 GB jag hade liggandes hemma
* Billigaste DDR4 2133Mhz jag kunde hitta (4GB).
Totalpris ca 4000:-

Svarar gärna på frågor så gott jag kan!

Rapportera Kommentera galleriet

Lite komponenter, den med skarpt öga ser att jag råkade beställa ett PCI istället för PCIe nätverkskort *oops*

Nu med PCIe

Här har vi hjärntrusten.
Router till höger (duh)
NAS i mitten
Lite ad-hoc raspberry pie:s i en stack till vänster.

Här vill jag passa på att förklara lite hur min brandvägg är confad.
pfSense kollar reglerna uppifrån och ner och matchar en regel så antingen passerar, blockas eller rejectas paketet.

Jag tänkte förklara dem i ordning:
* Första regeln är bara för att förhindra att man låser ute sig själv från webguit.

* Sen har jag blockerat DNS förfrågningar till routern om värden finns tillagd i gruppen vpn_common, det är en gemensam grupp för alla värdar som har något med VPN att göra i olika grad. I DHCP-servern skickar jag med två stycken externa DNS-servrar till varje värd i nätverket. Detta för att förhindra DNS-läckor.

* Jag använder inte IPv6 ihop med VPN och har därför blockerat det helt "ut mot nätet".

* VPN_forced är en grupp värdar som endast tillåts kommunicera "ut mot nätet" över VPN. Skicka denna trafiken över VPN-gatewayen. Denna trafiken taggas dessutom för att få "kill-switchen" att fungera senare.

* VPN_web är en grupp värdar vars trafik över HTTP och HTTPS skickas över VPN. Denna trafiken taggas också för kill-switchen.

* Sista raderna är bara för att tillåta "allt annat" att kommunicera med omvärlden (okrypterat).

Något missvisande resultat pga komprimeringen i OpenVPN

Här ser man att WAN cappar på 10.5 MB/s vid just detta provet vilket är rimligt och ett resultat jag är nöjd med.

Min gamla trotjänare Alix 2D2

Serialport, roligt roligt

Kommentarer till galleriet (21)
Läs fler kommentarer och diskutera
Andra spännande projekt
Skapa ett du med
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara