Permalänk
Medlem

1Gbps site-to-site IPSec VPN

Hej!

Två villor med 1000/1000 fiberanslutning ska anslutas med en site-to-site IPSec VPN.

Ena villan använder en Unifi Dream Machine och jag funderar på en Ubiquiti UniFi Cloud Gateway Ultra och en passade accesspunkt till den beroende på WiFi-krav.

Jag har läst runt i ett par timmar och Unifi verkar lämna väldigt mycket att önska när det gäller (site-to-site) VPN-prestanda och en av mina frågor för er är huruvida någon kan bekräfta eller dementera om Unifi's prosumerenheter klarar site-to-site IPSec VPN vid eller nära gigabithastigheter?

Om ovan planerade uppsättning inte når gigabithastighet över VPN, vilka andra, lika lättmanagerade och strulfria (och gärna sambogodkända) system bör jag titta på?

För att förtydliga så är WiFi och roaming en viktig del av nätverket i bägge villorna.
Flera SSIDs (Gästnät, IoT) med bandbreddskontroll och DNS-filtrering samt content filtering för kidsen är ett krav

Visa signatur

{|XSX|PS3|PS4|}

Permalänk
Medlem

Vad tror du om WireGuard?

Visa signatur

Utan spaning, ingen aning.

Permalänk
Medlem

För tio år sedan skulle jag gärna ha satt mig in i Wireguard, men nu anser jag (och det allmänna intresset och tiden) att det faller utanför ramen för det jag anser vara lättmanagerat.

Sedan vet jag inte hur realistisk det är att använda Wireguard som en site-to-site lösning i en miljö med multipla SSIDs och VLAN

Visa signatur

{|XSX|PS3|PS4|}

Permalänk
Medlem
Skrivet av Wixner:

För tio år sedan skulle jag gärna ha satt mig in i Wireguard, men nu anser jag (och det allmänna intresset och tiden) att det faller utanför ramen för det jag anser vara lättmanagerat.

Sedan vet jag inte hur realistisk det är att använda Wireguard som en site-to-site lösning i en miljö med multipla SSIDs och VLAN

Det bör vara enklare än IPSec. Så jag förstår inte ditt argument.

Permalänk
Medlem

https://www.amazon.se/dp/B0BZJ9YJCJ/ref=syn_sd_onsite_desktop...

Köp 2 sådana och kör PFsense CE / OpenSense.

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Permalänk
Medlem
Skrivet av dlq84:

Det bör vara enklare än IPSec. Så jag förstår inte ditt argument.

Om du föklarar hur det är enklare att skapa virtuella interfaces i Linux och få korrekta trafikflöden från LAN, VLAN och WLAN än att sätta upp en IPSec-tunnel i en homogen management-platform så kan jag ta en titt på det igen

Visa signatur

{|XSX|PS3|PS4|}

Permalänk
Medlem
Skrivet av AkUs:

Tanken på en *sense-plattform har slagit mig, men hur expanderar jag det till att inkludera APs och WiFi med flera SSIDs enligt den nu uppdaterade originalposten?
Finns det APs som har stöd för *sense?

Visa signatur

{|XSX|PS3|PS4|}

Permalänk
Medlem
Skrivet av Wixner:

Tanken på en *sense-plattform har slagit mig, men hur expanderar jag det till att inkludera APs och WiFi med flera SSIDs enligt den nu uppdaterade originalposten?
Finns det APs som har stöd för *sense?

Varför måste wifi ha med brandväggarna o göra. Sätt upp några ap från Unifi o kör key eller unifi på en rutten linux maskin?

Du blandar nog päron o äpplen och vill ha allt i en enkel plattform. Det stavas pengar, för det är något företagsvärlden eftersöker

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Permalänk
Livsnjutare 😎

Killgissar bara nu, men tror inte du kommer komma upp i de hastigheterna på den hårdvaran. Realtidskryptering är tuffare än man tror.

Gissar mer på 200-300mbit just eftersom det är en VPN.

Hade vart kul att veta dock vad det faktiskt blir om / när du sätter upp lösningen !

Visa signatur

Citera eller Svara för respons! •
• Life is a playground {|;^) •

Permalänk
Medlem

Med pfsense på en modern cpu så tror jag den hastigheten är fullt möjligt

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Permalänk
Medlem
Skrivet av AkUs:

Varför måste wifi ha med brandväggarna o göra. Sätt upp några ap från Unifi o kör key eller unifi på en rutten linux maskin?

Du blandar nog päron o äpplen och vill ha allt i en enkel plattform. Det stavas pengar, för det är något företagsvärlden eftersöker

Japp. Det är just unified management jag vill åt och jag är villig att betala för det. Hade jag haft mer tid och ork än pengar hade jag byggt mig en egen customlösning likt de som rekommenderats tidigare

Visa signatur

{|XSX|PS3|PS4|}

Permalänk
Medlem
Skrivet av Wixner:

Japp. Det är just unified management jag vill åt och jag är villig att betala för det. Hade jag haft mer tid och ork än pengar hade jag byggt mig en egen customlösning likt de som rekommenderats tidigare

Ubnt är precis som många andra en ”mjukvaru lev som råkar sälja hårdvara”. Så prestandan på CPUn i en sådan fw/router blir där efter. Brödrost-ish.
Det du letar efter är FortiNet, Meraki, Nebula. Men 4-5 ap + någon switch + 2 fw är säkert 50.000kr. Sen får du oftast räkna med årlig supportpaket för mjukvara/administration

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Permalänk
Medlem
Skrivet av andreas_dock:

Killgissar bara nu, men tror inte du kommer komma upp i de hastigheterna på den hårdvaran. Realtidskryptering är tuffare än man tror.

Gissar mer på 200-300mbit just eftersom det är en VPN.

Hade vart kul att veta dock vad det faktiskt blir om / när du sätter upp lösningen !

Det finns indikationer på att Unifi Gateway Ultra kan komma upp i 500Mbps över VPN.
Tyvärr verkar det som att jag måste kliva upp på enterprise-prylarna från Unifi om jag ska över detta

Visa signatur

{|XSX|PS3|PS4|}

Permalänk
Medlem

https://www.proshop.se/Naetverk/ZyXEL-USG-LITE-60AX/3277296?g...

Kollla upp den. Nebula går tydligen att köra utan subscription, om man skippar värsting funktionerna. Deras ekosystem har allt och är centralt app styrt.

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Permalänk
Medlem
Skrivet av Wixner:

Tanken på en *sense-plattform har slagit mig, men hur expanderar jag det till att inkludera APs och WiFi med flera SSIDs enligt den nu uppdaterade originalposten?
Finns det APs som har stöd för *sense?

Skrivet av Wixner:

För att förtydliga så är WiFi och roaming en viktig del av nätverket i bägge villorna.
Flera SSIDs (Gästnät, IoT) med bandbreddskontroll och DNS-filtrering samt content filtering för kidsen är ett krav

Av nyfikenhet: Hur löser man sådant? Separata IPSec-tunnlar per IP-subnät/brandväggszon eller någon form av layer-2-tunnel med VLAN-taggar intakta över IPSec?

IPSec är ju layer 3?

Permalänk
Medlem
Skrivet av AkUs:

Ubnt är precis som många andra en ”mjukvaru lev som råkar sälja hårdvara”. Så prestandan på CPUn i en sådan fw/router blir där efter. Brödrost-ish.
Det du letar efter är FortiNet, Meraki, Nebula. Men 4-5 ap + någon switch + 2 fw är säkert 50.000kr. Sen får du oftast räkna med årlig supportpaket för mjukvara/administration

Jag skulle inte kalla UniFi enterprise fortress gateway för en brödrost direkt. Den är dock inte billig men du underskattar kostnaden grovt för de du nämner ovan om det ska vara bättre prestanda än brödrostar.

Visa signatur

Lätt som Paj

Permalänk
Medlem
Skrivet av Wixner:

Det finns indikationer på att Unifi Gateway Ultra kan komma upp i 500Mbps över VPN.
Tyvärr verkar det som att jag måste kliva upp på enterprise-prylarna från Unifi om jag ska över detta

Tror tyvärr det, står inte specificerat på produktsidorna hur snabbt Cloud Gateway Max och Ultra kan köra IPSec.

Dream Machine Pro Max ska ge upp till 800 mbit på VPN enligt följande tester:
https://evanmccann.net/blog/ubiquiti/unifi-comparison-charts De har en del intressanta jämförelser och Gateway Ultra ska leverera ungefär 500 mbits

Se även den här tråden om TCP vs UDP trafik:
https://www.reddit.com/r/Ubiquiti/comments/1gl1hj3/cloud_gateway_max_or_cloud_gateway_ultra/

För egen del har jag inte testat Cloud Gateway eller dess hastigheter, har en del annan Unifi utrustning som switcher och AP. Det jag har fungerar bra och ger förväntad hastighet.

Lutar åt att dementera, för att svara på frågan från första inlägget.

Visa signatur

Utan spaning, ingen aning.

Permalänk
Medlem
Skrivet av LeonHart:

Jag skulle inte kalla UniFi enterprise fortress gateway för en brödrost direkt. Den är dock inte billig men du underskattar kostnaden grovt för de du nämner ovan om det ska vara bättre prestanda än brödrostar.

Fortinet är bäst. Dom kan ta så bra betalt att dom sliter av en kalsongerna clean-cut.
Lite som fake byxor på en manlig strippa med kardborre. Shuff säger det bara.

Nä alltså Ubnt är bra grejer. Absolut. Jag överdrev lite. Men i det stora hela så är en sådan lösning som TS letar efter något som företag letar efter också, då tar leverantörer betalt.

En Zyxel USG 500H klarar 1200mbit VPN. Då börjar den på 17.000kr och sedan subscription.
Så ja. 2 brandväggar, lite AP osv, så 50.000kr + årsavgift får man räkna med då.

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Permalänk
Medlem

henger på opnsense på en minipc samt unifi på resten, får man lite features unifi saknar. bara definera näten som externa i unifi controllern . site2site wireguard fins mass docs på.

Permalänk
Medlem
Skrivet av AkUs:

Fortinet är bäst. Dom kan ta så bra betalt att dom sliter av en kalsongerna clean-cut.
Lite som fake byxor på en manlig strippa med kardborre. Shuff säger det bara.

Nä alltså Ubnt är bra grejer. Absolut. Jag överdrev lite. Men i det stora hela så är en sådan lösning som TS letar efter något som företag letar efter också, då tar leverantörer betalt.

En Zyxel USG 500H klarar 1200mbit VPN. Då börjar den på 17.000kr och sedan subscription.
Så ja. 2 brandväggar, lite AP osv, så 50.000kr + årsavgift får man räkna med då.

Syftade främst på Fortinet och Meraki vilket jag var otydlig med så my bad. Där tror jag inte man kommer långt med 50000:- men med Zyxel är det säkert möjligt.

Visa signatur

Lätt som Paj

Permalänk
Avstängd
Permalänk
Medlem
Skrivet av LeonHart:

Syftade främst på Fortinet och Meraki vilket jag var otydlig med så my bad. Där tror jag inte man kommer långt med 50000:- men med Zyxel är det säkert möjligt.

Hehe, ja Fortigate 100F, deras första modell som inte är en "brödrost"/small office utan en som har lite throughput.
55.000kr inköp, sen kostar varje år support 11.000kr.
Springer iväg snabbt.

Som sagt. Att säga "har inte tid o ork" utan ska slänga pengar på det hela är bara en fantasi. Har svårt o tro att TS kan lägga 150pix på att hålla koll på barnen och gäster med SSID.

2x PFsense. Upprätta en tunnel som har lite pulver.
Sen sätt upp ett mesh i AP mode i varje hus med lite inställningar som SSID och hastighetsbegränsing på olika nät.
3-pack av Asus XD4 kommer säkert finnas på BlackFriday för halva priset. Marknades minsta Mesh och hög "WAF" faktor.
Kirra ett sånt paket till varje hus. Så blir det super pulver i Wifi. Teoretiskt sett ska man nog kunna få igång mesh som "tror" dom är i samma hus och går via IPsec tunlen.
Jag har fått igång Asus Mesh me blandat Wifi och kabel med olika noder. Då bordet det gå genom tunnlen också.
Såvidare man har koll på vilka portar som är öppna igenom och fasta IP. Då kan man sköta "hela" wifi i en enkel app som får genomslag i båda husen, med SSID osv.

När det kommer till att hålla koll på barnen, då är det Microsoft Safety eller dyl som gäller. Någon app man man lägger in på varje enhet.

Visa signatur

Macifierad militant mactivist....
"Why join the navy if you can be a pirate?" - Steve Jobs

Permalänk
Medlem

Du kommer inte komma nära 1gbit med deras lösningar då det körs på cpu utan offload på deras produkter. Jag har båda och är rätt nöjd i allmänhet, men vpn kör jag inte över de.

Behöver du en tradionell site to site? Om du bara behöver den prestandan för vissa klienter kanske en mesh vpn lösning som Tailscale, ZeroTier, Netbird med flera kan vara något då det kan prestera bättre som mesh också. Det är något du inte behöver lång tid för att sätta upp och prestandan kan komma i närheten så länge dina klienter kan det. Du kan även ha kraftfullare maskiner som agerar som subnets router för klienter som inte är så snabba, alternativt inte kan vara med i mesh av olika anledningar.

Lösningarna ovan är extremt enkla att implementera ett VPN meshnätverk över. Du kan även göra det över native wireguard rätt enkelt men du bad om en "enkel" lösning.

Behöver du en tradionell site to site utan att lägga ut allt för mycket är nog ett par mini pc med hyfsad prestanda och en site to site wireguard tunnel enda lösningen. Det är verkligen väldigt få linjer med kod för att sätta upp det och wireguard är det enda som du kan komma upp till de hastigheterna utan att använda hårdvara som har bra optimerad hårdvaruaccerlation för tex ipsec!