Standorte vernetzen ohne Public IP
Hallo zusammen,
ich habe folgendes Szenario, für das ich eine Lösung benötige:
Ich habe eine Wohnung, in der sich nur ein einfacher mit anderen Wohnungen geteilter Internetanschluss befindet. Folglich wird NAT genutzt und ich erhalte nur eine interne IP, sodass es nicht möglich ist Portfreigaben anzulegen, da ich auf die entsprechende Firewall keinen Zugriff habe.
Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss, auf dem ich auch Portfreigaben etc. einrichten kann.
Die Wohnung nutzt jetzt das Subnet 192.168.0.0/24 und der zweite Standort das Subnet 192.168.1.0/24. Jetzt möchte ich quasi einen Side-To-Side VPN anlegen.
Wie ich es bisher habe:
Ich nutze dafür aktuell einen OpenVPN Server auf einem VServer. An beiden Standorten befinden sich Raspberry PIs 3, die jeweils eine IP aus dem VPN Subnet 10.8.0.0/24 erhalten. Dann habe ich den Clients jeweils die Route gepusht für das andere Subnetz und im Gateway eine Statische Route zum Raspberry angelegt. Somit kann ich jetzt von der Wohnung auf das Subnetz am zweiten Standort zugreifen und umgekert, sprich ein Computer in der Wohnung kann z.B. einen anderen Computer am zweiten Standort erreichen. Das funktioniert auch sehr zuverlässig. Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s, was insbesondere für Dateiübertragungen und Remote Desktop zwischen den Netzen relativ wenig ist. Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.
Gibt es hier Optimierungsmöglichkeiten oder ganz andere Verfahren um so etwas umzusetzen?
Oder ggf. andere Hardware, die möglichst Lüfterlos und nicht zu teuer ist? Ist man da mit PfSense Hardware besser beraten?
Ich habe es auch bereits mit IPSec ausprobiert. Hier habe ich den IPSec Server mit IKEv2 auf dem VServer installiert und einen Raspberry PI als Road Warrior konfiguriert, sodass der eine Virtuelle IP erhält. Dem Server habe ich auch eine IP aus dem identischen Subnetz gegeben. Somit habe ich zumindest schon einmal erreicht, dass meine beiden Road Warrior miteinander kommunizieren können. Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten. Allerdings finde ich keine Dokumentation darüber ob es nun auch möglich ist das Subnetz hinter einem Road Warrior dem anderen Road Warrior verfübar zu machen. Ich muss dazu sagen, dass ich gerade dabei bin mich in IPSec einzulesen und die Erfahrungen dementsprechend damit noch relativ begrenzt ist. Deswegen erst einmal die generelle Frage, ob dieses Szenario so überhaupt umsetzbar ist? Site-To-Site fällt ja gerade leider weg, weil die eine Seite hinter einem NAT sitzt und somit nicht direkt mit der Public IP angesprochen werden kann.
Über entsprechende Anworten und Anregungen würde ich mich freuen.
ich habe folgendes Szenario, für das ich eine Lösung benötige:
Ich habe eine Wohnung, in der sich nur ein einfacher mit anderen Wohnungen geteilter Internetanschluss befindet. Folglich wird NAT genutzt und ich erhalte nur eine interne IP, sodass es nicht möglich ist Portfreigaben anzulegen, da ich auf die entsprechende Firewall keinen Zugriff habe.
Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss, auf dem ich auch Portfreigaben etc. einrichten kann.
Die Wohnung nutzt jetzt das Subnet 192.168.0.0/24 und der zweite Standort das Subnet 192.168.1.0/24. Jetzt möchte ich quasi einen Side-To-Side VPN anlegen.
Wie ich es bisher habe:
Ich nutze dafür aktuell einen OpenVPN Server auf einem VServer. An beiden Standorten befinden sich Raspberry PIs 3, die jeweils eine IP aus dem VPN Subnet 10.8.0.0/24 erhalten. Dann habe ich den Clients jeweils die Route gepusht für das andere Subnetz und im Gateway eine Statische Route zum Raspberry angelegt. Somit kann ich jetzt von der Wohnung auf das Subnetz am zweiten Standort zugreifen und umgekert, sprich ein Computer in der Wohnung kann z.B. einen anderen Computer am zweiten Standort erreichen. Das funktioniert auch sehr zuverlässig. Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s, was insbesondere für Dateiübertragungen und Remote Desktop zwischen den Netzen relativ wenig ist. Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.
Gibt es hier Optimierungsmöglichkeiten oder ganz andere Verfahren um so etwas umzusetzen?
Oder ggf. andere Hardware, die möglichst Lüfterlos und nicht zu teuer ist? Ist man da mit PfSense Hardware besser beraten?
Ich habe es auch bereits mit IPSec ausprobiert. Hier habe ich den IPSec Server mit IKEv2 auf dem VServer installiert und einen Raspberry PI als Road Warrior konfiguriert, sodass der eine Virtuelle IP erhält. Dem Server habe ich auch eine IP aus dem identischen Subnetz gegeben. Somit habe ich zumindest schon einmal erreicht, dass meine beiden Road Warrior miteinander kommunizieren können. Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten. Allerdings finde ich keine Dokumentation darüber ob es nun auch möglich ist das Subnetz hinter einem Road Warrior dem anderen Road Warrior verfübar zu machen. Ich muss dazu sagen, dass ich gerade dabei bin mich in IPSec einzulesen und die Erfahrungen dementsprechend damit noch relativ begrenzt ist. Deswegen erst einmal die generelle Frage, ob dieses Szenario so überhaupt umsetzbar ist? Site-To-Site fällt ja gerade leider weg, weil die eine Seite hinter einem NAT sitzt und somit nicht direkt mit der Public IP angesprochen werden kann.
Über entsprechende Anworten und Anregungen würde ich mich freuen.
Please also mark the comments that contributed to the solution of the article
Content-ID: 381296
Url: https://administrator.de/contentid/381296
Printed on: December 2, 2024 at 13:12 o'clock
11 Comments
Latest comment
Hallo,
Ist das der Download von dein VPN Standort mit seinen 50 MBit/s Download und seinen max. 10 MBit/s Upload? Dann ist doch alles gut. Oder ist das dein Download in deiner Wohnung wo du einen ? Down und ? Upload hast. Oder wird dein Internet daheim auch über deinen VPN Tunnel der Firma abgefackelt und begrenzt dadurch auf seine 10 MBit/s, aber das kann ja nicht sein wenn du zwischen 12 MBit/s und 15 MBit/s als Bandbreite erreichst. Du siehst, es kommt drauf an
ermöglichen. Oder meinst du dein Anschluß daheim wo du einen ?/? downlaod/Upload haben soö
Gruß,
Peter
Zitat von @Waishon:
Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss,
Also dort dann 50 MBit/s Download und nur 10 MBit/s Upload, richtig?Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss,
Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s
Wo gemessen?Ist das der Download von dein VPN Standort mit seinen 50 MBit/s Download und seinen max. 10 MBit/s Upload? Dann ist doch alles gut. Oder ist das dein Download in deiner Wohnung wo du einen ? Down und ? Upload hast. Oder wird dein Internet daheim auch über deinen VPN Tunnel der Firma abgefackelt und begrenzt dadurch auf seine 10 MBit/s, aber das kann ja nicht sein wenn du zwischen 12 MBit/s und 15 MBit/s als Bandbreite erreichst. Du siehst, es kommt drauf an
Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.
Du wirst niemals eine upload bzw. Download geschwindigkeit von max. 40 MBit/s erreichen, nicht bei nur einen Download. Bei zewi getrennten kann jeder aber nur max. 10 MBit/s an dein Firmenstandort hochgeladen werden und kommen jeweil mit max. 10 MBit/s bei dir an, oder nutzt du 4 gleiczeitige Kanäle, trotzdem wird an dein Firmenstandort mit seine 50/10 dir keine 40 MBit/s an upload dort llst?ermöglichen. Oder meinst du dein Anschluß daheim wo du einen ?/? downlaod/Upload haben soö
Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten.
Bedenke der eine Upload ist der andere sein Download...Site-To-Site fällt ja gerade leider weg
Warum? Lass die Seite wo du hinter nat sitzt doch den Tunnel aufbauen.Gruß,
Peter
Moin,
Die beschränkenden Faktoren sind:
Je nachdem, welcher Werte Du hast, und in welche Richtugn Du mißt sind "gemessene" "15Mbps bei 10 Mbps Upload schon ein sehr guter Wert. Jedenfalls kannst Du im wesentlichen nicht schneller werden als die Leitung hergibt.
Der ist ganz praktisch wenn man ein günstiges Allerweltsgerät braucht und es nicht so sehr auf die Performance ankommt. Wenn man mehr will muß man etwas schnelleres nehmen.
Hier hängt es im wesentlichen davon ab, ob eine hardwarebeschleunigung für die Protokolle vorhanden ist.
Wenn Dein Provider traffic-shaping macht, kommst Du ggf gar nicht an die Linkraten ran.
lks
Die beschränkenden Faktoren sind:
- Der jeweilige upload/download des Anschlusses.
Je nachdem, welcher Werte Du hast, und in welche Richtugn Du mißt sind "gemessene" "15Mbps bei 10 Mbps Upload schon ein sehr guter Wert. Jedenfalls kannst Du im wesentlichen nicht schneller werden als die Leitung hergibt.
- Der RasPi.
Der ist ganz praktisch wenn man ein günstiges Allerweltsgerät braucht und es nicht so sehr auf die Performance ankommt. Wenn man mehr will muß man etwas schnelleres nehmen.
- Protokoll
Hier hängt es im wesentlichen davon ab, ob eine hardwarebeschleunigung für die Protokolle vorhanden ist.
- Der Provider
Wenn Dein Provider traffic-shaping macht, kommst Du ggf gar nicht an die Linkraten ran.
lks
Hallo,
Gruß,
Peter
Zitat von @Waishon:
In der Wohnung habe ich eine Internetleitung von 100Mbit/s Download und 40Mbit/s Upload
OK 100/40In der Wohnung habe ich eine Internetleitung von 100Mbit/s Download und 40Mbit/s Upload
der VServer hat eine symetrische 1Gbit/s Anbindung mit effektiv 500Mbit/s Durchsatz
Und dieser befindet sich in dein LAN oder wo?Der zweite Standort hat eine 50Mbit/s Download und 10 Mbit/s Upload Anbindung.
OK 50/10Die 12-15Mbit/s kommen mit Iperf zwischen dem Raspberry PI in der Wohnung und dem VServer zur Stande.
Wo steht dein vServer? Beim ISP oder in dein LAN?Gruß,
Peter
Wenn du eh Rechner nutzt kannst du z.B. problemlos Openvpn nehmen. Mache ich hier auch: Auf einer Seite habe ich nur ne interne IP mit NAT, auf der anderen habe ich ne feste IP (wobei nen dynamischer Hostname auch kein Ding wäre).
Die NAT-Seite baut halt immer beim Verbindungswechsel (passiert hier naturgemäß häufiger) die Verbindung nach einigen Minuten wieder auf und alles gut. OpenVPN noch eben erklärt das es auch routen darf (via Linux-OS kein Problem) -> fertig... Ich weiss somit immer welche IP die Gegenstelle hat (sind um die 60) und kann von jedem Teilnehmer im VPN auf jeden Teilnehmer springen. Mit etwas Routing am OpenVPN-Server geht dann auch das ganze Subnetz (oder mehrere) ohne Probleme..
Die NAT-Seite baut halt immer beim Verbindungswechsel (passiert hier naturgemäß häufiger) die Verbindung nach einigen Minuten wieder auf und alles gut. OpenVPN noch eben erklärt das es auch routen darf (via Linux-OS kein Problem) -> fertig... Ich weiss somit immer welche IP die Gegenstelle hat (sind um die 60) und kann von jedem Teilnehmer im VPN auf jeden Teilnehmer springen. Mit etwas Routing am OpenVPN-Server geht dann auch das ganze Subnetz (oder mehrere) ohne Probleme..
Der Bottleneck wird der LAN Anschluss sein, da er mit dem USB chip verbunden ist.
Kannst ja mal testen, wie schnell du Daten auf den RPI bekommst, wenn du diese per LAN mit einem einfachen Protokoll (ftp, nfs) überträgst
Da hier noch zusätzlich Verschlüsselung hinzukommt, wird zudem die CPU stark beansprucht
Kannst ja mal testen, wie schnell du Daten auf den RPI bekommst, wenn du diese per LAN mit einem einfachen Protokoll (ftp, nfs) überträgst
Da hier noch zusätzlich Verschlüsselung hinzukommt, wird zudem die CPU stark beansprucht
Zitat von @Waishon:
Vielen Dank!
Ich hatte von Wireguard mal auf einem CCC Talk gehört aber nicht dran gedacht. Das ist echt genial, super einfach und Performant. Die routen kann man einfach mit AllowedIPs konfigurieren.
Auf einem Edgerouter-Lite schafft man ca. 50Mbit/s, was im Vergleich zu 8Mbit/s OpenVPN extrem schnell ist.
Auf dem Raspberry 2 schaffe ich ca. 90Mbit/s. Dann läuft die CPU auf 100%. Im Vergleich zu den 12-15MBit/s über VPN ist das sehr schnell. Die neueren Modelle schaffen da vermutlich nochmal nen Stück mehr.
So habe ich jetzt einen einfachen aber schnellen Tunnel.
Natürlich ist Wireguard aktuell in einer frühen Phase und es fehlt noch ein offizieller Wireguard Windows Client (Der Tunsafe Client funktioniert aber aktuell auch). Bisher konnte ich aber keine Instabilität feststellen.
Vielen Dank!
Ich hatte von Wireguard mal auf einem CCC Talk gehört aber nicht dran gedacht. Das ist echt genial, super einfach und Performant. Die routen kann man einfach mit AllowedIPs konfigurieren.
Auf einem Edgerouter-Lite schafft man ca. 50Mbit/s, was im Vergleich zu 8Mbit/s OpenVPN extrem schnell ist.
Auf dem Raspberry 2 schaffe ich ca. 90Mbit/s. Dann läuft die CPU auf 100%. Im Vergleich zu den 12-15MBit/s über VPN ist das sehr schnell. Die neueren Modelle schaffen da vermutlich nochmal nen Stück mehr.
So habe ich jetzt einen einfachen aber schnellen Tunnel.
Natürlich ist Wireguard aktuell in einer frühen Phase und es fehlt noch ein offizieller Wireguard Windows Client (Der Tunsafe Client funktioniert aber aktuell auch). Bisher konnte ich aber keine Instabilität feststellen.
Das bestätigt meine Vermutung ;)
Ich habe das System bisher nur kurz getestet.
Super das klappt und ich bin gespannt wann das Projekt denn mal final released wird.