Hallo zusammen,
ich lese hier im Forum schon ne ganze weile mit. Aber weder das noch die Suche konnte mir Erkenntnisse zu meiner Problemstellung liefern.
Erstmal die Vorgeschichte. Demnächst ziehe ich um, und bei der Gelegenheit will ich die neue Wohnung gleich vernünftig strukturiert Verkabeln/Vernetzen. Basis des Netzwerkes wird ein Managebarer Gigabit Switch (NG GS716T).
Funktionen die die neue Struktur können sollte sind:
- Unterbrechungsfeies VoiP mit einer FB 7170 als ATA
- Sicheres WLAN mit WPA2 AES (2-3 Clients
- DMZ
- VPN mit idealerweise IPSec
- MediaStreaming LAN/WLAN
- Internetzugang 6 MBit
- Je nach Ausbaustufe zwischen 2 und 6 GigaBit Ports und 1-6 100 MBit Ports
Ich bin nun (stolzer) Besitzer einer 1511. Mit dieser jedoch bekomme ich VPN und IPSec nicht hin. Ich hab mir nun überlegt eine NG FV114 (alternativ OPENVPN in einer VMWare) hinter die 1511 zu setzen. Nun scheint es aber so zu sein, dass ich das nur zum fliegen kriege, wenn ich lokales Routing aktiviere, da das Remote Subnet immer ein anderes ist, als das lokale. Wenn ich das VPN nur über WAN legen wollte, wäre das sicher kein Problem. Jedoch denke ich weiter und will auch WLAN nur über VPN ins lokale Netz lassen.
Um weiter planen zu können fehlt mir nun die Erfahrung, welche Lasten das 1511 beim lokalen Routing verträgt. Sollte ich vielleicht sogar darüber nachdenken die 1511 gegen eine 1811 zu tauschen und diese als VPN Gateway zu verwenden?
Kriege ich es mit einer 1511 hin, die komplette WLAN Bandbreite von und zum VPN Gateway zu routen, ohne das dabei Internet bzw VoiP anfängt zu stottern?
Ist es eventuell besser eine andere Maschine zum Backbone Router zu machen und das 1511 nur als Gateway zu definieren und wenn ja, gibt es eine kleine und feine Box die sowas möglichst Stromsparend hinkriegt oder muss ich nen Router auf Windows/Linux Basis selbst bauen?
Och hoffe ihr könnt mir ein wenig auf die Sprünge helfen.
Danke im voraus.
Performance bei Local Routing
Moderator: Lancom-Systems Moderatoren
Hallo ny,
das sind ja gleich so viele Fragen auf einmal
> Jedoch denke ich weiter und will auch WLAN nur über VPN ins lokale Netz lassen.
Zusätzlich zu WPA? Oh je, in welchem Hochsicherheitstrakt willst Du einziehen?
WPA gilt als sicher - das sollte also ausreichen.
Zu Deinen Durchsatzratenfragen: Als ich noch einen 1511 besaß, habe ich mal folgendes gemessen. Das muss Jan/Feb 2005 mit einer damals aktuellen Firmware gewesen sein, hab leider nicht die Firmwareversion notiert.
LANCOM 1511 Durchsatz (kByte/s)
WAN -> LAN (Downloadrichtung) 2481
LAN -> WAN (Uploadrichtung) 2100
P2P-Strecke ohne Kompression 3000
P2P-Strecke mit Kompression 2000
WAN -> WLAN (Downloadrichtung) (über P2P) 1820
WLAN -> WAN (Uploadrichtung) (über P2P) 1600
Alle Werte sind persönlich gemessen und keine offiziellen Werte und können inzwischen auch schon anders aussehen.
Hast Du Dir schon mal einen 1722 angeschaut?
Viele Grüße,
Jirka
das sind ja gleich so viele Fragen auf einmal
> Jedoch denke ich weiter und will auch WLAN nur über VPN ins lokale Netz lassen.
Zusätzlich zu WPA? Oh je, in welchem Hochsicherheitstrakt willst Du einziehen?
WPA gilt als sicher - das sollte also ausreichen.
Zu Deinen Durchsatzratenfragen: Als ich noch einen 1511 besaß, habe ich mal folgendes gemessen. Das muss Jan/Feb 2005 mit einer damals aktuellen Firmware gewesen sein, hab leider nicht die Firmwareversion notiert.
LANCOM 1511 Durchsatz (kByte/s)
WAN -> LAN (Downloadrichtung) 2481
LAN -> WAN (Uploadrichtung) 2100
P2P-Strecke ohne Kompression 3000
P2P-Strecke mit Kompression 2000
WAN -> WLAN (Downloadrichtung) (über P2P) 1820
WLAN -> WAN (Uploadrichtung) (über P2P) 1600
Alle Werte sind persönlich gemessen und keine offiziellen Werte und können inzwischen auch schon anders aussehen.
Hast Du Dir schon mal einen 1722 angeschaut?
Viele Grüße,
Jirka
Hallo Jirka,
danke für die Antwort.
Dein Messreihen sind doch sicherlich einzeln und nicht gleichzeitig gemessen worden oder?
Ich sehe halt ein Problem auf mich zukommen, wenn mein zukünftiger Mediaserver über WLAN HDTV an den StreamingClient liefert und gleichzeitig ich ne VPN Strecke zu meinem Schwager nutze um seine Probleme am Computer Remote zu lösen während ich im Garten an meinem Notebook sitze und ihn gleichzeitig am Telefon habe. Und das alles geht dann irgendwie ein oder zweimal von und zum 1511.
Ich denke jede einzelne Funktion für sich kriegt der 1511 noch hin aber eben nicht alle gleichzeitig.
Achja und gilt als sicher ist nicht sicher. Es gibt theorethische Angrifssmöglichkeiten und zumindestens eine Person wohnt in Reichweite der ich zutraue das zu versuchen
.
Die 1722 hat kein WLAN und ein internes Modem. Eine 1812 ist noch nicht angekündigt wenn ich mich nicht täusche. Ich bin eigentlich kein echter Freund der all in one Strategie. Erschwert sanfte Migrationen und Evolutionsstrategien.
Grüssle NY
danke für die Antwort.
Dein Messreihen sind doch sicherlich einzeln und nicht gleichzeitig gemessen worden oder?
Ich sehe halt ein Problem auf mich zukommen, wenn mein zukünftiger Mediaserver über WLAN HDTV an den StreamingClient liefert und gleichzeitig ich ne VPN Strecke zu meinem Schwager nutze um seine Probleme am Computer Remote zu lösen während ich im Garten an meinem Notebook sitze und ihn gleichzeitig am Telefon habe. Und das alles geht dann irgendwie ein oder zweimal von und zum 1511.
Ich denke jede einzelne Funktion für sich kriegt der 1511 noch hin aber eben nicht alle gleichzeitig.
Achja und gilt als sicher ist nicht sicher. Es gibt theorethische Angrifssmöglichkeiten und zumindestens eine Person wohnt in Reichweite der ich zutraue das zu versuchen
. Die 1722 hat kein WLAN und ein internes Modem. Eine 1812 ist noch nicht angekündigt wenn ich mich nicht täusche
. Ich bin eigentlich kein echter Freund der all in one Strategie. Erschwert sanfte Migrationen und Evolutionsstrategien.Grüssle NY
Da geht es um Woerterbuch Attacken, welche Du bei einem hinlaenglich komplizierten PSK vernachlaessigen kannst.Achja und gilt als sicher ist nicht sicher. Es gibt theorethische Angrifssmöglichkeiten und zumindestens eine Person wohnt in Reichweite der ich zutraue das zu versuchen
Ich habe von noch keinem erfolgreichen Fall gehoert, in dem eine mit WPA2 und PSK gesicherte WLAN Verbindung "geknackt" worden waere!
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Alles eine Frage von Zeit und Aufwand Er hat Jahre Zeit den Verkehr abzuhören. Und mit der höheren Menge an mitgehörten Chiffrat erhöht sich die Wahrscheinlichkeit..... Und da ich sowieso eine VPN Infrastruktur aufbauen will....LoUiS hat geschrieben: Da geht es um Woerterbuch Attacken, welche Du bei einem hinlaenglich komplizierten PSK vernachlaessigen kannst.
Ich habe von noch keinem erfolgreichen Fall gehoert, in dem eine mit WPA2 und PSK gesicherte WLAN Verbindung "geknackt" worden waere!
Und nein...Ich hab nicht vor meine PSK regelmässig zu wechseln
Aber sei's drum.
Meine Kollegen aus der Netzwerkabteilung haben mir einen ihrer Catalyst 2948 L3 Angeboten die bei uns im Keller verschimmeln. Aber ich werd wohl statt dem Ursprünglich geplanten Netgear GS716T nun nen FSM7328S nehmen. Kostet nur 100 Euro mehr und hat 4 GBit Ports und ist Layer 3 Swicth. Wenn die GBit Ports mal nicht mehr ausreichen kann ich ja später noch nen GBit Switch dazuhängen. Damit wären alle Routing Probleme erschlagen.
Aber ne Aussage zur Performance des Lokalen Routings beim 1511 würde mich trotzdem interessieren.
Grüssle
NY
Nicht ernsthaft. Bei 48 Bit langen IVs wird es noch ziemlichAlles eine Frage von Zeit und Aufwand Er hat Jahre Zeit den Verkehr abzuhören. Und mit der höheren Menge an mitgehörten Chiffrat erhöht sich die Wahrscheinlichkeit.....
lange dauern, bis jemand genug Kapazität hat, um die
Menge Datenmaterial mitzuschneiden. Und wer das könnte,
der knackt dann auch VPN - die verwendeten Krypto-
Algorithmen wie AES sind letzten Endes die gleichen...
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Yep, aber der Schlüssel wird ein anderer sein. Und wenn die WPA PSK korrumpiert ist, dann wird hoffentlich mein Honeypot zuschlagen und ich kann reagierenalf29 hat geschrieben:Nicht ernsthaft. Bei 48 Bit langen IVs wird es noch ziemlich
lange dauern, bis jemand genug Kapazität hat, um die
Menge Datenmaterial mitzuschneiden. Und wer das könnte,
der knackt dann auch VPN - die verwendeten Krypto-
Algorithmen wie AES sind letzten Endes die gleichen...
Mhh Schon ein seltsames Hobby dass ich da habe
Hallo ny,
> Dein Messreihen sind doch sicherlich einzeln und nicht gleichzeitig gemessen worden oder?
Ja, einzeln.
Einen Test habe ich mal gleichzeitig gemacht, aber der ist schwierig zu erklären, entspricht halt meinen speziellen Anforderungen. Der 1511 bekam über die WLAN-Schnittstelle (P2P) Daten ohne Begrenzung, die er ins lokale LAN befördern musste, gleichzeitig habe ich dabei den max. Durchsatz von WAN nach WLAN (P2P [die gleiche Strecke]) gemessen, der dann 940 kB/s betrug. Das reichte voll und ganz und ich konnte sichergehen, auch ohne den isolierten Modus und entsprechend konfiguriertes QoS noch genug abzubekommen, wenn mal einer von meinem Server was ziehen sollte ...
> Die 1722 hat kein WLAN und ein internes Modem.
Ja, das Modem ... ich denk mal, wenn man DSL hat, ist das sicher eine schöne Sache. Wenn nicht, so wie bei mir immer noch, dann ist es halt drin, na ja ...
> Eine 1812 ist noch nicht angekündigt wenn ich mich nicht täusche. Ich bin eigentlich kein echter Freund der all in one Strategie. Erschwert sanfte Migrationen und Evolutionsstrategien.
Ja, insofern finde ich es gar nicht schlecht, dass der 1722 kein WLAN hat, eben mal nicht all in one ... Mein WLAN ist an günstiger Stelle im Haus und deckt das ganze Haus ab incl. Terasse usw. An der Stelle würde ich einen Router nie hinstellen können.
> Und wenn die WPA PSK korrumpiert ist, dann wird hoffentlich mein Honeypot zuschlagen und ich kann reagieren
LOL
Viele Grüße,
Jirka
> Dein Messreihen sind doch sicherlich einzeln und nicht gleichzeitig gemessen worden oder?
Ja, einzeln.
Einen Test habe ich mal gleichzeitig gemacht, aber der ist schwierig zu erklären, entspricht halt meinen speziellen Anforderungen. Der 1511 bekam über die WLAN-Schnittstelle (P2P) Daten ohne Begrenzung, die er ins lokale LAN befördern musste, gleichzeitig habe ich dabei den max. Durchsatz von WAN nach WLAN (P2P [die gleiche Strecke]) gemessen, der dann 940 kB/s betrug. Das reichte voll und ganz und ich konnte sichergehen, auch ohne den isolierten Modus und entsprechend konfiguriertes QoS noch genug abzubekommen, wenn mal einer von meinem Server was ziehen sollte ...
> Die 1722 hat kein WLAN und ein internes Modem.
Ja, das Modem ... ich denk mal, wenn man DSL hat, ist das sicher eine schöne Sache. Wenn nicht, so wie bei mir immer noch, dann ist es halt drin, na ja ...
> Eine 1812 ist noch nicht angekündigt wenn ich mich nicht täusche. Ich bin eigentlich kein echter Freund der all in one Strategie. Erschwert sanfte Migrationen und Evolutionsstrategien.
Ja, insofern finde ich es gar nicht schlecht, dass der 1722 kein WLAN hat, eben mal nicht all in one ... Mein WLAN ist an günstiger Stelle im Haus und deckt das ganze Haus ab incl. Terasse usw. An der Stelle würde ich einen Router nie hinstellen können.
> Und wenn die WPA PSK korrumpiert ist, dann wird hoffentlich mein Honeypot zuschlagen und ich kann reagieren
LOL
Viele Grüße,
Jirka