jseidi
Goto Top

VPN Performance verbessern

Hallo zusammen,

Ich benötige einmal ein paar Tips von euch.

Die Ausgangssitustion ist wie folgt:

Standort 1: VDSL100 mit einer fritzbox 7490
Standort 2: vodafone cable 50 mit einer Fritzbox 6490

Beide Standorte sind per Site to Site VPN über die Fritzbox verbunde.
Wie man überall liest ist die VPN Perfromance so aber nicht die beste.

Welche Hardware / Software würdet ihr mit empfohlene um die ca 33 Mbit /s am Standort 1 auch auszunutzen.

Wenn ich alles richtig verstanden habe könnte ich das Thema mit jeweils einer GL-MT300N-V2 pro Seite lösen wobei die Box auch nur auf 10 MBit /s bei OpenVPN kommt. Aber wenn ich mir die videos anschaue scheint hier die Einrichtung relativ simpel zu sein. (Wobei ich mir nicht sicher bin ob ich damit,ein Site to Site VPN hinbekomme )

Welche Hardware könnt ihr mir empfehlen? (Ein Umstieg von den Fritzboxen halte ich derzeit für nicht wirklich sinnvoll aufgrund des Kabelanschlusses und dem vorhanden sein von Fritz Repeatern)

Danke für eure Tips.

Jens

Content-ID: 606474

Url: https://administrator.de/forum/vpn-performance-verbessern-606474.html

Ausgedruckt am: 26.12.2024 um 19:12 Uhr

Ad39min
Ad39min 20.09.2020 aktualisiert um 20:32:45 Uhr
Goto Top
Hi,

die Klassiker (PFSense, OPNsense,...) auf einem APU-Board Deiner Wahl dürften Deinen Anforderungen gerecht werden.
Ansonsten kämen auch Router in Frage, z.B. von Mikrotik. Aber hier hast Du quasi die freie Wahl.

Guckst Du hier: Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Ein Betrieb hinter der FritzBox ist natürlich mit entsprechender Konfig möglich, "schöner" funktioniert das ganze jedoch hinter einem Nur-Modem (Gibt's auch für Kabelanschlüsse). Die Fritte kann dann natürlich z.B. hinter der PFsense weiterhin WLAN-AP dienen im Zusammenspiel mit den Repeatern.

Gruß
Alex
Jseidi
Jseidi 20.09.2020 um 20:50:36 Uhr
Goto Top
Danke Alex,

Beim ersten schauen scheint mir eine Mikrotik Hex nicht schlecht zu sein.
Sehe ich es richtig, das ich in den fritzboxen einen Port forward mache und dann die beiden Geräte den VPN Tunnel aufbauen und ich danach alle Geräte aus beiden Netzen jeweils erreiche?

Weist du was für VPN Server auf den mikrotik installiert sind? Ich habe das Gefühl das OpenVPN für mich am einfachsten wäre (habe ein Video für die GL-MT300N-V2 und da sah As sehr einfach aus
Ad39min
Ad39min 20.09.2020 aktualisiert um 21:21:07 Uhr
Goto Top
Zitat von @Jseidi:

Danke Alex,

Beim ersten schauen scheint mir eine Mikrotik Hex nicht schlecht zu sein.

Das stimmt, die Hex (z.B. RB750Gr3) sind definitiv nicht schlecht
Wenn's ein Bisschen mehr Power (für mehr Geld) sein darf, käme z.B. ein RB3011 noch in Frage:
https://www.mikrotik-store.eu/de/RB3011UiAS-RM

Sehe ich es richtig, das ich in den fritzboxen einen Port forward mache und dann die beiden Geräte den VPN Tunnel aufbauen und ich danach alle Geräte aus beiden Netzen jeweils erreiche?

Falls Du die FritzBox nach wie vor als NAT-Router einsetzen willst ist es richtig, dass die (für das jeweilige VPN-Protokoll) benötigten Ports an den VPN-Router weitergleitet werden müssen. Den Tunnelaufbau musst Du logischerweise dann noch an den VPN-Routern selber konfigurieren. Auf den FritzBoxen richtest Du statische Routen für das jeweilige andere Netz ein, zeigend auf den VPN-Router und auf den VPN-Routern jeweils die Route für das andere Netz zeigend auf den anderen VPN-Router (Bzw. dessen IP im VPN).
Dies mal so grob erklärt (unter der Annahme dass es sich bei den Netzen um zwei verschiedene IP-Adressbereiche handelt und Layer3-VPN verwendet werden soll).

Weist du was für VPN Server auf den mikrotik installiert sind? Ich habe das Gefühl das OpenVPN für mich am einfachsten wäre (habe ein Video für die GL-MT300N-V2 und da sah As sehr einfach aus

Auf Mikrotik ist neben den Klassikern wie IPsec auch das OpenVPN-Protokoll verfügbar. Aber Achtung: Derzeit ist hier nur Die Kapselung in TCP möglich, was zu einem großen Overhead - und damit zu Performance-Einbußen - führt. Hier lieber auf IPsec setzen.

Gruß
Alex
Jseidi
Jseidi 20.09.2020 aktualisiert um 22:07:17 Uhr
Goto Top
Eine Frage noch zu dem mikrotik. Hast du eine Idee welche IPSec Performance ich da erwarten kann

Muss ich aus deiner Sicht bei so ein konfig noch die Firewall auf den mikrotik dicht machen oder ist das eher egal da ich ja eh eine portweiterleitung mache
spec1re
spec1re 21.09.2020 um 08:48:55 Uhr
Goto Top
Hast du auf beiden Boxen schon das neuste FritzOS 7.20/7.21 drauf? Soll ja die VPN-Leistung verdreifachen.

https://avm.de/service/downloads/?product=fritzbox-6490-cable

"Übertragungstempo von VPN-Verbindungen erheblich erhöht"

Gruß Spec.
aqui
aqui 21.09.2020 um 09:01:59 Uhr
Goto Top
Sehe ich es richtig, das ich in den fritzboxen einen Port forward mache und dann die beiden Geräte den VPN Tunnel aufbauen
Hier steht alles was du zum Thema Port Forwarding in Kaskaden Designs wissen musst und das sollte auch deine Frage beantworten:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Jseidi
Jseidi 21.09.2020 um 09:11:08 Uhr
Goto Top
Hallo,

bisher noch nicht. Aber da die eine FritzBox von Vodafone ist kann es auch dauern bis da was an Updates kommt
aqui
aqui 21.09.2020 aktualisiert um 09:19:46 Uhr
Goto Top
So oder so darf man nicht vergessen das das eine billige Consumer Box für den Massenmarkt ist. VPN ist da eine kleine Dreingabe damit Oma Grete per VPN Enkelphotos sehen kann aber sie ist nicht auf Business Funktionen wie z.B. VPN optimiert. Entsprechend schlecht ist auch deren Performance was an dem sehr schwachbrüstigen SoC Chip liegt der dort verbaut ist. In einem Firmenumfeld hat so eine Box fairerweise also gar nichts zu suchen wie verantwortungsvolle Netzwerker ja wissen.
Da gibt es andere Hardware die das weit besser kann weil sie eben dafür auch gemacht wurde. Eine FritzBox hat einen ganz anderen Kunden- und Einsatzfocus. Leider wird das von Laien viel zu oft vergessen bzw. ignoriert.
Jseidi
Jseidi 21.09.2020 um 10:06:30 Uhr
Goto Top
daher meine Idee eine Mikrotek als VPN Gateways zu verwenden
auch wenn die Fritzbox dann bleibt habe ich dann einen gute VPN Performace (denke ich) und noch die Fritzbox für den Rest.
monstermania
monstermania 21.09.2020 um 10:18:07 Uhr
Goto Top
Zitat von @Jseidi:
Sehe ich es richtig, das ich in den fritzboxen einen Port forward mache und dann die beiden Geräte den VPN Tunnel aufbauen und ich danach alle Geräte aus beiden Netzen jeweils erreiche?
Ich würde bei den Fritzboxen den Exposed-Host konfigurieren. Dann wird der gesamte eingehende Traffic auf die an die Fritte angeschlossene FW geroutet (Exposed Host). Dann braucht man sich nicht mehr um die Weiterleitung einzelner Port zu kümmern. Das wird nämlich gern mal vergessen. Insbesondere, wenn man nicht allzu häufig etwas ändert.
Läuft bei mir zu Hause seit Jahren vollkommen problemlos in Verbindung mit einer OPNsense FW.
Der Fritte macht Telefonie und OPNsense kümmert sich um den Rest.
Jseidi
Jseidi 21.09.2020 um 10:26:54 Uhr
Goto Top
kann ich dann denn noch das WLAN der Fritzbox nutzen? (ich denke mal nicht)
ich bin mir halt nicht sicher wie gut ich mich dann auskenne um welche Lösung auch immer sinnvoll zu sicher zu betreiben.
aqui
aqui 21.09.2020 um 12:59:43 Uhr
Goto Top
kann ich dann denn noch das WLAN der Fritzbox nutzen? (ich denke mal nicht)
Richtig, das geht nicht. Logisch, denn du kommst ja nicht von "hinten" durch die Firewall ins lokale Netz. Das WLAN der FB liegt ja für die Firewall im "bösen" Bereich.
Man kann das aushebeln müsste dann aber diverse Löcher in die Firewall bohren was dann die Verwendung ad absurdum führen würde.
Es ist dann allemal besser das WLAN an der FB totzulegen und es mit einem separaten "richtigen" Accesspoint zu bedienen. Kostet ja nun auch nicht die Welt und ist die technisch beste lösung, denn da wo die FritzBox steht sind ja in der Regel auch nie die WLAN Clients.
https://www.varia-store.com/de/produkt/97657-mikrotik-cap-lite-mit-ar953 ...
https://www.varia-store.com/de/produkt/97517-mikrotik-rbcap2nd-routerboa ...
oder Dual Radio AP:
https://www.varia-store.com/de/produkt/97849-mikrotik-cap-ac-rbcapgi-5ac ...
spec1re
spec1re 21.09.2020 um 13:52:16 Uhr
Goto Top
Naja, das ganze kann man auch selber in die Hand nehmen. ;)

https://www.youtube.com/watch?v=Ll6oSpvTW1U

Gruß Spec.
Jseidi
Jseidi 21.09.2020 um 14:09:12 Uhr
Goto Top
aber eher nicht wenn man das Teil gemietet hat
aqui
aqui 21.09.2020 um 15:55:23 Uhr
Goto Top
Warum nicht, merkt ja keiner und die Provider wollen nach ein paar Jahren den ollen Müll so oder so nicht wieder weil sie ihn dann kostenpflichtig entsorgen müssen. face-wink