Cloudbased Opnsense als feste IP Ersatz

Started by rubinho, February 13, 2022, 11:58:07 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 13, 2022, 11:58:07 AM Last Edit: February 13, 2022, 12:03:31 PM by rubinho
Hallo Zusammen,

ich suche eine Möglichkeit bei zukünftigen Internetanschlüssen mit keiner echten offiziellen IPv4 Adresse weiterhin noch meine Services (Mailserver, Voipserver, Nextcloud usw.) über IPv4 erreichbar zu machen.
Die Businessanschlüsse sind bis auf wenige Ausnahmen entweder preislich unattraktiv, oder für Privatpersonen nicht buchbar.
Auf der Suche nach möglichkeiten bin ich auf einen Bericht (von Jens) hier im Forum gestoßen.
Dabei ging es um eine Opnsense in der Hetzner Cloud.

Gesagt getan, hab ich mir einen Server (CX21) mit Opnsense aufgesetzt, einen Wireguardtunnel nachhause aufgebaut und das Routing eingerichtet, fertig. Grundsätzlich könnte ich mit einer solchen Lösung leben. Allerdings bin ich mir nicht sicher, ob die Leistung dieses Servers wirklich ausreicht.
Die Performance ist nämlich ernüchternd und ich komme gerade so auf einen Durchsatz von ca. 110mbit.
Das mag bei meinem jetzigen Anschluß (40mbit Upload) ausreichen, allerdings steht die Deutsche Glasfaser vor der Tür und dort habe ich weit mehr als 100mbit. Zusätzlich möchte ich zukünftig auch meine VPN Tunnel auf der cloudbased Opnsense terminieren lassen, wenn es soweit ist und das zieht die Performance nochmal runter.

Weiß jemand, wer der passende Anbieter ist und wieviel ich für so ein Vorhaben ausgeben müsste.
Als weitere Hausnummer hätte ich noch bei der Deutschen Glasfaser den Dienstleister "EDV Kossmann" der eine feste IP mit ca. 200mbit Durchsatz und nur tcp für 11,90€ anbietet.

Gruß
Rubinho


[OPNsense 25.1] Topton N100 4xi226 16Gb Ram
[OPNsense 25.1] Hetzner Cloud CPX11 (POC)
February 13, 2022, 12:46:24 PM #1
Wo ist denn das Limit? CPU oder Netzwerk.

Wenn es die CPU ist könnte der Wireguard Kernel Mod evtl. helfen. Und max. MSS 1300 für Wireguard unter Firewall->Settings->Normalization anlegen.
February 13, 2022, 02:02:44 PM #2
Was soll ich sagen.... Danke :)
Das Problem ist mit dem Workaround erstmal gelöst.
Der niedrige Durchsatz lag tatsächlich an der CPU Auslastung.
Nach dem Mod und der MSS Anpassung flutschen jetzt schonmal 222Mbit durch. (Mehr geht bei VDSL halt nicht)

Frage in die Runde, gibt es für mein Vorhaben irgendwelche Fallstricke die ich noch nicht bedacht habe, oder wird das schon von einigen bei euch so praktiziert?

Gruß
Rubinho
[OPNsense 25.1] Topton N100 4xi226 16Gb Ram
[OPNsense 25.1] Hetzner Cloud CPX11 (POC)
February 13, 2022, 03:39:37 PM #3 Last Edit: February 13, 2022, 03:46:51 PM by lewald
Nun mit dem Hetzner CX21 kann die Leistung halt schwanken. Je nach dem was auf der Cloud so los ist.
Und zwar deutlich.

Und ist die IP V4 wirklich fest? Könnte mir vorstellen das Hetzner dies demnächst mit extra Kosten verbinden wird.
February 14, 2022, 11:46:44 AM #4
Quote from: lewald on February 13, 2022, 03:39:37 PM
Nun mit dem Hetzner CX21 kann die Leistung halt schwanken. Je nach dem was auf der Cloud so los ist.
Und zwar deutlich.

Und ist die IP V4 wirklich fest? Könnte mir vorstellen das Hetzner dies demnächst mit extra Kosten verbinden wird.

CPU Auslastungsprobleme hatte ich jetzt tatsächlich noch seltenst. Und ja die IP4 ist fix, die wird direkt beim Erstellen des Containers vergeben. In Zukunft wird die tatsächlich dann was zusätzlich kosten aber hält sich (noch) in Grenzen. Aber der Weg ist klar, da muss mehr v6 her.
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 14, 2022, 11:48:42 AM #5
Evtl. ist ein Digital Ocean Droplet ja eine Alternative?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
February 14, 2022, 11:59:09 AM #6
Naja bei den Droplets gibts in der Preisregion auch nur die Basics die nur eine vCPU haben und dementsprechend anfällig für das gleiche Problem sind. Ist mir aber wie gesagt bislang bei meinen Spielkisten bei Hetzner noch nie so gegangen aber ich hab da jetzt auch noch keine Killerperformance abgerufen ;)

Aber immerhin kannst du bei Hetzner auch für günstig mehr als eine CPU machen.  Ansonsten gibts da sicher auch noch andere wie Scaleway etc. bei denen man sowas bauen kann. Aber nichts desto trotz wird denen allen irgendwann die IP4 Spaces ausgehen :)
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 14, 2022, 04:41:48 PM #7
Würde es nicht evt. mehr Durchsatz bringen, wenn nur der Wireguard Tunnel auf dem CX21 läuft ohne die Sense?
Ich hab einen kleinen Virtuozzo Container mit Wireguard Go am laufen um nach hause zu telefonieren.
1 vCPU, 1 GB ram.
Da bekomm ich 230/140 raus von meiner 300/150 DG Leitung.
Ohne den Tunnel komme ich in normal auf 480-700/150
Warum ich nur 230 raus bekomme, habe ich allerdings noch nicht geprüft. Obs nun am kleinen Container liegt oder an was anderem.
February 14, 2022, 05:12:07 PM #8 Last Edit: February 14, 2022, 05:15:01 PM by rubinho
Quote from: JeGr on February 14, 2022, 11:46:44 AM
Aber der Weg ist klar, da muss mehr v6 her.

Sag das nicht mir :)
Ich hatte mit meinem ehemaligen Kabel Deutschland Business Anschluss eine feste IPv4 und ein festes IPv6 /56er Prefix.
Da konnte ich machen was ich wollte, wenn da nur der Anschluß ansich stabil gelaufen wäre (Andauernd hatte ich Aussetzer).

Wenn ich jetzt auf IPv6 umstellen würde, bezweifele ich, dass ich ein festes IPv6 /56er Prefix bekomme (Bei den Privat Anschlüssen) und die nächste Hürde wären Systeme wie z.B. die Fritzbox, die noch keinen IPsec Tunnel oder sonstige Dienste über IPv6 unterstützen. IPv6 ist halt Brandneu ;)


Quote from: kostja on February 14, 2022, 04:41:48 PM
Würde es nicht evt. mehr Durchsatz bringen, wenn nur der Wireguard Tunnel auf dem CX21 läuft ohne die Sense?

Ich möchte ja neben dem VPN Tunnel auch einen HAProxy laufen und VPN Tunnel terminieren lassen.
Dafür ist ne *sense prädestiniert.

Ausserdem schafft die Sense ja mittlerweile einen Durchsatz von 220 Mbit. Mehr gibt mein VDSL Anschluss eh nicht her. Die CPU war zu dem Zeitpunkt auch noch nicht am Ende.

Ich habe mittlerweile die Maschine auf CPX11 umgestellt, was auch noch völlig ausreicht.
Keine Ahnung ob die AMD CPU besser oder schlechter als die Intel CPU. Jedenfalls merke ich nichts und die 2GB Arbeitsspeicher reichen auch erstmal aus.

Momentan ist es ja nur ein Proof of Concept, das gut aussieht. :)

Gruß
Rubinho

[OPNsense 25.1] Topton N100 4xi226 16Gb Ram
[OPNsense 25.1] Hetzner Cloud CPX11 (POC)
February 14, 2022, 05:18:20 PM #9
> Da konnte ich machen was ich wollte, wenn da nur der Anschluß ansich stabil gelaufen wäre (Andauernd hatte ich Aussetzer).

Ja es ist zum Heulen :/

> die nächste Hürde wären Systeme wie z.B. die Fritzbox, die noch keinen IPsec Tunnel oder sonstige Dienste über IPv6 unterstützen. IPv6 ist halt Brandneu ;)

Naja zumindest die Fritze bekommt ja jetzt Wireguard, dann soll ja alles gut werden :D

"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
February 14, 2022, 10:57:33 PM #10
Quote from: rubinho on February 14, 2022, 05:12:07 PM
Wenn ich jetzt auf IPv6 umstellen würde, bezweifele ich, dass ich ein festes IPv6 /56er Prefix bekomme (Bei den Privat Anschlüssen)
Kannst vergessen, der Prefix wechselt alle 24h, obwohl die v4 Adresse bei mir seit Wochen stabil ist - das nervt gewaltig.

Ich überlege gerade auch, wie ich am besten als Privatkunde an einen feste v4/v6(Prefix) Adresse komme bei Vodafone.

Print
Go Up Pages1
User actions