ComputerBase Menü
Aktuelles

VPN zu Fritzbox halten mit Dauerping - Skript gesucht

H

Hardrockner

Cadet 2nd Year
Registriert
Juni 2017
Beiträge
20
Hallo,

ich verbinde meinen Win7-PC mittels FritzFernzugang-VPN zu meinem NAS, das hinter einer Fritzbox 4040 hängt. Sobald FritzFernzugang das VPN aufbaut, startet auch eine Batchdatei, die mein NAS als Netzlaufwerk auf meinem PC einbindet.
Code: 
@echo off
NET USE S: /persistent:no

NET USE S: \\192.168.80.62\X
Leider wird die VPN-Verbindung nach ein paar Minuten ohne Datenfluss automatisch getrennt. Laut AVM-Support ist diese Trennung normal und erwartungskonform.
Sobald ich wieder auf das Netzlaufwerk zugreifen möchte, wird die VPN-Verbindung zwar wieder aufgebaut, aber das dauert zwischen 20 Sekunden und ewig. Oftmals muss ich erst im Dateimanager das Netzlaufwerk anklicken. Dann baut sich die VPN-Verbindung wieder auf, die Konsole "blitzt" kurz auf, um das oben genannte Skript auszuführen. Die Verzögerungen beim Neuaufbau der Verbindung nerven mich gewaltig, weil ich damit nicht flüssig arbeiten kann.

Nun gab der AVM-Support mir den Tipp, den VPN-Tunnel durch einen Dauerping aufrecht zu erhalten.

Kann ich den Dauerping gleich an das oben genannte Skript anhängen?
Code: 
@echo off
NET USE S: /persistent:no

NET USE S: \\192.168.80.62\X

ping -t 192.168.80.62
Und gleich noch ein paar Fragen. Welchen Parameter muss ich wählen, damit

1. der Ping nur einmal pro Minute gesendet wird? Ich möchte die Netzwerkbelastung durch den Dauerping nicht unnötig erhöhen.
2. sich das Konsolenfenster automatisch schließt, nachdem das Skript den Dauerping gestartet hat?

Gruß
Hardrockner
 
Ja, sollte passen.

zu 1) den Parameter -n 60 benutzen. 1 Paket = etwa 1 Sekunde. 60 Pakete = 60 Sekunden
Mit einem Sprungbefehl in Dauerschleife laufen lassen.
Code: 
:Anfang
ping 127.0.0.1 -n 60
ping 192.168.80.62
GOTO ANFANG

zu 2) Hier kann die .bat zu .exe umgewandelt werden. In den Einstellungen kann das Skript auf unsichtbar gestellt werden.
 
z.B. so
ping -n 60 127.0.0.1 > nul 2>&1
ping -n 5 192.168.80.62 > nul 2>&1


Damit du das CMD Fenster nicht siehst, musst du den Script als .vbs starten. Speicher den Inhalt mit .vbs Endung an und starte es dann

Set ShellWSH = WScript.CreateObject("WScript.Shell")
MSG_String = "cmd /c DeinScriptName.cmd"
Ret = ShellWSH.Run (MSG_String,0,False)
 
Anderer Vorschlag noch, je nach NAS hat die einen eigenen VPN-Server, der zudem deutlich performanter ist als der in der Fritzbox.

Nutze ich auch so, Port durch die Box durchgeben und VPN zur NAS aufbauen. Synology in meinem Fall. Zum Script selber wurde ja schon alles gesagt :)
 
Oder in der Fritzbox VPN Config einfach "keepalive_ip = 192.168..x.x;" setzen ;)
 
  • Gefällt mir
Reaktionen: Colonizer und Lawnmower
Zur Lösung von @till69 kann ich nix sagen, hab keine Fritzbox. Das wäre natürlich die schlankeste Lösung.

Zu den Ping-Lösungen weiter oben: Ich würde das nicht über die Kommandozeile machen. Einerseits hat man dann ein vermeintlich unnützes Fenster auf dem Desktop bzw. in der Taskleiste rumliegen und andererseits kann man das auch aus Versehen abschießen. Darüber hinaus ist ein Ping pro Sekunde nicht notwendig. Wenn, dann würde ich das über den Taskplaner laufen lassen. Täglich (oder beim Start), alle 5 Minuten wiederholen, fertig. Dann läuft das Ding im Hintergrund und gut is.
Im einfachsten Fall (Action = ping a.b.c.d) poppt dann zwar alle 5 Minuten kurz ein Ping-Fenster auf, aber das kann man mit einer Batch verhindern, die stattdessen mit "start /min" den Ping aufruft.
 
  • Gefällt mir
Reaktionen: Lawnmower
Vielen Dank für die zahlreichen schnellen Tipps.
till69 schrieb:
Oder in der Fritzbox VPN Config einfach "keepalive_ip = 192.168..x.x;" setzen ;)
Zum Vergrößern anklicken....

Am elegantesten scheint mir die Lösung von till69 zu sein. Die hab ich sogleich mal umgesetzt. Bis jetzt scheint es auch zu funktionieren, denn das Ereignisprotokoll der Fritzbox zeigt, dass sich die VPN-Verbindung sofort nach einer Trennung wieder aufbaut
Ergänzung ()

corvus schrieb:
Anderer Vorschlag noch, je nach NAS hat die einen eigenen VPN-Server, der zudem deutlich performanter ist als der in der Fritzbox.

Nutze ich auch so, Port durch die Box durchgeben und VPN zur NAS aufbauen. Synology in meinem Fall. Zum Script selber wurde ja schon alles gesagt :)
Zum Vergrößern anklicken....
Ich hatte mir vor dem Installieren des VPN überlegt, ob mein Synology-NAS oder die Fritzbox als VPN-Server dienen soll.

Gegen die NAS als VPN-Server sprach, dass ich in der Fritzbox den VPN-Port öffnen muss. Nachdem ich vor 20 Jahren mir meinen bisher einzigen Virus über einen offenen Port einfing, halte ich mich mit dem Öffnen von Ports zurück.

Nun möchte ich gern wissen, was "deutlich performanter" bedeutet. Gibt's irgendwo Messwerte, Vergleichsdaten, Benchmarks - kurz: Daten - die zeigen, wie viel besser der VPN-Server auf der Synology gegenüber dem Fritzbox-VPN-Server ist?
 
Zuletzt bearbeitet:
Hardrockner schrieb:
Gegen die NAS als VPN-Server sprach, dass ich in der Fritzbox den VPN-Port öffnen muss. Nachdem ich vor 20 Jahren mir meinen bisher einzigen Virus über einen offenen Port einfing, halte ich mich mit dem Öffnen von Ports zurück.
Zum Vergrößern anklicken....
Da vermischt du jetzt aber einiges. Einen "offenen Port" hast du jetzt auch. Es ist einerlei ob die Fritzbox auf dem Port nun selbst antwortet oder ob sie alles was dort reinkommt 1:1 zum NAS weiterleitet und dann das NAS darauf antwortet.

Man kann sich über "offene Ports" nicht "einfach so" einen Virus einfangen. Es muss stets auch eine Anwendung am Ende des Ports auf selbigem auf eine Verbindung warten. Du kannst beliebige Ports im Router auf deinen PC weiterleiten und solange dort kein Programm auf den Port reagiert, wandert alles was reinkommt in der Windows Firewall und wird verworfen. Erst dann, wenn du dir zB einen Trojaner eingefangen hast, der auf diesem Port lauschen würde, kann jemand von außen bei dir rein. Der Trojaner könnte aber ebenso einfach eine ausgehende Verbindung zu seinem Herren und Meister aufbauen und dann wäre dieser auch bei dir drin.

Es ist zwar durchaus löblich, dass du eine gesunde Skepsis gegenüber Portweiterleitungen an den Tag legst, aber wenn man sich dessen im Klaren ist welche Ports man weiterleitet, dann ist das kein Problem. Wie gesagt, "offen" ist der VPN-Port so oder so, sonst würdest du ja auch zur Fritzbox keine Verbindung herstellen können.....
Ergänzung ()

Was die Performance angeht: Probier's aus. Verbinde dich via Fritz-VPN mit dem NAS und lade ein paar Daten hoch/runter. Deaktiviere das Fritz-VPN, leite die Ports an das NAS weiter, aktiviere dort das VPN, verbinde dich damit und wiederhole den Kopiervorgang. Am Ende vergleichst du die Kopierzeiten. Je nach Internetanbindung kann jedoch auch der Internetanschluss limitieren.
 
  • Gefällt mir
Reaktionen: Lawnmower und corvus
Schonmal danke an Raijin für die ausführliche Erklärung. Bei mir ist es so, dass die Fritz bei ca. 20Mbit VPN Durchsatz dicht machte (noch an der alten 7490, 7590 nicht getestet), und das an guten Tagen.

Die VPN an der DS415+ konnte ich nocht nicht deckeln, da ich 250Mbit Download habe und von keiner Leitung mit entsprechendem Upload testen konnte. Die CPU hat sich aber bei 8MB/s gelangweilt.

Hier gibts ein paar Werte, bei AES256 ist die Fritzbox meist am Ende.
https://blog.webernetz.net/fritzbox-vpn-speedtests/

Ungeachtet der Tatsache, dass man im Firmenumfeld sowieso nicht auf ein Privatprodukt setzen sollte, ist der nutzbare VPN-Durchsatz bei knapp 15 MBit/s teilweise deutlich unter den reinen Internetgeschwindigkeiten, die man heute durch VDSL und Glasfaser so bekommt.
Zum Vergrößern anklicken....

Die 4040 wird da sicher nicht drüber kommen. Meine Werte an der 7490 passen zu dem Ergebnis, da dort nur die CPU etwas flotter wurde. Aber bei 20Mbit ist schluss.

Meine Synology kann AES in Hardware (Intel Atom) und langweilt sich wie gesagt bei VPN mit AES256.
Welche Synology genau besitzt Du?

Ist zwar niederländisch, aber die DS415+ kann auch 100Mbit in beide Richtungen auslasten:
https://www.synology-forum.nl/vpn-s...snelheid-data-overdracht/msg183032/#msg183032
 
Zuletzt bearbeitet:
Die Fritzboxen haben für VPN eine zu kümmerliche CPU da auch die AES Beschleunigung dafür fehlt - die 15 - 20 Mbit/s passen.

Beim NAS hast Du wesentlich mehr Leistung wenn die verbaute CPU AES-NI unterstützt (der im DS415+ verbaute Atom C2538 kann das, damit dürften mehrere 100 Mbit/s VPN Traffic mit AES Verschlüsselung drinliegen) sofern die VPN Server Software auf dem NAS das auch nutzen kann. Ansonsten hängt das oft von der SingleThreading Leistung der CPU ab was möglich ist - bei den Atom CPUs eben leider nicht der Brüller wenn die kein AES-NI mitbringen.

Nachteilig ist wenn die Firmware vom NAS Sicherheitslücken aufweist die Angreifern erleichterten Zugriff auf die Daten und ins LAN ermöglicht - dann ist der mit der "NAS-macht-VPN-Server" Variante schon mitten im LAN drin und nicht noch "an der Haustür" wie bei der Fritzbox. Das könnte man ggf mit weiteren Massnahmen entschärfen (Firewall auf dem NAS, Verschlüsselung, VLAN, etc) aber nicht vollends beseitigen.
 
Zuletzt bearbeitet:
Vielen Dank für eure Beiträge hinsichtlich des besseren VPN-Servers.
Das mit den Ports hab ich jetzt immerhin etwas besser verstanden.
Bei mir läuft eine DS216j.

Server- wie auch clientseitig hab ich vertraglich nur 0,6 Mbit/s Upload-Durchsatz. Damit komme ich leidlich zurecht. Meinen Arbeitsablauf hab ich darauf eingestellt, dass größere Dateien etwas dauern. Um so ärgerlicher waren die zusätzlichen Verzögerungen beim häufigen VPN-Verbindungsaufbau. Auf beiden Seiten aufzubohren, ist mir momentan schlicht zu teuer und zu unsicher, da ich jedem neuen Vodafone-Vertrag zutiefst misstraue.

Angesichts der mickrigen Upload-Raten schätze ich die Performance des VPN-Servers eher nachrangig ein. Richtig?

... man im Firmenumfeld sowieso nicht auf ein Privatprodukt setzen sollte...
Zum Vergrößern anklicken....
Na ja, OpenSource schön und gut, aber man muss sich meist tiefer in die Materie einarbeiten, als bei gut servierten Privatprodukten.
 
Hardrockner schrieb:
nur 0,6 Mbit/s Upload
Zum Vergrößern anklicken....
0,6 Mbit/s wären 600 kbit/s und ganze 75 kByte/s. Das wäre doch sehr sehr langsam. Sicher, dass du nicht 0,6 MByte/s meinst? Das wären immerhin 4,8 Mbit/s Upload, was zB VDSL25 entspräche.

Achte bitte darauf, Mbit/s und MByte/s nicht zu verwechseln (8 bit = 1 Byte) ;)

Und ja, das macht dann im Prinzip keinen Unterschied ob das VPN über die Fritzbox oder das NAS läuft, wenn eben mutmaßliche 5 Mbit/s Upload im Raume stehen. Da kann das VPN noch so schnell sein, den Upload kann es nicht aufbohren ;)
 
Den letzten Satz kannst ignorieren mit dem Firmenumfeld.

Der VPN-Server an der Synology ist m.E. auch bei der miesen Leitung besser, weil der Tunnel auch bei Inaktivität erhalten bleibt, der Client so konfiguriert werden kann, dass er bei Abbruch wieder autom. aufgebaut wird, es fürs VPN an der NAS eine bessere Benutzerverwaltung und mehr Flexibilität beim VPN-Verfahren gegeben ist.

https://www.thomas-krenn.com/de/wiki/OpenVPN_am_Synology_NAS_einrichten

Und halt an der Fritzbox die entsprechende Portweiterleitung auf die NAS, fertig. Als DynDNS kann dabei weiterhin die myfritz-Adresse genutzt werden.

Eine "fertige" NAS hat soviel mehr Funktionen als reine Dateifreigaben, diese würde ich auch nutzen. Sicherheitstechnisch macht das keinen Unterschied. Für die Software bezahlt man bei Synology und Co. immerhin am meisten. Dadurch heben die sich auch von FreeNAS und Co. ab.
 
Zuletzt bearbeitet:
Raijin schrieb:
0,6 Mbit/s wären 600 kbit/s und ganze 75 kByte/s. Das wäre doch sehr sehr langsam. Sicher, dass du nicht 0,6 MByte/s meinst?
Zum Vergrößern anklicken....
Ziemlich sicher ... sofern bei Vodafone überhaupt etwas als sicher gelten darf.
speedtest.png
 
Hardrockner schrieb:
Na ja, OpenSource schön und gut, aber man muss sich meist tiefer in die Materie einarbeiten, als bei gut servierten Privatprodukten.
Zum Vergrößern anklicken....
Habe ich die Firmenkomponente im Thread überlesen? Wie dem auch sei, deiner Aussage kann man nur entgegnen: Deswegen gehört Firmen-IT auch nicht in die Hände des nächstbesten Mitarbeiters, der weiß wie man einen Drucker einrichtet. Equipment für eine Firma muss deutlich andere Anforderungen erfüllen und eben auch erweiterte Funktionen bieten wie zB VLANs oder dergleichen. Dazu gehören dann eben auch erweiterte Kenntnisse rund um Netzwerke, etc, die der leider zu häufig anzutreffende Pseudo-Admin eben nicht hat.

Das nur so nebenbei. Hab den Thread gerade nochmal überflogen und eben hat @corvus sein Zitat auch relativiert.
Ergänzung ()

Oha, 10 / 0,6 Mbit/s ?? Das ist ja noch langsamer als meine 25/5 :-/
 
  • Gefällt mir
Reaktionen: corvus
Raijin schrieb:
Deswegen gehört Firmen-IT auch nicht in die Hände des nächstbesten Mitarbeiters, der weiß wie man einen Drucker einrichtet. Equipment für eine Firma muss deutlich andere Anforderungen erfüllen und eben auch erweiterte Funktionen bieten wie zB VLANs oder dergleichen. Dazu gehören dann eben auch erweiterte Kenntnisse rund um Netzwerke, etc, die der leider zu häufig anzutreffende Pseudo-Admin eben nicht hat.
Zum Vergrößern anklicken....
Da stimme ich zu, aber
  1. muss eine Firma die Kosten eines externen IT-Dienstleisters erst einmal verdienen. Da sind kleine Firmen nun mal schlechter dran, weil die fixen IT-Kosten überproportional belasten.
  2. muss ich erst einmal einen IT-Dienstleister mit akzeptablem Preis-/Leistungsverhältnis finden. Erst kürzlich musste ich die Luft aus zwei WordPress-Knalltüten herauslassen, die zwar hinsichtlich unserer Website die große Klappe, aber nicht viel dahinter hatten.
  3. muss ich dem IT-Dienstleister meine Anforderungen ins Lastenheft schreiben. Ansonsten bastelt er mir alles, was möglich ist, statt alles, was nötig ist. Allein für dieses Lastenheft muss ich mich derart tief in die Materie einarbeiten, dass ich hernach die Hälfte selbst umsetzen kann.
Ergänzung ()

corvus schrieb:
https://www.thomas-krenn.com/de/wiki/OpenVPN_am_Synology_NAS_einrichten
Zum Vergrößern anklicken....
Danke. Ich hab mir das mal in die ToDo-List gepinnt. Dafür plane ich 2 Manntage ein.
Wir sind 3 Arbeiter mit 5 Computern an 3 Standorten und außer dem NAS-Zugriff muss ich auch noch eine LAN-LAN-Kopplung mittels VPN verwalten. Wenn ich jetzt auf OpenVPN schwenke, muss ich ja auch auf allen Clients neue VPN-Client-Software installieren & konfigurieren. Bereits den Shrew-Soft-Client auf dem Surface-Pro-3-Tablet mit Win8 :skull_alt: zu konfigurieren, empfand deutlich komplizierter tückischer als die FritzFernzugänge.
 
Zuletzt bearbeitet:
Ist ja alles schön und gut, aber driftet nun doch etwas vom Thema ab.

Mir gings nur drum: das VPN der Synology ist performanter (in deinem Fall wohl egal), flexibler, besser verwaltbar, hat keine Verbindungstimeouts und genauso sicher bzw. unsicher. Die Einrichtung ist fast so simpel wie bei der Fritzbox.
Von daher spricht eigentlich außer evtl. persönlicher Animositäten nichts dagegen, dieses VPN zu nutzen. Das VPN der Fritzbox kannst Du weiterhin als "Backup" nutzen, falls mal mit der NAS was sein sollte. Mache ich auch so.

Nachtrag zum neuen Beitrag:

Für Site2Site Tunnel über mehrere Standorte sollte man dann aber doch eine prof. Lösung a la Sophos UTM mit Sophos RED an den Außenstellen o.ä. nutzen, auch wenns mehr kostet.
Der OpenVPN Client ist recht simpel, aber auch mit dem Shrew hatte ich nie irgendwelche Probleme.
 
1. + 2. Systemhäuser sind sich dessen bewusst und bieten in der Regel auch günstigere Tarife an. Zudem gibt es noch Freelancer, die zB einmal die Woche nach dem rechten schauen. Darüber hinaus ist die IT das elektronische und datentechnische Rückgrat einer jeden Firma - Daten weg, im worst case Firma tot.
Natürlich muss man auf dem Teppich bleiben und eine 3-Mann-Firma hat logischerweise andere Anforderungen als ein Unternehmen mit 50+ Mitarbeitern. Fakt ist aber, dass die IT gerne stiefmütterlich gehandhabt wird. Hier im Forum tauchen alle Nase lang solche Threads auf.

3. Das ist am Ende eine Frage der Beratung. Kein seriöser Anbieter wird blind ein Lastenheft des offensichtlich planlosen Kunden einfach so umsetzen. Natürlich gibt es solche und solche Beratung, aber wenn ein 5-Mann-Fensterputzer-Unternehmen plötzlich ein Angebot für einen Firmenserver für 15.000€ bekommt, "weil das unbedingt erforderlich ist", obwohl man bisher mit Word und Excel zur Auftrags-/Kundenbearbeitung super klargekommen ist, sollte man auch ohne Durchblick den Braten riechen ;) Deswegen gilt wie auch daheim beim Badrenovieren: Angebote vergleichen.

Naja, egal. Es ist müßig, darüber zu diskutieren, da es im vorliegenden Fall ja eh nicht um eine Firma geht, oder?

@corvus: Naja, Backup ist gut, aber die Fritzbox nutzt IPsec, also Port 4500/500. Man kann diese Ports dann aber nicht zum NAS weiterleiten, entweder oder. Dann müsste man am NAS schon mit OpenVPN arbeiten, weil man dann freie Portwahl hat.
 
  • Gefällt mir
Reaktionen: corvus
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

_JohnDoe_
Zugriff auf DS220j hinter VPN zwischen Fritzbox A und B
Antworten
6
Aufrufe
599
_JohnDoe_
_JohnDoe_
R
Wireguard VPN zur FritzBox / WIFI: immer / Mobil: nur bei bestimmten IPs
Antworten
8
Aufrufe
4.854
Pummeluff
P
G
VPN mit Fritzbox
2
Antworten
38
Aufrufe
3.385
grünerbert
grünerbert
Gamer1234
VPN mit Fritzbox erstellen aus dem Ausland
Antworten
14
Aufrufe
9.693
Gamer1234
Gamer1234
P
Operation schnelleres VPN mit Fritzbox 7390?
Antworten
1
Aufrufe
1.612
till69
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz