VPN: FritzBox, OpenVPN oder Wireguard

[shirocko]

Hallo zusammen,

ich bin gerade dabei einen VPN Zugriff für den beruflichen Laptop meiner Frau einzurichten (Selbstständig).
Ich habe 3 Möglichkeiten im Sinn, wie Sie auf das interne Netzwerk und damit die Netzwerkablage zugreifen könnte.
Alle 3 Varianten funktionieren, aber ich frage mich welche die beste und auch stabilste Lösung ist.

Der Laptop soll sich per VPN zu unserem Heimnetzwerk verbinden. Der Router ist eine FritzBox 7590.
Parallel existiert noch eine Synology NAS und ein Raspi 4.

Nun habe ich die 3 Möglichkeiten:
1. FritzBox VPN: Funktioniert an sich problemlos. Leider stürzt der Laptop in manchen Situationen ab mit einem Bluescreen bei Verwendung von Fritz!Fernzugang. Außerdem ist grundsätzlich der Durchsatz über die FritzBox, glaube ich, nicht sonderlich gut.
Wir haben einen 50 MBit DSL, welcher in Zukunft ggf. aufgestockt wird.
2. OpenVPN: Entweder möglich über die Syno selbst oder über den Raspi 4.
3. Wireguard: Über den Raspi 4. Funktioniert soweit tadellos, erfordert leider Adminrechte zum Starten des VPN Tunnels.
Aus Sicherheitsgründen läuft ihr produktiver Account auf dem Laptop aber über ein eingeschränktes Benutzerkonto.

Daher nun die Frage nach eurer Meinung und Empfehlung.

Zusatzfrage:
Gibt es ggf. die Möglichkeit eines der VPNs automatisch zu starten, wenn der Laptop nicht mit eine bekannten WLAN/LAN verbunden ist? Zuhause wird kein VPN benötigt logischerweise, wenn Sie von Remote arbeitet soll aber möglich immer ein VPN in Betrieb sein.

Und welche VPN Lösung ist am universellsten einsetzbar in WLAN Hotspots, Hotel WLANs oder anderen eingeschränkten Umgebungen?

Besten Dank vorab!
shirocko

 

[amokkx]

Nun habe ich die 3 Möglichkeiten:
1. FritzBox VPN: Funktioniert an sich problemlos. Leider stürzt der Laptop in manchen Situationen ab mit einem Bluescreen bei Verwendung von Fritz!Fernzugang. Außerdem ist grundsätzlich der Durchsatz über die FritzBox, glaube ich, nicht sonderlich gut.

Kenne das Problem. Einfach Shrew Soft VPN benutzen und so einstellen, dass nur die Anfragen an das entfernte Netzwerk über VPN geht und der Rest über deine normale Leitung.

Hier auch direkt eine Anleitung von AVM.

 

[shirocko]

Einfach Shrew Soft VPN benutzen

Danke für die Antwort.
Darüber habe ich auch schon nachgedacht, aber der Shrewsoft Client wurde zuletzt 2013 aktualisiert und macht mir bezüglich der Sicherheit etwas Bauchschmerzen.

 

[itm]

Vielleicht Softether VPN?

Der Client braucht keine lokalen Adminrechte zum Verbinden. https://www.softether.org

Ohne Client kann SoftEther auch SSTP darstellen. SSTP geht unter Windows mit Boardmiteln

 

[Bodennebel]

Gibt es ggf. die Möglichkeit eines der VPNs automatisch zu starten, wenn der Laptop nicht mit eine bekannten WLAN/LAN verbunden ist? Zuhause wird kein VPN benötigt logischerweise, wenn Sie von Remote arbeitet soll aber möglich immer ein VPN in Betrieb sein.

Es gibt meines Wissens die Möglichkeit, schon vor dem Windows-Login das VPN zu starten. Habe ich aber nie ausprobiert. Kenne es eher so, dass, wenn man sich mit dem Firmennetzwerk verbinden will, dann den VPN-Client manuell startet und vorher eben nur ins Internet kommt bzw. lokal auf dem Rechner arbeiten kann.

Und welche VPN Lösung ist am universellsten einsetzbar in WLAN Hotspots, Hotel WLANs oder anderen eingeschränkten Umgebungen?

Das hängt doch vom VPN-Gateway (z. B. FritzBox, Cisco, SonicWall, FortiNet, etc.) auf deiner Seite ab. Falls die von Dir genannten Anwendungsbereiche die Nutzung von VPN nicht zulassen, hast Du doch eh verloren. Hier würde ich mir eher einen Mobilfunkvertrag mit ordentlich Datenvolumen zulegen und den Laptop dann über den persönlichen Hotspot des Smartphones mobil verbinden. Dann kannst Du bei Bedarf immer noch eine VPN-Verbindung ins heimische Firmennetz aufbauen.

 

[shirocko]

Vielleicht Softether VPN?

Die Software erfordert auch zusätzlich eine Installation des Servers im Netzwerk. Das gilt für die restlichen Lösungen grundsätzlich auch. Ich denke aber bei OpenVPN handelt es sich um ein lang gepflegtes Projekte, welches auch regelmäßig Updates erhält und einfach auf dem Raspi zu installieren wäre. Auf der Synology läuft es schon Out-of-the-Box. Und Wireguard hatte ich primär wegen seiner Geschwindigkeit beim Verbindungsaufbau und seiner schlanken Codebasis gewählt, welche gerade viel gepflegt wird und viel Zuspruch erhält.

Das hängt doch vom VPN-Gateway (z. B. FritzBox, Cisco, SonicWall, FortiNet, etc.) auf deiner Seite ab.

Nein, so meine ich die Frage nicht. Auf meiner Seite, also auf der Server Seite, kann ich alle 3 VPN Lösungen installieren und bereit stellen. Mir geht es um die Client Seite. Ich weiß ja vorher nicht, welche Infrastruktur das Hotel, die fremde Firma oder der freie Hotspot bereitstellt und welche Ports bzw. Protokolle dort freigegeben sind. Daher die Frage nach einem möglichst flexiblen VPN Client, der mit diversen Umgebungen umgehen kann. Bei OpenVPN habe ich z.B. gelesen, dass dieser sich auch über TCP Port 443/80 betreiben lässt und damit quasi überall freigegeben wäre.

Aber ich glaube OpenVPN benötigt auch Admin Rechte zum Verbindungsaufbau, korrekt?
Und gibt es eventuell einen Weg Wireguard ohne Admin Rechte zu starten? Ich habe bisher keinen sinnvollen gefunden.
Anders herum könnte man Wireguard dauerhaft als Dienst laufen lassen, der eine VPN Verbindung aufbaut, sobald der Rechner gestartet wird. Das bringt mir im lokalen LAN/WLAN aber nicht, da er dort gar nicht laufen soll.

shirocko

 

[Bodennebel]

Also VPN-Clients, die Admin-Rechte zum starten brauchen, wären mir suspekt. Zur Installation des Clients logisch und eventuell zur Einrichtung; aber zum Verbindungsaufbau?

Auf meiner Seite, also auf der Server Seite, kann ich alle 3 VPN Lösungen installieren und bereit stellen. Mir geht es um die Client Seite. Ich weiß ja vorher nicht, welche Infrastruktur das Hotel, die fremde Firma oder der freie Hotspot bereitstellt und welche Ports bzw. Protokolle dort freigegeben sind.

Das war mir schon klar, dass Du alle drei bereitstellen kannst. Nur üblicherweise entscheidet man sich ja für eine Variante. Bei der Suche nach einem VPN-Client der alle oder möglichst viele Varianten beherrscht kann ich Dir nicht weiterhelfen. Im Zweifel für jede Variante einen VPN-Client verwenden. Vielleicht reicht schon der Windows-integrierte (nicht bei FritzBox, die kann meines Wissens nur IKEv1). Ansonsten mal den o. g. ShrewSoft Client ausprobieren. Ich hatte den vor einigen Jahren auch mal im Einsatz in Verbindung mit einer Fritzbox. Hat funktioniert, wir sind dann aber aufgrund gestiegener Anforderungen auf professionelle Hardware gewechselt (SonicWall mit NetExtender VPN Client).

 

[andy_m4]

Also VPN-Clients, die Admin-Rechte zum starten brauchen, wären mir suspekt. Zur Installation des Clients logisch und eventuell zur Einrichtung; aber zum Verbindungsaufbau?

Die Admin-Rechte werden notwendig sein, weil für den VPN-Aufbau die Netzwerkkonfiguration angepasst werden muss. Wenn irgendwelche VPN-Clients keine Admin-Rechte einfordern könnte das schlicht daran liegen, das die im Hintergrund ein Prozess laufen haben der mit Admin-Rechten ausgestattet ist und der halt dann seine Anweisung vom GUI-Frontend erhält.

 

[Bodennebel]

weil für den VPN-Aufbau die Netzwerkkonfiguration angepasst werden muss

Das sollte aber mit der erstmaligen Einrichtung des VPN-Clients gegessen sein. Und bei den VPN-Clients, die ich kenne, kann man auch als normaler Benutzer die Adresse des VPN-Gateways ändern, und - natürlich - sich mit seinen Benutzerdaten anmelden.

Ich weiß nicht, ob Du schon mal in größeren Firmen (Konzern) gearbeitet hast. Da musst Du aber schon sehr sehr gute Gründe haben, damit dir (lokale) Admin-Rechte eingeräumt werden. So eine IT hat nämlich besseres zu tun als Möchtegern-Admins ständig hinterherzufegen.

 

[andy_m4]

Das sollte aber mit der erstmaligen Einrichtung des VPN-Clients gegessen sein.

Kommt drauf an. Meist will man ja eine dynamische Einrichtung haben.
Wenn Du jetzt eine statische Konfiguration hast geht das natürlich. Dann kannst Du alles von vornherein fertig konfigurieren und gut ist.
Oft hat man aber bei einem VPN-Client aber die Anforderung, das es z.B. auf einem Laoptop läuft und dann wählst Du Dich halt über irgendeine Internetverbindung im Hotel (oder wie auch immer) ein. Im Zuge dessen musst Du dann natürlich dynamisch die Netzkonfiguration anpassen.

Ich weiß nicht, ob Du schon mal in größeren Firmen (Konzern) gearbeitet hast. Da musst Du aber schon sehr sehr gute Gründe haben, damit dir (lokale) Admin-Rechte eingeräumt werden.

Ich verstehe das. Aber wie gesagt. Auch das lässt sich ja lösen.
Ich wollte nur begründen, warum Du für die eigentliche Konfiguration Admin-Rechte brauchst. Das bedeutet ja nicht zwangsläufig, das die dann auch der angemeldete User braucht.

Das kriegt man übrigens auch mit OpenVPN und Co hin. Ich nehme an, wir reden hier über Windows. Da kann ich das ad-hoc jetzt nicht sagen. Bei nem Linux würde ich über das Network-Manager-Framework gehen.

Und bei den VPN-Clients, die ich kenne, kann man auch als normaler Benutzer die Adresse des VPN-Gateways ändern, und - natürlich - sich mit seinen Benutzerdaten anmelden.

Manche Sachen lassen sich ändern. Systemeinstellungen wiederum nicht. Wenn das trotzdem mit User-Rechten geht, dann ist das halt i.d.R. so implementiert, das Du da einen Systemprozess hast mit dem Dein GUI kommuniziert und es darüber macht.

So eine IT hat nämlich besseres zu tun als Möchtegern-Admins ständig hinterherzufegen.

Hat ja niemand gesagt, das Du dem User Admin-Rechte geben sollst. Das war Deinen Interpretation von dem Gesagten.