scampicfx
Goto Top

PfSense auf VPS um Public IPv4 für Testumgebung zuhause zu holen

Hey zusammen,

ich habe mir einen kleinen VPS Server gemietet, dort pfSense installiert und anschließend per OpenVPN mit meinem Heimnetzwerk verbunden. Der Hintergedanke hierbei ist, dass ich die öffentliche IPv4 Adresse des VPS nutze, um auch mein zuhause per fester, statischer IPv4 erreichbar zu machen.

Ich habe gestern Geschwindigkeitstests zwischen VPS und zuhause gemacht und die liegen bei einer AES-128-CBC Encrypton bei ca. 16 Mbit/s.
Ich würde diese Geschwindigkeit gerne auf ca. 100 Mbit/s anheben.

Natürlich könnte ich einen leistungsstärkeren VPS buchen. Dennoch hat sich bei mir gerade folgende Frage gestellt: Ist es denn überhaupt notwendig, diese Verbindung zwischen VPS und Zuhause zu encrypten?

Die Verbindung zwischen VPS und meinem Zuhause soll nur Internetverkehr re-routen! Z.B. den Datenverkehr eines Webservers, E-Mail-Servers oder Hosting-Servers. Ich möchte einfach manche Dienste vom Rechenzentrum verlagern nach zuhause. Die meisten Verbindungen sind eh bereits per SSL/TLS verschlüsselt. Das Tor in mein Zuhause soll dabei dieser VPS darstellen.

Dennoch: Das Zuhause selbst ist mit anderen Standorten ebenfalls per VPN verbunden. Zwischen diesen Standorten verwende ich natürlich eine encryptete Verbindung. Ich frage mich deswegen ob das kritisch sein könnte, wenn ein Teil des VPN-Netzes nicht encryptet ist. Für die Verbindung VPS <-> Zuhause wird ein eigene OpenVPN Server auf dem Zuhause-pfSense gestartet. Der VPS selbst ist der OpenVPN Client.

Danke für eure Meinungen!

Content-Key: 535803

Url: https://administrator.de/contentid/535803

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: aqui
aqui 16.01.2020 aktualisiert um 14:53:49 Uhr
Goto Top
Natürlich könnte ich einen leistungsstärkeren VPS buchen
Wäre ja Unsinn, denn es ist ja nur die halbe Miete. Ebenso wichtig ist der OVPN Gegenpart im Heimnetz und die physische Internet Anbindung. Vermutlich ist das etwas Schwachbrüstiges in puncto Kryptoperformance das der Durchsatz entsprechend niedrig ist. Falsche Tunnel MTU und damit erzwungene Fragmentierung wäre auch ein möglicher Fehler (geraten).
Zu dem darfst du nicht vergessen das die Performance ja auch vom Upload abhängig ist. Hast du zuhause also DSL das nur 20Mbit Upload physisch kann wäre 16 Mbit/s ein sehr guter Wert.
Da du die vorhandene Infrastruktur leider mit keinem Wort erwähnst kann man hier, wie immer, nur frei raten. face-sad
Soll dich nur daran erinnern das man bidirektional denkt und immer beide Seiten berücksichtigt.
Mitglied: Scampicfx
Scampicfx 16.01.2020 um 15:51:58 Uhr
Goto Top
Hi aqui,

klar. Der Gegenpart samt leistungsstarker Hardware ist vorhanden.
Ich hatte ja kurz erwähnt, dass das Zuhause mit weiteren VPN-Standorten vernetzt sind. Die Geschwindigkeit, die wir im VPN Netz zwischen den Standorten haben beträgt knapp 100 Mbit/s mit Encryption.

Wie oben beschrieben handelt es sich um einen kleinen VPS Server. Er ist derzeit das schwächste Glied in der Kette, da er nur 1 geteilten vCore aufweist.

Stell dir das Zuhause als sternförmige VPN-Architektur vor. Der VPS soll eine Verbindung zur Außenwelt sicherstellen. Die Frage hierbei ist, ob die Verbindung encrypted sein soll ja/nein, wenn der VPS nur die Rolle eines NAT-Forwarders / Traffic Rerouting einnimmt.
Mitglied: aqui
aqui 16.01.2020 um 16:22:39 Uhr
Goto Top
OK, dann ist der VPS der Buhmann. Der ist vermutlich nur virtuell, sprich eine VM und alle Krypto Funktionen rennen in Software. Das ist dann natürlich nicht so der Hit. Deine Vermutung ist da richtig.
Womit hast du das gemessen ?? Iperf3 oder NetIO ?
Mitglied: Scampicfx
Scampicfx 20.01.2020 um 23:17:09 Uhr
Goto Top
Hallo aqui,

mir geht es hier nicht so sehr um die Geschwindigkeiten, sondern mehr um das Thema, inwiefern denn ein unverschlüsseltes VPN "zulässig" ist, sofern die Daten, die da drüber gesendet sind, nichts kritisches sind und eh von Haus aus verschlüsselt sind.

Ich ziel da insbesondere auf den Punkt, ob denn ein VPN-Tunnel auf einfache Art und Weise missbraucht werden könnte, wenn die Verschlüsselung fehlt?