ComputerBase Menü
Aktuelles

VPN - Site to Site (alternative zur Fritzbox)

S

scythe-man

Cadet 3rd Year
Registriert
Jan. 2011
Beiträge
34
Hallo,

Ich hatte bis jetzt 3x Haushalte mit der drei identischen Fritzboxen 7490 mit einen Site to Site VPN Tunnel laufen.

Nun möchte ich aber endlich mal die volle kapazität der 40Mbit/s upload für den Tunnel auch nutzen was die Box halt Technisch wohl nicht merh schafft. Bei ca. 12Mbit/s ist da schluss. Desweitern (das wurde mir auch von AVM Service bestätigt) drosselt die Fritzbox den VPN Tunnel bei aktiven VoIP gesprächen da es sonnst auch probleme bei der Telefonie gibt. Das die Fritzboxen als Eierlegendewollmilchsau technisch da an die grenzen kommt ist schade. Aber der gemeine Endnutzer nutzt die VPN Funktionen wohl nicht ausgiebig genug um einen eigenen decedierten CPU nur für die verschlüsselung bei den produktionskosten zu rechtfertigen. Wie dem auch sei. Jetzt dachte ich mir das man ein seperates Gerät als VPN Gateway dazu schaltet auf jeder Seite und den die intensive VPN verschlüsselungsarbeit übernehemen lässt.

Ich hab natürlich schon etwas rumgeschaut und man kommt da sehr schnell in den professionellen bereich mit mehrern hundert oder gar tausend euro.

Was würde für meine kleine dreier vpn konstellation wohl am besten sein um die 40Mbit/s auszunutzen?

Ich dachte auch daran vielleicht eines dieser "GL-AR300m" zu nehmen und mir dann eine eigene Openwrt version zu stricken. Aber erstens müsste ich mich in der thematik erstmal ausführlich einlesen und es gibt ja keine garantie das man alles so umgesetzt bekommt wie ich es mir gerade vorstelle. Ich bin halt kein programierer. Und zweitens (angenommen das image wäre nach meinen vorstellungen zusammengestellt und lauffähig) weiss ich immer noch nicht wie viel VPN durchsatz der 650Mhz CPU dieser kleinen dinger im endefekt liefert.

Daher würde ich mich über einen Tip eurerseits echt freuen.

- Also 3x Haushalte (VPN Site to Site)
- VPN durchsatz von 40Mbit/s (vectoring anschluss)
- preiswert
 
Warum nicht ein SBC dahinter? Es muss nicht der Router das VPN handhaben. OpenVPN läuft auf jeder CPU heutzutage.
Wenn du eine FB mit DSL nutzt ist ein zweiter Router Käse. Zudem ist die GL Box auch nicht wirklich schneller als die Fritzbox: die FB hat 500MHz MIPS4k, die GL sagt nichteinmal welche CPU sie hat, nur die nutzlosen MHz: da sollten alle Alarmglocken schrillen.

Kauf einen beliebigen SBC auf dem du Linux draufhauen kannst. Der SoC da drauf muss AES in Hardware können das du dann als cipher nutzt.
Eine typische A53 ARM CPU:
http://www.anandtech.com/show/8718/the-samsung-galaxy-note-4-exynos-review/4

Die SBCs sind niedriger getaktet aber die Hälfte davon sollten sie auch schaffen.
Ich würde vielleicht einen Espressobin vorschlagen: der hat einen echten PCIe BUS und bindet so das LAN an. RPi und Konsorten machen das via USB.
 
Zuletzt bearbeitet:
Ich hab ähnliches mit einem Raspi 3 versucht, aber die Ergebnisse sind ernüchternd gewesen (in etwa wie https://www.hackviking.com/single-board-computers/openvpn-performance-on-the-pi/)

Du brauchst richtige Performance und die kostet sowohl Geld in der Anschaffung wie im Unterhalt.

Was wäre das Maximum pro Haushalt?

zB: https://geizhals.de/gigabyte-brix-gb-bxbt-1900-a1136096.html?hloc=de

https://geizhals.de/sk-hynix-so-dimm-1gb-hmt112s6tfr8c-g7-a885744.html?hloc=de

https://geizhals.de/logilink-ua0184-a950975.html?hloc=de

+ Linux als OS von einem kleinen USB-Stick.

Ist halt alles keine Serverhardware, die für 24/7 gedacht ist.
 
Zuletzt bearbeitet:
@HominiLupus
Bitte nicht so viele Abkürzungen. SBC, SoC sagen mir gerade nichts.

@john.veil
Eigentlich wollte ich nur um die 100€ pro Standort ausgeben.
 
SBC = single board computer wie Raspberry Pi 3. SoC: System on a Chip, die CPU auf so einem SBC Ding.
 
scythe-man schrieb:
@john.veil
Eigentlich wollte ich nur um die 100€ pro Standort ausgeben.
Zum Vergrößern anklicken....

Das ist natürlich wenig. Sagen wir mal, du besorgst Gehäuse und Netzteile günstig wie möglich gebraucht, dann 3 oder 6 mal den 3,5€ 1GB ram Riegel und dieses Board hier + einen USB Stick für das OS. Das Board hat von Haus aus zwei LAN Ports.

Damit solltest du hinkommen - ich würde aber erstmal nur einen dieser Rechner zusammenbauen und gegen einen PC testen, ob die Performance ansprechend ist. Linux und OpenVNP ist kein Hexenwerk.
 
Zuletzt bearbeitet:
OK danke,...
Ich verstehe in welcher Richtung das läuft.
Dann werde ich mich damit mal ein wenig beschäftigen.

Oder habt ihr noch paar Hilfreiche links von den ich wissen sollte?
 
Zuletzt bearbeitet:
Versuche dich mal mit Softether VPN (da kannst auch Client to Site zusätzlich einrichten.):
 
@brainDotExe

Wenn das hardwaretechnisch als stabile "site to site" verbindung funktionieren würde wäre dies ja die einfachste/billigste lösung.

Müsste man bei den RB750Gr3 dann auch wieder über openwrt sich was zurechtbasteln oder bietet das gerät die site to site vpn variante von haus aus an.

Denn in den beiden links von dir steht leider nichts von einer VPN Verbindung?
Daher vermute ich das man da wieder ein selbstgestrickte image aufspielen muss,... Oder?

Weißt du da vielleicht mehr?
 
Zuletzt bearbeitet:
Mit dem vorinstallierten RouterOS sind IPSec SiteToSite VPNs möglich.
Verabschiede dich aber von Plug&Play wie bei der FritzBox:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Site_to_Site_IpSec_Tunnel

Da du diesen unter der Fritzbox einsetzen willst, müsste man das NAT der Fritzbox noch umgehen, entweder mittels Portweiterleitung oder vorzugsweise einfach mit IPv6.
 
@brainDotExe
Auf der Wiki Seite finde ich nichts bezüglich "Site to Multisite".
Das ist aber auch möglich,... Oder?

Da muss man sich wirklich erstmal in die Komandozeilensteuerung einlesen^^
Mit etwas basteln sollte ich das wohl aber stück für stück verstehen und hin bekommen.
Im Notfall dann später mit eurer Hilfe^^


Ich dachte mir das man an der fritzbox einfach port 4 als gastzugang einstellt und dort den vpn router mit der Wan schnitstelle (inkl. fester IP) ins Internet schickt und dann die nötigen ports darauf freigibt.

Die Lan Seite des VPN routers hätte ich dann an einen der verbleibenden fritzbox lan ports angeschlossen und in der fritzbox dann eine route für die jeweils entfernten netzwerke auf die lan schnitstelle des VPN routers als vpn gateway umgeleitet.

Sieht zwar komisch aus da dann zwei lan kabel von den vpn router zur fritzbox führen aber so sollte es doch theoretisch funktionieren.
Ich kann ja nicht die WAN und LAN seite des VPN Routers im selben subnetz packen um einmal als gateway und einmal als internet verbindung hinter dem fritzbox NAT zu dienen.

Wie würde dein bevorzugter Aufbau aussehen?
 
Soweit ich weiß lässt sich die Fritzbox nicht dazu überreden vom LAN ins GästeLAN zu routen. Sobald du einen IP-Bereich oder eine Route anlegst die sich mit dem Gästelan der Fritzbox überschneidet wechselt die Fritzbox automatisch das Subnet des Gästelan. Hatte mal das Problem das sich die Gäste einmal im 10er und einmal im 172er Netz befunden haben.
 
Man kann den VPN-Server auch einfach als Client ins LAN hängen. In der FritzBox dann die passenden Portweiterleitungen sowie eine statische Route für das VPN-Netz auf den VPN-Server anlegen.
Der Aufwand mit getrennten Ethernet-Ports lohnt sich meiner Meinung nach nicht. Besonders mit einem bei den Netzwerk-Funktionen so beschränkten Gerät wie die FritzBox.
 
Wenn wir jetzt mal vom RB750Gr3 ausgehen mus doch WAN und LAN port in unterschiedlichen Netzen sein. Dann bleibt ein doch nur die variante mit dem Gastnetz an der Fritzbox. Oder verstehe ich da gerade was falsch? Die sache mit einen kleinen eigenständigen PC als server ist schon verworfen^^ Es soll wenn alles in der Theorie funkioniert wirklich der RB750Gr3 werden.

@Harrdy
Die route in der fritzbox würde nicht auf das gastnetz gehen.
 
Zuletzt bearbeitet:
Der WAN-Port ist ein ganz normaler Port (schon daran zu erkennen, dass die LAN-Port mit 2 bis 4 bezeichnet sind). Du kannst auch einen LAN-Port als WAN oder den WAN-Port als LAN benutzen.
 
Aber ist die VPN verbindung im grunde nicht einfach eine route im RB750Gr3.
Wenn ich z.b. den RB750Gr3 nur via ein Lankabel an einen der normalen ports der Fritzbox im internen Netz Stecke.

Dann würde er über den einen port als Gateway für die VPN verbindung agieren für die Clients auf der seite (also internen traffic annehmen) und diesesn traffic dann verschlüsselt (für die VPN verbindung aufbereitet) über den selben port wieder raus schicken?

Wie würde man dem gerät denn sagen das ein und der selbe port als internetzugang dient und gleichzeitig als VPN Gateway.
 
Zuletzt bearbeitet:
Die VPN-Verbindung erzeugt ein neues virtuelles Interface über den der verschlüsselte Traffic abgewickelt wird. Das ist der Endpunkt des VPN-Tunnels.

"Tunnel" ist das entscheidende Wort. Der VPN-Traffic geht durch einen Tunnel in der LAN-/WAN-Verbindung. Wenn du weißt wo beide Enden des Tunnels sind, kannst du dich an einen Endpunkt stellen und weißt, dass der Traffic nur von der anderen Seite kommen kann. Der "Rest" außerhalb des Tunnels läuft einfach an dir vorbei.

Die verschlüsselten Pakte kommen auf dem LAN/WAN-Port rein werden entschlüsselt und der Inhalt erscheint dann auf dem VPN-Interface. Umgekehrt landen die Pakete für das Netz auf der anderen Seite des Tunnels auf dem LAN-/WAN-Interface (wegen der Route in der FritzBox, diese haben die Clients als Default-GW) werden verschlüsselt und gehen wie jedes andere Paket wieder über das LAN-/WAN-Interface raus.
 
Ok,...Danke
Vom Konzept hab ich es jetzt vestanden.
Die Umsetzung steht dann aber wieder auf einen ganz anderen Blatt wenn man dann das Gerät später vor sich hat^^
 
Genau, das funktioniert auch mit einem LAN-Port im normalen Netz der FritzBox.
In der Fritzbox gibt man dann eine Route für die entfernten Netze ein, als Gateway den MikroTik. Läuft bei mir (mit dem älteren RB750) genau so.

Das lässt sich auch alles im GUI einstellen.
Aber wie gesagt Plug&Play wie bei der FritzBox ist es nicht.
Man sollte sich schon etwas mit Netzwerktechnik auskennen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Z
Fritzboxen Site to Site mit Unifi weiternutzen
Antworten
9
Aufrufe
620
Z!mTst3rN
Z
Don-DCH
UniFi Wireguard Site to Site ohne Site Magic - Erfahrungen Tipps und Tricks gesucht
Antworten
0
Aufrufe
607
Don-DCH
Don-DCH
K
site to site vpn blockiert auf einer seite
Antworten
1
Aufrufe
631
Mojo1987
M
C
Site to Site VPN mit TP Link Omada und Fritzboxen
Antworten
8
Aufrufe
2.183
Creddy
C
Don-DCH
Site-to-Site VPN sicher einrichten UniFi IP SEC
Antworten
7
Aufrufe
2.137
patrick888
patrick888
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz