VPN über FritzBox - ein paar Fragen

[homer092]

Hallo,
ich habe folgende Situation:

Heimnetz mit FritzBox 7590, daran eine Synology NAS. Auf diese möchte ich von außerhalb zugreifen können. Das ganze geht ja schon über quickconnect, ich habe jetzt aber gelesen VPN wäre die bessere und sicherere Lösung und geht ja auch über die FritzBox.

Nun die Frage, ist das sicher? Also wenn ich einen VPN an der FritzBox einrichte, öffne ich da irgendwelche Tore für Dritte, z.B. wie unnötige Ports zu öffnen oder ähnliches?

Und wie sieht so eine VPN Verbindung aus. Also so wie ich das verstanden habe stellt mein Laptop z.B. auf der Arbeit quasi eine Netzwerkverbindung zur FritzBox nachhause her und ist dann als wäre er selbst in diesem Heimnetz? Wenn ich wärend der VPN Verbindung z.B. noch das Internet nutze (bspw. Youtube) läuft das dann vom Arbeitsnetz über den VPN über das Heimnetz/Internet zuhause? - das nur zur Verständnisfrage :-)


Ich danke euch für Antworten und bleibt gesund!

 

[Wishbringer]

Die Fritzboxen können VPN, jedoch ist der Chipsatz der Router relativ schwach.
In der aktuellen offiziellen Version kommt man damit gerade mal auf bis 3 MByte/Sek. Durchsatz.
Nur wer eine der neusten Laborfirmwares installiert hat, kriegt so ca. 8-10 MByte/Sek. hin.
(da dort neuste HardwareBeschleunigungslibraries vom Chipsatz genutzt werden)

Je nachdem welches NAS mit welchem Chipsatz man hat, bieten die NAS ebenfalls VPN-Tunnel an (wenigstens mein QNAP-TS870). Bei einigen NAS kann es sein, dass deren Chips eine höhere Leistung bringen.

Nun konkret zu Deinen Fragen:

VPN zwischen Client und Router ist sehr sicher, da am Router selbst keine Portweiterleitung sein muss. Der Router selbst ist ja schon im Internet.
Die zweitsicherste Sache ist: Router leitet Port an NAS weiter und zwischen Client und NAS entsteht das VPN.
Wenn nur die VPN-Ports weitergeleitet werden ist das keine bedeutende Verschlechterung der Sicherheit, könnte aber je nach Leistungsfähigkeit des NAS zu einer deutlichen Geschwindigkeitssteigerung führen.

Der Zugriff auf Youtube etc. über VPN ist einstellbar. Über die Fritzbox KANN man das z.B. in den dortigen Settings einstellen, dass der gesamte Internetzugriff des Clients nur noch über den VPN-Tunnel erfolgt. Es ist aber kein MUSS.
Aber durch die o.g. schwache Leistung wird man damit nicht glücklich (Ausnahme evtl. mit der neusten 7.19 Labor FW).

 

[Vindoriel]

Bei AVM gibt es umfassende Informationen diesbezüglich.

Kurz gesagt:
Von außen ist das Netzwerk nur erreichbar, wenn man das AVM-Konto, den Benutzernamen und das Passwort weiß, im Gegensatz zu offenen Ports ist das wesentlich sicherer.
Auch der Datenverkehr läuft dann über die Fritzbox, d.h. die Webserver "sehen" Deinen Anschluss und nicht z.B. das Hotel, wo Du gerade bist. Die Verbindung von Deinem Gerät zur Fritzbox ist verschlüsselt (VPN), im Hotel kann auch keiner nachsehen, wo Du unterwegs bist und hoteleigene Webseitenfilter sind wirkungslos (Du surfst ja über Deinen eigenen Anschluss). Mit Blocken von IPsec (was das verwendete Protokoll für Fritz-VPN ist) würden Hotels sich ins eigene Fleisch schneiden, denn viele Geschäftsreisende wollen sich auch über einen VPN-Tunnel ins Firmennetzwerk einloggen.

 

[homer092]

Danke erstmal für die ausführlichen Infos!
Bei den Geschwindigkeitseinbußen wird das aber wohl keinen Sinn machen, da gucke ich mir nochmal die anderen Lösungen an. Da es um größere Datentransfers geht (und ich dachte mit 250MBit in beiden Richtungen ist das ja easy ....) :-D

 

[Vindoriel]

Wobei 3 MB/s immerhin 24 MBit/s sind und das haben als Upload in Wirklichkeit nicht so viele (VDSL100 und höher, bei Kabel ist es das Höchste aller Gefühle, sofern das Kabelnetz nicht überlastet ist).

Da weiß ich auch nicht, wo Wishbringer seine Werte her hat, da müsste er schon einen Glasfaseranschluss haben, um das zu testen...

 

[BlubbsDE]

Danke erstmal für die ausführlichen Infos!
Bei den Geschwindigkeitseinbußen wird das aber wohl keinen Sinn machen, da gucke ich mir nochmal die anderen Lösungen an. Da es um größere Datentransfers geht (und ich dachte mit 250MBit in beiden Richtungen ist das ja easy ....) :-D

250 MBit im Download. Das bringt Dir hier nichts. Hier ist der Upload relevant.

 

[homer092]

250 MBit im Download. Das bringt Dir hier nichts. Hier ist der Upload relevant.

Doch bringt es, ich möchte ja auf die NAS Uploaden von Extern und Extern habe ich 20/20Gbit also bringen mir die 250 Down. schon etwas ;-) Und im Upload Zuhause (an der NAS) liege ich bei 45MBit.

 

[till69]

Extern habe ich 20/20Gbit also bringen mir die 250 Down schon etwas

Dann wird Wireguard interessant:
https://www.wireguard.com/performance/

 

[Wishbringer]

Da weiß ich auch nicht, wo Wishbringer seine Werte her hat, da müsste er schon einen Glasfaseranschluss haben, um das zu testen...

Es reicht, wenn man zwei 7590er über den WAN-Anschluss in einem Netzwerk verbindet und dann zwei separate Netze hinter den Boxen etabliert und den Durchsatz testet.

Hintergrund:
Das war ein Versuch, die Leistungsfähigkeit der Boxen zu erfahren.
In unserer Stadt statten wir aktuell alle Schulen vorrübergehend mit einem Mischbetrieb aus Vodafone 400/50 Kabel über FB6591 und über T@School (Telekom SVDSL250) über FB7590 aus (Ausfallsicherheit über zwei verschiedene Anbindungen, die hinter den FBen zusätzlich über einen Lancom Loadbalancer vernüpft sind).
Die Maßnahme kam zum tragen, da sich die synchronen Gigabit-Glasfaseranschlüsse bei uns bis Mitte 2021 verzögern.
Die Idee war einfach, als Interimslösung ein VPN-Netz für alle Schulen untereinander zu entwickeln.
Dazu reichen die Boxen aber nicht aus, also nutzen wir aktuell QNAP NASes in den Schulen (die dann die Netze untereinander aufbauen).