Wie binde ich Geräte ohne VPN client in ein VPN ein?

[Seppuku]

Hallo zusammen,

da ich mit meiner Familie zusammen für eine Zeit ins Nicht-EU-Ausland gehe, kam die Frage auf, welche Wege ist gibt, lokale Dienste, die wir hier in Deutschland weiter bezahlen, noch nutzen können. Bei den Diensten geht es primär um Video-/Musikstreaming (gerade für die Kinder sind die deutschen Kinderlieder von Vorteil). Auf meiner Fritzbox 7490 ist VPN eingerichtet und funktioniert auch, sofern ich mich mit Android-Geräten/Windowsgeräten entsprechend verbinde. Leider bieten nicht alle Geräte (Amazon Echo, FireTV und einige Geräte der Kinder) diese Möglichkeit an.
Gibt es eine Möglichkeit, z.B. die vorhandenen Android-Geräte/Windowsrechner als "VPN Router" zu nutzen, der ein VPN aufspannt auf das sich dann die anderen Geräte per WLAN verbinden?
Es sollte idealerweise eine routerunabhängige Lösung sein, da ich auch den Router der Wohnung keinen Zugriff haben werde und die Fritzbox für "zu Hause" benötigt wird (und ich idealerweise kein extra Gerät anschaffen wollte).

Vielen Dank und einen schönen Feiertag!

 

[Korben2206]

Ich habe es noch nicht ausprobiert, aber du kannst unter Android ja einen Hotspot erstellen (damit können andere Geräte über das Handy ins Internet). Ich weiß aber nicht ob das auch funktioniert wenn eine VPN-Verbindung auf dem Handy aktiv ist...

 

[redjack1000]

und ich idealerweise kein extra Gerät anschaffen wollte

Ohne Router bzw. VPN-Gateway wird das nicht funktionieren. Das Gateway muss aber keine Hardware sein, kann also auch per Virtueller Maschine abgebildet werden.

CU
redjack

 

[cloudman]

Ich verwende Tailscale mit einem subnetz routing.
https://tailscale.com/kb/1019/subnets/

 

[ika2k]

Zwischenzeitlich können das auch Fritzboxen mit Ihrer LAN-LAN Kopplung

 

[madmax2010]

als router: https://store.gl-inet.com/products/gl-mt300n-v2-mini-smart-router
als firmware: https://openwrt.org/toh/gl.inet/gl-mt300n_v2

und den dann ins VPN haengen , dann als wifi bridge oder AP nutzen und gut ist

 

[norKoeri]

ich idealerweise kein extra Gerät anschaffen wollte

Wie ika2k schrieb, entweder eine gebrauchte FRITZ!Box (die FRITZ!Box 7412 ist klein und kostet keine 20 € in eBay). oder Du holst Dir einen WLAN-Router mit Wireguard bereits an Bord, z. B. GL.iNet. Einmal einrichten. WLAN auf den Endgeräten einrichten oder per LAN verbinden. Einstecken. Fertig. Bekommst Du in deren Amazon Store (alternativer Hyperlink) oder fast geschenkt, wenn jemand in einer eBay-Auktion seinen weitergibt …

Upps: Hat sich mit madmax2010 überschnitten.

 

[Seppuku]

Vielen Dank für die Antworten!

@Korben2206
Ich habe das schon einmal versucht, das hat aber nicht funktioniert.

@redjack1000
Die virtuelle Maschine ist ein guter Hinweis. Ich werde es mir einmal anschauen.

@madmax2012 und @norKoeri
Der GL.iNet Router sieht gut aus. Ich konnte aber nichts finde, dass er IPSec unterstützt (das wiederum nur die 7490 kann).
Ich hätte noch eine (ur)alte 7390. Eventuell ist das eine Option?

 

[madmax2010]

darum openwrt
https://openwrt.org/docs/guide-user/services/vpn/strongswan/site2site

 

[Seppuku]

@madmax2010
Danke . Hatte das übersehen.

 

[norKoeri]

IPSec

Guter Punkt. Irgendwie die „FRITZ!Box 7490“ überlesen. Wir müssen abwarten, ob jenes Modell noch das nächste FRITZ!OS-Update bzw. Wireguard durch AVM spendiert bekommt. Aber wenn Euch VPN wirklich wichtig ist, würde ich bis kurz vor Abreise warten. Kommt die FRITZ!Box 7490 nicht in den Genuss, verkaufen und FRITZ!Box 7530 holen … Wireguard ist einfach wahnsinnig viel schneller. Und Dein Router im Ausland wird es kaum blocken (was bei IPSec gerne mal versehentlich passiert; siehe Nachbar-Thread).

Allerdings haben die GL.iNets sogar bereits (ein durch Binaries angepasstes) OpenWrt drauf, LuCI als Web-Oberfläche, SSH-Kommandozeile und sogar OpenWrt-Packages. Dann aber bitte nicht einen GL.iNet mit dem kleinsten Fest-Speicher (oder den Speicher über USB erweitern). Muss aber ehrlich sein, dass ich StrongSwan noch nicht auf meinem GL.iNet mit Stock-Firmware probiert habe.

 

[Seppuku]

@norKoeri

Ich hatte lange gehofft, dass das Update noch rechtzeitig kommt. Da es aber in 2 Wochen losgeht, glaube ich nicht mehr daran .

Was ich jetzt noch gelesen habe: Die Fritzbox 7490 unterstützt kein IKEv2/IPsec. Was ab Android 12 Probleme bereiten kann...
Habe mich jetzt entschlossen, meine NAS doch laufen zu lassen und habe jetzt einen OpenVPN server (in Docker) installiert. Das unterstützt der GL.iNet Router ja auch. Die Performance der NAS (Core i3 Basis) ist deutlich besser als die der Fritzbox.
Gibt es relevante Nachteile von OpenVPN zu Wireshark?

 

[omavoss]

Gibt es relevante Nachteile von OpenVPN zu Wireshark?

Ja. Google hilft.

 

[madmax2010]

Habe mich jetzt entschlossen, meine NAS doch laufen zu lassen und habe jetzt einen OpenVPN server (in Docker) installiert. Das unterstützt der GL.iNet Router ja auch.

naaaaah, dann direkt wireguard. Take my hand. Komm in die Zukunft
Es ist viel einfacher und schneller.
https://snippets.khromov.se/wireguard-performance-on-the-low-end-gl-inet-gl-ar150-mini-router/


Hiermit habe ich damals angefangen: https://stanislas.blog/2019/01/how-to-setup-vpn-server-wireguard-nat-ipv6/
Auch hilfreich:
https://www.thomas-krenn.com/de/wiki/WireGuard_Grundlagen

 

[norKoeri]

Gibt es relevante Nachteile von OpenVPN zu [Wireguard]?

Du meinst Wireguard? Aber der Vertipper passiert mir auch noch ständig.

Wenn Du auf GL.iNet die einzelnen Produkte öffnest, siehst Du unten links ein Balken-Diagramm für beides. Ich hoffe Du hast daheim DSL100 (oder besser) mit seinen 40 Mbit/s Upload. Du müsstest mit OpenVPN mindestens einen GL.iNet Brume nehmen. Technische Nachteile wüsste ich bei OpenVPN außer der Geschwindigkeit jetzt keine weiteren Nachteile, jedenfalls keine wie bei IPSec bzw. IKEv2. Aber vielleicht weiß jemand noch was?

Übrigens: Hast Du nur DSL50 (oder langsamer) mit seinen 10 Mbit/s Upload wird das für Video schwierig. HD-TV ist dann nicht mehr. Wenn die Kinder (bereits in dem Alter sind und) nicht mehr gemeinsam sondern Unterschiedliches konsumieren wollen, wird es mit 10 Mbit/s sowieso schwierig.

 

[Seppuku]

Hallo zusammen,

eine eine etwas verspätete Rückmeldung von mir (der Umzug mit Kindern ist doch nicht so einfach und lässt nicht so viel Zeit für andere Nebenprojekte ).
Ich bin dem Vorschlag von @norKoeri und @madmax2010 gefolgt und habe mir einen GL-MT300N-V2 geholt.
In der Zwischenzeit habe ich auch Wireguard eingerichtet, @madmax2010 . Der Wireguard-Server so wie der OpenVPN-Server läuft in einem Docker-Contnainer auf der NAS (OpenMediaVault mit einem Intel Core i3 6100).
Bisher funktioniert alles so wie gewünscht. FireTV/SmartSpeaker gehen über den Router ins Internet und wir haben alle deutschen Kinderserien und Lieder.
Was mich ein bisschen wundert ist aber die relativ schlechte Performance unabhängig vom verwendeten VPN-Typ.
IPSec: ca. 7-8 mbit in beide Richtungen
OpenVPN: 8-12 mbit in beide Richtungen
Wireguard: 10-14 mbit in beide Richtungen
Irgendwie alles relativ ähnlich. Die Ergebnisse wurden per speedtest.net ermittelt. Aber auch das Kopieren von der WIndows-Netzwerkfreigabe ergibt eine Nettoübertragungsrate von unter 1 MB/s.

Für die oben beschriebenen Anwendungsfälle ausreichend, aber wenn ich Fotos sichern will, ist das schon etwas langsam.
Internetverbindung zu Hause: 100 mbit down/40 mbit up
Internetverbindung hier: > 400 mbit down/400 mbit up
Zu Hause ist alles per Kabel verbunden. Hier habe ich es per Kabel, direkter Verbindung (ohne dem GLiNet Router) und von verschiedenen Geräten probiert. Aber immer sehr ähnliche Ergebnisse.
Irgendwie bin ich etas ratlos, an was es liegt.
Hat hier vielleicht jemand eine Idee, an was es liegen könnte?

 

[norKoeri]

GL-MT300N-V2

Für IPSec und OpenVPN normal … WireGuard ist bei Dir doppelt so schnell, sollte aber noch schneller … merkwürdig. Hast Du noch die original Firmware drauf oder bist Du zu OpenWrt gewechselt?

Wenn Du noch die original Firmware hast, dann mal in deren Community-Forum fragen … vielleicht gibt es einen Software-Bug mit dem Chipsatz MediaTek. Habe selbst nur Qualcomm. Wenn es zu langsam bleibt, dann doch vielleicht bereits oben erwähnten GL.iNet Brume (oder noch schneller)?

 

[Seppuku]

@norKoeri

Danke für deine Antwort. Ich habe die Originalfirmware drauf.
Selbst wenn ich den Wireguard Window-Client benutze, erreiche vergleichbar niedrige Transferrraten wie mit dem GL.iNet-Router. Deswegen würde ich fast ausschließen, dass es am GL.iNet-Router liegt.
Ich habe verschiedene Clients ausprobiert (z.B. Galaxy S7+, verschiedene Android Handys und den GL.iNet-Router sowie ein aktuelles Windows-Notebook). Überall sehr ähnliche Ergebnisse. Egal ob Wireguard oder OpenVPN.
Es sieht für mich eher danach aus, dass es am Server liegt. Wobei der von der Rechenleistung her die Übertragung nicht auf diesem Niveau limitieren sollte und auch während der Übertragung die CPU nicht annähernd ausgelastet ist.

 

[norKoeri]

Ja, das klingt für mich dann auch nach dem Server. Das mal in einem WireGuard-zentrierten Forum oder in einem neuen Thread thematisieren. Vielleicht klappt auf dem Server die Hardware-Beschleunigung warum auch immer nicht. Und/oder Du bist in irgendeinem Spezial-Modus, weil die Schlüssel abnorm bzw. zu groß sind.

während der Übertragung die CPU nicht annähernd ausgelastet ist.

OK. Als Anmerkung: Du musst immer auf einen CPU-Thread schauen, denn WireGuard kann technisch eine Verbindung nicht auf mehrere CPUs verteilen. Wäre mir jedenfalls neu. Anders formuliert: Jede Verbindung bleibt auf einem CPU-Thread. Dessen Auslastung und nicht die Gesamt-Auslastung musst Du überprüfen.

 

[Seppuku]

Vielen Dank für deine Hilfe, @norKoeri.
Ich werde mal einen neuen Thread aufmachen. Vielleicht hat noch jemand einen Hinweis oder eine Idee, woran es liegen könnte.