VPN mit Site-to-Site und End-to-Site einrichten

[anhe]

Hallo zusammen,

ich möchte mein privates Netzwerk (im folgenden LAN1 genannt) um ein VPN erweitern. Zuerst End-to-Site und wenn das funktioniert, soll ein weiteres privates Netzwerk (LAN2) eingebunden werden (Site-to-Site). Daher wende ich mich jetzt an Euch mit ein paar Fragen:

Ein paar Informationen zum ersten Teilnetz (LAN1) vorab:
- Die Verbindung von LAN1 zum Internet erfolgt z. Zt. über Kabel Deutschland mit dem Kabelmodem.
- Ich habe mir von Cisco den RV042G als Router1 bestellt, dieser sollte in den nächsten Tagen eintreffen.
- Ein WLAN (WLAN1) soll über einen D-Link DIR-615 WLAN Router erzeugt werden.
- Im LAN1 gibt es ein NAS (NAS1) auf dem die Macs mit Time Machine ihre Daten sichern, bzw. über eine Cloud-Funktion Daten synchronisieren.
- Es gibt ein AppleTV (AppleTV1) das sowohl auf die Freigaben der Macs zugreift, als Airplay-Ziel dient und auf die Apple iTunes Server für (iTunes Match und Filmverleih) zugreift.
- Eine dynamische DNS-Adresse in der Art "anhevpn1.dynamischedns.de" ist angelegt.

Das LAN2 sieht sieht ähnlich aus:
- Die Verbindung zum Internet erfolgt über einen anderen Provider (z.Zt Telekom)
- Hier soll auch ein Cisco RV042G als Router2 zum Einsatz kommen.
- Zum NAS1 identisches NAS2 (gibt es noch nicht).
- AppleTV (Apple TV2) mit gleichem Einsatz.
- Dynamische DNS-Adresse in der Art "anhevpn2.dynamischedns.de" wird eingerichtet (sofern benötigt).
- WLAN2 über separaten WLAN Router (gibt es noch nicht).

Wie soll es aufgebaut werden/Was wünsche ich mir:
- Das VPN soll immer erreichbar sein, auch wenn eine der "Sites" offline ist.
- Die WLANs sollen unabhängig vom VPN an- und ausgeschaltet werden können, daher die separaten WLAN-Router
- Nachts soll NAS1 auf NAS2 gesichert werden.
- Jeder Computer soll entsprechend seiner MAC-Adresse eine IP erhalten, egal in welchem der beiden Teilnetze er sich gerade befindet. Beide WLANs sind natürlich mit WPA2 Schlüssel gesichert und den Rechnern bekannt.
- Von Außen (z.B. Hotel-WLAN, iPhone-Hotspot) sollen End-to-Site Verbindungen möglich sein.


Fragen:
- Gibt es einen "Master"-DHCP-Server im LAN1 (Router1) von dem sich der Router2 sowie die Geräte im LAN2 eine IP-beziehen.
- Was passiert wenn eines der beiden LANs nicht erreichbar ist. Ist der andere Teil dennoch unter der gleichen VPN-Bezeichung erreichbar, oder gibt es dann ein anhevpn2 als "Fallback"-Lösung. Übernimmt dann der ROUTER2 auch die DHCP-Server Funktion?
- Müssen sich die Geräte, solange sie sich in den LANs befinden und eine IP von einem der beiden Router beziehen noch zusätzlich in das VPN einwählen? Ich hoffe das das nur bei einer End-to-Site Verbindung notwendig ist.
- Die Verschlüsselung der Datenpakete zwischen den VPN-Gegenstellen sorgt ja für eine Reduktion der Übertragungsgeschwindigkeit. Gilt das dann auch für Verbindungen aus dem VPN ins Internet? Die AppleTVs sollen ja beim streamen vom iTunes-Server die maximale Datenübertragungsrate nutzen.
- Führt eine Verbindung ins Internet (z.B. Aufruf einer Website, oder AppleTV streaming vom iTunes Server) aus dem LAN2 immer über das LAN1, oder ist es möglich den Datenverkehr entsprechend zu lenken?
- Haben ALLE Geräte zusätzliche eine virtuelle VPN-IP Adresse die von der im jeweiligen LAN abweicht, oder nur die über eine direkte Internetverbindung per End-to-site auf das VPN zugreifen (z.B. IP aus dem Hotel-WLAN UND die VPN IP aus dem privaten Adressbereich)


Vorgehenweise die ich mir jetzt vorgestellt habe:
- WAN Verbindung vom Router1 zum Internet einrichten
- Router1 als DHCP-Server einrichten (mit MAC-Adressenzuordnung)
- DYNDNS einrichten "anhevpn1.dynamischedns.de"
- VPN erzeugen z.B. vpn1anhe
- VPN User anlegen "anhe"
- Tunnelprinzip definieren (L2TP oder L2Sec)
- Verschlüsselungsmethode auswählen (IKE, ISAKMP mit AES256-Schlüssel) und Kennwort setzen

Bei End-to-Site:
Serveradresse: anhevpn1.dynamischedns.de
Accountname: anhe
Kennwort: Kennwort

Bei Site-to-Site:
- WAN Verbindung vom Router2 zum Internet einrichten
- VPN-Verbindungsdaten eintragen
- Router1 (IP) als DHCP-Server eintragen
- DHCP MAC-Zuordnung als Fallback eintragen?

Vielen Dank bis hierher fürs Lesen. Ich hoffe es ist alles verständlich gewesen.

Ist das was ich einrichten möchte mit dem was mir zur Verfügung steht möglich? Könnt Ihr mir meine oben genannten Fragen beantworten?
Ist die Vorgehensweise so ungefähr korrekt? Könnt Ihr eventuell Schritte ergänzen/korrigieren bzw. die "offizielle" Bezeichnung dazu nennen?

Viele Grüße und vielen Dank

André

 

[noodyn]

wenn du schon Cisco Router einsetzt würde ich heute ein VPN mit IPsec aufbauen und nicht mit L2TP.
Desweiteren schreibst du "Das VPN soll immer erreichbar sein, auch wenn eine der "Sites" offline ist." Wie stellst du dir das vor? Wenn der Einwahlpunkt für das VPN nicht da ist, ist er nicht da, dann ist das VPN nicht erreichbar, sonst müsstest du einen Einwahlknoten ausserhalb deines Netzes haben, was keinen Sinn machen würde.
Und zu "Gilt das dann auch für Verbindungen aus dem VPN ins Internet?": ja natürlich. Alles was du über das VPN schickst ist etwas langsamer als ohne.

 

[anhe]

Hallo noodyn,

danke für Deine Antwort.

(...)würde ich heute ein VPN mit IPsec aufbauen und nicht mit L2TP.(...)

OK, danke. IPsec ist also besser als L2TP? Ich dachte L2TP sei das "Tunnelprinzip" und IPSec der Algorithmus?

(...)wenn eine der "Sites" offline ist." Wie stellst du dir das vor? (...)

Ich wollte das so lösen, dass wenn "anhevpn1.dynamischedns.de" nicht erreichbar ist, dann automatisch "anhevpn2.dynamischedns.de" angewählt wird / bzw. manuell ausgewählt werden kann.

Alles was du über das VPN schickst ist etwas langsamer als ohne.

Wenn ein Rechner aus LAN1 www.google.de aufruft, dann muss das doch garnicht übers VPN laufen. Die Route führt doch "nur" vom Rechner (z.B. 192.168.0.5) über den Router (192.168.0.1) zum Standartgateway. Da wäre doch eigentlich gar nichts verschlüsselt oder. Das wäre doch wie beim normalen LAN, oder?

Viele Grüße

André

 

[roedert]

Viele viele Fragen... anbei einige Anhaltspunkte die vielleicht einiges erklären helfen:

- LAN1 und LAN2 sind deiner Beschreibung nach an verschiedenen Orten und unabhängig voneinander, daher hat jedes LAN seinen eigenen IP-Bereich, eigenständigen DHCP-Serevr und eigenständige Internetanbindung mit aus dem Internet erreichbaren VPN-Einwahlpunkt
- auf den mobilen Geräten wirst du also 2 unterschiedliche VPN-Profile für LAN1 und LAN2 haben
- bei Site-2-Site VPN können alle Geräte aus LAN1 mit LAN2 reden und umgekehrt - irgendwelche VPN-Konfiguration ist auf den Geräten selbst nicht mehr nötig
- WLAN kann man auf vielen Geräten auch per Software oder zeitgesteuert ein- und ausschalten - dazu müsste man nicht unbedingt getrennte Geräte haben
- richtig konfiguriert geht nur der Traffic fürs andere LAN übers VPN - Internetverbindung sollten aus beiden LANs jeweils über die eigene Internetverbindung gehen
- Flaschenhals bei der VPN-Verbindung wird bei der Verbindung die Uploadrate des Internetanschlusses sein - das ist leider nicht so eine schöne große Zahl wie zB 16.000 oder 50.000 sondern nur ein Bruchteil davon

Das was du vor hast klingt schon ziemlich umfangreich - du solltest dich auf jeden Fall intensiv mit dem Thema beschäftigen.
Ziel kann es nicht nur sein eine funktionierende Verbindung hinzubekommen, sondern auch zu wissen warum diese funktioniert.

Dazu solltest du die Grundlagen von TCPIP und Routing und die Funktion der grundlegenden Dienste wie DNS, DHCP etc. kennen.
OSI-Schichtenmodell in den Grundlagen ist auch ganz interessant dafür.

WLAN und WPA-Verschlüsselung spielen hierbei erstmal noch gar keine Rolle - ob ein Gerät jetzt in Kabel oder WLAN in LAN 1 oder 2 hängt ist erstmal völlig egal. Aus Netzwerksicht ist LAN und WLAN erstmal nicht zu unterscheiden und völlig transparent.

 

[anhe]

Hallo roedert,

danke Dir für Deine ausführliche Antwort.

(...)
- LAN1 und LAN2 sind deiner Beschreibung nach an verschiedenen Orten und unabhängig voneinander, daher hat jedes LAN seinen eigenen IP-Bereich, eigenständigen DHCP-Serevr und eigenständige Internetanbindung mit aus dem Internet erreichbaren VPN-Einwahlpunkt
- auf den mobilen Geräten wirst du also 2 unterschiedliche VPN-Profile für LAN1 und LAN2 haben(...)

OK, Schade. Ich arbeite bei einer Einrichtung mit mehreren Standorten und melde mich nur bei einem mit dem VPN-Client an und habe direkt Zugriff auf den gesamten IP-Bereich.

- bei Site-2-Site VPN können alle Geräte aus LAN1 mit LAN2 reden und umgekehrt - irgendwelche VPN-Konfiguration ist auf den Geräten selbst nicht mehr nötig

Super!

- richtig konfiguriert geht nur der Traffic fürs andere LAN übers VPN - Internetverbindung sollten aus beiden LANs jeweils über die eigene Internetverbindung gehen
(...)

Das ist dann wahrscheinlich das Routing? Also je nach Ziel-IP ein anderes Gataway?

(...)sondern auch zu wissen warum diese funktioniert.

Deswegen betreibe ich ja diesen ganzen Aufwand. Wenn es zufällig funktioniert, dann habe ich sorge das es unsicher ist, bzw. zu viele redundante Einstellungen gewählt zu haben die sich gegenseitig blockieren. Als ich vor 10 Jahren das erste mal ein WLAN eingerichtet habe, habe ich mich bestimmt auch 2 Wochen abends mit WPA2/WPA/WEP etc. beschäftigt

Danke

André

 

[roedert]

OK, Schade. Ich arbeite bei einer Einrichtung mit mehreren Standorten und melde mich nur bei einem mit dem VPN-Client an und habe direkt Zugriff auf den gesamten IP-Bereich.

Wenn die Site-2-Site VPN richtig eingerichtet ist sollte das auch klappen - jedoch mit schlechterer Performance, da die Daten ja teilweise 2 mal über VPN durch den Internetanschluss müssen.


Du hast also ein VPN 1 und ein VPN 2. In beide kann man mobile "einwählen" und beide sind untereinander per Site-2-Site VPN verbunden.
Wie willst du aber ein Fallback erreichen - wenn VPN 1 weg ist kannst du dich noch in VPN2 in LAN 2 einwählen, LAN 1 wird aber nicht erreichbar sein, da mit VPN1 auch die Site-2-Site-Verbindung weg sein wird.


Da das ganze doch recht nach gewerblichen Umfeld klingt solltest du überlegen ob ein "Consumer-Internetzugang" geeignet ist. Neben der dynamischen IP-Adresse und deutlich geringeren Uploadrate hast du auch noch eine Zwangstrennung nach 24h - alles nicht gerade förderlich für dein Vorhaben und nur mit Zusatzdiensten (DynDNS-Anbieter) und guter Planung (Fenster für Sicherung über VPN darf nicht mit der Zwangstrennung kollidieren) zu umgehen.

 

[anhe]

Hallo nochmal,

danke! Kennst Du eine geeignete Quelle nennen mit der ich mich weiter in die Materie einarbeiten kann (Buch, Paper, Internet). Gerne auch auf Englisch. Bei einer Stichwortsuche im Internet findet sich natürlich immer die allgemeinen Informationen zum VPN wie z.B. bei Wikipedia... Vielleicht suche ich aber auch falsch.

Viele Grüße

André

Edit: Ich habe mir jetzt "VPN - Virtuelle Private Netzwerke: Aufbau und Sicherheit" von Wolfgang Lipp als iBook gekauft.

 

[roedert]

....Kennst Du eine geeignete Quelle nennen mit der ich mich weiter in die Materie einarbeiten kann (Buch, Paper, Internet)....

Gute Frage .. mein Studium ist auch schon reichlich 15 Jahre her. Damals waren die Bücher vom Addison-Wesley-Verlag immer Top. Einfach mal schauen was es so in den online-Buchhandlunegn gibt und welche Bewertungen diese haben....


Wie sieht es denn erstmal mit den Grundlagen aus .. TCPIP, DHCP, DNS, IP-Adresse, Netzmaske, Gateway, OSI-Schichtenmodell ... alles Sachen deren Bedeutung und Funktionsweise du kennst? Das ist erstmal Grundlage um VPN und Routing überhaupt verstehen zu können.


PS: Beitrag #6 hatte ich nochmal ergänzt...
PS2: ...und ein großes Lob - jemand der sich vorher Gedanken macht, und nicht erst fragt wenn diese trotz unzureichender Kenntnisse morgen eine lauffähig Lösung haben muss
...und jemand der trotz der Anonymität eines Internetforums noch gute Umgangsformen wie zB bitte und danke kennt

 

[anhe]

Hallo,

(...)Addison-Wesley-Verlag immer Top. (...)

Das Buch das oben eben noch editiert habe und mir eben im iBookstore gekauft habe ist von Addison-Wesley

TCPIP, DHCP, DNS, IP-Adresse, Netzmaske, Gateway, OSI-Schichtenmodell ... alles Sachen deren Bedeutung und Funktionsweise du kennst? Das ist erstmal Grundlage um VPN und Routing überhaupt verstehen zu können.

Ja, so grob. Die Funktionen die hinter DHCP, DNS, TCP/IP stehen sind mir klar. Netzmaske und Gateway so lalala und das OSI-Schichtenmodell kam mal in einer Vorlesung vor in die ich mich voller Übermut nach Abschluss meines Studiums gesetzt habe. Das ist aber auch schon 10 Jahre her ... Also rudimentäres Halbwissen

Ich denke aber, dass das auch in dem oben beschriebenen Buch vorkommt. Ich habe auch keine Eile. Ich habe aber gerade Urlaub. Daher kann ich mich jetzt damit auseinandersetzen.

Viele Grüße

André

 

[roedert]

Netzmaske und Gateway so lalala

....so lala reicht da aber nicht - das musst du komplett verstanden haben um auch nur irgendwelches Routing verstehen oder gar einrichten zu können.
Und es ist gar nicht wirklich schwer

IP(V4)-Adresse hat 32 bit, Netzmaske sagt wieviel Bit davon Netzadresse (links) und wieviel Hostadresse (rechts) sind.
Alles was den gleiche Netzadressen-Anteil hat kann sich untereinander direkt miteinander unterhalten, um sich zu Adressen mit anderem Netzadressen-Anteil zu unterhalten braucht man einen Router.

Beispiel: 192.168.1.18 Netzmaske 255.255.255.0 oder /24 als andere Schreibweise

Heisst also 24 Bit Netzadresse - also 192.168.1
der Rest ist Hostadresse .. also .18

Noch schöner wirds bei Netzmasken wie 255.255.252.0 - gleiches Prinzip - nur was aufwendiger zu rechnen.
Wenn man sich das alle binär umrechnet ist's ganz einfach zu verstehen

 

[bowman]

wenn du schon Cisco Router einsetzt würde ich heute ein VPN mit IPsec aufbauen und nicht mit L2TP.

...L2TP ist ein Protokoll zum Tunneln von IPSec. Mit IPSec alleine hättest du Schwierigkeiten durch NAT-Router hinduch zu kommen...

 

[roedert]

stimmt .... NAT (Network Address Translation) ... nochwas für die Verständnis-Liste

 

[magheinz]

kurz zur info: sind die router schon gekauft? falls nein, schau dir mal die 800er Baureihe an. Da läuft dann auch IOS als System drauf. mit denen ist dein VPN-Vorhaben eigentlich recht simpel umzusetzen. Theoretisch könntest du mit den Teilen auch ein Fallback z.B. über UMTS oder LTE bauen.
Diese R-Reihe ist dann doch etwas eingeschränkt. Ich wäre mir da nicht sicher ob du so eine Umgebung stabil mit den Teilen zum Laufen bekommst. Früher wurden die Teile übrigens unter dem Namen Linksys verkauft. Nur weil die jetzt Cisco heissen sind das noch lange keine besseren Geräte geworden.

Literatur und Hilfe wären dann die einschlägigen Materialien von Cisco.
Ausserdem gibt es echt gute Leute die dir sowas für relativ wenig Geld umsetzen. Das sollte im gewerblichen Umfeld auch bedacht werden da dein "rumdoktorn" schliesslich mindestens deine Arbeitszeit kostet.

 

[anhe]

Hallo zusammen,

vielen Dank für Eure Beiträge.

(...)Da das ganze doch recht nach gewerblichen Umfeld klingt (...)

Nein, das ganze ist tatsächlich privat. Ganz konkret geht es um das Netz meiner Partnerin und mir (LAN1) und das meiner Eltern (LAN2) Kling ein wenig oversized ist aber wirklich so!

Daher muss ich auch keine Kosten/Nutzabschätzung meiner Arbeitszeit die dafür draufgeht durchführen.

Jetzt bin ich müde und gehe ins Bett

Viele Grüße

André

Edit: Wobei, so oversized ist es eigentlich gar nicht nicht. Ein Großteil der Infrastruktur existiert schon und wird auch entsprechend betrieben. Als NAS verwende ich schon seit 1 1/2 Jahren eine Synology DS411slim auf der unsere Macs mit TM sichern und mit einer Cloud synchronisieren. Dann haben wir die Apple TVs die wir auch schon so lange verwenden. Wenn ich meinen Eltern Urlaubsfotos zeigen will die nicht auf dem Fotostream liegen, muss ich immer das iPad oder das MacBook mitnehmen für Airplay. Das könnte dann entfallen Wirklich neu ist nur das Backup des NAS auf Eines was bei meinen Elterns steht.

Edit2:

(...)...L2TP ist ein Protokoll zum Tunneln von IPSec. (...)

so hatte ich es in einem Vorlesungsskript auch verstanden. Danke, bowman!

 

[anhe]

Hallo magheinz,

auch Dir vielen Dank.

(...)sind die router schon gekauft? (...)

Ja, zumindest der eine Router ist schon bestellt aber noch nicht geliefert. Ich schaue mir die von Dir empfohlenen morgen mal an.

(...)Ausserdem gibt es echt gute Leute die dir sowas für relativ wenig Geld umsetzen.(...)

Ist wie gesagt zum Einen privat und zum Anderen, viel wichtiger, ich habe ernsthaft Spaß daran!

Viele Grüße

André

 

[magheinz]

grade wenn du Spass dran hast sind die 800er viel spannender da halt IOS. Für macuser ist das doch geradezu ein Muss
Das sieht aber finanziell ganz anders aus. Für Privat weiss ich nicht ob das notwendig ist. eventuell kann man da was bei ebay finden.
Bei Neugeräten dürftest du vermutlich einfach eine Null anhängen um den Preis rauszubekommen.

Ansonsten sollte sich das noch mit openwrt-basierten router relativ simpel mit openvpn statt ipsec umsetzen. Das dürfte dann auch eine ähnliche Preisklasse sein.

 

[bowman]

Wirklich neu ist nur das Backup des NAS auf Eines was bei meinen Elterns steht.

...hmmm - ich hoffe, du hast eine wirklich dicke Upload-Bandbreite. Andernfalls wird das eine ziemlich langwierige Angelegenheit, die ausserdem die Nutzbarkeit des 'hochladenden' Internetanschlusses zuverlässig lahm legt. Ich mache zwar auch verschlüsselte Backups auf einen Cloudspeicherdienst, allerdings ist aus den genannten Gründen dabei Bescheidenheit angesagt: Auf dem NAS unterscheide ich im Dateiverzeichnis in allen Hauptkategorien (z.B. Dokumente, Bilder, eigene Videos etc.) zwischen einem Zweig mit *sehr* wichtigen Daten die zusätzlich in die Cloud gebackupt werden und allen anderen (zur Not anderweitig wiederherstellbaren Daten, z.B. Musik oder Filme), die lokal auf extern angeschlossene Platten gesichert werden. So bleibt der Anteil der übers Internet hochzuladenden Daten vergleichsweise gering. Netzwerkbackups über eine dünne Uploadleitung sind keine Freude, der VPN-Tunnel bremst zusätzlich...

 

[roedert]

Naja, nach einem initialen Backup sind ja zum Glück nur noch inkrementelle nötig.
Bei angenommenen 800 kBit/s kann man bei einem Fenster von 5 Stunden (wo die meisten schlafen sollten) grob 1,5 GB übertragen.
Für den "normalen Tageskram" - Bankingprogramm, 3 Briefe etc. reicht das Dicke aus .... für die 1376 Urlaubsfotos nach der Rückkehr ist das schon gut was zu tun

 

[anhe]

Hallo zusammen,

vielen Dank für Eure weiteren Beiträge!

(...)sind die 800er viel spannender da halt IOS. Für macuser ist das doch geradezu ein Muss (...)

ich habe mir die z.B. mal den Cisco 881 angeschaut. Der kostet ja schon mal fast das doppelte des RV042G das ist mir zu viel. Warum ist IOS ein Muss für macuser? Weil es homonym zu iOS ist? Entschuldige, wenn ich nachfrage. So wie ich das verstanden habe handelt es sich bei IOS um einen "Content Filter" ... Die Wahl für den Router fiel übrigens in diesem Thread bei dem mir unter anderem auch bowman und roedert geholfen haben.

Bezüglich des Datenvolumens und der Übertragungsraten zitiere ich ich mal selber aus dem oben verlinkten Thread:

(...), da ich das initiale Backup des NAS ohnehin in einer direkten Verbindung im (physisch) gleichen Netz durchführen würde übers VPN würden dann nur die inkrementellen Backups durchgeführt.

Mir geht es eigentlich bei dem nächtlichen Abgleich des NAS im Wesentlichen um die Verfügbarkeit der TimeMachine Sicherungen. Seit 10.8 führen wir zwar neben der stündlichen TM Sicherungen auf dem NAS auch noch eine tägliche TM Sicherung auf einer externen USB-Festplatte durch, dies ist aber eigentlich nur ein Schutz gegen Hardware-Defekt. Sollte aber unsere Wohnung abbrennen oder ein Einbrecher sehr gründlich arbeiten wären alle Daten (bis auf Dropbox, und iTunes Match) in digitaler Form verloren. Dagegen möchte ich ich absichern. Ich habe mir jetzt aber mal das timemachine.sparsebundle auf dem NAS angeschaut. Da gibt es einen Unterordner "bands" in dem 8MB große Dateien liegen. Ich hoffe die Synology Software ist überhaupt in der Lage so etwas inkrementell zu betrachten.

Ich habe natürlich ein recht umfangreiches Lastenheft/ Wunschliste zusammengestellt. Aber Eins nach dem Anderen. Jetzt muss ich mich erstmal ein wenig in die Materie einlesen.

Eine Frage noch: Kann man den Zeitpunkt der "Zwangstrennung" irgendwie geschickt beeinflussen? Idealerweise unmittelbar vor dem Abgleich der NAS?

Viele Grüße

André

 

[magheinz]

IOS ist das Betriebssystem was cisco auf den großen Kisten fährt. Die 800 sind die kleinsten die das nutzen. Das spannende ist das man somit das gleiche System nutzt wie die ganz großen Router, Firewall und Switche. Je nach Lizenzen kannst du mit den Teilen dann so gut wie alles machen. Das erhöht den Spassfaktor. Die smallbusinessreihe ist halt eher homeuser-geeignet. Die Funktionen die du haben willst sind aber nunmal schon etwas ambitionierter. Das wird auch mit den kleinen Teilen gehen, die Einrichtung wird aber nicht so viel Spass machen. Keine Ahnung ob die Geräte überhaupt einen Konsolenzugang haben.
Die weiteren Einschränkungen wie:
max 50 ACL-Einträge und 30 Portforwardings können beim rumspielen schnell zu wenig sein. Die Tatsache das das Gerät zwar 800Mbps durchs NAT schafft, aber nur 75Mbps durchs VPN sind auch eher zeichen für schwache Hardware wird aber vermutlich beim ADSL-Anschluss weniger stören.
Ich glaube mit einem openwrt-Gerät wärst du besser bedient.