ComputerBase Menü
Aktuelles

Projekt VPN: Die Qual der Wahl

Brati23

Brati23

Lt. Commander
Registriert
Sep. 2018
Beiträge
1.326
Grüzi mitenand

Ich habe zur Zeit ein LAN-LAN VPN über zwei Fritzboxen eingerichtet.
Nachtrag: Aktuelle Fritzboxen = 7490. Ein Wechsel auf 7590 war geplant aber ist im Bereich VPN wohl auch zu langsam.
Was mich als Laie beeindruckt ist, dass nur eine Verbindung über VPN aufgebaut wird wenn auf das entfernte Netzwerk zugegriffen wird (Netzwerkfreigabe usw.) Der andere Trafic aber nicht über das VPN geht.
Das wäre eigentlich echt toll. Leider funktioniert es nicht zuverlässig (ist zwischendrinn nicht erreichbar, ka warum) und die Geschwindigkeit lässt echt zu wünschen übrig. Da eh ein Wechsel bevorsteht möchte ich nicht mehr zuviel Zeit in das Fritz VPN investieren.

Eigentlich waren ein bzw. zwei Pi4 mit Wireguard geplant. Nur verstehe ich zuwenig von Linux und wenns nicht gleich auf anhieb nach Anleitung funktioniert wird es meist recht zeitaufwendig. Mal abgesehen davon das die Sicherheit ggf. unter meinem Unwissen leidet.
Deshalb meine Überlegung anstelle der Pi4 einen anderen Router zu nehmen. Zum Besispiel: ASUS RT-AC85P
Der leistet nach Angaben von Hersteller bis 130.000 kBit/s per PPTP hat aber kein Wireguard.
Oder lieber einen mit Wireguard wie GL-iNet S1300 bis 140.000 kBit/s per Wireguard aber kein PPTP.
Die Übersicht der Router habe ich hier gefunden: https://vpntester.de/wlan-router-fuer-vpn-services/
Die Einrichtung wird für mich ja vermutlich einfacher sein auf einer ich klick mich durch Oberfläche ähnlich der Fritzbox.

Wie ist Eure Meinung dazu?

Freundlichst Brati.
 
Zuletzt bearbeitet:
Ich finde Mikrotik recht gut für sowas oder ne Opensense oder IPFire Box als Alternative.
 
chr1zZo schrieb:
oder ne Opensense
Zum Vergrößern anklicken....
Finde ich auch recht schick, allerdings gibt es da nach meiner Erfahrung noch ein paar Krankheiten, wenn man IPv6 nutzt und vom Provider kein statisches Präfix bekommt.

@Brati23 Was für eine Internetanbindung ist auf beiden Seiten vorhanden? In vielen Fällen ist das ja asymetrisch im Down-/Upload und bei einem Tunnel zwischen zwei solcher Systeme begrenzt natürlich der kleinste Upload.

Aktuellste Firmware ist aber drauf? Da haben sie vor kurzem wohl deutlich an der VPN Performance geschraubt.
 
KillerCow schrieb:
ein paar Krankheiten, wenn man IPv6 nutzt
Zum Vergrößern anklicken....
Nutze IPv4
KillerCow schrieb:
Was für eine Internetanbindung ist auf beiden Seiten vorhanden?
Zum Vergrößern anklicken....
Beide VDSL2. Die Geschwindigkeit vom Abo ist in etwa gleich. Ja aktuellste Firmware auf beiden.
Fehler Fritze: IKE-Error 0x2049 Ist noch nicht in den Störungsmeldungen von AVM hinterlegt.
 
Der Pi4 ist auch nur bedingt für Performance geeignet, da er keine AES Extensions aktiv hat, das limitiert die Geschwindigkeit enorm. Das GL-iNet S1300 hat die ziemlich sicher auch nicht (gemäß https://forum.gl-inet.com/t/b1300-vs-s1300/7161), daher würde ich deren Wireguard Benchmarks nicht trauen ;)
Praktisch alle dieser Kisten für Daheim auf ARM Basis haben keine echte Cryptobeschleunigung.
Bei Mikrotik gibts ne liste: https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration
Für dich sind dann prinzipiell die Kisten mit AES-CTR oder -GCM interessant, insb. GCM wenn du einigermaßen zukunftssicher sein willst.
Da gibts nicht viele, von den preiswerteren ggf. https://mikrotik.com/product/rb4011igs_rm

Mit den routern baust ein sauberes IPSEC VPN auf und dann solltest auch deien Probleme mit dem Routing von nicht-vpn in den griff kriegen.
 
@derchris
1613551687150.png

:rolleyes:

Ich kann auch nur empfehlen zu prüfen ob das aktuellste Fritz!OS installiert ist. Der Geschwindigkeitsschub war enorm. Ggf. reicht das ja dann schon?
Edit: sehe gerade erst, dass du die aktuellste Firmware drauf hast, oki, dann kann man das schon mal streichen. :) Dann wäre eine Kiste von Mikrotik wirklich eine Überlegung wert. Ist zwar dann nicht mehr alles so einfach einzustellen wie bei der Fritze, aber kann man sich auch reinfuchsen.
 
Tornhoof schrieb:
Der Pi4 ist auch nur bedingt für Performance geeignet, da er keine AES Extensions aktiv hat, das limitiert die Geschwindigkeit enorm.
Zum Vergrößern anklicken....

Da limitiert aber meist die Internetverbindung bzw. der Upload vorher. Meine 50 Mbit/s schafft mein Pi4 mit Wireguard schon noch und die CPU-Last ist dann immer noch nicht am Anschlag.
Für professionelle symmetrische Anbindungen ist der Pi natürlich nicht gemacht.
 
Die Fritzbox 7590 liefert über VPN seit Firmware 7.20 etwa 50 Mbit/s. Da die meisten Internetanschlüsse <= 50 Mbit/s Upload haben sollte das eigentlich reichen. Bei mir läuft ein Site2Site VPN zwischen zwei Fritzboxen seit ca. einem Jahr völlig problemlos. In meinen Augen eine relativ teure aber unkomplizierte Lösung.

Wenn es dir der Konfigurationsaufwand wert ist bekommst du mit dem Ubiquiti Edgerouter X ca. 200 Mbit/s IPsec Durchsatz für 60€. Ist dann aber ein reiner Router ohne Modem und Wifi.
 
calippo schrieb:
Da limitiert aber meist die Internetverbindung bzw. der Upload vorher. Meine 50 Mbit/s schafft mein Pi4 mit Wireguard schon noch und die CPU-Last ist dann immer noch nicht am Anschlag.
Für professionelle symmetrische Anbindungen ist der Pi natürlich nicht gemacht.
Zum Vergrößern anklicken....
Da hast du natürlich Recht, der OP hat mit 140Mbit angefangen, ich hab nur die Limitierungen aufgeführt.
 
  • Gefällt mir
Reaktionen: calippo
Vielen Dank schonmal für Eure Inputs!
LuckyPeter schrieb:
Die Fritzbox 7590 liefert über VPN seit Firmware 7.20 etwa 50 Mbit/s. Da die meisten Internetanschlüsse <= 50 Mbit/s Upload haben sollte das eigentlich reichen. Bei mir läuft ein Site2Site VPN zwischen zwei Fritzboxen seit ca. einem Jahr völlig problemlos. In meinen Augen eine relativ teure aber unkomplizierte Lösung.
Zum Vergrößern anklicken....
Die Angaben der Router waren nur beispiele. Ich habe ↓ 112,1 Mbit/s↑ 36,3 Mbit/s es könnte aber bald schneller sein da der Aufpreis zum doppelt so schnellen Abo relativ gering ist. Da müssten dann so oder so zwei 7590 hin auf die ich über den Provider für ein einmaliges Entgeld (ca.70Euro pro Router) aufrüsten könnte. Das klingt aber schonmal nicht schlecht mit den 50 Mbit/s. Vieleicht trägt ja auch der IKE-Error 0x2049 zur momentan sehr langsamen Verbindung bei.
Tornhoof schrieb:
Da gibts nicht viele, von den preiswerteren ggf. https://mikrotik.com/product/rb4011igs_rm
Zum Vergrößern anklicken....
Super vielen Dank für die Infos. Schau ich mir auf jeden Fall an. Ist auch entscheiden wie viel und wie komplizierter Konfigurationsaufwand nötig ist. Muss mich einlesen.
chr1zZo schrieb:
Ich finde Mikrotik recht gut für sowas
Zum Vergrößern anklicken....
Danke auch Dir.
 
Zum Thema AVM 7490 und VPN noch ein Bild. Sagt manchmal mehr als 1000 Worte. So siehts zur Zeit bei mir aus beim Transfer 7490-->7490 im VPN LAN-LAN Modus. Neustes OS 07.21 drauf. Fritz-NAS oder ähnliches nicht in Betrieb. Keine andere VPN Verbindung oder sonst massig Trafic am laufen.
Den IKE-Error 0x2049 kennt AVM nach Aussage von deren Support auch nicht. Wenigstens scheint die Verbindung jetzt dank "VPN-Verbindung dauerhaft halten" stabil zu sein. Bei einer direkten Verbindung lade ich mit etwa 36 Mbit/s also mehr als 4MB/s hoch.
Firtz kriecht.png
 
1613584397737.png

Wireguard RPi4 <-> RPi4

wobei das mit dem 3er genau so schnell war, sogar bis 11MB/s.
 
  • Gefällt mir
Reaktionen: Brati23
Ich heul gleich! ;D Sieht schon nett aus mit 10MB/s ^^

Falls Ihr den IKE-Error 0x2049 habt. Ich hatte beim DDNS Anbieter unter der gleichen Subdomain 2 Router hinterlegt die sich nur im Nutzernamen/Pass unterschieden. Das war für DDNS auch ok so, scheinbar für AVM LAN-LAN VPN nicht.
Habe jetzt pro Router eine Subdomain angelegt und in der Fritze entsprechend hinterlegt bei DDNS. Der Fehler ist weg. Geschwindigkeit= Genau gleich -.- :/
 
Zuletzt bearbeitet:
Brati23 schrieb:
Kann das jemand bestätigen?
Edit: https://www.computerbase.de/forum/threads/fritzbox-7490-und-vpn-geschwindigkeit.1741510/
Fazit: Durchzogen.
Zum Vergrößern anklicken....
Der Thread bezieht sich aber auf die 7490, bzw. auf die 7590 vor dem VPN Update.

Ich habe mal einen kurzen Test mit meiner 7590 mit FritzOS 7.21 durchgeführt.
Rahmenbedingungen: Rechner in Universitätsnetz über Shrew Soft VPN mit der Fritzbox verbunden. Fritzbox VDSL synchronisiert mit 215/46.
Ich hab eine 1,5 Gb Videodatei vom NAS heruntergeladen und im Anschluss wieder hochgeladen.
Beim Herunterladen (d.h. Upload an der Fritzbox) erreiche ich etwa 4,8 MB/s was 38,4 Mbit/s entspricht. Beim Hochladen sind es knapp 10 MB/s, also 80 Mbit/s.
Ich vermute, dass beim Herunterladen der Upload limitiert, auch wenn die erreichte Geschwindigkeit etwas unter der synchronisierten Geschwindigkeit liegt. Vielleicht ist die Fritzbox beim Verschlüsseln aber auch langsamer als beim Entschlüsseln.
 

Anhänge

  • FritzVPN_Download.PNG
    FritzVPN_Download.PNG
    9,7 KB · Aufrufe: 251
  • FritzVPN_Upload.PNG
    FritzVPN_Upload.PNG
    10 KB · Aufrufe: 243
  • Gefällt mir
Reaktionen: Brati23
Vielen Dank für die Infos. Wäre mir eigentlich schon am liebsten mit zwei Fritzboxen und das würde reichen.
LuckyPeter schrieb:
Bei mir läuft ein Site2Site VPN zwischen zwei Fritzboxen seit ca. einem Jahr völlig problemlos.
Zum Vergrößern anklicken....
Site2Site ist nicht VPN LAN-LAN der Fritze?
Edit: Mit Fritz Fernzugang vom PC aus komme ich auf 3-5 MB/s. Nur VPN LAN-LAN klemmt es irgendwie.

Nebenbei. Mir ist gerade der Werbebanner hier aufgefallen. Ist Mediamarkt bei Euch heute auch so "günstig"?
 

Anhänge

  • Mediamarkt.png
    Mediamarkt.png
    53,7 KB · Aufrufe: 271
Zuletzt bearbeitet:
Brati23 schrieb:
...

Site2Site ist nicht VPN LAN-LAN der Fritze?
Edit: Mit Fritz Fernzugang vom PC aus komme ich auf 3-5 MB/s. Nur VPN LAN-LAN klemmt es irgendwie.
...
Zum Vergrößern anklicken....

Site2Site ist nur ein anderer Begriff für das was in der Fritzbox Oberfläche LAN-LAN-Kopplung oder so ähnlich heißt.
Dass die Verbindung zum anderen LAN langsamer wäre als zu einem Rechner ist mir noch nicht aufgefallen, hab ich aber ehrlich gesagt noch nicht getestet. Im Prinzip sollte der Fritzbox aber egal sein mit wem sie einen IPSec Tunnel aufbaut..
Wenn aber deine Fritzbox schon 3-5 MB/s zum Fritz Fernzugang schafft, dann solltest du lieber schauen wo dein IKE Fehler herkommt, bevor du eine neue Fritzbox anschaffst, denn mit 5 MB/s ist dein Upload sowieso schon nahezu ausgelastet.
 
Danke für den Input. Den IKE Fehler habe ich behoben siehe Post #15.
Kann auch sein, dass dieser entstand weil ich ja das Subnetz von 192.168.178.0 auf 192.168.XXX.0 wechseln musste und die NAS noch nicht neugestartet waren. Somit hatte ich da eine IPv6 drin. Nach Neustart der NAS und dem ändern der Subdomain beim DDNS Anbieter war Ruhe.
Falls Du mal dazu kommst ein File über das LAN-LAN zu transferieren und die Geschwindigkeit anzugeben wäre es natürlich toll.
Komisch das beim "Site2Site" nur so wenig durchgeht. Werde mal noch etwas rumprobieren oder ggf. einen neuen Beitrag machen. Vielleicht hat ja noch jemand VPN LAN-LAN mit der neusten Firmware auf der Fritze laufen. Optimal 7490.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz