VPN per Zweit-Router

[knerww]

Hallo alle zusammen!

Ich bin bei Unitymedia und muss zwangsweise eine FritzBox 6360 benutzen.

Ich möchte allerdings für einige angeschlossene Geräte allen Verkehr über ein VPN (Hidemyass, privateinternetaccess o.ä.) laufen lassen.

Da das ja wohl mit der FritzBox nicht geht, habe ich mal geguckt und gelesen, dass man an die Fritzbox einen zweiten Router anschliessen kann, den man mit DD-WRT flasht. Alle Geräte, die nun am Zweit-Router hängen, sollten über VPN laufen.

Geht das so? Gibt es Anleitungen dazu?

Welchen Zweit-Router sollte ich am besten kaufen? Ich will das VPN per Smartphone im W-LAN fernsteuern (d.h. ein-/ausschalten, IP wechseln usw.) können.

Danke!

 

[andy_0]

Das geht natürlich. Der 2. Router wird an einen LAN Anschluss an die Fritzbox gehängt (Fritz LAN --- 2. Router WAN). Abhängig vom Router richtest du dort eben ein VPN ein. Mit openWRT/DD-WRT oder ähnliches kann das gehen. Als Router würde ich dir Geräte von TP-Link empfehlen. Die sind nicht nur günstig, sondern ganz brauchbar und kompatibel mit openWRT (vorher dennoch bei openWRT das jeweilige Modell auf Unterstützung kontrollieren). Mir ist keine Smartphone Anwendung bekannt um openWRT bzw. Teilanwendungen darauf zu steuern. Im schlimmsten Fall kannst du natürlich immer auf die Weboberfläche des Routers zugreifen.

Die Installation eines solchen Systems wird jedoch nicht ganz einfach. Ein bisschen einarbeiten muss man sich durchaus. Eine Anleitung für ein "Gesamtsystem" ist mir nicht bekannt, bestenfalls Anleitungen für die jeweiligen Einzelschritte (openWRT installieren, Router hinter Router konfigurieren, ...).

 

[NemesisFS]

Das geht im Zweifel kannst du per iptables bestimmte MACs über ein bestimmtes interface schicken, über das normale route Kommando geht das nicht.
Im dd-wrt wiki gibts eine Einführung in die iptables-Benutzung.

Das steuern per Smartphone wird out-of-the-box nicht gehen, allerdings kannst du (a) das webinterface benutzen oder (b) dir ein kleines script schreiben für den Zweck.

 

[knerww]

Danke für die Antworten.

Erstmal:
Ich will HD-Videos streamen. Reicht der billige oder doch lieber den teureren der beiden?
http://www.amazon.de/dp/B001FWYGJS
http://www.amazon.de/dp/B008HV2KU2

Und dann:
Ich flashe also den Zweit-Router und hänge ihn an die FritzBox. Was dann? Gibt es Anleitungen wie man ihn einrichtet? Ich lese mich gerne ein... aber Skripte-Schreiben usw. --- lieber nicht.

 

[NemesisFS]

Das ist alles auf der dd-wrt Seite beschrieben. Die haben auch ein recht ausführliches Wiki.

Ich habe einen alten WNDR3700 von ca 2010/11 der mit openvpn ca 2MiB/s schafft, das sollte für HD reichen, ich denke, dass selbst der günstige TP-Link ähnlich viel Leistung haben sollte.

 

[andy_0]

Puh. Ich persönlich würde zum TL-WDR3600 greifen. Die Hardware dort drinne ist einfach deutlich leistungsfähiger. Benötigst du das ganze WLAN-Zeug nicht, wäre ein Raspberry Pi auch eine Möglichkeit. Der ist günstiger als der WDR3600 und deutlich performanter, jedoch müsste man dann schauen, welche Router Software man dafür bekommt. Der WDR3600 ist aber definitiv eine gute Wahl zwischen einfacher Installation und brauchbarer Hardware.

 

[knerww]

Danke!

Ich wollte die Endgeräte am LAN (via PowerLAN) zur FritzBox belassen und bei Bedarf zur Nutzung von VPN auf W-LAN zum Zweit-Router switchen. Also lieber WDR3600 wegen der besseren W-LAN-Performance... so meine Überlegung.

Was soll ich lieber nehmen OpenWrt oder DD-WRT, was ist für meine Zwecke (VPN) besser geeignet?

Und was läuft denn am besten als VPN im Dauerbetrieb? Hidemyass, privateinternetaccess, ...? Ich will den IP-Ort selber bestimmen können, am besten sogar die Stadt.

 

[Raijin]

OpenWRT und DD-WRT geben sich genau genommen nicht viel. Oft kommt es schlicht und ergreifend darauf an wer die Hardware überhaupt unterstützt. Für meinen TP-Link gab es seinerzeit zb nur OpenWRT. Performancetechnisch macht das meiner Meinung und Erfahrung mit anderer Hardware mit beiden Firmwares kaum einen nennenswerten Unterschied. Allerdings nutze ich auch bei weitem nicht den vollen Funktionsumfang, weil bei mir ein i3-Server mit Ubuntu läuft.

 

[andy_0]

Das wast du vor hast funktioniert so nicht. Entweder die Geräte hängen an der FritzBox oder sie hängen am TP-Link. Ein Gerät welches an der FritzBox hängt, kannst du entsprechend nicht irgendwie über den TP-Link laufen lassen. Geht es jedoch "nur" um WLAN Geräte, kannst du natürlich dynamisch auf das WLAN des TP-Link aufschalten.

Welche der Service besser geeignet ist, kann ich dir nicht sagen. Das musst du selber testen oder recherchieren. Ähnlich mit den zur Verfügung stehenden Systemen. OpenWrt und DD-WRT sind beides mächtige Lösungen. In vielen Bereichen nehmen sie sich nicht viel, was für dich besser ist, hängt auch immer damit zusammen, welche Version für dein Gerät zur Verfügung gestellt wird. Im Zweifelsfall musst du das ebenfalls austesten.

 

[Raijin]

Geht schon, wenn man den 2. Router normal ins LAN hängt und nicht via WAN-Port. Dann stellt man an den Geräten für VPN die IP des 2. Routers als Gateway ein. Dieser muss natürlich entsprechendes Routing beinhalten.

 

[andy_0]

Je nach Gerät ist die Änderung des Gateways aber gar nicht so einfach möglich. Außerdem gibt es durchaus Probleme mit manchen Konfigurationen, wenn ein LAN Anschluss ans de facto WAN Anschluss verwendet wird. Bei mir ist namentlich eine Sicherheitslücke in einem openWRT Gerät im Zusammenhang mit dem DNS Server auf dem Router.

 

[Raijin]

Klar, wenn am Gerät kein Gateway angegeben werden kann is das problematisch. Ich verstehe aber deinen Einwand bezüglich WAN Anschluss nicht? Ich rede überhaupt nicht vom WAN Port. Ist der Router normal pet LAN angeklemmt, bleibt WAN leer. Der virtuelle WAN Port, wenn man ihn denn so nennen möchte ist der tun/tap Adapter des VPNs. Die Routingtabelle des Routers muss dann natürlich entsprechend eingestellt sein, alles außer dem VPN selbst über den virtuellen Port geroutet wird, zum VPN Gateway.

Oder reden wir gerade aneinander vorbei?

Btw: Sicherheitslücke? Davon ist mir nix bekannt. Das kann selbstverständlich ein berechtigter Kritikpunkt sein.

 

[knerww]

Habe ich das jetzt richtig verstanden:

Wenn ich den Zweit-Router nur als W-LAN-Basis benutze, geht alles problemlos?

Ich hatte die Sache so geplant: Wenn ich den LAN-Switch, der an der FritzBox hängt, ausschalte (Strom aus), suchen die Geräte (Mediaplayer, Playstation, FireTV u.ä.) automatisch nach W-LAN. Und hierfür habe ich in den Geräten den Zweit-Router als W-LAN-Basis voreingestellt und eben nicht die Fritz-Box. So kann man doch theoretisch leicht zwischen FritzBox (LAN) und Zweit-Router (W-LAN) switchen, oder?

Ansosten muss ich alle LAN-Geräte ständig am Zweit-Router haben? Es geht also nicht, dass ich manche Geräte per LAN an der FritzBox und andere per LAN am Zweit-Router angeschlossen habe?

 

[andy_0]

@ Raijin
Ich glaube wir reden da etwas aneinander vorbei, mein Kritikpunkt ist etwas speziell.

Ich hab bewusst den LAN Port verwendet, damit das System nicht so getrennt ist, der WAN bleibt leer, damit fangen aber bei mir die Probleme an . OpenWRT ermöglicht den Zugriff auf den DNS offenbar über sämtliche LAN Ports, gefiltert wird er vermutlich nur für Kommunikation über den WAN. In meinem primären Router kann ich keine Filterung vornehmen, in openWRT habe ich bislang keine gesehen um Kommunikationsanfragen an den DNS von extern zu unterbinden. Die Lücke ist meiner Meinung nach (theoretisch) für DDoS Angriffe auf externe Adressen (über meinen DNS) möglich. Darauf aufmerksam gemacht, hat mich mein Provider, der mir seit dem alle paar Monate einen Brief schreibt. Bislang war ich aber zu faul das Setup komplett auf WAN umzubauen.

Kabel Deutschland selber hat übrigens scheinbar vollen Zugriff auf das Netzwerk hinter der AVM FritzBox (oder anderen Geräten, die sie ausliefern). Das ist ein weiterer Punkt, warum ich persönlich sämtliche Geräte hinter ein zweites Gerät abschotten würde.

@ knerww
Das funktioniert so nicht. Wieso sollten die WLAN Geräte auf ein anderes WLAN umspringen, nur weil du den Switch vom Strom nimmst? Die AVM FritzBox liefert ja weiterhin ihr WLAN aus. Du kannst natürlich x Geräte an die FritzBox, andere an den TP-Link anschließen. Die müssen dann aber entsprechend konfiguriert sein.

 

[knerww]

Der Switch schaltet den Strom für LAN aus, LAN fällt damit weg (das klappt nachweislich), also versucht das Gerät per W-LAN zu verbinden (notfalls nach Neustart des Gerätes) und da ist nicht die FritzBox voreingestellt, sondern W-LAN des Zweit-Routers. W-LAN der FritzBox ist sowieso immer aus.

 

[andy_0]

Ahh ok. Ja, das sollte klappen.

 

[Raijin]

Ok, die Implementierung in OpenWRT kann ich nur bedingt beurteilen, weil ich wie gesagt einen dedizierten Server einsetze. Für solche Zwecke sind dann vermutlich fortgeschrittenere Router besser geeignet, die aber nur bedingt für den Consumer-Markt gedacht sind - wie zB meine jüngste Anschaffung, den Edgerouter Lite von Ubiquity. Die 3 LAN Schnittstellen können komplett isoliert verwendet werden, mit separaten DHCP, DNS und Co. Allerdings braucht man dafür schon einiges an KnowHow, für Otto Normal ist das nix.

 

[knerww]

[doppelt]