Fritzbox als Modem, Asus Router für VPN und DECT Telefone verbinden

[h00bi]

Ist es möglich, die Fritzboxen alle in einen Bridge Modus zu setzen

Nein, das kann die FB nicht. Keine davon. Es etsteht dabei immer eine Routerkaskade.
Lass dir vom Kabelanbieter ein Modem geben welches es kann. DSL Modems sind ja kein Problem.

Mal ein paar Denkansätze:
Braucht ihr zwingend ein Site-2-Site VPN? Warum?
Wie macht ihr das aktuell ohne Site-2-Site VPN?

Dein Chef will vermutlich einfach nur die 3 Standorte "richtig vernetzt haben".
Das ist in den meisten Fällen aber völlig unnötig das gleich mit einem Site-2-Site VPN erschlagen zu wollen. Das Ding ist ja kein Selbstläufer, da muss auch jemand da sein der Ahnung von Routing und Netztechnik hat.

Fang komplett von vorne an und zwar mit dem Ziel was erreicht werden soll. Dann lässt du dir dafür passende Lösungen geben/vorschlagen.

Ich habe halt die Genehmigung und das Budget für die Asus Router bekommen, dass war schon schwierig genug.

Primär war das ein Fehler sich das überhaupt genehmigen zu lassen.

 

[skillwilde]

@h00bi Aktuell besteht eine VPN Verbindung durch MyFritz. Diese VPN wird zum einbuchen und ausbuchen von Waren in verschiedenen Standorten benötigt. Aktuell dauert das ausbuchen durch die langsame Verbindung ca. 2 Minuten pro Produkt.
Die VPN greift immer auf Standort A zu und ruft dort die Datenbank mit den eingebuchten Waren für jeden entsprechenden Standort ab.
Die WaWi Firma hatte uns damals die Fritzbox Lösung angepriesen und wir haben diese dann einrichten lassen, da alles aus einer Hand in der Regel besser ist.

Das war aber bereits ein Wunder, dass es überhaupt genehmigt wurde, da mein Chef sagt, es läuft ja also ist eine Investition uninteressant.

 

[corvus]

@skillwilde Etwas teurer wird das schon, Lizenzkosten müssen auch noch eingerechnet werden.
Die Einrichtung der Hauptfirewall veranschlagt schon etwas mehr Zeit, wenn man sich mit denen noch nicht auskennt.
Die Sophos RED für die Außenstellen brauchen aber keine extra Lizenzen (nur Network Protection am Hauptstandort) und sind sehr schnell eingerichtet.

Dein Chef hat aber leider wirklich das Problem, das IT nix kosten darf und solange alles funktioniert alles prima ist.
Generell wären das eher 1600€ Hardware+ Lizenzen (für eine SG125 mit drei Jahren Nework Protection und DSL Modul 1100€ und zwei Sophos RED 15 (je so 250€)). Und natürlich noch Arbeitszeit, wenn jmd. beauftragt wird.

Also wenn das überhaupt interessant ist, würde ich durchaus 2000€ Budget einplanen.

Wobei direkter Datenbankzugriff über Tunnel immer nicht so der Bringer ist, normal verwendet man bei sowas Terminalserver. VPN über die Fritzen ist da definitiv nicht performant genug.

 

[skillwilde]

@corvus Aktuell glaube ich nicht, dass ich solche Kosten genehmigt bekommen kann.
Leider ist mein Chef so, da gibt es noch einige krassere Beispiele, die ich nennen könnte, aber dann würde das hier etwas ausarten, aber da er Chef und ich Angestellter kann man da nichts dran ändern.

Die Lösung mit dem Terminalserver liest sich erstmal relativ gut, aber davon habe ich ehrlich gesagt keine Ahnung und könnte den Aufwand nicht einschätzen bzw. die Möglichkeit eines Terminalservers in unserer Infrastruktur.
Wie würden sich da die Kosten belaufen?

 

[h00bi]

da mein Chef sagt, es läuft ja also ist eine Investition uninteressant.

Dann lass die Finger davon. Sollen sich die Mitarbeiter beim Chef beschweren dass es langsam und scheisse ist.

Verzeih mir wenn ich das so sage, aber du versuchst grade Schei*e mit anderer Schei*e zu kitten.

Die VPN greift immer auf Standort A zu

Dann brauchst du auch kein Site-2-Site VPN.
Ein Softclient auf den externen Maschinen würde reichen. Dazu ein VPN Server in der Zentrale.
Also keinen Notwendigkeit für 3 neue VPN Router. Lieber einen VPN Router mit ordentlichem VPN Durchsatz.

 

[corvus]

Die Lösung mit dem Terminalserver liest sich erstmal relativ gut, aber davon habe ich ehrlich gesagt keine Ahnung und könnte den Aufwand nicht einschätzen bzw. die Möglichkeit eines Terminalservers in unserer Infrastruktur.
Wie würden sich da die Kosten belaufen?

Ich glaub das vergisst in dem Fall einfach, nie und nimmer kauft und lizensiert der nen Terminalserver, da hängt auch zuviel mit dran.

 

[skillwilde]

@h00bi Natürlich ist das keine feine Lösung, dass ist mir auch bewusst, aber die Lösung hätte meinem Chef gepasst und hätte zum aktuellen Stand der Infrastruktur gepasst. Ich würde z. B. auch gerne auf ordentliche Access Points setzen, aber mein Chef präferiert die 15€ Teile, weil die es ja auch tun.

Wie genau würde man das dann realisieren ? Könntest du mir da etwas empfehlen?

@corvus Da wirst du wohl Recht haben, wenn sich Aufwand und Kosten ebenfalls bei 2000€ bzw mehr einpendeln.

 

[h00bi]

Wie viele Clients sind das, die eine Verbindung zu Standort A brauchen?
Wie viele werden das in 2 Jahren sein?

 

[skillwilde]

@h00bi Aktuell befinden sich 3 Clients an Standort B, 4 Clients an Standort C und 6 an Standort A welche (nicht alle zum gleichen Zeitpunkt) Zugriff auf den PC/Server benötigen.

Eine 2 Jahres Prognose ist schwierig zu treffen. Ich denke ich würde mit jeder Vermutung falsch liegen. Wenn ich schätzen müsste würde ich sagen 5 Standorte mit jeweils 4-15 Clients, aber so weit wird bei uns nicht geplant, auch wenn sich das wieder etwas komisch anhört.

 

[gaym0r]

Primär war das ein Fehler sich das überhaupt genehmigen zu lassen.

Jetzt wirds echt lächerlich.

Ja, du bist vielleicht irgendein Übermensch, der seinem Chef alles aus seinen Rippen leiern kann, aber es gibt auch andere Chefs.

 

[Nizakh]

@gaym0r Da habe ich wohl nicht ausreichend recherchiert. Habe die Beiträge entsprechend überarbeitet. OpenVPN oder IPSec via StrongSwan sind dann die Alternativen.

 

[snaxilian]

Wie hast du denn fest gestellt, dass die VPN-Tunnel zwischen den Fritzboxen nur um die 900 kbit/s schaffen? Ich würde hier zuerst wirklich mal den Durchsatz testen.
1) Speedtests an den einzelnen Standorten/Anschlüssen um auszuschließen, dass es ein Problem mit der Internetanbindung ist
2) VPN-Performance messen. Dazu bietet sich wunderbar das schöne Tool iperf3 an, das gibt es auch für Windows. Ich würde eher so um die 5 MBit/s erwarten.

Kommt da wirklich nicht mehr an, kann man über eine andere Lösung nachdenken. Kommt da aber ausreichend Durchsatz an liegt der Fehler im OSI-Modell ein paar Schichten höher, sprich lahme Anwendung.

Bei den Consumer-Routern wirst den VPN-Server wohl nur am WAN-Port lauschen lassen können... Also Fritzbox so lassen wie sie ist, Telefone bleiben ebenso an der Fritzbox. Die ASUS-Kisten schließt du mit dem WAN-Port an LAN1 der FB an und richtest die ASUS-Kisten jeweils als exposed host an. Dann musst natürlich DHCP & DNS der bestehenden internen Netze im ASUS einrichten und alle Endgeräte, Server etc an den Asus hängen. Zusätzlich musst die Fritzbox intern in ein neues Netz packen, was nur als Transfernetz zwischen Fritzbox und Asus dient.

Standort A: WAN <-> AVM-WAN - AVM-LAN (10.0.1.1/24) <-> Asus-WAN (10.0.1.2/24) - Asus-LAN (192.168.1.1) <-> internes Netz Standort A
Standort B: WAN <-> AVM-WAN - AVM-LAN (10.0.2.1/24) <-> Asus-WAN (10.0.2.2/24) - Asus-LAN (192.168.2.1) <-> internes Netz Standort B
Standort C: WAN <-> AVM-WAN - AVM-LAN (10.0.3.1/24) <-> Asus-WAN (10.0.3.2/24) - Asus-LAN (192.168.3.1) <-> internes Netz Standort C

Die Asus-Dinger bekommen am WAN-Anschluss jeweils die AVMs als default gw gesetzt und dann baust jeweils auf den Asus Dingern site-to-site VPNs zwischen A-B und A-C auf, Routen setzen, fertig.

 

[skillwilde]

@snaxilian Ich habe mich wohl im Eingangspost verschrieben, gemeint waren eigentlich 400-900 KB/s. Getestet wurde das mit Downloads und Uploads an verschiedenen Standorten über Netzlaufwerk -> 500mb Datei herunter und wieder hochgeladen.
Laut Dr. Google wurde die Problematik mit den Fritzboxen aber auch oft beschrieben, weil die CPUs wohl nicht schnell genug sind und limitieren. Der Asus Router hätte einen 1,8Ghz Dual Core und soll laut Tests die 250 Mbit gut erreichen, daher hatte ich diesen Router auch ausgesucht.
Ich denke mal ich sollte dann bei der Lösung an der Fritzbox alles deaktivieren wie Firewall, DHCP etc. und über den Asus Router laufen lassen?

 

[martinallnet]

Meine Erfahrung mit Asus ist eher um die 30 Mbit, zumindest bei einem AC68U.
Diese Router sind für den Zweck schlicht nicht geeignet, zudem wird hier eher der Upload der Anschlüsse begrenzen, da könnten die 30 Mbit gerade so reichen, haben aber keine Zukunftsreserve mehr.
Auch habe ich nicht getestet, wie es sich mit mehreren Verbindungen gleichzeitig verhält, das ist für den VPN-Server/Client noch mal eine ganz andere und höhere Last.
Da ist die Raspi-Lösung mit Wireguard potentiell überlegen und für den Einsatzbereich genauso geeignet/ungeeignet wie die Fritzbox oder die Asus-Geräte.
Alles nicht optimal, für den Produktivbereich gibt es halt ganz andere Hardware in anderen Preisklassen.

Eventuell auch eine Option und schon im Semi-Pro-Bereich:
https://mikrotik.com/product/RB750Gr3

Habe damit aber keine Praxiserfahrung, sollte aber locker mit dem Asus und der FritzBox mithalten können.

Im Zweifel sogar mit WLAN verfügbar, kann dann gleichzeitig als AP genutzt werden:
https://mikrotik.com/product/hap_ac2

 

[snaxilian]

SMB/Cifs über WAN ist denkbar ungeeignet zumal da noch zig andere Dinge reinspielen. Ich erwähnte iperf nicht grundlos, da dort eben der Overhead ab Layer 4 aufwärts minimals gehalten wird und man so den realen Durchsatz deutlich besser testen kann als noch den nicht beeinflussbaren Overhead irgendwelcher Anwendungen. Vermutlich würde ein simpler Webserver, der eine Testdatei bereit stellt, bessere Werte liefern als ein SMB/Cifs Share.
Ich weiß ja nicht, wie du recherchiert hast, ich finde zur 7530 als auch 6490 Tests wo man von ~5 MBit/s VPN Durchsatz liest. Da jeder Test aber nicht beeinflussbare Kriterien hat wie z.B. die eigene Internetanbindung sollte man so etwas immer mit Vorsicht genießen und selbst evaluieren, nicht beeinflussbare Faktoren wo möglich eliminieren und Fakten schaffen.
Der reine CPU-Takt ist nicht aussagefähig. OpenVPN als Beispiel ist nicht multithread-fähig, eine lahme CPU, die den AES(-NI) Befehlssatz unterstützt schlägt wiederum eine highend-super-duper-CPU die dies nicht hat. Gehen wir aber mal davon aus, dass die Werte der Tests passen so wurde in der Regel ja nur ein Tunnel getestet. Du hast an Standort A ja bereits zwei. Was machst du dann wenn weitere Standorte dazu kommen sollen?

Die "Firewall" der Fritzboxen ist sowieso aus bzw. irrelevant wenn du die Asus Dinger als exposed host konfigurierst da damit ja alle eingehenden Verbindungen zum Asus gelangen. Ja, DHCP an der Fritzbox ebenso aus wenn du die WAN-IPs der Asus Dinger statisch konfigurierst oder eben DHCP an mit festen leases.

edit: @martinallnet Den erstbesten Asus mit dualcore und 1,8GHz den ich finde ist der rt-ac86u und der schafft zumindest bei einer Verbindung mit VPN ein bisschen mehr als die 30 MBit aber ja ich denke auch, dass es anders aus sieht bei mehreren Tunneln...

 

[omavoss]

@skillwilde:
An Deiner Stelle würde ich schleunigst die Firma wechseln … ;-)

Wenn Dein Chef nicht deutlich mehr Geld in die Hand nimmt für die von ihm gewünschte IT-Infrastruktur, die dann auch professionell gemanagt wird, setzt er sich und seine Mitarbeiter durch das Gefrickel Risiken aus, die bis zur Insolvenz führen können. Eine Insolvenzversicherung ist um Größenordnungen teurer als das was bisher im Hinblick auf IT-Infrastruktur genutzt wurde und nun durch Billig-Teile erweitert werden soll. Schon allein der Verlust von Kunden wegen langsamer und nicht sicherer Datenverbindungen kann das Geschäft irreversibel schädigen, denn die Konkurrenz schläft nicht!

 

[skillwilde]

@martinallnet 30 Mbit wären tatsächlich nicht optimal wenn mehrere Verbindungen bestehen. Der Mikrotik sieht aus wie der USG und kostet auch ähnlich viel, beim USG wird ebenfalls von niedrigem Datendurchsatz gesprochen.

@snaxilian 5Mbit würden aber doch die 400-900 Kb/s wiederspiegeln wenn ich mich jetzt gerade nicht komplett täusche und das reicht leider überhaupt nicht aus.
Das OPENVPN nicht multithread fähig ist wusste ich jetzt noch nicht, würde aber erklären wieso der Asus Router auf hohen Single Core Speed setzt. Die Tunnel werden aber ja in der Regel nicht gleichzeitig befüttert, daher sollte der Engpass erstmal kein Problem darstellen, ich kann aber verstehen, wieso das zum Problem werden könnte, da der Router nicht die entsprechenden Reserven bietet, besonders wenn dieser wirklich doch nur 30 Mbit schafft.

Gibt es denn eine alternative Lösung die du empfehlen könntest ?

 

[martinallnet]

Rein aus der Sicht der Performance wäre die Raspi-Lösung mit Wireguard am besten geeignet.

 

[skillwilde]

@omavoss das mag schon sein, aber als Angestellter hat man nichts zu melden und ist immer Schuld. Den Arbeitsplatz zu wechseln halte ich auch für eine etwas überzogene Reaktion auf die aktuelle Situation.
Man sollte sich immer vor Augen halten, dass es an anderen Arbeitsstellen auch schlimmer sein kann.

@martinallnet wie schwierig gestaltet sich diese Lösung? Ich kenne mich absolut nicht mit dem Raspberry und Linux aus.

 

[martinallnet]

An sich ist Wireguard recht simpel, gibt es Tutorials im Internet dazu.