Home Router Projekt

zyon

Rule Zero
Hallo BSDForen Community,

neues Jahre, neuer Vorsatz, neues Projekt. Es liegt schon lange auf meiner TODO-Liste und soll dieses Jahr umgesetzt werden.

Wie viel von euch, besitze auch ich so eine popelige FritzBox, genauer "Fritz!Box 7360 SL".
Ich würde gerne wieder einen eigenen Router aufsetzen. Früher war ich im Besitz eines
soekris in Verbindung mit einem D-Link-ADSL Modem.

So etwas in der Art stelle ich mir wieder vor. Mir ist klar, dass es nicht mehr so einfach ist.
Die FritzBox kümmert sich nicht nur um die VDSL2+-Verbindung sondern sorgt auch noch für VoIP und DECT.

Damit fallen mir nur zwei Szenarien ein:

1.) Die FritzBox kümmert sich um VDSL2+ und VoIP bekommt eine feste IP und dient als reines Gateway.

- Gefällt mir aber auch irgendwie nicht. Hier ist noch zu viel in der Hand von FritzBox (NAT usw.). Oder kann man das Teil so Einrichten, dass es als reines VDSL2+ fungiert und trotzdem VoIP macht? Glaube wohl kaum, nicht Wahr?

2.) VDSL2+ Modem kaufen und Hardware für das Betrieben von DECT-Telefonen und VoIP.

Habt ihr hierfür Hardware Idee?

3.) Andere Vorschläge?

Zu den schon gestellten Fragen, steht im Mittelpunkt die Hardware-Frage. Auf der Hardware MUSS OpenBSD laufen. Somit bietet sich x64 Hardware an. Ein weiteres Muss, ist 1Gbit Ethernet.

Interessant finde ich das Board: "APU.1D4 system board" von PC Engines. Jedoch bin ich mir nicht sicher ob dieses mit VDSL2+ zu recht kommt. Spielereien wie IPSec/OpenVPN-GW usw. soll das Ganze auch noch leisten. Vielleicht ein Mini-ATX mit einem Soc. Dann kann man das ganze noch als kleines NAS misshandeln.

An Clients soll der Router/Inet-Gateway 2 Worksations, 1 Notebook, 2 Handys beliefern.

Ich bin für alle Anregungen was Hardware und/oder Erfahrungsberichte/Setups Dankbar.

zyon
 
Ohne nun lange Romane schreiben zu wollen, sind meine Erfahrungen grob so:
  • Soekris baut nach wie vor die mit beste Hardware im Bereich kleiner Single-Board-Computer, ist inzwischen aber wirklich unverschämt teuer geworden. Das PCEngines APU, was du ja schon erwähnst, ist eine sehr gute und vor allem preisgünstige Alternative. Allerdings sollte man auf jeden Fall die aktuellste Firmware flashen, auch wenn gerade "Beta" draufsteht. PCEngines BIOS-Künste waren noch nie hoch und das APU bestätigt es mal wieder. Seit dem September-Update habe ich keine Probleme mehr. Die Realtek-Netzwerkkarten sind nicht optimal, aber erfüllen ihren Zweck und machen eigentlich keinen Ärger. Man kann eine mSATA-SSD einsetzen und mit ein wenig Geschick ein 2,5" S-ATA Medium anschließen. Die CPU ist zwar kein Monster, aber dank zwei relativ hochtaktenden Kernen auch schon deutlich schneller als alles, was bisher in der Preisklasse gewöhnt war. In Sachen IPSEC, OpenVPN und co. musst du dir da gar keine Gedanken machen, das passt auf jeden Fall. Selbst Verschlüsselung der Platte mit GELI (unter FreeBSD) ist in akzeptabler Geschwindigkeit drin. Ich hoste da im Moment 6 FreeBSD-Jails drauf und da ist definitiv noch Raum nach oben.
  • VOIP ist kein Problem, wenn dein Anbieter die SIP-Zugangsdaten rausrückt. Die Telekom macht es zum Beispiel. Dann einfach einen billigen VOIP<->Analog-Gateway und die Sache läuft. Zum Beispiel sowas: http://geizhals.at/de/grandstream-handytone-701-analog-voip-adapter-ht701-a1030092.html
  • Das DSL-Modem allerdings schon. Die Auswahl an aktuellen VDSL2+-Modems ist extrem begrenzt und alle Optionen sind sehr teuer. Die beste Wahl ist meiner Meinung nach der Zyxel VMG1312-B im Modem-Betrieb, aber er ist doch recht teuer. Im Router-Betrieb kann er alles, was das Herz begehrt. Nur OSPF fehlt. Die Telekom verkauft ihn an Geschäftskunden und bietet eine spezielle Telekom-Firmware (ohne Branding!) an, die dann auch Vectoring unterstützt. Der Quellcode zur Firmware ist ebenfalls verfügbar.
 
Also, beim Finden eines bezahlbaren und brauchbaren reinen VDSL Modems wünsche ich viel Spass und Glück. Wirst du kaum finden. Man muss heute schon froh sein, ein "Modem" zu finden, das nicht auch noch WLAN, VoIP und einen Föhn mit drin hat.

Ich habe privat eine ähnliche Situation, wenn auch eine Nummer kleiner (FB 7141 und ADSL). Ich habe das Ganze einfach rational unter dem Aspekt von Funktionsblöcken gesehen, also ADSL Modem will ich, WLAN will ich nicht, VoIP auch nicht (auf der FB).
Meine Lösung war, die passende und von Freetz unterstützte FB zu finden sowie für den Router eine Büchse.

Bei meiner 7141 ist routing komplett disabled, die FB/Freetz firewall macht nur Gröbstfilterung (Bogon, private networks, etc), WLAN ist disabled und den Telefonie Funktionsblock nutze ich als 1x ISDN - 2x Analog Adapter (z.B. Fax).

Als router Büchse verwende - und empfehle - ich einen älteren Igel thin client mit PCI zur Erweiterung. Da habe ich vor allem mit zwei Modellen Erfahrung, einmal den (ziemlich alten) Igel 4xx (416, 432, ...) mit einer 500MHz Geode und (moderner) den Igel 5/4 mit Via V7 (div., oft 1 GHz). Beide haben gesockeltes RAM und sind in gewissem Umfang erweiterbar; die Geode Büchsen habe ich mit 128MB betrieben, 256MB müssten auch gehen und die Via Büchsen mit 1GB.Zudem bieten die Via Büchsen, je nach Modell, auch 1x PCMCIA und teilweise einen eingebauten Kartenleser. Beide haben USB und einen 100Mb Ethernet port.
Die Büchsen sind im Bereich 20 € - 50 € auf ebay erhältlich (natürlich gebraucht) aber angesichts des Preises kann man sich locker gleich eine Reserve-Büchse mit holen. Anmerkung: Mir ist teilweise im mehrjährigen Dauerbetrieb noch keine Kiste verstorben.

Eine C7 Büchse mit einem Eicon Diva Server board darin tut anstandslos ihre Dienste als Telefonanlage, einige andere (mit Ethernet boards) als router/firewall/dns ...

In deinem Fall (kein ISDN, nur VoIP) sollte so eine C7 Büchse mit einem Ethernetboard drin locker für beides, routing etc. und Telefonanlage (für einen auch größeren Haushalt) reichen.

Ach ja: Beide Büchsen laufen mit Compactflash, können aber zumindest mit einem billigen Adapter auch mit Notebook-Platten betrieben werden.
 
Also auf Amazon bekomme ich jede Menge DSL Modems gelistet, wenn ich "dsl modem" eintippe. Ich habe den D-Link 321B/DE.

Edit: ich hab VDSL überlesen.
 
Selbst für ADSL. Ich habe eben auch mal "DSL Modem" bei Amazon eingegeben. Ergebnis: Fast die ganze Seite voll mit Büchsen mit WLAN.
Auch verbirgt sich hinter nicht wenigen Büchsen ein "Modem", das nur deshalb als "Modem" bezeichnet wird, weil der eingebaute router fest konfiguriert ist. ("Da kamma nix router-mäßiges einstellen also isses auch kein router". Bei manchen steht sogar verräterisch dabei, dass eine firewall drin ist.

Klar, kann man machen. Nur wozu? Wenn man dediziert ein "nur Modem" will, dann hat das ja Gründe. Den des Stromverbrauchs z.B. oder den, dass etwas, das nicht vorhanden ist, auch keine hässlichen Bugs enthält.

Das Problem ist wohl, dass fast alle der Büchsen im "Consumer Segment" angesiedelt sind und ergo für den Massenmarkt gemacht und - in jeder Hinsicht - billig sein müssen. Auch meint ein Kunde in diesem Segment mit "DSL Modem" etwas wie "Das Ding, das ich brauche, um mit meinem Pad ins Internet zu kommen" (-> router mit WLAN und DSL Modem).
 
Bei mir kommen die ersten drei direkt ADSL Modems für unter 30€. Und weiter unten gibt es noch mehr davon. Das dritte habe ich ja, wie gesagt. Ich habe jetzt nie gedacht, dass wir in Deutschland VDSL haben. Ich habe bis jetzt immer DSL2000 gehabt (Großstadt) und DSL6000 immer abgelehnt bekommen. Deswegen habe ich das mit dem VDSL zunächst missverstanden.
 
Hi Zyon

ADSL2+ Modem bis 25Mbit:
z.B. dieses hier: (ca. 34€ inkl. Versand)
Allnet
VOIP Gateway hab ich hier diesen am laufen: (aktuell so um die 42€)
Cisco SPA112
kleiner TIPP noch, falls du Dich dafür entscheidest, solltest du Dir unbedingt diese Seite noch anschauen:
SPA Konfig
Router:
PCEngines APU 1D4 <-- ist OK

mfg
Hoschi
 
Moin,

bei mir kommt ein Siemens Futro D100 als Router/Firewall/AccessPoint/Mailfilter/Groupware-Server mit FreeBSD 10.1 zum Einsatz (zwei mit GMirror gespiegelte Notebook-HDDs). Im Moment habe ich noch ein Teledat 300 DSL-Modem für 6MBit im Einsatz, soll aber bald gegen das von Yamagi genannte Zyxel-Gerät ausgetauscht werden ("Wos gscheits hoit").

Grüßle

JueDan
 
Einen Octacore als Router? Meinst du, das Gerät wird eine große CPU Auslastung haben? Ich habe für meinen nächsten Homeserver (oder dessen Upgrade) das Asrock C2550D4I (http://www.asrockrack.com/general/productdetail.asp?Model=C2550D4I) ins Auge gefasst, hat vier Kerne, IPMI und ich glaube 4x Gbit Ethernet. Gut, über die Marvel Sata-Controller lässt sich streiten, afaik kann man die aber im Bios abschalten, wenn nicht gewünscht/benötigt.
Wenn du nur eine SSD benutzen möchtest, würde ich über eine PicoPSU statt einem Netzteil nachdenken.

Edit: Sehe gerade, nur 2x Ethernet.
 
zyon: OpenBSD wird als Router mit den acht Kernen nicht viel anfangen können. Mit einem dual-core Xeon E3 wärst du unter OpenBSD besser bedient und der braucht auch nicht mehr Strom.
 
Eine gern gemachte und von der Industrie natürlich geförderte Fehleinschätzung, wieviel CPU power man für einen Router mit firewall so braucht.

Dabei geben große Hersteller wie Cisco im Grunde selbst Hinweise in Form der von ihnen selbst verbauten Prozessoren. Und das sind selbst im mittleren Bereich häufig gerade mal etwas bessere (höher getaktete) MIPSe (und, Nein, der Einsatz von ASICs lohnt da noch lange nicht; das macht alles noch eine normale CPU (mit brauchbaren Netzwerk Chips drumrum)).

Ich würde aus persönlicher Erfahrung sagen, dass auch low end CPUs (AR7, Vortex, Geode, ...) mit 64 - 128 MB locker für Kleinbetriebe und Haushalte reichen, also bis 50 Mbs, inkl. firewall, dhcp. dns und 5 - 10 Mbs VPN. Eine Klasse höher, also dual-core Atoms oder, besser noch, VIA C7 mit 1,2 - 1,5 GHz und 256 MB - 1 GB reicht auch locker für einen Betrieb mit 4 * 100Mb connectivity, Dutzende geNATete Clients und, insbesondere mit C7 auch für etliche VPNs. Mehr Leistung bräuchte man erst, wenn auch der Traffic einer viel besuchten Website darüber läuft.

An eine Büchse jenseits VIA C7 würde ich erst bei Betrieben mit deutlich über 50 Arbeitsplätzen und einigen inhouse servern (also z.B. email nicht beim Hoster sondern im Haus) denken.

Also, lasst euch nicht ins Bockshorn jagen von wegen einem quad-core Xeon als router/firewall ...
 
Ich hab auch nen Router aus der Supermicro Atom Reihe mit Rangeley CPU. Funktioniert wunderbar.

Für nen Router würde aber auch nicht die Varianten mit Octacore angucken. Da gibts auch welche mit 4 oder sogar nur 2 Kernen, was ausreichen sollte.

Ich hab mich für eines dieser Boards entschieden, weil die auch nicht mehr kosten als ne Soekris, ECC RAM können und die NICs über alles erhaben sind.

Der QuickAssist Chip der Rangeley Reihe wird zumindest unter OpenBSD nicht unterstützt und wird es vermutlich auch nie werden. Soweit ich weiß (vorsicht Halbwissen) ist selbst der aktuelle Linuxtreiber nur proprietär erhältlich.
Wenn jemand will, kann ich auch den dmesg der Kiste zeigen.
 
Man sollte auch nicht vergessen, dass wir im Jahr 2015 leben. Der AMD Geode (aka National Geode, aka Cyrix 8x86) war mal eine gute CPU. Vor annähernd 15 bis 20 Jahren. Das VIA C7 Design war noch nie so wirklich prall und ist inzwischen auch aus der Steinzeit. Moderne CPUs sind um ein Vielfaches schneller, dank modernem Powermanagement im Leerlauf oft sogar effizienter und unterstützten modernere Software-Architekturen. Selbst wenn diese alten CPUs zum reinen Routen ausreichen, wird bei den Geodes schon der SSH-Login, das öffnen vom Vim und ein "pkg upgrade" erst recht zur nahezu unerträglichen Qual. Wenn man finanziell nicht auf den allerletzten Cent achten muss, sollte man diese CPUs meiden und da lassen, wo sie inzwischen hingehören: In der Sammlung für Vintage Hardware. Das ist zumindest meine Meinung.
 
Na ja, Yamagi,

nun muss man aber auch Äpfel mit Äpfeln vergleichen. Bei welcher Plastik (oder im pseudoprofi Bereich Blech-) Büchse kannst du Vim nutzen? Da hast du ein Web-Interface und vielleicht noch ein SSH , das langsam ist, ja. Dass du hier (mal) vereingenommen bist, zeigt schon "Vim". Sorry, aber auf einem kleinen router (und auch auf so manchem großen) nimmt man doch vi; und das läuft gleich einiges flotter. Im übrigen editiere ich da ja weder Blogartikel noch schreibe ich Software drauf; da wird ein bisschen config Feintuning gemacht und das war's (die großen Brocken hat man doch schon anderswo editiert und spielt sie nur noch auf).
Aber auch: Wie oft loggen wir uns denn ein auf einem router? Wenn wir paranoid sind, 1x am Tag. Ansonsten 1x Monat, wenn überhaupt. Und nur das kostet ernsthaft, einloggen. Danach, gerne auch den ganzen Tag lang, wird ja symetrisch (also CPU billig) verschlüsselt.

Und klar, ein moderner Atom braucht auch nicht mehr Strom (oder sogar weniger) und ist viiieeel schneller. Aber hat er Hardware encryption support? Sind die chipsatz Treiber selbst für exotische Betriebssysteme verfügbar so wie die für uralte 3Com 905, intel 825xx, Via Rhine, ...?

Und nochmal: Ein moderner dual core Atom (der übrigens nicht gerade billig ist) hat bei weitem mehr Power als gebraucht wird, es sei denn, man wollte X (für gVim *g) drauf haben. Ich bin kein bisschen gegen moderne Atoms. Ich finde die interessant und gut. Aber: Einen VIA C7 Igel, da krieg ich fürn Hunni 3 oder 4. Und die Hardware wird excellent unterstützt. Und ich kann damit locker 3x 100Mb/s routen und 50Mb/s encrypten. Obendrein krieg ich nirgendwo günstigere und bessere Resilience, wenn mal 5 Min. offline zum hardware Tausch akzeptabel sind; der gleichwertige Ersatz steht ja gleich daneben. Compact Flash rein und weiter geht's. Das ist bei weitem mehr Resilience als in 90% der Firmen und 99,9% der Haushalte!

Einem ISP oder Hoster würde ich das natürlich nicht empfehlen, aber um sowas geht's hier ja auch nicht. Und für Otto Normal (IT'ler) zuhause oder für sehr, sehr, sehr viele kleine Firmen ist sowas eine rundum gute Lösung. Im übrigen sollten all die "Ich hab OpenBSD auf einem alten PC", geschweige denn die "Reichen 2GB und ein Dual Core Xeon für einen Router für unsere Kleinstadtschreinerei?" Leute mal auf ihren Stromzähler gucken.
 
Wie gesagt, ich finde die neueren Atoms auch toll und will sicher niemandem erzählen, die seien irgendwie verkehrt oder schlecht Nur:
- Viel Spass beim Finden von Treibern für ein etwas exotischeres OS
- Heimgebrauch? Also irgendwas wie 8-50 Mb/s und vielleicht noch bissl OpenVPN? Das ist ja mit dem 7,5 Tonner die Zeitung holen.
- AES-NI ist in meinen Augen zum Teil Verarsche. Zum einen will ich mich nicht auf 1 Verschlüsselung festlegen lassen (und schon gar nicht auf eine von nist/nsa propagierte), zum anderen ist AES an sich (bewusst) so schnell, dass AES hardware support nun nicht sooo dringend ist.
- Preis. Preis. Preis. Was kostet dich so eine Avoton (von Rangeley gar nicht zu reden) Büchse? Und das mal 2 (im ernst gemeinten Gebrauch/Ausfallsicherheit). Meine locker ausreichenden C7 Igel hole ich für 50, 60 Euro im Doppelpack.

Dual (oder gar Quad) Core ist mir schnurz. Prozessorleistung auch weitgehend, weil man sie erfahrungsgemäß in einem router der Unter- bis Mittelklasse schlicht nicht braucht. Was mir gefällt an den Atoms ist der Stromverbrauch und das kompakte Design. Deshalb werde ich auch den Avoton ebenso wie den Quark im Auge behalten. In ein paar Jahren wird's die billig geben und vor allem auch mehr Treiber. Gerade der Quark schreit geradezu danach, als low end box (home, kleine betriebe) eingesetzt zu werden.
 
- AES-NI ist in meinen Augen zum Teil Verarsche. Zum einen will ich mich nicht auf 1 Verschlüsselung festlegen lassen (und schon gar nicht auf eine von nist/nsa propagierte), zum anderen ist AES an sich (bewusst) so schnell, dass AES hardware support nun nicht sooo dringend ist.
Aha. Welche Verschlüsselung kann denn der C7 sonst noch in Hardware, außer ebenfalls AES durch PadLock?

100MB/s vs. 800MB/s _pro Kern_ würde ich nicht unbedingt als Verarsche bezeichnen.

Argumente schön und gut, aber weniger an den Haaren herbeigezogen wäre besser. Davon abgesehen möchte man mit Eigenbau-Lösungen vielleicht auch irgendwann mal fortgeschrittenere Sachen machen wie z.B. mehrere getrennte lokale Netze, ohne dafür noch einen kräftigeren Router hinzustellen. Je näher man an 1Gbps routen kann, umso besser.

OpenBSD mit pf braucht am besten eine gute Single-Core-CPU, d.h. hoher Takt und großer Cache. Mehr Kerne helfen dem Userland, wenn Zeug wie Content-Filter oder Proxies noch zusätzlich laufen.
 
Aha. Welche Verschlüsselung kann denn der C7 sonst noch in Hardware, außer ebenfalls AES durch PadLock?

100MB/s vs. 800MB/s _pro Kern_ würde ich nicht unbedingt als Verarsche bezeichnen.

Argumente schön und gut, aber weniger an den Haaren herbeigezogen wäre besser. ...

Aha.

Die Padlock engine bietet auch einen HPRNG und unterstützt auch SHA256 und vor allem Montgomery Multiplikation. Letztere beschleunigt den wirklich "teuren" Teil, nämlich public key crypto (moderne symetrische Crypto wie z.B. AES ist auch ohne Hardware Unterstützung sehr schnell, nicht zuletzt, weil sie u.a. darauf hin entwickelt wurde).

Was Zahlen angeht, wäre ich vorsichtig, weil das meistens "Labor Idealwerte" sind. Und: Doch, ich bezeichne das - bei einem home oder SME router und darum geht's hier ja - als Verarsche, weil es mit einer 16, 25, 50 oder auch 3x100Mb Verbindung völlig schurzegal ist, ob deine Kiste rein theoretisch 500Mb/s oder 10 Gb/s kann.
In dem Bereich, in dem solche Durchsätze ( 5Gb/s++) relevant sind, das nur am Rande, greift man nicht zu einem Atom sondern zu z.B. Cavium oder Freescale Prozessoren.

Das mit den Haaren übersehe ich mal großzügig.

Wie gesagt, teuer ist nicht AES; den nötigen Durchsatz für eine home oder SME Leitung, also 10 - 50 Mb/s, kriegt auch ein alter single core Atom locker hin (und auch ein 500 MHz Geode) - und mehr, als durch die Leitung gepumpt wird, braucht er nicht können.
Teuer ist der public key Teil z.B. bei SSH. Nur: Wieviele Sessions werden denn so aufgebaut pro Sekunde beim router? 0,1 ... 0.00000001 (Bedenke: 0.1 Sessions/s würde bedeuten, dass 10 neue Sessions/s aufgemacht würden. Bei einem home oder SME router???)

Was internes routing angeht, hast du recht. Allerdings kommt das im Einsatzbereich dieser Klasse von Büchsen kaum vor und wenn dann meist wegen einer DMZ, sprich, das Nadelöhr ist wieder die Leitung. Und rein zu Versuchs- und Lernzwecken (router spielereien) ist es völlig schnurz, ob du 10 Mb oder 10 Gb Leitungen routest.

Anmerkung: Ich schrieb diese Beiträge, weil sie zum thread passen und weil so mancher unnötig Geld ausgibt (u.a. auch für Strom) im Aberglauben, eine (unnötig) große Kiste zu brauchen. Ob nun jemand sich eine Büchse mit Atom, mit C7 oder mit Octacore Xeon hinstellt ist mir egal. Es ging mir sicher nicht um einen Glaubenskrieg.
 
Der Bignum-Multiplier wird leider von keiner gängigen Software verwendet. LibreSSL hat keine Unterstützung für Padlock (außer falls der Umweg über /dev/crypto funktioniert) und selbst unter FreeBSD baut security/openssl nicht mehr den Patches für Padlock.
 
Hallo zyon,

Ich reaktiviere den Thread mal, denn im nächsten Monat bekomme ich auch VDSL50 und würde gerne wissen wie Du Dein Problem gelöst hast. Auch ich habe eine PC Engine APU als Router, wenn auch mit FreeBSD im Einsatz. Da die APU auch Serveraufgaben übernimmt brauche ich diese auch, da eine Fritzbox diese nicht übernehmen kann. Ein VDSL Modem würde mir auch reichen. Welche Erfahrungen hast Du gemacht?
 
Zurück
Oben