Archiv der Kategorie: Netzwerk

IPSec-Throughput: APU1D vs APU2C

Nach dem Upgrade meiner Internetanbindung stach mir als Erstes sofort der eher bescheidene, maximale IPSec-Durchsatz der APU1-Boards ins Auge. Dies war aufgrund der fehlenden AES-Einheit eigentlich auch nicht anders zu erwarten. Um nun diesen Flaschenhals beseitigen zu können, beschloss ich kurzerhand die Anschaffung eines APU2-Boards. Mit einer, gegenüber einem APU1-Board, nun hardwarebeschleunigten AES-Verschlüsselung und erst noch doppelt so vielen (4 Stk.) CPU-Kernen sollte der IPSec-Durchsatz doch deutlich zu steigern sein, oder etwa nicht?

Erste Messungen waren leider ziemlich ernüchternd, der Durchsatz steigerte sich lediglich um ca. 10Mbps. Über die Gründe tappe ich aktuell noch im Dunkeln. Unter Umständen liegt hier aber auch nur ein klassisches Layer-8 Problem vor. Ich bleib jedenfalls am Ball.

APU1D2

  • Betriebssystem: pfSense 2.2.6
  • IPSec: IKEv2, AES256, SHA256
  • Crypto-Support:
(cryptodev) BSD cryptodev engine
 [RSA, DSA, DH]
     [ available ]
(rsax) RSAX engine support
 [RSA]
     [ available ]
(dynamic) Dynamic engine loading support
     [ unavailable ]
  • IPerf-Messungen:
root@STRUBAND-E7450:~# iperf3 -c monitoring -i 1 -R                 
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  42.7 MBytes  35.8 Mbits/sec   51          sender
[  4]   0.00-10.00  sec  42.7 MBytes  35.8 Mbits/sec               receiver

APU2C4

  • Betriebssystem: pfSense 2.2.6
  • IPSec: IKEv2, AES256, SHA256
  • Crypto-Support:
(cryptodev) BSD cryptodev engine
 [RSA, DSA, DH, AES-128-CBC, AES-192-CBC, AES-256-CBC]
     [ available ]
(rsax) RSAX engine support
 [RSA]
     [ available ]
(dynamic) Dynamic engine loading support
     [ unavailable ]
  • IPerf-Messungen:
root@STRUBAND-E7450:~# iperf3 -c monitoring -i 1 -R              
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  54.2 MBytes  45.4 Mbits/sec   25          sender
[  4]   0.00-10.00  sec  51.3 MBytes  43.0 Mbits/sec               receiver

3..2..1..FTTH

Dank glücklicher Umstände (In mein Mietshaus wird das TV-Signal mittels FTTH geliefert) und einem sehr flexiblen und kundenorientierten Kabelnetzbetreiber, welcher mir, obwohl ich nur ein Privatkunde und dazu noch Mieter bin, eine über 4km lange, exklusive Faser zum POP meines Providers spleisste, bin ich nun seit gestern Nutzer des wohl defintitiv einzigen FTTH-Anschlusses in Frenkendorf BL. 🙂 🙂 🙂

FTTH

Netzwerktopologie erstellen

Layer 2 Topologie

Mit einer Layer 2 Topologie muss es möglich sein, alle Endgeräte verbinden und konfigurieren zu können. Daher sollte Sie unbedingt folgende Informationen beinhalten:

Endgeräte

  • Typ | Hostname | IP | Firmware | Patchliste

Verbindungen

  • Medium | Speed | Stecker | Fiber Modul | usw.

VLAN

  • Name | Trunkports | Accessports

Layer 3 Topologie

Die Layer 3 Topologie befasst sich hautpsächlich mit dem Routing eines Netzwerks.
Diese Angaben sind darum zwingend:

  • Alle Layer 3 Geräte mit Routingfunktion
  • IP-Subnets | VLAN-ID | Name
  • Gateway eines VLAN
  • Routing-Informationen (statisch/dynamisch)
  • DHCP
  • usw.

Mehrere WAN-IPs nutzen

Seit letzter Woche bin ich Besitzer eines neuen Lancom 1781EF+ Routers.
Folgende Eigenschaften veranlassten mich zum Kauf:

  • Bis zu 4 WAN Interfaces möglich
  • Für jedes WAN-Interface kann ein Dyn-DNS Host definiert werden
  • Policy-Based Routing
  • Wirespeed Troughput

Mit diesem Router ist es mir nun möglich mittels Policy-Based Routing, gezielt mehrere WAN IPs, mein Provider bietet mir via DHCP insgesamt 5 Stück,  zu nutzen.

In folgendem Beispiel soll mein DMZ-Netz [VLAN3 | 172.17.100.0/24] über die zweite, von meinem ISP zugeteilte WAN-IP, mit der Aussenwelt kommunizieren.

Voraussetzungen

Um dies zu erreichen, müssen als Erstes die physikalischen Voraussetzungen dafür geschaffen werden, indem man einen Switch zwischen das Kabelmodem und die WAN-Schnittstellen des Routers schaltet. Dies wurde mit einem separaten VLAN in meinem Managed Switch gelöst.

Als Nächstes konfiguriert man in LANconfig mittels Setup-Assistant das zweite WAN-Interface und erstellt anschliessend in der Routing-Tabelle eine neue Default-Route, welche auf das neu erstellte Interface verweist. Dieser Default-Route wird anschliessend ein neuer Routing-Tag zugewiesen. (Erste IP Routing-Tag 0, zweite IP Routing-Tag 1)

Policy-Based Routing

Nun muss nur noch eine Policy-Based Routing Firewallregel definiert werden, in welcher man noch via Routing-Tag die gewünschte WAN-Schnittstelle, bzw. WAN-IP, definiert.

Fernzugriff

Für den externen Zugriff, auf einen Webserver zum Beispiel, muss für jedes WAN-Interface des Routers als Erstes ein Dyn-DNS Hostname eingerichtet werden. Dies geschieht auch mittels Setup-Assistant in LANconfig. Anschliessend erstellt man noch die benötigten Portweiterleitungen vom jeweiligen WAN-Interface zum gewünschten Device.

Portweiterleitungen