Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Standorte vernetzen ohne Public IP

Mitglied: Waishon

Waishon (Level 1) - Jetzt verbinden

25.07.2018 um 17:56 Uhr, 1537 Aufrufe, 11 Kommentare

Hallo zusammen,

ich habe folgendes Szenario, für das ich eine Lösung benötige:
Ich habe eine Wohnung, in der sich nur ein einfacher mit anderen Wohnungen geteilter Internetanschluss befindet. Folglich wird NAT genutzt und ich erhalte nur eine interne IP, sodass es nicht möglich ist Portfreigaben anzulegen, da ich auf die entsprechende Firewall keinen Zugriff habe.

Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss, auf dem ich auch Portfreigaben etc. einrichten kann.
Die Wohnung nutzt jetzt das Subnet 192.168.0.0/24 und der zweite Standort das Subnet 192.168.1.0/24. Jetzt möchte ich quasi einen Side-To-Side VPN anlegen.

Wie ich es bisher habe:
Ich nutze dafür aktuell einen OpenVPN Server auf einem VServer. An beiden Standorten befinden sich Raspberry PIs 3, die jeweils eine IP aus dem VPN Subnet 10.8.0.0/24 erhalten. Dann habe ich den Clients jeweils die Route gepusht für das andere Subnetz und im Gateway eine Statische Route zum Raspberry angelegt. Somit kann ich jetzt von der Wohnung auf das Subnetz am zweiten Standort zugreifen und umgekert, sprich ein Computer in der Wohnung kann z.B. einen anderen Computer am zweiten Standort erreichen. Das funktioniert auch sehr zuverlässig. Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s, was insbesondere für Dateiübertragungen und Remote Desktop zwischen den Netzen relativ wenig ist. Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.

Gibt es hier Optimierungsmöglichkeiten oder ganz andere Verfahren um so etwas umzusetzen?
Oder ggf. andere Hardware, die möglichst Lüfterlos und nicht zu teuer ist? Ist man da mit PfSense Hardware besser beraten?

Ich habe es auch bereits mit IPSec ausprobiert. Hier habe ich den IPSec Server mit IKEv2 auf dem VServer installiert und einen Raspberry PI als Road Warrior konfiguriert, sodass der eine Virtuelle IP erhält. Dem Server habe ich auch eine IP aus dem identischen Subnetz gegeben. Somit habe ich zumindest schon einmal erreicht, dass meine beiden Road Warrior miteinander kommunizieren können. Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten. Allerdings finde ich keine Dokumentation darüber ob es nun auch möglich ist das Subnetz hinter einem Road Warrior dem anderen Road Warrior verfübar zu machen. Ich muss dazu sagen, dass ich gerade dabei bin mich in IPSec einzulesen und die Erfahrungen dementsprechend damit noch relativ begrenzt ist. Deswegen erst einmal die generelle Frage, ob dieses Szenario so überhaupt umsetzbar ist? Site-To-Site fällt ja gerade leider weg, weil die eine Seite hinter einem NAT sitzt und somit nicht direkt mit der Public IP angesprochen werden kann.

Über entsprechende Anworten und Anregungen würde ich mich freuen.

Mitglied: certifiedit.net
25.07.2018 um 18:29 Uhr
Hallo,

du brauchst einfach mehr Power. Die zwei RPi liefern einfach nicht mehr.

LG
Bitte warten ..
Mitglied: Waishon
25.07.2018 um 18:36 Uhr
Danke für die Antwort.
Ja das stimmt Die Frage ist wo das Bottle Neck ist. Kann der PI nicht mehr Packets per Second weiterleiten oder kann der die Pakete nicht schnell genug verschlüsseln. Letzteres könnte man ja ggf. durch entsprechend andere/schneller Verschlüsselungsalgorithmen optimieren, oder? Mir geht es ja nicht unbedingt um die Verschlüsselung, sondern einfach um das "Tunneln". Das Verschlüsseln ist eher ein netter Nebeneffekt :D
Bitte warten ..
Mitglied: Pjordorf
25.07.2018 um 18:37 Uhr
Hallo,

Zitat von Waishon:
Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss,
Also dort dann 50 MBit/s Download und nur 10 MBit/s Upload, richtig?

Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s
Wo gemessen?
Ist das der Download von dein VPN Standort mit seinen 50 MBit/s Download und seinen max. 10 MBit/s Upload? Dann ist doch alles gut. Oder ist das dein Download in deiner Wohnung wo du einen ? Down und ? Upload hast. Oder wird dein Internet daheim auch über deinen VPN Tunnel der Firma abgefackelt und begrenzt dadurch auf seine 10 MBit/s, aber das kann ja nicht sein wenn du zwischen 12 MBit/s und 15 MBit/s als Bandbreite erreichst. Du siehst, es kommt drauf an

Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.
Du wirst niemals eine upload bzw. Download geschwindigkeit von max. 40 MBit/s erreichen, nicht bei nur einen Download. Bei zewi getrennten kann jeder aber nur max. 10 MBit/s an dein Firmenstandort hochgeladen werden und kommen jeweil mit max. 10 MBit/s bei dir an, oder nutzt du 4 gleiczeitige Kanäle, trotzdem wird an dein Firmenstandort mit seine 50/10 dir keine 40 MBit/s an upload dort llst?
ermöglichen. Oder meinst du dein Anschluß daheim wo du einen ?/? downlaod/Upload haben soö

Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten.
Bedenke der eine Upload ist der andere sein Download...

Site-To-Site fällt ja gerade leider weg
Warum? Lass die Seite wo du hinter nat sitzt doch den Tunnel aufbauen.

Gruß,
Peter
Bitte warten ..
Mitglied: Waishon
25.07.2018 um 19:13 Uhr
Zitat von Pjordorf:

Hallo,

Zitat von Waishon:
Jetzt gibt es noch einen zweiten Standort. Hier gibt es einen vollwertigen Telekom 50/10 Anschluss,
Also dort dann 50 MBit/s Download und nur 10 MBit/s Upload, richtig?

Der einzige Nachteil ist die Performance. Die maximale Bandbreite die ich erreiche liegt zwischen 12Mbit/s und 15Mbit/s
Wo gemessen?
Ist das der Download von dein VPN Standort mit seinen 50 MBit/s Download und seinen max. 10 MBit/s Upload? Dann ist doch alles gut. Oder ist das dein Download in deiner Wohnung wo du einen ? Down und ? Upload hast. Oder wird dein Internet daheim auch über deinen VPN Tunnel der Firma abgefackelt und begrenzt dadurch auf seine 10 MBit/s, aber das kann ja nicht sein wenn du zwischen 12 MBit/s und 15 MBit/s als Bandbreite erreichst. Du siehst, es kommt drauf an

Als Workaround habe ich einen zusätzlichen OpenVPN Client auf dem zugegriffenen Computer installiert. So erhalte ich zumindest die 40Mbit/s. Allerdings ist das meiner Meinung nach alles sehr unschön.
Du wirst niemals eine upload bzw. Download geschwindigkeit von max. 40 MBit/s erreichen, nicht bei nur einen Download. Bei zewi getrennten kann jeder aber nur max. 10 MBit/s an dein Firmenstandort hochgeladen werden und kommen jeweil mit max. 10 MBit/s bei dir an, oder nutzt du 4 gleiczeitige Kanäle, trotzdem wird an dein Firmenstandort mit seine 50/10 dir keine 40 MBit/s an upload dort llst?
ermöglichen. Oder meinst du dein Anschluß daheim wo du einen ?/? downlaod/Upload haben soö
In der Wohnung habe ich eine Internetleitung von 100Mbit/s Download und 40Mbit/s Upload, der VServer hat eine symetrische 1Gbit/s Anbindung mit effektiv 500Mbit/s Durchsatz. Der zweite Standort hat eine 50Mbit/s Download und 10 Mbit/s Upload Anbindung.

Die 12-15Mbit/s kommen mit Iperf zwischen dem Raspberry PI in der Wohnung und dem VServer zur Stande. Dabei ist der VServer der iperf client und der Raspberry PI der Server. Somit wird der Traffic vom Client zum Server übertragen. Sprich der limitiertende Faktor ist hier die 50Mbit/s Download der Wohnung, da der Upload des Servers schnell genug ist. Somit muss der PI, wie @certifiedit.net bereits geschrieben hat der limitierende Faktor sein

Hier habe ich immerhin 30Mbit/s - 40Mbit/s Durchsatz erhalten.
Bedenke der eine Upload ist der andere sein Download...

Gleiche Testkonstellation mit IPSec, somit habe ich fast die Effektive Bandbreite erhalten, die mein Download bereitstellt.

Site-To-Site fällt ja gerade leider weg
Warum? Lass die Seite wo du hinter nat sitzt doch den Tunnel aufbauen.
Soweit ich das verstanden habe, muss auch auf der Clientseite eine Portweiterleitung existieren. Dies ist aber hier nicht möglich. Oder habe ich da einen Denkfehler?
Bitte warten ..
Mitglied: Lochkartenstanzer
25.07.2018, aktualisiert um 19:25 Uhr
Moin,

Die beschränkenden Faktoren sind:

  • Der jeweilige upload/download des Anschlusses.

Je nachdem, welcher Werte Du hast, und in welche Richtugn Du mißt sind "gemessene" "15Mbps bei 10 Mbps Upload schon ein sehr guter Wert. Jedenfalls kannst Du im wesentlichen nicht schneller werden als die Leitung hergibt.

  • Der RasPi.

Der ist ganz praktisch wenn man ein günstiges Allerweltsgerät braucht und es nicht so sehr auf die Performance ankommt. Wenn man mehr will muß man etwas schnelleres nehmen.

  • Protokoll

Hier hängt es im wesentlichen davon ab, ob eine hardwarebeschleunigung für die Protokolle vorhanden ist.

  • Der Provider

Wenn Dein Provider traffic-shaping macht, kommst Du ggf gar nicht an die Linkraten ran.


lks
Bitte warten ..
Mitglied: Pjordorf
25.07.2018 um 20:05 Uhr
Hallo,

Zitat von Waishon:
In der Wohnung habe ich eine Internetleitung von 100Mbit/s Download und 40Mbit/s Upload
OK 100/40

der VServer hat eine symetrische 1Gbit/s Anbindung mit effektiv 500Mbit/s Durchsatz
Und dieser befindet sich in dein LAN oder wo?

Der zweite Standort hat eine 50Mbit/s Download und 10 Mbit/s Upload Anbindung.
OK 50/10

Die 12-15Mbit/s kommen mit Iperf zwischen dem Raspberry PI in der Wohnung und dem VServer zur Stande.
Wo steht dein vServer? Beim ISP oder in dein LAN?

Gruß,
Peter
Bitte warten ..
Mitglied: Spirit-of-Eli
LÖSUNG 25.07.2018 um 20:28 Uhr
Teste doch mal Wireguard. Das soll annähernd mögliche Übertragungsraten bei einem vernünftigen Tunnel liefern.
Bitte warten ..
Mitglied: maretz
26.07.2018 um 06:57 Uhr
Wenn du eh Rechner nutzt kannst du z.B. problemlos Openvpn nehmen. Mache ich hier auch: Auf einer Seite habe ich nur ne interne IP mit NAT, auf der anderen habe ich ne feste IP (wobei nen dynamischer Hostname auch kein Ding wäre).

Die NAT-Seite baut halt immer beim Verbindungswechsel (passiert hier naturgemäß häufiger) die Verbindung nach einigen Minuten wieder auf und alles gut. OpenVPN noch eben erklärt das es auch routen darf (via Linux-OS kein Problem) -> fertig... Ich weiss somit immer welche IP die Gegenstelle hat (sind um die 60) und kann von jedem Teilnehmer im VPN auf jeden Teilnehmer springen. Mit etwas Routing am OpenVPN-Server geht dann auch das ganze Subnetz (oder mehrere) ohne Probleme..
Bitte warten ..
Mitglied: MarcusN
26.07.2018 um 10:18 Uhr
Der Bottleneck wird der LAN Anschluss sein, da er mit dem USB chip verbunden ist.
Kannst ja mal testen, wie schnell du Daten auf den RPI bekommst, wenn du diese per LAN mit einem einfachen Protokoll (ftp, nfs) überträgst

Da hier noch zusätzlich Verschlüsselung hinzukommt, wird zudem die CPU stark beansprucht
Bitte warten ..
Mitglied: Waishon
01.08.2018 um 01:08 Uhr
Vielen Dank!

Ich hatte von Wireguard mal auf einem CCC Talk gehört aber nicht dran gedacht. Das ist echt genial, super einfach und Performant. Die routen kann man einfach mit AllowedIPs konfigurieren.

Auf einem Edgerouter-Lite schafft man ca. 50Mbit/s, was im Vergleich zu 8Mbit/s OpenVPN extrem schnell ist.

Auf dem Raspberry 2 schaffe ich ca. 90Mbit/s. Dann läuft die CPU auf 100%. Im Vergleich zu den 12-15MBit/s über VPN ist das sehr schnell. Die neueren Modelle schaffen da vermutlich nochmal nen Stück mehr.

So habe ich jetzt einen einfachen aber schnellen Tunnel.

Natürlich ist Wireguard aktuell in einer frühen Phase und es fehlt noch ein offizieller Wireguard Windows Client (Der Tunsafe Client funktioniert aber aktuell auch). Bisher konnte ich aber keine Instabilität feststellen.
Bitte warten ..
Mitglied: Spirit-of-Eli
01.08.2018 um 12:00 Uhr
Zitat von Waishon:

Vielen Dank!

Ich hatte von Wireguard mal auf einem CCC Talk gehört aber nicht dran gedacht. Das ist echt genial, super einfach und Performant. Die routen kann man einfach mit AllowedIPs konfigurieren.

Auf einem Edgerouter-Lite schafft man ca. 50Mbit/s, was im Vergleich zu 8Mbit/s OpenVPN extrem schnell ist.

Auf dem Raspberry 2 schaffe ich ca. 90Mbit/s. Dann läuft die CPU auf 100%. Im Vergleich zu den 12-15MBit/s über VPN ist das sehr schnell. Die neueren Modelle schaffen da vermutlich nochmal nen Stück mehr.

So habe ich jetzt einen einfachen aber schnellen Tunnel.

Natürlich ist Wireguard aktuell in einer frühen Phase und es fehlt noch ein offizieller Wireguard Windows Client (Der Tunsafe Client funktioniert aber aktuell auch). Bisher konnte ich aber keine Instabilität feststellen.

Das bestätigt meine Vermutung ;)
Ich habe das System bisher nur kurz getestet.

Super das klappt und ich bin gespannt wann das Projekt denn mal final released wird.
Bitte warten ..
Ähnliche Inhalte
Firewall
PFSense OpenVPN public IP
Frage von NoobOneFirewall9 Kommentare

Hallo Zusammen, wir haben als Firewall eine PFSense (v.2.2.6) am Laufen auf der OpenVPN für die externe Einwahl eingerichtet ...

Informationsdienste
Falscher Standort feste IP
Frage von Sunny89Informationsdienste5 Kommentare

Hallo zusammen, es ist heute ganz eigenartig. Ich nutze bei uns in der Firma eine Feste-IP der Deutschen Telekom. ...

Entwicklung
Public IP Adresse auf Weltkarte
gelöst Frage von brammerEntwicklung3 Kommentare

Hallo, ich habe folgende Anfrage bekommen. Unser Vertrieb möchte die Endpunkte unserer VPN Verbindungen auf einer Weltkarte angezeigt bekommen. ...

Router & Routing
Cisco SIM Router Public IP
Frage von Netgear24Router & Routing9 Kommentare

Hallo Zusammen Ich habe wiedereinmal ein spezielles Problem. Wir haben einen Cisco 819-4G LTE Router mit SIM Karten den ...

Neue Wissensbeiträge
Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 1 TagSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 2 TagenHyper-V4 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Server-Hardware

HPE Proliant ML350P Gen8 Probleme mit Zugriff auf Raid-Volumes

Erfahrungsbericht von goscho vor 2 TagenServer-Hardware1 Kommentar

Hallo Leute, das Problemgerät: HPE ML350P G8 Windows Server 2012R2 HyperV-Host 8 x 300 GB 10K SAS HDD (1 ...

Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Information von Snowbird vor 4 TagenHumor (lol)9 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Heiß diskutierte Inhalte
Backup
Veeam Backup Endpoint Free sichert nicht alle Dateien in AppData
gelöst Frage von speedy26gonzalesBackup12 Kommentare

Hallo, ich sollte ein paar Dateien in C:\Users\xyc\AppData\Local\Microsoft\Outlook wieder herstellen. Auf dem Benutzerkonto ist in Outlook ein IMAP Konto ...

Server
Ein Server ins Haus stellen. Was brauche ich dafür?
Frage von JoschiTomServer10 Kommentare

Hallo Community, ich spiele mit dem Gedanken eine Server mir zu holen. Was brauche ich dafür? Und wie sind ...

Windows 10
Windows 10 Backup auf Netzwerk Storage
Frage von Futschel2608Windows 1010 Kommentare

Hallo geehrte Mitstreiter Innen, Wir wollen in unserer Windows 10 Domäne den Einzelnen Usern ermöglichen ihre Desktop PC's zusichern. ...

Batch & Shell
Mittels SED Text ersetzen in Anführungszeichen
gelöst Frage von nekronBatch & Shell9 Kommentare

Moin … bin nicht wirklich der SED/regex Mensch, vielleicht kann mir jemand auf die Schnelle Helfen :) ich habe ...