waishon
Goto Top

Standorte vernetzen ohne Public IP

Hallo zusammen,

ich habe folgendes Szenario, für das ich eine Lösung benötige:
Ich habe eine Wohnung, in der sich nur ein einfacher mit anderen Wohnungen geteilter Internetanschluss befindet. Folglich wird NAT genutzt und ich erhalte nur eine interne IP, sodass es nicht möglich ist Portfreigaben anzulegen, da ich auf die entsprechende Firewall keinen Zugriff habe.

Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss, auf dem ich auch Portfreigaben etc. einrichten kann.
Die Wohnung nutzt jetzt das Subnet 192.168.0.0/24 und der zweite Standort das Subnet 192.168.1.0/24. Jetzt möchte ich quasi einen Side-To-Side VPN anlegen.

Wie ich es bisher habe:
Ich nutze dafür aktuell einen OpenVPN Server auf einem VServer. An beiden Standorten befinden sich Raspberry PIs 3, die jeweils eine IP aus dem VPN Subnet 10.8.0.0/24 erhalten. Dann habe ich den Clients jeweils die Route gepusht für das andere Subnetz und im Gateway eine Statische Route zum Raspberry angelegt. Somit kann ich jetzt von der Wohnung auf das Subnetz am zweiten Standort zugreifen und umgekert, sprich ein Computer in der Wohnung kann z.B. einen anderen Computer am zweiten Standort erreichen. Das funktioniert auch sehr zuverlässig. Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s, was insbesondere für Dateiübertragungen und Remote Desktop zwischen den Netzen relativ wenig ist. Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.

Gibt es hier Optimierungsmöglichkeiten oder ganz andere Verfahren um so etwas umzusetzen?
Oder ggf. andere Hardware, die möglichst Lüfterlos und nicht zu teuer ist? Ist man da mit PfSense Hardware besser beraten?

Ich habe es auch bereits mit IPSec ausprobiert. Hier habe ich den IPSec Server mit IKEv2 auf dem VServer installiert und einen Raspberry PI als Road Warrior konfiguriert, sodass der eine Virtuelle IP erhält. Dem Server habe ich auch eine IP aus dem identischen Subnetz gegeben. Somit habe ich zumindest schon einmal erreicht, dass meine beiden Road Warrior miteinander kommunizieren können. Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten. Allerdings finde ich keine Dokumentation darüber ob es nun auch möglich ist das Subnetz hinter einem Road Warrior dem anderen Road Warrior verfübar zu machen. Ich muss dazu sagen, dass ich gerade dabei bin mich in IPSec einzulesen und die Erfahrungen dementsprechend damit noch relativ begrenzt ist. Deswegen erst einmal die generelle Frage, ob dieses Szenario so überhaupt umsetzbar ist? Site-To-Site fällt ja gerade leider weg, weil die eine Seite hinter einem NAT sitzt und somit nicht direkt mit der Public IP angesprochen werden kann.

Über entsprechende Anworten und Anregungen würde ich mich freuen.

Content-ID: 381296

Url: https://administrator.de/contentid/381296

Printed on: December 2, 2024 at 13:12 o'clock

certifiedit.net
certifiedit.net Jul 25, 2018 at 16:29:31 (UTC)
Goto Top
Hallo,

du brauchst einfach mehr Power. Die zwei RPi liefern einfach nicht mehr.

LG
Waishon
Waishon Jul 25, 2018 at 16:36:52 (UTC)
Goto Top
Danke für die Antwort.
Ja das stimmt face-smile Die Frage ist wo das Bottle Neck ist. Kann der PI nicht mehr Packets per Second weiterleiten oder kann der die Pakete nicht schnell genug verschlüsseln. Letzteres könnte man ja ggf. durch entsprechend andere/schneller Verschlüsselungsalgorithmen optimieren, oder? Mir geht es ja nicht unbedingt um die Verschlüsselung, sondern einfach um das "Tunneln". Das Verschlüsseln ist eher ein netter Nebeneffekt :D
Pjordorf
Pjordorf Jul 25, 2018 at 16:37:35 (UTC)
Goto Top
Hallo,

Zitat von @Waishon:
Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss,
Also dort dann 50 MBit/s Download und nur 10 MBit/s Upload, richtig?

Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s
Wo gemessen?
Ist das der Download von dein VPN Standort mit seinen 50 MBit/s Download und seinen max. 10 MBit/s Upload? Dann ist doch alles gut. Oder ist das dein Download in deiner Wohnung wo du einen ? Down und ? Upload hast. Oder wird dein Internet daheim auch über deinen VPN Tunnel der Firma abgefackelt und begrenzt dadurch auf seine 10 MBit/s, aber das kann ja nicht sein wenn du zwischen 12 MBit/s und 15 MBit/s als Bandbreite erreichst. Du siehst, es kommt drauf an face-smile

Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.
Du wirst niemals eine upload bzw. Download geschwindigkeit von max. 40 MBit/s erreichen, nicht bei nur einen Download. Bei zewi getrennten kann jeder aber nur max. 10 MBit/s an dein Firmenstandort hochgeladen werden und kommen jeweil mit max. 10 MBit/s bei dir an, oder nutzt du 4 gleiczeitige Kanäle, trotzdem wird an dein Firmenstandort mit seine 50/10 dir keine 40 MBit/s an upload dort llst?
ermöglichen. Oder meinst du dein Anschluß daheim wo du einen ?/? downlaod/Upload haben soö

Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten.
Bedenke der eine Upload ist der andere sein Download...

Site-To-Site fällt ja gerade leider weg
Warum? Lass die Seite wo du hinter nat sitzt doch den Tunnel aufbauen.

Gruß,
Peter
Waishon
Waishon Jul 25, 2018 at 17:13:07 (UTC)
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Waishon:
Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss,
Also dort dann 50 MBit/s Download und nur 10 MBit/s Upload, richtig?

Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s
Wo gemessen?
Ist das der Download von dein VPN Standort mit seinen 50 MBit/s Download und seinen max. 10 MBit/s Upload? Dann ist doch alles gut. Oder ist das dein Download in deiner Wohnung wo du einen ? Down und ? Upload hast. Oder wird dein Internet daheim auch über deinen VPN Tunnel der Firma abgefackelt und begrenzt dadurch auf seine 10 MBit/s, aber das kann ja nicht sein wenn du zwischen 12 MBit/s und 15 MBit/s als Bandbreite erreichst. Du siehst, es kommt drauf an face-smile

Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.
Du wirst niemals eine upload bzw. Download geschwindigkeit von max. 40 MBit/s erreichen, nicht bei nur einen Download. Bei zewi getrennten kann jeder aber nur max. 10 MBit/s an dein Firmenstandort hochgeladen werden und kommen jeweil mit max. 10 MBit/s bei dir an, oder nutzt du 4 gleiczeitige Kanäle, trotzdem wird an dein Firmenstandort mit seine 50/10 dir keine 40 MBit/s an upload dort llst?
ermöglichen. Oder meinst du dein Anschluß daheim wo du einen ?/? downlaod/Upload haben soö
In der Wohnung habe ich eine Internetleitung von 100Mbit/s Download und 40Mbit/s Upload, der VServer hat eine symetrische 1Gbit/s Anbindung mit effektiv 500Mbit/s Durchsatz. Der zweite Standort hat eine 50Mbit/s Download und 10 Mbit/s Upload Anbindung.

Die 12-15Mbit/s kommen mit Iperf zwischen dem Raspberry PI in der Wohnung und dem VServer zur Stande. Dabei ist der VServer der iperf client und der Raspberry PI der Server. Somit wird der Traffic vom Client zum Server übertragen. Sprich der limitiertende Faktor ist hier die 50Mbit/s Download der Wohnung, da der Upload des Servers schnell genug ist. Somit muss der PI, wie @certifiedit.net bereits geschrieben hat der limitierende Faktor sein face-smile

Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten.
Bedenke der eine Upload ist der andere sein Download...

Gleiche Testkonstellation mit IPSec, somit habe ich fast die Effektive Bandbreite erhalten, die mein Download bereitstellt.

Site-To-Site fällt ja gerade leider weg
Warum? Lass die Seite wo du hinter nat sitzt doch den Tunnel aufbauen.
Soweit ich das verstanden habe, muss auch auf der Clientseite eine Portweiterleitung existieren. Dies ist aber hier nicht möglich. Oder habe ich da einen Denkfehler?
Lochkartenstanzer
Lochkartenstanzer Jul 25, 2018 updated at 17:25:42 (UTC)
Goto Top
Moin,

Die beschränkenden Faktoren sind:

  • Der jeweilige upload/download des Anschlusses.

Je nachdem, welcher Werte Du hast, und in welche Richtugn Du mißt sind "gemessene" "15Mbps bei 10 Mbps Upload schon ein sehr guter Wert. Jedenfalls kannst Du im wesentlichen nicht schneller werden als die Leitung hergibt.

  • Der RasPi.

Der ist ganz praktisch wenn man ein günstiges Allerweltsgerät braucht und es nicht so sehr auf die Performance ankommt. Wenn man mehr will muß man etwas schnelleres nehmen.

  • Protokoll

Hier hängt es im wesentlichen davon ab, ob eine hardwarebeschleunigung für die Protokolle vorhanden ist.

  • Der Provider

Wenn Dein Provider traffic-shaping macht, kommst Du ggf gar nicht an die Linkraten ran.


lks
Pjordorf
Pjordorf Jul 25, 2018 at 18:05:12 (UTC)
Goto Top
Hallo,

Zitat von @Waishon:
In der Wohnung habe ich eine Internetleitung von 100Mbit/s Download und 40Mbit/s Upload
OK 100/40

der VServer hat eine symetrische 1Gbit/s Anbindung mit effektiv 500Mbit/s Durchsatz
Und dieser befindet sich in dein LAN oder wo?

Der zweite Standort hat eine 50Mbit/s Download und 10 Mbit/s Upload Anbindung.
OK 50/10

Die 12-15Mbit/s kommen mit Iperf zwischen dem Raspberry PI in der Wohnung und dem VServer zur Stande.
Wo steht dein vServer? Beim ISP oder in dein LAN?

Gruß,
Peter
Spirit-of-Eli
Solution Spirit-of-Eli Jul 25, 2018 at 18:28:36 (UTC)
Goto Top
Teste doch mal Wireguard. Das soll annähernd mögliche Übertragungsraten bei einem vernünftigen Tunnel liefern.
maretz
maretz Jul 26, 2018 at 04:57:16 (UTC)
Goto Top
Wenn du eh Rechner nutzt kannst du z.B. problemlos Openvpn nehmen. Mache ich hier auch: Auf einer Seite habe ich nur ne interne IP mit NAT, auf der anderen habe ich ne feste IP (wobei nen dynamischer Hostname auch kein Ding wäre).

Die NAT-Seite baut halt immer beim Verbindungswechsel (passiert hier naturgemäß häufiger) die Verbindung nach einigen Minuten wieder auf und alles gut. OpenVPN noch eben erklärt das es auch routen darf (via Linux-OS kein Problem) -> fertig... Ich weiss somit immer welche IP die Gegenstelle hat (sind um die 60) und kann von jedem Teilnehmer im VPN auf jeden Teilnehmer springen. Mit etwas Routing am OpenVPN-Server geht dann auch das ganze Subnetz (oder mehrere) ohne Probleme..
MarcusN
MarcusN Jul 26, 2018 at 08:18:17 (UTC)
Goto Top
Der Bottleneck wird der LAN Anschluss sein, da er mit dem USB chip verbunden ist.
Kannst ja mal testen, wie schnell du Daten auf den RPI bekommst, wenn du diese per LAN mit einem einfachen Protokoll (ftp, nfs) überträgst

Da hier noch zusätzlich Verschlüsselung hinzukommt, wird zudem die CPU stark beansprucht
Waishon
Waishon Jul 31, 2018 at 23:08:05 (UTC)
Goto Top
Vielen Dank!

Ich hatte von Wireguard mal auf einem CCC Talk gehört aber nicht dran gedacht. Das ist echt genial, super einfach und Performant. Die routen kann man einfach mit AllowedIPs konfigurieren.

Auf einem Edgerouter-Lite schafft man ca. 50Mbit/s, was im Vergleich zu 8Mbit/s OpenVPN extrem schnell ist.

Auf dem Raspberry 2 schaffe ich ca. 90Mbit/s. Dann läuft die CPU auf 100%. Im Vergleich zu den 12-15MBit/s über VPN ist das sehr schnell. Die neueren Modelle schaffen da vermutlich nochmal nen Stück mehr.

So habe ich jetzt einen einfachen aber schnellen Tunnel.

Natürlich ist Wireguard aktuell in einer frühen Phase und es fehlt noch ein offizieller Wireguard Windows Client (Der Tunsafe Client funktioniert aber aktuell auch). Bisher konnte ich aber keine Instabilität feststellen.
Spirit-of-Eli
Spirit-of-Eli Aug 01, 2018 at 10:00:32 (UTC)
Goto Top
Zitat von @Waishon:

Vielen Dank!

Ich hatte von Wireguard mal auf einem CCC Talk gehört aber nicht dran gedacht. Das ist echt genial, super einfach und Performant. Die routen kann man einfach mit AllowedIPs konfigurieren.

Auf einem Edgerouter-Lite schafft man ca. 50Mbit/s, was im Vergleich zu 8Mbit/s OpenVPN extrem schnell ist.

Auf dem Raspberry 2 schaffe ich ca. 90Mbit/s. Dann läuft die CPU auf 100%. Im Vergleich zu den 12-15MBit/s über VPN ist das sehr schnell. Die neueren Modelle schaffen da vermutlich nochmal nen Stück mehr.

So habe ich jetzt einen einfachen aber schnellen Tunnel.

Natürlich ist Wireguard aktuell in einer frühen Phase und es fehlt noch ein offizieller Wireguard Windows Client (Der Tunsafe Client funktioniert aber aktuell auch). Bisher konnte ich aber keine Instabilität feststellen.

Das bestätigt meine Vermutung ;)
Ich habe das System bisher nur kurz getestet.

Super das klappt und ich bin gespannt wann das Projekt denn mal final released wird.