Relativ schneller VPN Server hinter Fritzbox 6490

[usmave]

Auf anraten eröffne ich nun doch einen eigenen thread.

Und zwar habe ich eine fritzbox 6490, diese wird als Modem und Router genutzt. Ebenso für analog Telefon und analog Fax.
Soweit funktioniert alles auch wunderbar, nur ist der VPN Durchsatz sehr bescheiden mit unter 5 mbit.
Meine leitung bietet mir 20 mbit, somit liegen über 75% der möglichen Datenrate flach.

Gibt es eine möglichst einfache Möglichkeit, einen VPN Server an einen der LAN ports der fritzbox anzuschließen, und als Ergebnis von außen via diesem neuen, schnellen VPN aufs gesamte Netzwerk mit allen Freigaben wie bisher auch zuzugreifen?
Wichtig ist der Zugriff von außen via VPN, die Geräte die bisher im Netzwerk sind sollen wie gewohnt weiterlaufen über die fritzbox.

Ich meine ubiquiti hat da recht günstige Router mit hardwareverschlüsselung im Portfolio.
Nur frage ich mich bei den Profigeräten immer, in wie weit ich es als Laie eingerichtet bekomme.
Die fritzbox war easy, aber das ist ne Hausnummer größer.

https://www.amazon.de/Ubiquiti-ER-X-...FYG4NZNGHP6G5N

 

[Sephe]

Ich verstehe noch nicht genau, was hier das Ziel ist:

- Zugriff auf das lokale Netzwerk von außen per VPN?
- Nutzung der Internetverbindung über VPN?


Um welchen Tarif bei welchem Anbieter geht es genau? Die 6490 funktioniert ja nur mit Kabelanschlüssen -> Somit Kabel Deutschland/Vodafone oder Unitymedia.

Welche Geschwindigkeit (Up- UND Download) ist gebucht?

Das Problem wird vermutlich die Upload-Geschwindigkeit des Anschlusses sein - diese ist - i.d.R. bei Kabelanschlüssen nur sehr klein.

Meiner Erfahrung nach sind die VPN-Verbindungen per Fritz!Box gar nicht so langsam - Bei einem VDSL 100 Anschluss, komme ich auf konstante 35-40MBit/s. (Solange es dabei um Boxen aus der xx90-Serie geht).

 

[Masamune2]

Hast du einen Server oder ein Gerät im Netz immer laufen? Ich habe auf meinem Server eine VM mit pfsense aufgesetzt und nutze da den OpenVPN Server. Verschlüsselung ist dank Hardwarebeschleunigung in der CPU sehr schnell.
Es gibt natürlich auch diverse Router die das von Haus aus können, die kosten meistens aber so viel wie ein kleiner NUC mit dem du flexibler wärst.
https://geizhals.de/intel-nuc-kit-nuc7i3bnh-baby-canyon-boxnuc7i3bnh-a1558853.html?hloc=de

Dein Link is übrigens defekt.

 

[Raijin]

Genau genommen sind 20 Mbit/s VPN nicht direkt schnell, sondern eher moderat.

Es kommt u.a. auch darauf an welche VPN-Technologie eingesetzt wird. IPsec kann mit dedizierter Hardware relativ performant laufen, während OpenVPN sehr CPU-hungrig ist. Deswegen schafft zB ein Raspberry PI 3 aktuell nur so ~15 Mbit/s OpenVPN, wenn ich mich recht entsinne. Mein alter PI B schafft dagegen nur so ~8 Mbit/s.

Zum Vergleich: Mein Ubuntu-Server mit i3-2100 schafft 800+ Mbit/s via OpenVPN. Schade nur, dass ich nur VDSL25 habe

Wenn ein PI nicht ausreicht und ein EdgeRouter von Ubiquiti auch nicht (OpenVPN ebenfalls ~15 Mbit/s), muss man entweder auf IPsec mit Hardware Offload setzen (zB ER-X @ ca. 100 Mbit/s) oder man geht eher Richtung Intel NUC und setzt statt vergleichsweise lahmer embedded CPUs eben auf Desktop/Laptop CPUs. Die haben deutlich mehr Dampf, kosten aber auch mehr.


Der Zugriff von außen ist mit allen Varianten möglich - sofern man eine eigene öffentliche IPv4 hat. Statt den VPN-Server im Router nutzt man dann eben einen VPN-Server hinter dem Router und muss dafür lediglich eine (oder mehrere) Portweiterleitung(en) einrichten.

 

[Loopman]

Ist recht einfach. Einfach Portforwarding der entsprechenden Ports (je nach VPN) auf den VPN Server im LAN, fertig.

Zumindest wenn es IPv4 ist. Mit DSLite schwierig, bis unmöglich.

 

[Wilhelm14]

Bei einem VDSL 100 Anschluss, komme ich auf konstante 35-40MBit/s. (Solange es dabei um Boxen aus der xx90-Serie geht).

Habe ich gegenteilige Erfahrungen gemacht. Die 7390 ging bis auf 2 MBit runter, die 7360 kann 10 MBit (VDSL 50/10) ausnutzen. Wo die Grenze ist, kann ich nicht sagen, da es eben kein 100/40 Anschluss ist. Stellt sich natürlich die Frage, wie leistungsfähig ist eine 6490, wie eine 7490?

Und ja, 20 MBit Upload? Was für ein Kabelanschluss ist das? Und wie wird von außen geladen? Per Mobilfunk? Vielleicht schafft das einfach nicht mehr.

VPN läuft auch auf einem NAS, beispielsweise Synology. Dazu im Router Portforwarding auf das NAS machen. https://www.synology.com/de-de/knowledgebase/DSM/help/VPNCenter/vpn_setup

Als recht günstiges Router-Beispiel, der selbst VPN-Server kann, fällt mir Bintec ein: http://www.bintec-elmeg.com/produkte/informationen/informationen/beip-serie-performance/

 

[usmave]

Zur Zeit nutzt die fritzbox fürs vpn ipsec xauth psk, solange es nicht schlechter wird vom Sicherheitsaspekt solls mir recht sein.

Ja, es ist unitymedia mit 400/20mbit ipv4

Für einen "richtigen" Server fehlt mir leider das nötige wissen, deswegen dachte ich eben an einen hardwarebeschleunigten vpn server, den man recht simple mittels Browser einrichten kann.

Habe den Durchsatz mal getestet, mit aktivem vpn sind beim speedtest nicht mehr als 5mbit rausgekommen, ohne natürlich deutlich mehr (mehr als 100 mbit kann mein Handy nicht).
Und es sollte nativ unter Android nutzbar sein, also nach Möglichkeit kein open vpn.

Ja, es wird fast ausschließlich über Mobilfunk bzw mobilgeräte im wlan benutzt.
Wenn das Handy ohne vpn Verbindung zur fritzbox mit 100mbit down im handylimit ist, erscheint es mir doch mehr als unwahrscheinlich, dass dies der Grund für die schlechte vpn Performance der fritzbox ist.

Und es soll eben ein zusätzliches Gerät sein und nicht die fritzbox ersetzen.

 

[Loopman]

Mit nem Handy macht man ja auch keinen Speedtest....

Ansonsten können viele der modernen Router auch problemlos bis zu 100mbit VPN. Die von Asus sind z.B. wohl ganz gut.

 

[Raijin]

Heutzutage gibt es zahlreiche VPN-Lösungen, die nicht viel mehr Wissen voraussetzen als bei einer Fritzbox. Natürlich ist ein Router-/Firewall-OS wie pfSense, EdgeOS und Co deutlich mächtiger und umfangreicher als ein Consumer-Router wie eine Fritzbox, aber zum einen kann man die fortgeschrittenen Funktionen einfach links liegen lassen und zum anderen gibt es Dutzende, wenn nicht sogar Hunderte von Tutorials mit/ohne Videos da draußen, die einen Schritt für Schritt durch die Einrichtung leiten.

Allerdings ist ein bischen Hintergrundwissen natürlich nie verkehrt. Egal auf welcher Plattform, man sollte zumindest versuchen, die einzelnen Einstellungen halbwegs nachzuvollziehen. Auch Tutorials sind nämlich nicht immer fehlerfrei bzw. manchmal sind sie auf ein abweichendes Szenario abgezielt und man müsste den einen oder anderen Schritt individuell anpassen. Simples Beispiel: IP-Adressen und dergleichen. Die muss man auf das eigene Subnetz anpassen, sonst klappt's natürlich nicht.

Nur dann, wenn man zB ein nacktes Linux installiert und alles von Grund auf selbst einrichtet, braucht man sehr viel KnowHow, weil fertige Wizards in einer GUI viele Dinge im Hintergrund erledigen (zB Firewall-Regeln bzw. -Ausnahmen). Das müsste man alles von Hand einrichten und ist für Laien daher auch wenig empfehlenswert und zum Teil sogar hoch riskant.

 

[usmave]

Genau aus dem Grund möchte ich es nicht von Grund auf selbst aufbauen, sondern eben etwas, was ich im Fall selbst anpassen und ändern kann.
Bin zwar nicht ganz blöd, aber das Risiko möchte ich ungern eingehen.

Auf die idee mit dem extra gerät hinter der fritzbox bin ich eben gekommen, da eben auch viel NAS eine vpn Server Einstellung bieten, aber dennoch nicht so schnell sind, wie eben ein Gerät mit hardwarebeschleunigung.

Wäre der ubiquiti dafür geeignet, sprich recht simple per Browser konfigurierbar bzw ohne kommandozeile etc, und mit hardwarebeschleunigung für bessere Performance als die fritzbox?
Mit knapp 55€ sehr humaner Preis.
https://www.amazon.de/Ubiquiti-ER-X...coding=UTF8&psc=1&refRID=DK8MSTXGYJRF09VZQGCS

 

[Loopman]

Auf die idee mit dem extra gerät hinter der fritzbox bin ich eben gekommen, da eben auch viel NAS eine vpn Server Einstellung bieten, aber dennoch nicht so schnell sind, wie eben ein Gerät mit hardwarebeschleunigung.

Wenn du ein halbwegs aktuelles NAS hast, welches VPN kann, dann würde ich das doch verwenden. Mit aktueller Hardware machen die Dinger locker 100mbit VPN - spielend. Es sei denn, es ist ein älteres, extrem günstiges Teil, dann ist die Hardware eventuell doch ein wenig zu schwach.

 

[Wilhelm14]

Habe den Durchsatz mal getestet, mit aktivem vpn sind beim speedtest nicht mehr als 5mbit rausgekommen, ohne natürlich deutlich mehr (mehr als 100 mbit kann mein Handy nicht).

Wie sieht denn der "Speedtest" aus? Du bist mit dem Smartphone per Mobilfunk online. Du verbindest dich von außen mit deinem Heimnetz per VPN. Und dann lädst du was genau? Eine Datei aus deinem Netzwerk aufs Telefon? woher weißt du, dass die Mobilfunkverbindung mehr als 5 MBit schafft?

 

[usmave]

Neben der fritzbox ist kein weitere Router oder NAS oder sonstwas vorhanden.

Ich hatte erst überlegt ein NAS dafür zu missbrauchen, aber habe hier mal vor ein paar Wochen rumgefragt, und selbst ein QNAP 251 hatte nur 20-30 mbit.
Da wäre doch der ubiquiti mit 50 statt 200€ bedeutend günstiger und vor allem auch schneller.

Der speedtest war mittels app als auch per Datentransfer zum/vom pc.
Getestet wurde sowohl per lte als auch per wlan.

Speedtest.net app per wlan ohne vpn 100 mbit
Speedtest.net app per wlan mit von 5mbit

Speedtest.net per lte ohne vpn 25mbit
Speedtest.net per lte mit vpn 5mbit

Beim test auf einen ftp Server kamen identische Werte raus, Limit mit aktivem vpn stets ca 4-5 mbit

 

[Wilhelm14]

Ja ärgerlich. Hätte jetzt von der Bezeichung 6490 auf dieselbe Leistungsfähigkeit wie bei der 7490 geschlossen. Ist dem wohl nicht so. Dass der 55 EUR Ubiquiti Router mehr schafft, wage ich zu bezweifeln. Gibt es da verlässliche Aussagen zu? Ich wäre skeptisch.

 

[usmave]

Er soll wohl zumindest hardwarebeschleunigung besitzen so wie ich das gelesen habe.

 

[Wilhelm14]

Ja! Scheint flott zu sein: https://community.ubnt.com/t5/EdgeMAX/ER-X-IPsec-VPN-Performance/td-p/1700115

Edit: Und ja, die 6490 soll weniger Leistung als die 7490 haben.
https://www.unitymediaforum.de/viewtopic.php?f=90&t=34224&start=20
https://www.ip-phone-forum.de/threads/vpn-durchsatz-6490-7490-gering.288718/
Von AVM gäbe es noch die 6590 oder ganz neu angekündigt die 6591. Wie stark die tatsächlich sind, findet sich aber nirgends auf die Schnelle.
https://www.golem.de/news/fritzbox-...lrouter-laeuft-weniger-heiss-1707-128973.html
https://avm.de/presse/presseinforma...lan-mesh-fuer-reichweite-und-hohe-datenraten/

 

[usmave]

Die neue fritzbox schafft wohl die bisherigen uploadraten von unitymedia, aber was max geht hab ich auch noch nicht gefunden.

Zudem möchte ich keinen Router kaufen, da ab Q1 in bochum Gigabit getestet wird, und eh neue docsis 3.1 Geräte kommen.
Mit dem zusätzlichen ubiquiti wäre ich etwas flexiber und könnte quasi jedes modem vorschalten, dass dann rauskommt von unitymedia.

Also könnte ich mit dem ubiquiti glücklich werden und so vorgehen?
Müsste ich denn dann alle anderen Netzwerkgeräte an eben diesen anschließen, oder können die an der fritzbox bleiben, damit sie von außen zu erreichen sind?

 

[Raijin]

Ich bin ein Fan von Ubiquiti, aber da du explizit die Kommandozeile ausschließt, solltest du eher keinen EdgeRouter kaufen. Die GUI bildet nur einen Teil der Funktionen, die ein ER kann. Es ist daher nicht auszuschließen, dass man auch mal auf die Kommandozeile wechseln muss. Die Community ist aber sehr aktiv und bietet viel Hilfe an. Dennoch sind EdgeRouter eher dem semiprofessionellen Segment zuzuordnen und keineswegs "mit Links" konfiguriert.

 

[usmave]

Sagen wir mal, außer mal eben auf Android was mit adb oder ein paar simple Windowscommands habe ich bisher kaum was mit der kommandozeile zu tun gehabt.

 

[usmave]

Auf Grund aktueller fritzbox Problem (siehe anderer thread von mir), gibt es eine einfache und sichere Möglichkeit mittels vpn auf mein Netzwerk zu hause von außen zuzugreifen?
Ein neues nas mit vpn Server drauf Würde gehen, ist allerdings etwas kostspielig.