VPN-Konfiguration, dass sich meine externe QNAP 'zuhause' einwählt

[Rickmer]

Moin,

meine Wunsch-Konstellation ist so:

Geschafft habe ich, dass sich die QNAP mit dem VPN-Server verbindet.
(Auch relativ sicher mit zertifikatsbasiert Auth - die ganzen Anleitungen erwähnen nicht, dass man die Zertifikate und den Key einfach in der ovpn Datei mit hinterlegen kann - wenn man das macht, kommt der QVPN Service sofort damit klar.)

Zum größten Teil bin ich dieser Anleitung gefolgt: https://wiki.teltonika-networks.com/view/OpenVPN_server_on_Windows
File-Server und VPN-Server sind btw beides Windows Server - ich hatte initial mit OpenVPN auf Ubuntu angefangen, aber in der Vorbereitung hatte Ubuntu selber einen merkwürdigen Fehler geschmissen und da wollte ich schon nicht mehr. Da OpenVPN auch eine Windows Variante hat und ich eh schon eine passendes sysprepped Template habe ging das für mich schneller.
Irgendwann wird das sicherlich doch noch mit Linux abgelöst... nachdem QNAP endlich Wireguard Unterstützung für NAS mit ARM CPU rausbringt.


Was ich jedoch nicht geschafft habe, dass ich vom File-Server an die QNAP komme. Am File-Server eine lokale Route anlegen sagt dem zwar, den VPN-Server als Gateway zu nutzen, aber ein Ping geht trotzdem nicht durch - auch, wenn ich beim VPN-Server testweise die Firewall ausgeschaltet habe.
Vom VPN-Server selber geht ein Ping auf die QNAP problemlos durch.


Der Workaround, den ich vorerst implementiert habe war, dass ich den OpenVPN Server auf dem File-Server installiert habe... nachdem ich schon die config-Dateien vorbereitet hatte war das in 15 Minuten durch... jetzt konnte ich erfolgreich vom File-Server ein Backup auf die QNAP pushen.


Was müsste ich machen, um das sauber zu implementieren? Mit etwas rumgoogeln bin ich auf zwei mögliche Routen gekommen:

1. von dev tun auf dev tap gehen? Ich habe den Unterschied noch nicht ganz kapiert und da scheint auch noch mehr Konfiguration hinter zu stecken. Entweder ich habe falsch gelesen, oder die OpenVPN Doku ist hier ziemlich unübersichtlich.
2. Den VPN-Server dazu bringen, zwischen dem primären Netzwerk und dem zweiten OpenVPN Tap Netzwerkadapter zu routen - falls das nicht genau das ist, was die dev-tap Einstellung macht?

Kann mir hier jemand auf die Sprünge helfen?

Danke
Rickmer

 

[Ultrafigo]

Moin,

vielleicht etwas OT aber: warum kein S2S-VPN zwischen den Fritz!Boxen?
Erscheint mir irgendwie sauberer als hier mit einer E2S-VPN zu arbeiten, um dann einem 3. Gerät per Route irgendwie beibringen zu müssen über den VPN-Server zu gehen.

Cheers

 

[conf_t]

vielleicht etwas OT aber: warum kein S2S-VPN zwischen den Fritz!Boxen?

Habe ich auch gemacht weil damals die OVPN Implemetation für granulärer Konfig für ein 3 Standorte VPN auf der Qnap zu schlecht war, weil so bei 3 Standorten immer eines Server und Client sein musste. Da nicht A mi C über B, sondern direkt zwischen A und C kommunizieren sollte. Die zwei beteiligten Synologys konnten das, aber Qnap nicht. Scheinbar ist da Qnap so schlecht wie vor 8 Jahren.

 

[Rickmer]

vielleicht etwas OT aber: warum kein S2S-VPN zwischen den Fritz!Boxen?

Nee, berechtigte Frage.
Primär, weil ich überhaupt nicht auf dem Plan hatte, dass die Fritz!Box das kann.

Auf der einen Seite war in diesem Test von 2016 die Performance bei aktiver Verschlüsselung alles andere als überzeugend: https://weberblog.net/fritzbox-vpn-speedtests/

Die nächste Generation an Fritz!Boxen soll deutlich flottere Hardware haben, da geht die Post ab: https://www.heise.de/ratgeber/Site-to-Site-VPN-bei-Fritzbox-4060-6500793.html

Aber bei mir steht eine 6660 Cable, bei den Eltern (glaube ich) eine 7590. Keine Ahnung, wo die dazwischen in Sachen Performance landen.


Naja, es hält mich erstmal nichts davon aus, beides einzurichten und dann bei meinen Eltern zu schauen, über welche Verbindung die Performance besser ist oder ob Download/Upload der beiden Internetleitungen limitieren.

Scheinbar ist da Qnap so schlecht wie vor 8 Jahren.

Das mag auch sein (dass Wireguard immer noch nur für x86 Varianten verfügbar ist, ist schon reichlich belämmert), aber meine konkreten Probleme sind glaube ich eher auf Unwissen meinerseits zurück zu führen.

Das Problem ist ja nicht in der QNAP (die ovpn Konfig-Datei hat die anstandslos gelesen und angewendet), sondern im Routing bei meinen Heimservern.

 

[Rickmer]

Ich habe jetzt mal eine Wireguard Site2Site VPN für die Fritz!Box vorbereitet. Morgen bin ich bei den Eltern, dann kann ich Wireguard an den Fritz!Boxen vs OpenVPN am Server testen.

Wireguard, weil ich mir davon erhoffe, dass das performanter ist als die IPSec Option der Fritz!Box. Hier ist die Rede von einer Beschleunigung um rund Faktor 2 für die 7590:
https://www.heise.de/news/Beta-Firm...VPN-Beschleunigung-mit-WireGuard-6332407.html
Ganz passend, dass ich auf der 6660 Cable schon die aktuellste Labor-Version laufen habe, sonst wäre Wireguard noch keine Option...

 

[Ultrafigo]

Moin,

von welcher Datenmenge&Häufigkeit reden wir überhaupt?
Und über welche Internetgeschwindigkeiten verfügen die Anschlüsse?

Sollte das anschließend sauber laufen, bitte unbedingt die Zugriffe so einschränken, dass wirklich nur Host A Netz A mit Host B Netz B kommunizieren darf!

Cheers

 

[conf_t]

eine 7590

Schafft bei FritzVPN (IKE) definitiv 40 Mbit/s (wir haben an allen 3 Standorten 100/40er Tarife) und bei Wireguard, was auch seit Januar auf der Stable Version verfügbar ist noch mehr. Bei der FritzVPN Leistung war die 7590 bisher die beste. Was die 6660 kann, weiß ich nicht. Mein o.g. VPN betreibe ich ausschließlich mit 7590er und FritzVPN. Die Umstellung auf Wireguard steht von für dieses Jahr an.

 

[Rickmer]

von welcher Datenmenge&Häufigkeit reden wir überhaupt?
Und über welche Internetgeschwindigkeiten verfügen die Anschlüsse?

Ich stelle ein 1-Bay NAS auf für ein online offsite Backup der Daten auf meinem File-Server und in meiner Nextcloud.
Ich habe zwar schon zwei externe HDDs für Backups, die regelmäßig rotiert werden und eine immer offsite ist, aber so häufig komme ich bei den Eltern nicht vorbei und dann ist das offsite Backup teils Monate alt wenn ich's mal vergessen habe...

Die Häufigkeit ist dann entsprechend ein nächstlicher Sync der Daten, Datenmengene variabel. Das kann von 'keine Änderung' bis hin zu zig Gigabyte gehen falls ich den Tag was großes runtergeladen habe.

Bei mir läuft aktuell ein 250/50 Kabel Vertrag* (bei dem ich bisher auch zu keiner Zeit einen Einbruch in der Bandbreite festgestellt habe), die Eltern haben 100/40 DSL.

Ich nutze für dieses Backup SyncBackPro, welches ein Bandbreiten-Limit unterstützt. Das würde ich auf ~30 Mbit setzen damit ich mir nicht komplett die Leitung dicht mache, falls der Job mal bis in den Morgen hinein braucht.

*Hoffentlich demnächst 500/250 Glasfaser wenn das mit dem Ausbau weiter geht. Aktuell ist das noch in der Vermarktungs-Phase, kann also noch jederzeit abgesagt werden falls nicht genügend Leute den Ausbau buchen.

 

[Ultrafigo]

Moin,

wenn das mit den externen HDDs beibehalten wird, ist das mMn eine sehr solide Backup-Strategie.
Sogar deutlich besser als meine...

Je nachdem welche Datenmenge genau übertragen wird, sollte man hier die benötigte Zeit durchaus im Auge behalten, wenn das ganze auf ~30MBit limitiert werden soll.

Bzgl der VPN-Leistung stimme ich @conf_t zu.

Cheers

OT: Viel Glück für den GF-Ausbau!