VPN 2 Standorte

[domii666]

Hallo,

suche für privat eine funktionierende VPN Lösung für die koppelung 2er Haushalte(meiner und der meiner Eltern). Aktuell hab ich 2 Fritzboxen(7590) gekoppelt, leider nicht gerade performant, max 10mbit/s. Haben Telekom VDSL 100, an beiden Standorten also Upload 40mbit/s, dies würde ich gerne ausnutzen.

Was kann man hierzu empfehlen?

Grüße Dominik

 

[Matthew Sobol]

https://www.draytek.de/vigor2762-serie.html

 

[nitech]

Hast du mit speedtest auf beiden Seiten kontrolliert ob auch die 40Mbit/s ankommen?
mfg

 

[Matthew Sobol]

der upload kommt nicht an, sondern geht von dannen

 

[h00bi]

2x OpenVPN und Verschlüsselung so wählen dass die Hardware den Algorithmus beherrscht. Dann sind 40Mbit/s in beide Richtungen machbar wenn sonst nix auf den Leitungen läuft.
Was hast du an Hardware verfügbar?

 

[gaym0r]

Was hast du an Hardware verfügbar?

"Aktuell hab ich 2 Fritzboxen(7590)"

 

[domii666]

laut Speedtest 38-45mbit/s an beiden Standorten.

 

[Raijin]

@gaym0r : Ich denke @h00bi meinte was sonst noch an Hardware verfügbar ist

Wie dem auch sei, OpenVPN ist relativ CPU-lastig, weil es leider immer noch Single-Threaded arbeitet und die Verschlüsselung nur bedingt auf externe Hardware ausgelagert werden kann. Das heißt für ein VPN jenseits der ~10-20 Mbit/s, die man mit 08/15 Routern erreichen kann, wird eine potentere CPU benötigt. Ein aktueller PI kann so ca. 30 Mbit/s mit OpenVPN schaffen, darüber hinaus kann man dann gleich in Richtung Intel NUC o.ä. gehen. Wenn man bereits Zugriff auf einen bzw. dann natürlich zwei PI3 hat, kann man es durchaus damit versuchen ob die gebotene Leistung reicht.

Mit IPsec wie es auch die Fritzbox verwendet ist die CPU nicht ganz so entscheidend, weil eine adäquate VPN-Firewall die rechenintensive Ver- bzw. Entschlüsselung einfacher auf Crypto-Hardware auslagern kann. Dadurch sind auch bei vergleichsweise schwacher Hardware schnellere VPNs möglich. So schafft beispielsweise ein EdgeRouter-X für 50€ via IPsec in etwa 60-100 Mbit/s.

 

[Bagbag]

Schau dir mal WireGuard an. Auf beide Seiten ein Raspberry Pi und du hast deine 40 Mbit/s.

Erstbeste Anleitung über Google (ungetestet): https://github.com/adrianmihalko/raspberrypiwireguard

 

[brainDotExe]

Im Endeffekt wird dir jetzt jeder die Lösung empfehlen, mit welcher er sich am besten auskennt.
Bei mir wären das 2 MikroTik hEx für jeweils ca. 50€.

Aber im Endeffekt musst du mit der Lösung klarkommen.
Trivial ist es im (semi-)Profi Bereich nie.
Es muss größtenteils manuell konfiguriert werden und es gibt keine KlickiBunti Weboberfläche mit Assistenten.

 

[domii666]

konfiguration wäre kein Problem. Ich nutze beruflich die Produkte von Fortinet. Ist aber für Privat viel viel zu teuer.

aber sollte natürlich was sein wo stabil läuft.

 

[domii666]

theoretisch würde es mir schon reichen wenn die PC's an Standort2 zu mir schneller Backup machen würden. Weiß jetzt natürlich nicht wie das mit Veeam möglich ist mit der "Free" Lizenz. Sonst reicht die Übertragungsrate der Fritzbox aus. Später ist noch geplant eine 2. NAS als Backupnas von meiner zu meinen Eltern zu stellen. Hier könnte man ja dann OpenVPN von Synology nutzen.

 

[Raijin]

theoretisch würde es mir schon reichen wenn die PC's an Standort2 zu mir schneller Backup machen würden.

Theoretisch würde dann auch ein halbwegs performanter VPN-Server bei dir ausreichen, weil sich die PCs durchaus auch selbst als VPN-Client einwählen können, um dann das Backup zu machen. Jeweils ein dediziertes VPN-Gateway auf beiden Seiten ist nur dann notwendig bzw. angeraten, wenn man auch wirklich von einem Netzwerk das jeweils andere komplett erreichen will. Soll's nur eine Punkt-zu-Punkt-Verbindung sein, reicht ein Server und ein paar individuelle Clients.

Wie @brainDotExe schon gesagt hat wird dir hier so ziemlich jeder eine andere Lösung bzw. andere Geräte vorschlagen. Ich persönlich bin privat wie beruflich zB auf EdgeRoutern unterwegs, kann aber MikroTik wie von @brainDotExe vorgeschlagen ebenfalls unterstützen. Bei den Modellen im speziellen bin ich jedoch raus.

Weitere Alternativen wären dann OpenVPN, IPsec oder Wireguard auf einem Mini-PC ausreichender Leistung. Das kann ein PI3 sein, darf dann aber auch gerne wie bereits erwähnt in Richtung Intel NUC, o.ä. gehen. Auch gibt es zahlreiche fertige Geräte mit pfSense, Sophos UTM und dergleichen, die sich ebenfalls dafür eignen.

Am Ende ist es eine Frage des Budgets und dem eigenen KnowHow und/oder Willen, sich in etwas Neues einzuarbeiten.