OpenVPN Netzwerk hinter dem Client erreichen

[achim50]

ok, macht sinn was Du schreibst.
Da hatte ich wohl einen Gedankenfehler.

Ich werde mich mal mit dem Theme DD-WRT Router oder pfSense Firewall beschäftigen und dort so eine Kiste hinstellen. Dann muss ich keinen Client " missbrauchen " ;-)

Dann sollte alles vom Tisch sein, hoffe ich. Solange nutzen sie halt noch die Druckerverbindung über RDP.


Danke für die Hilfe, ist mittlerweile echt selten geworden !! TOPP !!!

Schöne Grüße
Achim

 

[Raijin]

Ich werde mich mal mit dem Theme DD-WRT Router oder pfSense Firewall beschäftigen und dort so eine Kiste hinstellen. Dann muss ich keinen Client " missbrauchen " ;-)

Das ist der deutlich sauberere Weg. Gerade Windows-Clients sind beispielsweise kaum als Gateway zu gebrauchen, weil Mircosoft Routing und NAT als Serverdienst ansieht und auf den Client-OS kaum bis gar nicht unterstützt. Mit Linux bzw. DD-WRT/pfSense hat man dagegen volle Kontrolle über das Routing und dadurch mehr Möglichkeiten.

Ein PI wäre auch eine denkbare Alternative.

 

[achim50]

Den habe ich hier und würde ihn zwischen Fritzbox und den Clients schalten. Baut man die 2 Netzwerkkarte dann per USB auf, beim IP?

 

[Raijin]

Zwei Netzwerkkarten braucht man nicht. Die sind nur dann notwendig, wenn zwei Netzwerke physikalisch voneinander trennen will. Der PI hängt per LAN im Netzwerk und hat einen virtuellen LAN-Adapter für das VPN. Das ist sozusagen die zweite Netzwerkkarte, aber eben virtuell.

 

[achim50]

Ok, dann werde ich mich die Tage mal damit beschäftigen :-)

Schönen Wochenanfang noch!

Gruß
Achim

 

[Slayer]

Man muss aber bei Router und PIs beachten, dass die ARM CPU recht schwach ist. wenn man anständig verschlüsselt bekommt man nicht viel an Durchsatz hin. Beim pi2 ist bei aes 256 / 2048 bei etwa 3-4 mbit Datendurchsatz schluss. ein Samsung Galaxy S3 hat etwa 10 mbit geschafft. Also solltest wenn du größere Dateien kopieren willst ggf einen seperaten Client am pc nutzen.

 

[Raijin]

Beim pi2 ist bei aes 256 / 2048 bei etwa 3-4 mbit Datendurchsatz schluss. ein Samsung Galaxy S3 hat etwa 10 mbit geschafft.

Jein.. OpenVPN ist etwas kompliziert was den Datendurchsatz angeht. Man muss an einigen Schrauben drehen, um das Optimum rauszuholen. Mein PI (B) hat mit AES256 knapp 30 Mbit/s geschafft.

Netter Artikel dazu: https://community.openvpn.net/openvpn/wiki/Gigabit_Networks_Linux

 

[Slayer]

Der Artikel ist super, danke.

leider steht auch

For a LAN-based setup this can work, but when handling various types of remote users (road warriors, cable modem users, etc) this is not always a possibility.

leider ist die Verbindung nicht über LAN sondern länderübergreifend übers Internet, da einige Zwischenstellen es nicht so PMTU Discovery haben, ist die Frage wie das da geht.
Aber probieren kann ichs ja mal
Ggf mtu im OS selber fixieren.

 

[Raijin]

Ich arbeite zur Zeit mit Werten dicht an den optimalen Werten im Artikel (zB tun 48000) und erreiche LAN-intern auch vergleichbare Geschwindigkeiten mit meinem Ubuntu-Server. Inwiefern das auch über das Internet möglich wäre, kann ich nicht beurteilen, weil ich nur VDSL25 habe und so oder so bei 25 bzw. 5 Mbit/s down/up Ende im Gelände ist. Probleme habe ich damit allerdings nicht, weil ich regelmäßig von Hotels quer um den Erdball per VPN auf dem Server bin. Es ist also nicht so, dass der Tunnel durch obige Einstellungen "kaputt" ist und plötzlich nicht mehr funktioniert. Zumindest ist mit das bisher noch nicht untergekommen.

 

[achim50]

Ist es nicht einfacher und auch besser " für den produktiven Einsatz" sich einen linksys wrt54gl zu holen und den als openvpn gateway zu nutzen?
Oder einen besseren Router der dd wrt macht?

Das ist für einen Kunden wo ca. 10-12 Clients hinter hängen und es stabil laufen muss.
Wie die mich jeden Tag anrufen weil diese und welches nicht geht nervt das

 

[Raijin]

Wie ich schon schrieb, Router mit OpenWRT (o.ä.), PI, pfSense, PC. Die Plattform ist Geschmackssache. Einrichten muss man alle. Bei einem PI sicher etwas mehr Arbeit, weil man VPN erstmal installieren muss, aber das ist kein Hexenwerk. OpenWRT bzw DD-WRT müsste man schließlich auch erst flashen. Die Qual der Wahl..