LAN-PC-Internet(VPN)-PC-LAN ... VPN Site-to-Site mit PCs statt Routern

[Love Guru]

Hi Forum,

Heute bin ich auf der Suche nach einem etwas flotteren Weg, eine VPN zwischen zwei LANs aufzuziehen, als es die Router können. Dort kommen leider nur Datenraten von gut 1MegaByte/sek aus einem Upload mit 40MBit/s. (Nutzt man FTP kommt die volle Geschwindigkeit ... nur so als info.) Mein Verdacht: die Router-CPUs sind einfach zu schwach (beides FB7490).

Ich habe Zugriff auf zwei extra dafür abgestellte PCs jeweils aktuell mit Win10pro 64bittig via Remotedesktop und der Momentanen VPN-Verbindung bzw. auch via Remote ohne VPN (Portforwarding dafür gibt's, falls VPN mal nicht geht).

Welche Software könnt Ihr mir empfehlen, wenn die OS nicht geändert würden? Was muß man am jeweiligen LAN ändern, damit die PCS sich finden (DMZ) ?


Ich danke euch schon mal für eure glühenden Köpfe.

 

[t-6]

SoftetherVPN wäre hier wohl ein guter Anfang.

bzw. auch via Remote ohne VPN (Portforwarding dafür gibt's, falls VPN mal nicht geht).

Ganz ganz schlechte Idee. RDP gehört mal so gar nicht per Portforwarding ins Internet. Erst recht nicht, wenn man die Quelladressen nicht limitieren kann. Auch nicht wenn der Standard-Port 3389 geändert wurde.

 

[BFF]

Dort kommen leider nur Datenraten von gut 1MegaByte/sek aus einem Upload mit 40MBit/s. (Nutzt man FTP kommt die volle Geschwindigkeit ... nur so als info.) Mein Verdacht: die Router-CPUs sind einfach zu schwach (beides FB7490).

Wieso sind die Router zu schwach, wenn es mit FTP geht und mit dem Unbekannten (Protokoll) nicht?
Den Routern ist es voellig wurscht was innerhalb des Tunnels veranstaltet wird.

Ist Dein Konstrukt zufallig so?

Netzwerk1 <-> Router1 <-> Internet (VPN) <-> (VPN) Internet <-> Router2 <-> Netzwerk2

Was ist denn die "volle Geschwindigkeit" bei FTP und was fuer eine Leitung hast Du bei Dir und dem anderen Netz? Geht FTP wirklich ueber den Tunnel oder nicht doch direkt von Dir zum Internet?

BFF

 

[martinallnet]

Ich vermute er meint direktes FTP, VPN-Verschlüsselung ist auch für viele aktuelle Router noch eine hohe Last, daher kann das schon bremsen.
Besonders das AVM-Zeug ist so vollgestopft mit leistungsfressenden Features, da bleibt nicht viel für das VPN.
Deshalb meide ich auch solche All-in-One-Router und baue sowas getrennt auf, dann funktioniert wenigstens alles ordentlich und mit sinnvoller Performance.
Hier kann schon auf jeder Seite ein Pi3 als VPN-Router ausreichend sein, der sollte genug Power für bis zu 40 Mbit VPN-Durchsatz haben. Also die dann ungefähr umgerechnet 4 - 5 MByte die bei voller Leitungskapazität zur Verfügung stehen, sollte ein Pi wohl schaffen.
Wenn da nicht ohnehin ein Server läuft ist das sonst eine ziemliche Stromverschwendung.

Beim Thema RDP gebe ich recht, das Protokoll hat nichts ungetunnelt im Internet verloren, unverschlüsseltes FTP, Telnet o. ä. übrigens auch nicht!

 

[Raijin]

Prinzipiell geht das natürlich auch mit PCs, aber das Problem ist hier das Betriebssystem. Ein VPN-Server/-Client, der dem VPN auch das lokale Netzwerk zur Verfügung stellen soll, muss auch die Funktion eines Routers übernehmen.

Windows ist als Router denkbar schlecht geeignet. Das bezieht sich im übrigen auch auf Windows Server, trifft aber insbesondere auf Desktop-Windows zu. Der Grund ist Microsoft selbst. Laut Auffassung von Microsoft ist ein Server ein Server und ein Router ein Router, also zwei grundsätzlich separate Geräte. Ganz zu schweigen von Standard-Windows, das in Microsofts Augen weder noch ist. Deswegen sind die Routing- und NAT-Fähigkeiten von Windows arg eingeschränkt. Die rudimentäre Routing-Tabelle ist da schon das höchste der Gefühle. Erweitertes Routing (Policy Based Routing) sucht man in Windows vergeblich und NAT lässt sich auch nur kompliziert einrichten - vor allem nur die absoluten Basics...

Man kann zwar mit einigen Klimmzügen Windows auch als VPN-Gateway nutzen, aber ich rate davon ab, gerade wenn es eine feste Installation werden soll. Statt das VPN in Windows einzurichten könnte man es in einer kleinen Linux-VM realisieren. Linux ist 1000x besser für solche Zwecke geeignet als Windows.

Prinzipiell ist eine weitestgehend permanente VPN-Verbindung jedoch auf einem Gerät, das 24/7 läuft, besser aufgehoben. Da sind wir wieder beim Router, einem NAS, einem Intel NUC oder degleichen.

Im übrigen gibt es sehr wohl Router, die schnelles VPN können. Eine eierlegende Wollmilchsau wie die Fritzbox kann eben von allem etwas, aber nichts (/kaum) etwas davon richtig gut. Dazu zählt eben auch das VPN. Zwischen zwei EdgeRoutern kann man beispielsweise mit IPsec ein VPN mit 60-100 Mbit/s hinbekommen - und das ist nur ein Beispiel. Dedizierte VPN-Gateways / -Router machen VPN weitestgehend in Hardware und somit deutlich flotter als eine 08/15 Fritzbox......

 

[Love Guru]

1. @t-6 RDP … ich hab das jetzt mal an, damit ich wenigtens noch gegenüber was erreiche, wenn ich die jetzige VPN-Verbindung kappe und die andere sich nicht aufbauen läßt bzw. sich beide dann behindern. als Notanker hab ich noch das Handy, dass auf beide Netze per VPN kommt und dann RDP / SMB machen kann, aber ich hätte gerne mit Maus und Keyboard gearbeitet und dabei nen PC verwendet. Klar, ich kann auch nen PC per Handy ins Inet stellen, aber ich wollte die unnötige Kirche im Dorf lassen.

2. @martinallnet Raspi3 … läuft ja definitiv als Software-Router und dass dann unter Linux, wenn ich mal richtig rate. Ist ein Ansatz. Hat es da von Euch bereits getestete oder anderweitig funktionierende oder selbstgebastelte Lösungen irgendwo als Walkthrough im Inet?

3. @Raijin VPN-Gateways … Meint man sowas: (?)
https://shop.omg.de/ubiquiti-networ...MIwPeR0uH_3AIVjp3tCh37UQzZEAQYASABEgLfT_D_BwE
oder ähnliches ?!

… und danke an alle für die Vorschläge.

Ergänzung (22. August 2018)

VPN-Gateway ...

Sophos XG85 rev3 scheint ja richtig gut zu sein, auch Preislich kommt das mit ner Fritzbox mit. Da muß ich glatt mal Euer Urteil erfragen zu ubiquiti oder Sophos oder anderen "fertigen" Lösungen

Sophos XG85 rev3 https://utm-shop.de/utm/utm-hardwar...MIpKLMsOD_3AIVjpztCh145AgTEAQYAyABEgKzHfD_BwE

Ergänzung (22. August 2018)

Wieso sind die Router zu schwach, wenn es mit FTP geht und mit dem Unbekannten (Protokoll) nicht?
Den Routern ist es voellig wurscht was innerhalb des Tunnels veranstaltet wird.

Ist Dein Konstrukt zufallig so?

Netzwerk1 <-> Router1 <-> Internet (VPN) <-> (VPN) Internet <-> Router2 <-> Netzwerk2

Was ist denn die "volle Geschwindigkeit" bei FTP und was fuer eine Leitung hast Du bei Dir und dem anderen Netz? Geht FTP wirklich ueber den Tunnel oder nicht doch direkt von Dir zum Internet?

BFF

aktuell nutze ich Site-to-site-VPN mittels zweier Fritzboxen 7490, einmal an einem 10/50er DSL und einmal an einem 40/100er DSL. bei Stino FTP am Tunnel vorbei kommt auch die Volle Geschwindigkeit des 40er Uploads am 50er Download an. Geht man jedoch durch den Tunnel und nutzt einfach nur \\Server\Freigabe (meintwegen auch als Netzlaufwerk), dann schafft dieses Konstrukt max. die oben erwähnten Speeds. Daher kann es hier nur eine schwächelnde Router-CPU sein, die mein VPN ausbremst.

 

[Lawnmower]

Die Fritzboxen haben in der Tat keine geeignete CPU für VPN Verkehr bzw die Verschlüsselung davon. Das ist aber bei jedem regulären Consumergerät so.
FTP belastet die CPU der Router überhaupt nicht und dürfte die schnellste Möglichkeit sein Daten hoch- oder runterzuladen gegenüber SMB Freigabe.

Aber man könnte hinter die Fritzboxen dedizierte VPN Endpunkte installieren und entsprechende Port Forwardings bei den Fritzboxen dafür konfigurieren.. Da solche UTM Lösungen eher ein bisschen teuer sind und auch funktionismässig total übertrieben (weil ja die Fritzbox vorne schon alles regelt), würde es sich anbieten 2 Mini PCs mit Atom CPUs hinzustellen die AES-NI unterstützen. Wichtig ist das AES-NI, wieviel Takt oder welche CPU die haben ist sekundär und eher unwichtig - den so werden die ohne Probleme mehrere 100 Mbit/s AES verschlüsselten VPN Traffic durchbringen (ohne AES-NI bringt man selbst fette CPUs an ihre Grenze).
Als OS würde sich z.B. OpenSense oder pfSense anbieten (keine Kosten, einfache Installation per USB Bootstick, komplett managbar per Webinterface oder/und Konsole), wichtig ist die Hardwarebeschleunigung dann zu aktivieren sonst rechnet es immer über die lahme CPU. Du könntest Dir auch überlegen die Fritzboxen komplett damit zu ersetzen falls Du nicht auf die angewiesen bist (dann bräuchte die Hardware aber 2 RJ45 Ports, 1 für WAN und 1 für LAN).

Windows ist leider denkbar ungeeignet für das Vorhaben.
Sofern Du die VPN Verbindung nicht andauerend brauchst und nur 1 Client auf einen anderen Client zugreifen muss, würde sich allenfalls reine softwarebasierte Lösungen reichen (evtl. würds ja Teamviewer schon tun?).

 

[Raijin]

Sophos und Co sind u.a. für solche Zwecke gedacht, ja. EdgeRouter können das wie gesagt auch, aber die GUI ist doch eher rudimentär und man muss sich mehr mit der Materie auseinandersetzen. Dafür kostet zB ein ER-X auch nur 50€ und schafft mit IPsec so ca. 60-80 Mbit/s, während der ER-Lite bis zu 100 Mbit/s schafft (aber doppelt so teuer ist). Der neuere ER-4 wird noch mehr schaffen, kostet aber auch gleich wieder 150-200€ und dann kann man gleich Sophos, o.ä. oder gar Richtung Intel NUC oder vergleichbare Mini-PCs mit pfSense gehen wie von @Lawnmower vorgeschlagen.
Eine Sophos-Box ist im Prinzip nichts anderes als ein solcher Mini-PC mit dem Sophos Betriebssystem.


Übrigens: Ein Raspberry PI ist wiederum zu klein für schnelles VPN. Da wird man kaum schneller sein als mit einem 08/15 Router, weil auch die PI-CPU eben zu wenig Dampf hat und keine dedizierte Hardware für die Verschlüsselung hat. VPN-Gateways haben in der Regel Crypto-Chips, die dafür zuständig sind, und ein Mini-PC hat entsprechend eine größere CPU (zB Atom) und optional eben auch ein AES-NI-Modul zum Ver-/Entschlüsseln.

Rein vom Preis her gesehen ist der ER-X für ~50€ aber kaum zu schlagen, wenn man denn mit der Konfiguration klarkommt und ~60 Mbit/s ausreichen.

 

[FaDam]

Hat mal wer probiert,
was 2 Raspberrys, von mir aus auch Banana Pi oder Panda etc,
mit OPENvpn für einen Durchsatz schaffen?

Das würde mich doch interessieren.

Die nächste Stufe wäre dann OPENwrt oder tomato etc. auf dem Berry/Pi/Banana Fruchtcocktail Board der Wahl.

 

[Raijin]

Beim Raspberry PI 3 habe ich das bisher noch nicht getestet, aber Berichten zufolge sind wohl um die 30 Mbit/s mit OpenVPN machbar, was nicht heißt, dass das out-of-the-box so ist. PI1 und 2 liegen irgendwo bei ~10 bzw. 20 Mbit/s.

 

[martinallnet]

Gemessen an der durchschnittlichen Leistung von VDSL 100 ist ein Pi ausreichend, bei mir kommt dauerhaft die durchschnittlich zugesicherte Datenrate am Telekomanschluss an, die liegt um die 30 Mbit.
Bei Glasfaser 100 wird es dann schon eng.
Habe da aber auch keine Praxiserfahrung, das macht bei mir ein HP Microserver.
Aber der hat theoretisch eine ausreichende Performance, wobei der Edgerouter X auch eine gute Option ist, wenn man nicht OpenVPN nutzt.

 

[FaDam]

Dann wäre die PI Lösung billig und gut.

Keine Profi Lösung. Aber Zukunftssicher, da Updates garantiert.
Ich steh total auf Updates garantiert.

 

[Raijin]

Zukunftssicher ist heutzutage leider gar nichts. Außerdem liegt das im Auge des Betrachters. Wenn der PI die aktuellen Anforderungen gerade so erfüllt, dann ist er mitnichten für die Zukunft gewappnet. Heute mögen 20-30 Mbit/s ausreichend sein, morgen flattert ein Flyer des örtlichen Glasfaseranbieters ins Haus und übermorgen ist der PI eben doch zu lahm. Garantierte Updates beziehen sich schließlich in der Regel nur auf Bugfixes, o.ä. aber an der Leistung kann sich gar nicht viel tun, weil die Hardware ja nicht mitupgedatet (lol) wird.

 

[FaDam]

Ich schrieb ja nur Updates garantiert.
Von Upgrades war nie die rede.

Das der Pi nicht schneller wird ist klar, aber ich kaufe heute eine Lösung. Die Lösung ist nicht proprietär und ein Ausfall durch Inkompatibilität ist gering.

Geräte zu entsorgen, die eingetlich noch ausreichen aber durch einen Versionssprung, bekannt gewordene Exploits ohne Patch etc. unbrauchbar geworden sind ist doch Alltag bei Hardware.

 

[Love Guru]

Mächtig was los hier, da scheint doch mehr als nur mein Interesse geweckt worden zu sein.

Bezüglich der Lösungsvorschläge habe ich mich mal in meinem Zoo nach AES-NI bei den CPUs umgesehen: als meine Sammlung an Bloomfield und Lynnfield und Harpertown kann dafür nicht herhalten und darf aufs Altenteil. Erst bei meinen Sandy-Bridge Xeons steht davon was im Datenblatt. Allerdings hatte ich nicht vor, zwei doch recht fette Dual Xeons nur fürs VPN hinzustellen (ich kann die PCs ja schlecht halbieren).

Wenn allerdings so ein i7-920 auch so reichen sollte, dann interessiert mich mal die Struktur im Netz A und B, wenn ich bei den FBI als Internetrouter bleiben will und "dahinter" die jeweiligen VPN-Zugangspunkte herstelle. Wird der jeweilige PC im LAN dann zum zweiten DNS? Klappt Opensense oder PFsense auch mit dieser Hardware? Hilft eine spezielle Graka bei der Verschlüsselung? Hab hier noch einige Quadro K2000 und auch sonst nVidias liegen.

OpenSense und PFsense hören sich für mich aufgrund der Möglichkeiten, die erwähnt wurden (siehe Lawnmowers Post).

Die FBs zu ersetzen, würde mich vor die Frage stellen, woher ich entsprechende DSL-Modems bekomme und was die kosten sollen ... bei kurz recherchierten Preisen von 80€ aufwärts bin ich dann doch schnell bei ner Lösung, wo ich die FBs behalte (alleine schon wegen des WLANs) und dahinter mit den VPN-Zugangspunkten arbeite. So kann man unabhängig von dem VPN ein normales LAN an beiden Enden betreiben und bei Bedarf auf Crypto schalten.

Soweit finde ich es toll, dass man hier von euch vieles erfährt und ihr auch um Ecken denkt, die ich noch gar nicht gesehen habe.

LG

 

[Lawnmower]

Grakas nützen nix in diesem Fall.

Ein i7-920 reicht dicke, mit dem könntest Du auch problemlos 1 Gbit/s verschlüsselten VPN Traffic produzieren. Leider ist das eine kleine Heizung und wird wohl verhältnismässig teuer bei einem 24/7 Betrieb.
Zum Vergleich - so ein Mini PC würde bereits reichen um auf eine ordentliche Leistung zu kommen ohne die Stromrechnung allzu strapazieren und wäre passiv gekühlt (also kein Lärm): https://geizhals.de/zotac-zbox-ci327-nano-zbox-ci327nano-be-a1605469.html?hloc=at&hloc=de
Müsstest bloss noch RAM reinpacken, pfSense/openSense starten m.W.n. auch direkt von einem USB Stick (ansonsten kostet eine 64 GB SSD ja auch nix mehr). 2 RJ45 Ports hätte das Ding auch (müsstest aber noch final abklären ob die genannten Lösungen mit den 2 NICS umgehen können, manche haben scheins Probleme wenn die von Realtek sind).

Alternativ könntest Du die Fritzboxen als reine Modems in Betrieb verwenden (ob das geht und mit WLAN AP weiss ich aber gerade nicht) so dass Firewall und Routing das neue Gerät macht.

 

[Raijin]

Alte Hardware recyceln zu wollen ist zwar abfalltechnisch sehr löblich, aber energiepolitisch weniger. Ältere CPUs neigen eben dazu, deutlich mehr Strom zu verbrauchen und wenn sie dann auch noch unnötig viel Leistung haben, ist es doppelt unsinnig. Alte CPU impliziert zudem auch altes Mainboard, etc. und die Chancen stehen gut, dass auch der Rest der Hardware somit vergleichsweise viel verbraucht. Unterm Strich hat man sich mit der Wiederverwertung zwar die Anschaffungskosten neuer Hardware gespart, wird aber mit dem erhöhten Stromverbrauch mit der Zeit aufholen...

Gerade bei 24/7 Geräten sollte man dann doch eher zu neuer Hardware greifen, wie zB den von @Lawnmower vorgeschlagenen Zotac Mini-PC, der zudem sehr bezahlbar aussieht - was natürlich auf dein Budget ankommt.