ComputerBase Menü
Aktuelles

Welche VPN Lösung am sinnvollsten

B

berto

Lt. Junior Grade
Registriert
Juni 2011
Beiträge
441
Hi liebe Leute,

ich habe wieder einmal eine Netzwerk-Frage da ich mich in dem Gebiet einfach noch nicht so auskenne.

Folgendes möchte ich erreichen:
1) Ich möchte generell so wenig wie möglich von meinem Netz nach außen offen haben (nur später 2-3 Webservices über HTTPS, kein SSH oder ähnliches)
2) Ich möchte eine Möglichkeit haben, mich von extern ins Heimnetzwerk zu verbinden um alles nutzen zu können und auf alles Zugriff zu haben, als ob ich daheim bin.
Da wäre mir ein VPN eingefallen.

Meine Architektur sieht folgendermaßen aus:

Internet --> Modem (im bridge modus) --> Ubiqiti USG --> 2 Switches an denen 1 Homeserver (proxmox), ein WLAN AP und einige Geräte direkt hängen.

Wie sollte ich jetzt vorgehen? Eine VM aufsetzen auf der ich einen openVPN server installiere? Muss ich dann irgendwas an forwarding einstellen am USG, damit ich da hin komme? Oder gibt es eine sinnvolle Möglichkeit dies am USG zu lösen?

Danke im Voraus und Lg!
 
.... alter schwede. weißt du was der ubiquiti ist ? hast du den selbst ausgesucht und installiert ?
 
Hi,

mh... anscheinend kann die USG kein SSL VPN (OpenVPN) Also ich habe kein Konfigbeispiel gefunden. Ggf. schaue dir doch mal die Sophos UTM Home Edition an. Würde aber bedeuten das Du deine USG tauschen müsstest. Alternative kannst Du deinen eigenen Vorschlag umsetzen. Ich bin halt kein Freund von NAT und Portweiterleitungen wenn es nicht wirklich notwendig ist.

Gruß

Dirk
 
Entweder via Webinterface am USG ein IPSec VPN erstellen oder via Konsole OpenVPN am USG einrichten.

https://community.ubnt.com/t5/UniFi...-mit-Client-Zertifikaten/m-p/1868247#U1868247

Ich würde wohl zur IPSec Methode tendieren weil die Hardwarebeschleunigt ist und somit deutlich weniger load auf dem USG erzeugt.

shuikun schrieb:
.... alter schwede. weißt du was der ubiquiti ist ? hast du den selbst ausgesucht und installiert ?
Zum Vergrößern anklicken....

ubiquiti ist der Hersteller ....
 
  • Gefällt mir
Reaktionen: Raijin
@shuikun ja mir ist bewusst was der USG ist und hab es auch selber aufgesetzt mit dem controller auf einem raspi. Bilde mir nur ein einmal was darüber gelesen zu haben, dass man so ein VPN damit umsetzen könnte, finde es aber leider nicht mehr

@mcbarney danke, würde eher eine Lösung bevorzugen, bei der ich keine neue Hardware brauche.

@Harrdy dankeschön, das war das was ich einmal gefunden hatte. Muss mich noch einlesen in die unterschiede zwischen IPSec und OpenVPN. Du würdest also sagen auf dem Router machen und nicht auf einer VM?
 
Ich würde es auf dem Router umsetzen, ja. Anders gefragt, welche Vorteile erwartest du von einer Umsetzung als VM? Mehr Performance? Im Falle von OpenVPN möglich. Ich weis jetzt nicht genau wieviel throughput ein USG mit OpenVPN macht. Ich würde aber mal vermuten 15-30mbit sollten drin sein. Bei IPSec hab ich ebenfalls keine genauen Zahlen zur Hand. Meine aber iwas um die 500-600mbit throughput via vpn gelesen zu haben.

Der Vorteil von OpenVPN wird sicher sein das du damit egal wo du dich Mobil bewegst durch ziemlich jede Firewall durchkommen wirst wenn du es auf Port 443/tcp umsetzt. Bei IPSec kann das in manchen Hotels z.B. schonmal zum Problem werden.

Ansonsten bringt Android z.b. gleich nen IPSec Client mit, für OpenVPN muss ne 3. Party App genommen werden.
 
  • Gefällt mir
Reaktionen: brainDotExe und berto
@Harrdy nochmals vielen Dank für die hilfreichen Antworten!
Dann gibt es also wieder einmal pro und kontra für beides :)

Ich ziele eher auf Laptop und funktionalität von überall aus ab, also wohl eher openvpn momentan. Ich habe leider eh nur 15mbit upload daheim (gibt einfach nicht mehr zu halbwegs normalen Preisen bei uns, hauptsache ich habe über 150 down..), also wird wahrscheinlich ohnehin das limitieren in den meisten Fällen.

2 Fragen hätte ich noch:
1) wenn das dann über SSL auf 443 läuft, dann blockiert das webservices, die auf 443 nach außen laufen würden oder?
2) wäre es möglich (und sinnvoll) beides einzurichten und zu nutzen? Also zb ipsec für android und gute performance, openvpn wenn das andere nicht geht?
 
Zu 1)
Wenn du OpenVPN auf Port 443/tcp einrichtest blockierst du dir damit die Möglichkeit einen lokalen https Server von extern Erreichbar zu machen ohne Portangabe. Ja. Du kannst für OpenVPN natürlich auch jeden anderen Port hernehmen.

Ich nutze 443/tcp gerne weil dieser 100% für https freigeschaltet sein muss. Alternativ könnte man natürlich auch 53 (dns), 8080 (alternativ https) hernehmen. Bei den letzten beiden Ports KANN es halt auch passieren das diese geblockt oder im Falle von 53 z.b. auch umgeleitet werden. Du kannst aber natürlich auch mehrere OpenVPN Instanzen mit unterschiedlichen Einstellungen laufen lassen um im Falle der Fälle eine funktionierten Instanz zu haben.

Zu 2)
Für Windows ists egal, ja. Falls du auch Mobile Geräte mit z.B. Android verwenden willst die einen IPSec Client mitbringen und du keine weitere App installieren willst kannst natürlich beides Einrichten. Da spricht erstmal nichts dagegen.

Auch sollte man darauf achten beim zu verwendenden VPN Subnetz auf ein Netz zu gehen was nicht so üblich ist. Also aus dem 10er, 172er oder 192er Netz irgendein Netz aus der Mitte rauspicken. Je kleiner desto geringer ist die wahrscheinlichkeit das es später zu überlappungen kommt.
 
berto schrieb:
1) wenn das dann über SSL auf 443 läuft, dann blockiert das webservices, die auf 443 nach außen laufen würden oder?
2) wäre es möglich (und sinnvoll) beides einzurichten und zu nutzen? Also zb ipsec für android und gute performance, openvpn wenn das andere nicht geht?
Zum Vergrößern anklicken....

1. Ausgehender Verkehr zu 443 auf anderen Servern ist NICHT betroffen.
2. Kann man machen, aber wozu? Der OpenVPN Client für Android z.B. ist prima ;) ... Und OpenVPN ist wesentlich flexibler.
Ich habe OpenVPN auf UDP Port 123 (schneller) sowie als Backup TCP Port 443 laufen, falls die UDP Verbindung mal geblockt wird (manche WLANs, z.B. Hotels, Fliegern und Schiffen)
 
Zuletzt bearbeitet:
@Cinderella22 Hast natürlich recht, man sollte während nem Forum Post nicht noch 8 andere Sachen im Kopf haben.

@till69 Was mich z.B. am OpenVPN Client für Android stört ist der Stromverbrauch. Als ich das mal probiert hatte war der Verbrauch bei dauerhaft aktivem VPN (für VoIP über VPN) deutlich höher als mit dem Android eingebauten IPSec Client. Ist aber auch schon wieder 2 Jahre her wo ich das probiert hatte.
 
Wenn dem so ist und dauerhaft gefordert ist, dann eben IPSec (läuft über UDP 500/4500) und als Backup OpenVPN auf TCP 443 (wenn überall wichtig ist)
 
Ich kann dir (mal ganz abgesehen von deiner hardware) Softether VPN ans Herz legen. Einmal richtig konfiguriert kannst du dich mit eigentlich jedem Gerät darauf verbinden. Gibt auch eine OVPN Verbindungsmöglichkeit (die einfach dazuschaltbar ist) der Stock Android und Iphone Client funktionieren einwandfrei sowie auch der Windows VPN Client usw. In meinen Augen einer der besten (simpelsten) VPN Lösungen mit diversen Enterprise Features und high availability usw...
 
Auf einem USG sollte man idealerweise zu IPsec greifen, weil das hardwarebeschleunigt ist und ca. 60-100 Mbit/s schafft. OpenVPN wiederum läuft eher mäßig auf Ubiquiti-Routern (inkl. USG), weil es rein in Software läuft, also von der CPU selbst berechnet wird. Das liegt u.a. an der Architektur von OpenVPN (SingleThreaded) und führt dazu, dass OpenVPN vergleichsweise CPU-lastig ist. Realistisch sind an einem USG daher irgendwas um die 20 Mbit/s - reicht das aus, ok, für mehr Bumms sollte man dann aber IPsec einsetzen.

Soweit ich weiß gibt es aus der Ubiquiti-Community ein Projekt, das auch WireGuard auf den EdgeRoutern installiert hat. Ob das auch bei der UniFi-Firmware des USG möglich ist, weiß ich nicht. So oder so ist das aber Handarbeit, während IPsec bereits ab Werk drauf ist und auch in der GUI einzurichten ist. OpenVPN ist zwar auch bereits installiert, aber es gibt keine GUI --> Einrichtung via Konsole.
 
Wenn du sowieso einen Webserver (VM) bei dir zu Hause laufen hast (eine VM mehr oder weniger in deinem Promox macht auch nix mehr), dann kannst da ja auch einen openvpn Server drauf machen. Und wenn alles auf Port 443 laufen soll, dann schau dir mal sslh an, da kannst auch noch ssh laufen lassen und immer über Port 443 :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
Wireguard-VPN-Lösung gesucht
Antworten
13
Aufrufe
3.263
flopower1996
F
B
kostenlose vpn Lösung
Antworten
5
Aufrufe
1.629
konkretor
konkretor
D
Freies Internet (Frei wie Freibier) VPN die Lösung? Wie mit langsamen Internet umgehen?
Antworten
9
Aufrufe
1.641
Der_Dicke82
D
S
VPN zur Trennung auf 2 Netzwerke, Lösung hinter Fritzbox?
2
Antworten
25
Aufrufe
2.556
Brudertuck
B
M
WLAN-Reichweite erhöhen - wie am sinnvollsten?
Antworten
16
Aufrufe
5.149
Microarchitekt
M
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz