News WireGuard: Testversion von Fritz!OS 7.39 für die Fritz!Box 7590 AX

[<jACKtHErIPPER>]

Hallo @Steffen!
Du hattest dich ja schon mal darum gekümmert. Nun ist es wieder da. Diesmal sogar doppelt

Ich hoffe ich habe den richtigen Steffen erwischt ;-)

 

[foo_1337]

Genau, dann surft also deine ganze Familie über das Gateway der Firma, damit die a) schön sehen was deine Familie so im Internet macht

Nein, bei split tunneling werden nur die prefixe der Firma in den Tunnel gerouted.

plus dein ganzes Netz ist im Firmennetz mit Vollzugriff

Genau das ist das Problem der klassischen Netzdesigns. Man hat ein "trusted" Netz, das man nicht sonderlich absichert, weil "ist ja intern". Klar, bei Bestandsnetzen ist es eine Mammutaufgabe das wieder umzubauen. Und genau deshalb erlaubt wohl kein Unternehmen, wie du schon sagst, dass du dein Heimnetz mit dem Firmennetz verbindest.

 

[Salamimander]

Das hatte ich in den Problemthreads auch immer gelesen, aber viel zu konfigurieren gibts nicht.
PiHole installieren, Filter Liste rein, Raspi als DNS = Internet unglaublich langsam

Dann hast du eben nur ganz wenig falsch gemacht. Durch den PiHole sollten sich Ladezeiten sogar verbessern. Ich habe zB hinter dem Pihole noch einen Hyperlocal unbound—> ich umgehe damit den ISP DNS erfolgreich was noch mehr Tempo bringt (ab ab dem zweiten Aufruf einer Seite, der erste dauert immer etwas … Root DNS Server Anfragen kostet Zeit)

 

[Wattwanderer]

ein pihole lohnt sich IMMER

Nach all diesen Lobgesängen war ich überrascht wie untauglich es ist als ich testete.

Entweder kennen sie die Leistungsfähigkeit der Browser Addins oder sie sind auf anderen Seiten unterwegs als ich.

Ich habe sie aus folgenden Gründen abgebaut:

• Sie muss immer laufen da als DNS konfiguriert.
• Filter erfordert mehr Pflege als die paar Stunden die ich beim Test reingesteckt habe.
• Sie hat keinen Durchgriff auf die gesamte URL welche der Browser/Addon sieht.

Jedenfalls war das Resultat für mich nicht gut genug, um den Stromverbrauch zu rechtfertigen den ein weiterer rund um die Uhr durchlaufender (virtueller) Rechner verursacht.

In Router integriert würde ich es VIELLEICHT einschalten aber diesen heissen Schuh wird sich kein Routerhersteller anziehen. Es gab ja schon Shitstorms weil ein TV mit Sprachfernbedienung ein Micro eingebaut hat oder Tastaturapps Passwörter mitlesen können. Man stelle sich vor was los wäre wenn ein Name nicht korrekt aufgelöst wird. Zensur und was weiss ich noch was die Schwurbler lostreten.

 

[homer0815]

Ich finde Adguard mittlerweile besser als piHole.
https://github.com/AdguardTeam/AdguardHome
Dann die Upstream-DNS 1.1.1.1 und quad9 mit TLS oder HTTPS.
PiHole ist mir zuviel zusammemgefrickelt.

 

[Salamimander]

Kommt auf das Ziel an, wenn einem Privacy wichtig ist, will man sicher nicht Quad9 oder Cloudflare als Upstream haben

Und DOH bzw DOT ist einfach nur eine Seuche für jeden Admin, das wurde nur entwickelt, um DNS Blocking unmöglich zu machen*.. Klar google will halt Geld verdienen.

*Sofern man nicht selbst DOH/DOT stellt. Nur im Heimnetzwerk gibt es wirklich keinen Anlass dazu...

 

[Weyoun]

@Weyoun nein, Wireguard ist ein neuartig programmiertes VPN Protokoll.

Jedes Endgerät muss wie auch bei anderen Protokollen dies unterstützen.

Wireguard ist durch das neuartige Codedesign performanter.

Es gibt durchaus auch Anbieter die Wireguard im Portfolio haben. Die meisten die es nutzen haben es allerdings auf privater oder angemieteter Hardware laufen.

Jetzt bin ich verwirrt! Ich fragte, ob es alle Endgeräte unterstützen müssen und du antwortest mit "nein", schreibst dann aber doch, dass jedes Endgerät das Protokoll unterstützen muss?

 

[xexex]

In Router integriert würde ich es VIELLEICHT einschalten aber diesen heissen Schuh wird sich kein Routerhersteller anziehen.

So gut wie jeder Router unterstützt frei konfigurierbare DNS Server und im Internet gibt es diverse DNS Anbieter, die eine Werbefilterung selbst durchführen.
https://adguard-dns.com/de/public-dns.html

Um selbst extra dafür eine VM aufsetzen und pflegen und möglicherweise sogar noch Hardware dafür anzuschaffen, da muss man schon einiges an Bastelwillen haben. Eine lebenslange AdGuard Lizenz für drei Geräte bekommt man im Angebot für <50€ und damit ist jegliche Werbung sowieso vom Tisch, ohne dass man sich mit zig Plugins oder Softwarelösungen beschäftigen müsste.

 

[Benji18]

Das überrascht mich schon ein bisschen. Aber gut, die 6591 hat keine dedizierte HW dafür und der ATOM ist jetzt auch kein core i7. Die VPN-Leistung hängt somit auch stark mit den verwendeten Ciphern und Algorithmen zusammen, da die CPU das selbst leisten muss.

hat der verbaute PUMA chip nicht eine AES Einheit drinnen? sollte somit eigentlich mit 128bit bzw. 256 kein thema sein?

 

[n8mahr]

So gut wie jeder Router unterstützt frei konfigurierbare DNS Server und im Internet gibt es diverse DNS Anbieter, die eine Werbefilterung selbst durchführen.
https://adguard-dns.com/de/public-dns.html

nur gibt es da einen kleinen unterschied - es ist nicht lokal / selbst gehostet. genau so könntest du sagen : was brauche ich vpn auf der fritze, es gibt vpn anbieter im netz.

 

[Vigilant]

Das ist ja nichts was kommende Modelle mit schnellerem SoC nicht korrigieren könnten.

Zumal die v7.39 ja noch ein Stück weit hin ist und sich bis zum Release durchaus noch was tun kann.

WireGuard kann schon 15 bis 20% im Vergleich zu anderen Lösungen rausholen, weshalb der Support erst einmal positiv zu sehen ist.

Wäre das nicht einen How-to-Artikel wert? Voraussetzungen, Einrichten, etc.? Nicht nur bezogen auf die Fritzboxen?

 

[xexex]

nur gibt es da einen kleinen unterschied - es ist nicht lokal / selbst gehostet.

Die DNS Listen kommen sowieso aus dem Internet, also was bringt es mir sowas "selbst zu hosten", außer Probleme und zusätzlichen Aufwand? Wie ich schon schrieb, es ist was für bastelwillige und das gleiche Ergebnis erreicht man mit viel weniger Aufwand ohne basteln zu müssen.

was brauche ich vpn auf der fritze, es gibt vpn anbieter im netz.

Das eine hat mit dem anderen nichts zu tun. VPN brauche ich um sich ins eigene Netzwerk einwählen zu können oder mehrere Netze miteinander zu verbinden.

 

[Mister79]

Wie schafft mit eurer Fritzbox 40mbit im Upload? Meine macht nur 300kibyte/s

Ich weiß nicht wie man es schafft, die macht es einfach. Zwar nicht ganz 40 Mbit aber 36.

 

[Falc410]

Und genau deshalb erlaubt wohl kein Unternehmen, wie du schon sagst, dass du dein Heimnetz mit dem Firmennetz verbindest.

Deswegen sehe ich den nutzen von Wireguard auf dem Router für HomeOffice nicht. Mag sicher andere Szenarien geben aber fast alle Firmen die ich kenne, setzen eh auf eine 2FA bei VPN. Das würde mit dem Router eh nicht gehen.

 

[Tamron]

zeig´ mir eins, das diese aufgabe besser löst!
was profi-hardware anging, ich erwähnte lancom;

Gibt genug Consumer Geräte...Asus nur mal so erwähnt.
Lancom ist so weit weg von Profi, da muss ich schon echt lachen. Das man da keine Fortigate oder ASA hinstellt ist ja klar.

 

[hildefeuer]

Die bessere Performance ist die eine Sache. Eine andere Sache ist das dann vpn auch mit ipv6 funktioniert.

 

[OMGWTFBBQ]

Jetzt bin ich verwirrt! Ich fragte, ob es alle Endgeräte unterstützen müssen und du antwortest mit "nein", schreibst dann aber doch, dass jedes Endgerät das Protokoll unterstützen muss?

Was verstehst du denn genau unter unterstützen?

Wireguard braucht in jedem Fall auf den Endgeräten extra Software. Bei Linux ist es seit ein paar Monaten schon im Kernel drin, für Windows gibt es ein Kernel Modul, welches jedoch noch nicht mit der normalen Windows Version genutzt wird und für mobile Geräte gibt es ebenfalls seit einiger Zeit Apps.

 

[Pixelmonteur]

Um WireGuard nutzen zu können, müssen sowohl der Router, das Endgeräte (z.B. PC, Fire TV Gerät oder Raspberry) als auch der VPN Dienst (z.B. NordVPN oder CyberGhost) es jeweils unterstützen, oder habe ich das falsch verstanden?

@Weyoun

Ich habe deine Frage falsch verstanden weil sie etwas umständlich geschrieben ist.

Prinzipiell kann man aber pauschal bei allem sagen, es muss etwas unterstützt werden um es auch nutzen zu können.

Hat ein Glied in der Kette diese Unterstützung nicht funktioniert das Gesamtkonstrukt nicht.

 

[RyoShinzo]

Kommt auf das Ziel an, wenn einem Privacy wichtig ist, will man sicher nicht Quad9 oder Cloudflare als Upstream haben

Wo genau liegt jetzt das Problem beim DNS-Server von Quad9? Was soll besser sein und warum?

 

[homer0815]

Kommt auf das Ziel an, wenn einem Privacy wichtig ist, will man sicher nicht Quad9 oder Cloudflare als Upstream haben

Und DOH bzw DOT ist einfach nur eine Seuche für jeden Admin, das wurde nur entwickelt, um DNS Blocking unmöglich zu machen*.. Klar google will halt Geld verdienen.

*Sofern man nicht selbst DOH/DOT stellt. Nur im Heimnetzwerk gibt es wirklich keinen Anlass dazu...

Von Privacy habe ich ja auch nichts gesagt ;-)
Ist eher so als Mittelweg zwischen Geschwindigkeit und Google-weis-alles zu verstehen.
Sicherlich kann ich auch digitalcourage.de digitale-gesellschaft.ch oder ffmuc.net als Upstream eintragen.

DOT ist sicherlich die Pest als Admin, aber hier geht es um MEIN eigenes LAN. Ausserdem sehe ich bei Adguard ja noch jeden Request von jedem Host im Panel. Aber ab da ist wenigstens der Pfad zum Upstream verschlüsselt, so das der ISP nicht alles mitbekommt.

Edit:
@RyoShinzo
Quad9 wurde zb kürzlich von Sony verklagt und soll nun die Zensurliste von Sony anwenden.
https://www.quad9.net/de/news/blog/...tatus-der-deutschen-einstweiligen-verfuegung/