Permalänk

Att göra en egen OVPNbox (VPN BOX)

Ja många av er kanske känner till OVPNbox dvs OVPNs hårdvaru boxar som krypterar all trafik i boxen.
Boxen har en även killswitch ifall vpnen skulle gå offline så kommer man inte ut på internet.

Detta ger en viss trygghet, man behöver aldrig tänka på om man glömt att sätta på vpnen och man behöver inte sitta och vakta vid datorn för att se att vpnen inte går offline. Utan man vet går VPNen ner så funkar inte internet helt enkelt.

Att ha en vpn box förenklarar också att använda dubbla vpner om man vill det tex en via hårdvaruboxen och en via mjukvara som vanligt på datorn.

Hur som helst, hur gör jag min egna OVPNbox för någon som inte har så direkt mycket kunskaper.
Det är bra om man kan få fram ett grafiskt gränsnitt likt OVPNbox via datorn.

Den ska vara passivt skyld, klara helst 1000/1000 mbit

Finns det produkter på marknanden för detta ?

https://www.ovpn.se/box/

Permalänk
Vila i frid

Du bör ha en CPU likvärdig med i3'a eller bättre. En Intel Atom fixar inte 1000/1000 OpenVPN, inte heller en i3'a. Möjligen en överklockad i7'a - om ens det.

Att modda pfsense så att den fixar OpenVPN (Som OVPNbox gör) som klient mot VPN-leverantören är inte det enklaste att fixa själv om man är novis.

Permalänk
Medlem

Finns det OVPN tjänster för gigabit? kanske passerat mig obemärkt förbi men jag har iaf aldrig sett någon..?

Visa signatur

CPU: Det finns. GPU: Lite snabbare än den gamla! RAM: Absolut! Nätagg: Alldeles lagom. Kylning: Tyst och tillräcklig.

Permalänk
Skrivet av Langelus:

Finns det OVPN tjänster för gigabit? kanske passerat mig obemärkt förbi men jag har iaf aldrig sett någon..?

Såvitt jag vet så är det "obegränsad bandbredd" som gäller för varje klient.
Det står säkert på hemsidan hur många gigabit linor/servrar dom har.
Läste nyligen på deras blogg dom att dom beställt massa nya serverar.

Permalänk
Skrivet av hasenfrasen:

Du bör ha en CPU likvärdig med i3'a eller bättre. En Intel Atom fixar inte 1000/1000 OpenVPN, inte heller en i3'a. Möjligen en överklockad i7'a - om ens det.

Att modda pfsense så att den fixar OpenVPN (Som OVPNbox gör) som klient mot VPN-leverantören är inte det enklaste att fixa själv om man är novis.

Ja det går ju alltic att köpa någon NUC liknande historia men hade föredragit någon produkt som var lite mer specialanpassad till ändamålet.

på ovpn rekomenderar han ett program som heter viscocity, det kanske är lättare att använda det programmet som är lite lättare att konfa och lite mer grafiskt ? för jag tror den har killswitch funktion.

Men frågan är hur mkt mer trygghet en sådan NUC lösning skulle ge kontra en ovbox.

Permalänk

Skulle hoppas det fanns någon box speciellt anpassat till innehållet, måste väl finnas någon processor som är skapad enbart för kryptering ? känns som en x86 baserad NUC är en fulösning.
EN nuc är ju som en mini dator.

Permalänk
Vila i frid
Permalänk
Medlem

http://linitx.com/product/linitx-apu-1d-4gb-3nicusbrtc-pfsens...

Detta kanske kan vara något, funderar själv på att köpa en sådan för att använda som router och brandvägg, antar att du kan köra OpenVPN genom pfSense.

Inte helt hundra, men man kanske kan använda denna också för att få WiFi, brandväggen har ju en mini-PCIe slot. Isåfall får du en komplett router, brandvägg och OVPN-box i ett.

Permalänk
Skrivet av CROE:

http://linitx.com/product/linitx-apu-1d-4gb-3nicusbrtc-pfsens...

Detta kanske kan vara något, funderar själv på att köpa en sådan för att använda som router och brandvägg, antar att du kan köra OpenVPN genom pfSense.

Inte helt hundra, men man kanske kan använda denna också för att få WiFi, brandväggen har ju en mini-PCIe slot. Isåfall får du en komplett router, brandvägg och OVPN-box i ett.

klarar den av r AES-256-CBC 2048 bit med 1 gigabit full deplex ?

Som sagt det bästa vore ju att köpa någon form av box som är mer anpassad för sitt syfte det förenklar.
T.e.x om man köper en vanlig NUC det är ju ingen fördel hur säkerhtsynpunkt att den använder windows t.e.x
Utan räcker ju om kommer åt konfigurations panalen via lokalt ip nummer på datorn.

Permalänk
Skrivet av hasenfrasen:

Problemet med att använda en sådan nuc är att jag blir tvungen att köra windows.
Windows kommer inte gå som tåget året om utan det blir blåskärmar och datorn kommer starta om sig osv.

Helst skulle jag önska att boxen hade sitt eget operativ system..

Är inte heller bekant med linux nämnvärt..

Permalänk
Medlem
Skrivet av Immersion:

klarar den av r AES-256-CBC 2048 bit med 1 gigabit full deplex ?

Som sagt det bästa vore ju att köpa någon form av box som är mer anpassad för sitt syfte det förenklar.
T.e.x om man köper en vanlig NUC det är ju ingen fördel hur säkerhtsynpunkt att den använder windows t.e.x
Utan räcker ju om kommer åt konfigurations panalen via lokalt ip nummer på datorn.

Ingen aning, släng iväg ett mejl till LinITX och fråga.

Jag har sett flera som vart nöjda med boxen, bla en här på SweC. Verkar som att pfSense är det bästa alternativet, jag googlade lite och det fanns massa bra tutorials på hur man gjorde med OpenVPN, inte alls avancerat.

Skickades från m.sweclockers.com

Permalänk
Skrivet av CROE:

Ingen aning, släng iväg ett mejl till LinITX och fråga.

Jag har sett flera som vart nöjda med boxen, bla en här på SweC. Verkar som att pfSense är det bästa alternativet, jag googlade lite och det fanns massa bra tutorials på hur man gjorde med OpenVPN, inte alls avancerat.

Skickades från m.sweclockers.com

Okej det är ju lite lustigt att inte en sådan specifikation står med på en produckt är det för att man kan anta att det är en gigabit kompatibel?
men hurvida processorna klarar att kryptera i den hastigheten vill man ju veta.
Tycker i övrigt att deras produkt portfölj är väldigt rörig

Permalänk
Medlem

Vad är det du vill göra egentligen?

Du har hittat en produkt som gör det du vill, men varför vill du inte använda den?

Du vill inte köra Windows, inte heller lära dig Linux. Du vill ha en burk med eget operativsystem - varför inte bara köpa ovpn-burken?

Den kör ju pfsense i botten, så är det så att du inte vill använda deras VPN-tjänst så lär det ju vara lätt att byta.

Jag kan säga att på min Xeon E3-1240 (med AES-NI) så mäktar den med 500 Mbit/s AES-256-CBC i block om 8192 bytes. Utan (AES-NI, så dvs. ren CPU) så hänger den med i 202 Mbit/s (detta är då på en tråd ska ju sägas, så en anslutning - openVpn är vad jag vet inte flertrådat), så att en embedded-plattform - som förvisso även den har crypto offloading - ska mäkta med 2 Gbit/s är nog ganska otroligt.

Visa signatur

Jag är en optimist; det är aldrig så dåligt så att det inte kan bli sämre.

Permalänk
Medlem
Skrivet av zyberzero:

Du vill ha en burk med eget operativsystem - varför inte bara köpa ovpn-burken?

Till TS försvar så säljs den inte längre, det verkar ha varit en engångsföreteelse, 100 enheter.

Visa signatur

5950X, 3090

Permalänk
Skrivet av zyberzero:

Vad är det du vill göra egentligen?

Du har hittat en produkt som gör det du vill, men varför vill du inte använda den?

Du vill inte köra Windows, inte heller lära dig Linux. Du vill ha en burk med eget operativsystem - varför inte bara köpa ovpn-burken?

Den kör ju pfsense i botten, så är det så att du inte vill använda deras VPN-tjänst så lär det ju vara lätt att byta.

Jag kan säga att på min Xeon E3-1240 (med AES-NI) så mäktar den med 500 Mbit/s AES-256-CBC i block om 8192 bytes. Utan (AES-NI, så dvs. ren CPU) så hänger den med i 202 Mbit/s (detta är då på en tråd ska ju sägas, så en anslutning - openVpn är vad jag vet inte flertrådat), så att en embedded-plattform - som förvisso även den har crypto offloading - ska mäkta med 2 Gbit/s är nog ganska otroligt.

Nackdelen med OVPN boxen är att det inte klarar av gigabit hsatighet.
Den är dyr. Och man blir låst till en och samma leverantör även om det skulle visa sig att hastigheten på deras vpn tjänst inte håller måttet.

Bra att veta att få lite perspektiv jag har nämligen dålig koll på hur mkt processor kraft det det behövs för att kryptera.

Men åter igen jag tvivlar på att x86 är bäst för ändamålet måste ju finnas special anpassad kretsar som bara är gjorda för en sak dvs kryptera precis som det finns kretsar som bara är till för ljud eller bild.

Permalänk
Skrivet av backfeed:

Till TS försvar så säljs den inte längre, det verkar ha varit en engångsföreteelse, 100 enheter.

Dom har bakom kulisserna en på gång men den kommer inte klara av gigabit heller dessvärre har jag fått bekräftat.
Den kommer dock vara passivt kyld.

Permalänk
Medlem

borde väl inte vara för svårt.
är ju bara hitta en nuc, köra allt som ovpnbox använder och sen är det klart? ovpn har ju till och med släppt allt du behöver för att få igång allt gratis

Visa signatur

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Permalänk
Medlem
Skrivet av Immersion:

Dom har bakom kulisserna en på gång men den kommer inte klara av gigabit heller dessvärre har jag fått bekräftat.
Den kommer dock vara passivt kyld.

Ok. Ja, det krävs en hel del kräm för att fixa 2 Gbit/s (1 i vardera riktning) vpn-tunnel, så du måste säkerligen bygga eget för att uppnå den hastigheten. Det finns säkert dedikerad hårdvara att köpa som fixar det, men det är i så fall företagsinriktat och EXTREMT dyrt.

Har du testat OVPN:s tjänst för övrigt? Jag blir förvånad om du ens får 100 Mbit/s via dem, för ingen vpn-tjänst jag stött på hittills har ens klarat det. Oftast bara 10 Mbit/s i praktiken.

Visst, OVPN skriver ju att de inte översäljer och därmed har högre pris och hastighet, men frågan är ju om det verkligen stämmer.

Visa signatur

5950X, 3090

Permalänk
Medlem
Skrivet av Immersion:

Nackdelen med OVPN boxen är att det inte klarar av gigabit hsatighet.
Den är dyr. Och man blir låst till en och samma leverantör även om det skulle visa sig att hastigheten på deras vpn tjänst inte håller måttet.

Bra att veta att få lite perspektiv jag har nämligen dålig koll på hur mkt processor kraft det det behövs för att kryptera.

Men åter igen jag tvivlar på att x86 är bäst för ändamålet måste ju finnas special anpassad kretsar som bara är gjorda för en sak dvs kryptera precis som det finns kretsar som bara är till för ljud eller bild.

Som jag sa; den kör enligt dem själva pfsense i botten så du lär kunna byta leverantör i en grisblink.

Om du googlar lite så finner du något som heter AES-NI - det är ett tillägg till x86 med speciella instruktioner just för AES - det är dessa specialanpassade kretsar du söker. Som du ser i det jag skrev ovan så får jag 202 Mbit/s med ren rå-CPU, och 500 Mbit/s med AES-NI aktiverat. Sedan finns det säkert ännu fler, men de lär ha en prislapp som är riktade mot företag...

Visa signatur

Jag är en optimist; det är aldrig så dåligt så att det inte kan bli sämre.

Permalänk
Medlem

det ovpn säljer är en minidator i stil med en billig nuc som man instalerat pfsense samt lagt in openvpn client på så inget speciellt avancerat... Den klarar förövrigt av ca 100/100 vid normal användning dem där 500Mbit är endast vid enkeltrådad trafik så fort man lägger på flera trådar sjunker hastigheten kraftigt

förövrigt om du vill få ut 1Gbit/1Gbit med 256bitars kryptering kommer du behöva en xeon cpu för typ 25000+ med riktiga server nic samt 64GB ram...
Att kodarna på openvpn rekommenderar juniper saker för typ 200k + moms om man skall köra Gbit kan ge en viss fingervisning om hur krävande det är

Visa signatur

Valkommitens ordförande går till dikatorn och säger vi har en bra och en dålig nyhet vilken vill du höra först?
-Den Bra -Du är president igen
-Så vad är den dåliga nyheten? -Ingen röstade på dig!
Om du vill veta hur det är att leva i en diktatur läs här https://charter97.org/en/news/

Permalänk
Skrivet av backfeed:

Ok. Ja, det krävs en hel del kräm för att fixa 2 Gbit/s (1 i vardera riktning) vpn-tunnel, så du måste säkerligen bygga eget för att uppnå den hastigheten. Det finns säkert dedikerad hårdvara att köpa som fixar det, men det är i så fall företagsinriktat och EXTREMT dyrt.

Har du testat OVPN:s tjänst för övrigt? Jag blir förvånad om du ens får 100 Mbit/s via dem, för ingen vpn-tjänst jag stött på hittills har ens klarat det. Oftast bara 10 Mbit/s i praktiken.

Visst, OVPN skriver ju att de inte översäljer och därmed har högre pris och hastighet, men frågan är ju om det verkligen stämmer.

Jo jag har OVPN. när det gäller VPN tjänster får man alltid räkna med en viss procent försvinner i hastighet.
jag kanske får 950 mbit utan vpn och kanske 800 eller 750 med vpn realistiskt sett..
Så 1 gigabit skapar mer "headroom"
För vpn tjänster är inte 100 mbit speciellt många Då OVPN har 17 000 kunder
så om en kund har gigabit kan den när den maxar linan kanske motsvara 7-10 kunder av alla 17 000
så tror inte det är något problem dom har gigabit serverar. läste på deras senaste blogg inlägg att dom köpt in 8 st nya serverar dessutom.

Permalänk
Skrivet av Elyxiator:

det ovpn säljer är en minidator i stil med en billig nuc som man instalerat pfsense samt lagt in openvpn client på så inget speciellt avancerat... Den klarar förövrigt av ca 100/100 vid normal användning dem där 500Mbit är endast vid enkeltrådad trafik så fort man lägger på flera trådar sjunker hastigheten kraftigt

förövrigt om du vill få ut 1Gbit/1Gbit med 256bitars kryptering kommer du behöva en xeon cpu för typ 25000+ med riktiga server nic samt 64GB ram...
Att kodarna på openvpn rekommenderar juniper saker för typ 200k + moms om man skall köra Gbit kan ge en viss fingervisning om hur krävande det är

Kunde ej föreställa mig att det gick åt så mycket processor kraft. Låter osanolikt jag menar 1 gigabit är ju inte extremt snabbt direkt...
Så du menar om jag köper 1 en gigabit abbonemang kommer inte ens min core I7 920 klara av det ?

Permalänk
Medlem

Var det inte det här quickassist skulle hjälpa till med Intel Atom C2558 och Intel C2758?

Har själv C2558 som router, men inte provat VPN eller liknande än på den. Vill bara minnas det va snack i att pfsense skulle få stöd för quickassist i någon nyare uppdatering än vad som fanns när jag köpte den för snart ett år sedan. Möjligtvis något kolla upp.

"On a pair of fast quad core Xeon systems we can run IPsec at over 2Gbps now. More speed is possible, and I expect the first results showing this to be a port of Intel’s “QuickAssist”. On a C2758, this should provide around 8Gbps of IPsec throughput."

Från https://blog.pfsense.org/?p=1588

Borda betyda upp till 4Gbps på mitt 4 core c2558.

Visa signatur

Main: Acer X32FP Fortress II Ryzen 5900X ROG Strix B550-F Wifi II RTX 3080 Ducky Shine 6 SH HD650 O2 amp + DAC Audioengine 2+ Samsung 970 Evo Plus 1TB + Kingston FURY Renegade 2TB
Server: Lian Li PC-V354B X11SCH Xeon E-2176G 64GB ECC RAM LSI 9207-8i
Media: Sony KD-65XF9005 Sony HT-ZF9 nVidia Shield TV pro 2019
nVidia Shield TV pro 2015 SSD Yamaha HS-5

Permalänk
Medlem
Skrivet av Immersion:

Kunde ej föreställa mig att det gick åt så mycket processor kraft. Låter osanolikt jag menar 1 gigabit är ju inte extremt snabbt direkt...
Så du menar om jag köper 1 en gigabit abbonemang kommer inte ens min core I7 920 klara av det ?

1gbit är extremt snabbt det är vad man ofta kopplar upp stora företag med..
exempelvis snittade ovpn på ca strax över 2gbit totalt med alla sina kunder under förra månaden ...
Kolla exempelvis på vad en vanlig router för dem hastigheterna kostar så kommer du märka att det inte ens finns konsument routrar för det..
En anledning till att det krävs så mycket av cpun är att openvpn extremt dåligt optimerat samt enkelkärnigt i sin kryptering vilket leder till att cpuer inte har nytta av massa kärnor utan bara rå singeltrådad prestanda

Skickades från m.sweclockers.com

Visa signatur

Valkommitens ordförande går till dikatorn och säger vi har en bra och en dålig nyhet vilken vill du höra först?
-Den Bra -Du är president igen
-Så vad är den dåliga nyheten? -Ingen röstade på dig!
Om du vill veta hur det är att leva i en diktatur läs här https://charter97.org/en/news/

Permalänk
Medlem
Skrivet av backfeed:

Ok. Ja, det krävs en hel del kräm för att fixa 2 Gbit/s (1 i vardera riktning) vpn-tunnel, så du måste säkerligen bygga eget för att uppnå den hastigheten. Det finns säkert dedikerad hårdvara att köpa som fixar det, men det är i så fall företagsinriktat och EXTREMT dyrt.

Har du testat OVPN:s tjänst för övrigt? Jag blir förvånad om du ens får 100 Mbit/s via dem, för ingen vpn-tjänst jag stött på hittills har ens klarat det. Oftast bara 10 Mbit/s i praktiken.

Visst, OVPN skriver ju att de inte översäljer och därmed har högre pris och hastighet, men frågan är ju om det verkligen stämmer.

Kör med deras tjänst på en 100/100 lina och får ut enligt bredbandskollen ca 85/89 så nog får man bra hastighet iaf.
Brukade få 95/95 utan ovpn och ett tapp på 10Mbit/s kan jag leva med för att få allt krypterat.

Permalänk
Medlem

Kollade på pfsense hemsida om systemkrav för olika internet hastigheter. Detta är för enbart internet: https://www.pfsense.org/hardware/#requirements Kraven för bara internet är nästan inga, du skulle klara +500 mbit med nästan vilken dator som helst. Det är sen när du ska ha openvpn/kryptering det kommer krävas mycket mera.
En rejäl server med xeon cpu, +32 GB ram, raiddiskar, ssd, så kommer du klara gigabit utan problem. Jag kör en fujtisu tx100 med xeon cpu och 32 gig ramisar med raid1,5. Med vmware på för att kunna tilldela resurser enligt önskemål. Den kostade "bara" 4000 kr. Nu finns det nyare varianter med liknande pris. Men kolla på ex dustin och kolla mellan 5-10k så kommer du hitta hårdvara som klarar det du vill utan problem.

Visa signatur

.

Permalänk
Medlem
Skrivet av Immersion:

Låter osanolikt jag menar 1 gigabit är ju inte extremt snabbt direkt...

1 Gbit/s är ruggigt mycket data. En Bluray har en bandbredd om cirka 45 Mbit/s - så på en gigabitlina kan du strömma 20 olika filmer i bluraykvalité samtidigt.

På jobbet har vi ungefär 20 anställda; en 100 Mbit/s-lina, fem kontor med site-to-site-uppkoppling mot HK, och ungefär fem road warriors, och ett par servrar som är åtkomliga från internet för våra kunder.

I dag, under de senaste åtta timmarna har vi snittat ~1,65 Mbit/s, och toppat 16 Mbit/s.

Tidigare när jag jobbade på en (mindre) Internetleverantör så hade vi 4 Gbit/s i transit - och då hade vi 5 serverhallar och ett otal Internetkunder - det var sällan vi var över 2 Gbit/s i total kapacitet in/ut.

Så, 1 Gbit/s är jäääävligt mycket data. Klarar du dig inte på 500 Mbit/s?

Visa signatur

Jag är en optimist; det är aldrig så dåligt så att det inte kan bli sämre.

Permalänk
Medlem
Skrivet av Immersion:

Jo jag har OVPN. när det gäller VPN tjänster får man alltid räkna med en viss procent försvinner i hastighet.
jag kanske får 950 mbit utan vpn och kanske 800 eller 750 med vpn realistiskt sett..
Så 1 gigabit skapar mer "headroom"
För vpn tjänster är inte 100 mbit speciellt många Då OVPN har 17 000 kunder
så om en kund har gigabit kan den när den maxar linan kanske motsvara 7-10 kunder av alla 17 000
så tror inte det är något problem dom har gigabit serverar. läste på deras senaste blogg inlägg att dom köpt in 8 st nya serverar dessutom.

Skrivet av hamre:

Kör med deras tjänst på en 100/100 lina och får ut enligt bredbandskollen ca 85/89 så nog får man bra hastighet iaf.
Brukade få 95/95 utan ovpn och ett tapp på 10Mbit/s kan jag leva med för att få allt krypterat.

Ok, då är det inte bara prat, och till synes den bästa vpn-tjänst jag hört talas om.

Men om de ska klara 100 Mbit/s för alla 17000 kunder samtidigt så behöver de 2 Tbit/s total bandbredd (och potentiellt dubbla detta för full duplex), så frågan är hur många som verkligen kan maxa sin lina samtidigt. Dessutom skulle de behöva uppåt 200 servrar med åtminstone en 10 Gbit/s-nic per server som skulle kosta galet mycket pengar, särskilt pga OpenVPN-overheaden som gör att de måste ha extremt påkostad utrustning. Men eftersom alla 17000 kunder högst sannolikt aldrig kommer att sitta och maxa sina linor samtidigt så har de nog dimensionerat betydligt lägre än så.

Visa signatur

5950X, 3090

Permalänk
Medlem
Skrivet av zyberzero:

Vad är det du vill göra egentligen?

Du har hittat en produkt som gör det du vill, men varför vill du inte använda den?

Du vill inte köra Windows, inte heller lära dig Linux. Du vill ha en burk med eget operativsystem - varför inte bara köpa ovpn-burken?

Den kör ju pfsense i botten, så är det så att du inte vill använda deras VPN-tjänst så lär det ju vara lätt att byta.

Jag kan säga att på min Xeon E3-1240 (med AES-NI) så mäktar den med 500 Mbit/s AES-256-CBC i block om 8192 bytes. Utan (AES-NI, så dvs. ren CPU) så hänger den med i 202 Mbit/s (detta är då på en tråd ska ju sägas, så en anslutning - openVpn är vad jag vet inte flertrådat), så att en embedded-plattform - som förvisso även den har crypto offloading - ska mäkta med 2 Gbit/s är nog ganska otroligt.

Kolla https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_L... så knaske du får ut lite mer fart.

Permalänk

jag har beslutat mig för att köpa ownit 250/100 tjänst så jag antar att det förenklar det hela vill verkligen bygga en vpn box med killswitch som man lita på dvs att jag kan åka hemmifrån en vecka och lämna uttorrent uppe osv och lita på att mitt riktiga ip in läcker utåt.