Wieviel CPU/Hardware „braucht“ meine Firewall/Router?

Also was ich bisher so hatte an Hardware habe/hatte/administriere, mit stock OS oder Arch+NFTables+Bird (ggf. mit fulltable)+WG Tunnel+Caddy Reverse Proxy:

– Sophos XG230 – G4400 / 8gb 120gb ssd – mit Stock OS naja, arch stack -> 2G WG Durchsatz + BIRD mit 4 1G Peers je Fulltable + 2x 1g Exchange Peering geht & reicht, bekommt aber bald 2x 10g nachgerüstet + einen i5-6500 dazu

– Sophos SG430 rev1 – E3-1225v3 / 16gb / 240gb ssd – Stock SG mit 4x10G vollkommen ausreichend + 8x 1G komische Standleitungen zu anderen Standorten – routing geht grad noch so, aber OpenVPN & IPSec krebsen schon echt hart am Limit

– Checkpoint 5100/PB-20 – G1820/8gb/120gb ssd – arch stack mit 3x 1g fulltable macht etwa so 1,5-2g WG

– Checkpoint 4600/T160 – E6500/4gb/250gb HDD – furchtbar mit stock os – arch stack mit default route + intern bgp + andere Kundennetze mit OSPF ~6g routing bisher gesehen und WG macht den 1g link noch voll

– Dell IOT Gateway 5100 – E3827/8gb/64gb ssd – arch stack, 1g routed + LTE Link, aber dann hörts echt auf

Nein, ihr baucht nicht mehr als einen N100, J/N 4xxx/5xxx/6xxx reicht auch, solang ihr bis 4x 1G habt und nicht mehr als 1G VPN Durchsatz braucht.
Also ja, wenn man „mehr“ braucht, weiß man das dann auch und halt dann auch mehr als 1x/2x 1G Uplink, also so 5-10G dann halt.

EdgeRouter Testing VPN & OSPF

Vielleicht hat es der ein oder andere bereits mitbekommen, ich halte mich gern unnötig lange mit einzelnen Themen auf.
Ich hätte auch gleich anders lösen können, aber ich wollte das es so fuktioniert wie in den Tutorials beschrieben. (IPSec | OSPF)
Kurz um, es geht um UBNT EdgeRouter und VPN/IPSec + OSPF.
Ich wollte von meiner Firewall im Lab OSPF -> Onside ER -> IPSec -> Home ER -> Wifi ER, aber ich dass mich irgendeine Inompatibilität oder so gebissen hätte… nein, es war natürlich wieder IPSec – es ist schnell, aber ich hasse es bis es erstmal läuft.
Es ist auch erstmal alles nicht so schlimm, solange kein NAT/Port Forwarding und nur Public IP’s im Spiel sind.
Im großen und ganzen dachte ich mir so, „alles Anzünden & was mit Garten / Holzhütten machen“.
Symbolisch @DO9XE bei der Frage wie das denn mit dem WLAN auf der GPN18 war…
Da es absolut nich wollte, habe ich dann einen 1:1 Nachbau des Tutorial Setups bei mir auf dem Tisch hingestellt (von oben):
1. ER-R
2. ER-L
3. „Internetwolke“
4. Weiterer OSPF Router
5. Switch zum Lab

Config ER-R
VPN
configure
set vpn ipsec auto-firewall-nat-exclude enable
set vpn ipsec ike-group FOO0 lifetime 28800
set vpn ipsec ike-group FOO0 proposal 1 dh-group 14
set vpn ipsec ike-group FOO0 proposal 1 encryption aes128
set vpn ipsec ike-group FOO0 proposal 1 hash sha1
set vpn ipsec esp-group FOO0 lifetime 3600
set vpn ipsec esp-group FOO0 pfs enable
set vpn ipsec esp-group FOO0 proposal 1 encryption aes128
set vpn ipsec esp-group FOO0 proposal 1 hash sha1
set vpn ipsec site-to-site peer 203.0.113.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 203.0.113.1 authentication pre-shared-secret 1234
set vpn ipsec site-to-site peer 203.0.113.1 description ipsec
set vpn ipsec site-to-site peer 203.0.113.1 local-address 192.0.2.1
set vpn ipsec site-to-site peer 203.0.113.1 ike-group FOO0
set vpn ipsec site-to-site peer 203.0.113.1 vti bind vti0
set vpn ipsec site-to-site peer 203.0.113.1 vti esp-group FOO0
set interfaces vti vti0 address 10.255.12.2/30
set protocols static interface-route 192.168.1.0/24 next-hop-interface vti0
commit ; save

OSPF
configure
set interfaces vti vti0 ip ospf network point-to-point
set protocols ospf parameters router-id 172.16.1.1
set protocols ospf area 0.0.0.0 network 10.255.12.0/30
set protocols ospf area 0.0.0.0 network 172.16.1.0/24
commit ; save

Config ER-L
VPN
configure
set vpn ipsec auto-firewall-nat-exclude enable
set vpn ipsec ike-group FOO0 lifetime 28800
set vpn ipsec ike-group FOO0 proposal 1 dh-group 14
set vpn ipsec ike-group FOO0 proposal 1 encryption aes128
set vpn ipsec ike-group FOO0 proposal 1 hash sha1
set vpn ipsec esp-group FOO0 lifetime 3600
set vpn ipsec esp-group FOO0 pfs enable
set vpn ipsec esp-group FOO0 proposal 1 encryption aes128
set vpn ipsec esp-group FOO0 proposal 1 hash sha1
set vpn ipsec site-to-site peer 192.0.2.1 authentication mode pre-shared-secret
set vpn ipsec site-to-site peer 192.0.2.1 authentication pre-shared-secret 1234
set vpn ipsec site-to-site peer 192.0.2.1 description ipsec
set vpn ipsec site-to-site peer 192.0.2.1 local-address 203.0.113.1
set vpn ipsec site-to-site peer 192.0.2.1 ike-group FOO0
set vpn ipsec site-to-site peer 192.0.2.1 vti bind vti0
set vpn ipsec site-to-site peer 192.0.2.1 vti esp-group FOO0
set interfaces vti vti0 address 10.255.12.1/30
set protocols static interface-route 172.16.1.0/24 next-hop-interface vti0
commit ; save

OSPF
configure
set interfaces vti vti0 ip ospf network point-to-point
set protocols ospf parameters router-id 192.168.1.1
set protocols ospf area 0.0.0.0 network 10.255.12.0/30
set protocols ospf area 0.0.0.0 network 192.168.1.0/24
commit ; save

Config „Internetwolke“

Schlussendlich hat wer 1:1 Aufbau auch funktioniert und die Performance mit Offloading ware auch ok.

Aber trozudem ließ es sich nicht in Prodution so umsetzen, da warum auch immer, IPSec bei mir zuhause einfach nicht will.
Daher habe ich mir dann kurzerhand die Anleitung geschnappt und das einfach nochmal mit OpenVPN ausprobiert.
Ergebnis… geht, nicht schnell, aber geht und zwar Stabil und mit nur einem Public Port.
Falls jemand Ahnung hat, wie ich Tinc 1.1 auf den EdgeRouter bekomme, bitte gerne.
https://twitter.com/nerdheimeu/status/1149346879332913152

Review: Ubiquiti LiteBeam AC Gen2

So ich habe mir wieder was neues zum Rumspielen besorgt, dieses mal was mir WLAN.
Ich wollte mal testen ob hardware aus dem Preissegment 130€ pro Set mittelerweile besser ist, als die alte Richfunkhardware & geboostete 2,4GHz Hardware mit der ich länglich soaß hatte die erst einmal ans laufen zu bekommen und dann immer wieder Abbrüche & Performanceprobleme hatte
Ziel ware es eine stabile & symetrische Verbindung zu bekommen, die mindestens 100MBit/s bei 20MHz Kanalbreite bietet.
Resultat waren 300+quitsch MBit/s über eine Entfernung von ca. 3,5km und 30MB/s über diese Entfernung, jeweis unterm Ziegekdach installiert finde ich vollkommen angemessen.

Die Bilder des Aufbaus sind bei den ersten Freilufttests entstanden & die Screenshots der Messungen stammen von der finalen Installation.
Das Setup nutze ich übrigens zur Gebäudevernetzung (Storage & Backuptransport) und der Bündelung mehrere Internetanschlüsse.

Weiterlesen

Steam „inhome“ Streaming

Manchmal finde ich da neben der Arbeit doch noch Zeit zum Basteln.
Dabei war letztes Jahr um Steam Sale das Steam Link für ca. 3€ + Versand im Angebot – sonst kostet es über 50€.
Aber innerhalb des Hauses Streamen? Naja wer’s mag. Ist bestimmt interessant, wenn man es im Wohnzimmer hat oder nur einen Bildschirm braucht.
Aber für mich, mit mehr als nur einer Nuklearen Rechneranlage und zwar nicht nur im Keller, macht das wenig Sinn.
Wer keine Kabel siehen kann oder Bohren darf, kommt damit bestimmt klar, also mit Powerline & co.

Da Standard ja langweilig ist hier die eigendliche Headline:
Wie kommt der Hitman von Kassel nach Frankfurt?

A-Ende:
DTAG VDSL 100/40 MBit/s | eigenbau Router | VPN Gateway
Intel E3-1231v3 | 32G ECC | GTX 1060 6G | 10G uplink (dafür unerheblich aber egal)

B-Ende:
UM Office Internet 150/10 MBit/s (ich brauch halt v4) | eigenbau Router | VPN Gateway
Steam Link

Und hier das Ergebnis:

[EN] Replace battery by yourself on a APC BR900G

In my last post, I’ve why you should give your UPS some new batterys.
However, it doesn’t always have to be the original.
That’s why I disassembled the „old“ battery and took a look inside.
As you can see, the battery pack consists of two 12V/7Ah batteries, which are interconnected via a midplane. With some duct tape you can simply replace them yourself.

The batteries have these specs:
Voltage: 12V
Capacity: 7Ah (C20)
Connection: Faston 250 – 6,3mm
Length: 151mm
Width: 65mm
Height: 94mm (block only) / 97,5mm (with connectors)