17
VPN "Site to Site" zwischen 2 Standorten
Hallo lieber Gemeinde,
ich bin ganz neu hier und ich habe auch wenig Erfahrung mit VPN, deshalb wende ich an euch für Tipps bzw. für ev. Anleitungen. Ich Google seit einigen Tagen und leider zu wenig bis kein Antworten auf meine Fragen gefunden. Weil ich leider beruflich unter der Woche in eine Zweitwohnung wohnen muss, Fern von der Familie habe ich zwei Standorten.
Ich habe folgendes Problem. Ich möchte ein „Site to Site“ VPN kostengünstig mit vernünftige Übertragungsrate aufbauen, und gleichzeitig bei beide Wohnungen über VPN surfen mit allen Clients ohne je ein VPN Software zu installieren zu müssen. Außerdem würde ich gerne über das Handy bzw. Tablett in beide Netze gesicherten Daten zugreifen haben zu können.
Ich habe beide Wohnungen je ein Synology Diskstation und ich möchte alle Daten über VPN in Echtzeit zwischen die beides Gerät synchronisieren. (Eigene redundante Cloud)
Zurzeit sind bei beide Wohnungen je ein Fritzbox im Einsatz und damit habe ich Fritz -VPN aufgebaut. Trotz 20Mbit Upload ist die Übertragungsrate ist mehr als katastrophal. Ok, Fritz Boxen sind bekanntlich keine Kraftwerke.
Deshalb suche ich eine Lösung, womit ich ohne großen Aufwand eine möglichst gute "Site to Site" VPN Verbindung, gleichzeitig von beide Stelle mit allen Clients in LAN über NordVPN im Internet surfen können. Wahrscheinlich soll beide Funktionen mit je Seite einen Zusatz-Router funktionieren!?
Aber mit welche und wie? Für eure Tipps bzw. ausführliche Anleitungen würde ich mich sehr freuen.
Danke im Voraus für konstruktive Hilfe.
Grüße
ich bin ganz neu hier und ich habe auch wenig Erfahrung mit VPN, deshalb wende ich an euch für Tipps bzw. für ev. Anleitungen. Ich Google seit einigen Tagen und leider zu wenig bis kein Antworten auf meine Fragen gefunden. Weil ich leider beruflich unter der Woche in eine Zweitwohnung wohnen muss, Fern von der Familie habe ich zwei Standorten.
Ich habe folgendes Problem. Ich möchte ein „Site to Site“ VPN kostengünstig mit vernünftige Übertragungsrate aufbauen, und gleichzeitig bei beide Wohnungen über VPN surfen mit allen Clients ohne je ein VPN Software zu installieren zu müssen. Außerdem würde ich gerne über das Handy bzw. Tablett in beide Netze gesicherten Daten zugreifen haben zu können.
Ich habe beide Wohnungen je ein Synology Diskstation und ich möchte alle Daten über VPN in Echtzeit zwischen die beides Gerät synchronisieren. (Eigene redundante Cloud)
Zurzeit sind bei beide Wohnungen je ein Fritzbox im Einsatz und damit habe ich Fritz -VPN aufgebaut. Trotz 20Mbit Upload ist die Übertragungsrate ist mehr als katastrophal. Ok, Fritz Boxen sind bekanntlich keine Kraftwerke.
Deshalb suche ich eine Lösung, womit ich ohne großen Aufwand eine möglichst gute "Site to Site" VPN Verbindung, gleichzeitig von beide Stelle mit allen Clients in LAN über NordVPN im Internet surfen können. Wahrscheinlich soll beide Funktionen mit je Seite einen Zusatz-Router funktionieren!?
Aber mit welche und wie? Für eure Tipps bzw. ausführliche Anleitungen würde ich mich sehr freuen.
Danke im Voraus für konstruktive Hilfe.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 531946
Url: https://administrator.de/contentid/531946
Printed on: May 4, 2024 at 11:05 o'clock
17 Comments
Latest comment
Zitat von @taylor97:
Ich habe beide Wohnungen je ein Synology Diskstation und ich möchte alle Daten über VPN in Echtzeit zwischen die beides Gerät synchronisieren. (Eigene redundante Cloud)
okIch habe beide Wohnungen je ein Synology Diskstation und ich möchte alle Daten über VPN in Echtzeit zwischen die beides Gerät synchronisieren. (Eigene redundante Cloud)
Zurzeit sind bei beide Wohnungen je ein Fritzbox im Einsatz und damit habe ich Fritz -VPN aufgebaut. Trotz 20Mbit Upload ist die Übertragungsrate ist mehr als katastrophal. Ok, Fritz Boxen sind bekanntlich keine Kraftwerke.
das stimmtDeshalb suche ich eine Lösung, womit ich ohne großen Aufwand eine möglichst gute "Site to Site" VPN Verbindung, gleichzeitig von beide Stelle mit allen Clients in LAN über NordVPN im Internet surfen können. Wahrscheinlich soll beide Funktionen mit je Seite einen Zusatz-Router funktionieren!?
Aber mit welche und wie? Für eure Tipps bzw. ausführliche Anleitungen würde ich mich sehr freuen.
Fritzbox als Modem deagradieren (Oder FRitzbox ersetzen gegen ein reines Modem) - Alternativ auf der Fritzbox Exposed Host einschalten und da die OPNSense ran...Firewall auf Beiden Seiten und damit eine Site2Site aufbauen....NordVPN spielt da keine Rolle (was eigtl. eh der größte Schwachsinn ist)Danke im Voraus für konstruktive Hilfe.
BitteGrüße
Gruß
1
Hi,
Die Synologies können doch auch VPN. Da gibt es bestimmt Anleitungen on Mass.
Die Synologies können doch auch VPN. Da gibt es bestimmt Anleitungen on Mass.
1Zitat von @NordicMike:
Hi,
Die Synologies können doch auch VPN. Da gibt es bestimmt Anleitungen on Mass.
Hi,
Die Synologies können doch auch VPN. Da gibt es bestimmt Anleitungen on Mass.
Da geht es aber schon wieder los, dass die Fritte garantiert sein Gateway ist...da muss er NAT auf die Synology machen und auch dorthin als Next Hop routen, wenn er das andere Netz erreichen will.
Das ist doch nichts halbes und nichts ganzes.
1
NAT kann ja auf der Fritzbox bleiben. Entweder dann das Gateway auf die NASse umlenken oder eine zusätzliche Route einrichten.
Ok, Fritz Boxen sind bekanntlich keine Kraftwerke.
So ist es. Der schwachbrüstige SoC der FB ist dafür nicht leistungsstark genug. Dazu muss man aber fairerweise auch klar sagen das die FB eine einfache Consumer Massenbox ist, die dafür auch nicht gemacht ist weil es keine Grundfunktion ist. Das VPN ist ein Goodie damit Oma Grete mal kurz die Enkelbilder ansehen kann aber nicht mehr.Wenn du ensprechend hohen VPN Durchsatz haben willst benötigst du eine andere, leistungsstärkere Hardware die Crypto Funktionen in Silizium macht und nicht in Software auf schwachen Prozessoren !
Die Synologies können doch auch VPN
Das stimmt dafür muss man aber die bittere (Security) Pille schlucken das man ungeschützten Internet Traffic per Port Forwarding ins lokale Netz lassen muss. Wer das akzeptiert kann das machen, denn die VPN Funktion dort auf meist x86 Hardware kann mehr.Es gibt so oder so nur 2 Optionen:
- Leistungsstärkere Router Hardware oder einen kaskadierten VPN Router oder Firewall die das VPN macht ala IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
- Das VPN aufs NAS auslagern mit den entspr. Security Nachteilen.
2
Moinsen,
im Synology Forum weise ich auch immer wieder darauf hin, dass die NAS zwar diverse VPN Protokolle KÖNNEN und als VPN-Server eingesetzt werden KÖNNEN, dass das aber aus Gründen der Sicherheit nicht gemacht werden SOLLTE. Gefühlt behandelt dort jeder 2. Beitrag das Thema NAS als VPN-Server (jeder dritte macht den Router per dutzend PWL auf für alles und jeden)...
;)
Tip wäre in der Sparvariante Raspberries als VPN Server einzusetzen, sonst eben nen teuren Router mit Zusatzfunktion VPN und Hardware-Encryption oder aber (von mir persönlich präferiert) die Lösung aus Antwort nr1: open oder pf Sense einsetzen. Ich habe das hinter einer fritz als Router so implementiert und hier läuft das seit Einrichtung stabil, doppeltes NAT hin oder her (aqui weist im Tutorial ja auch explizit auf Lösungsansätze hin...).
Für das private Heimnetzwerk mehr als ausreichend. Aber das wäre ein Raspi vermutlich in 75 Prozent der dort gestellten Fragen auch...
Alle drei Wege wären besser und sicherer als den VPN Server auf dem File (und backup) Server laufen zu lassen...
Grüßle
th30other
im Synology Forum weise ich auch immer wieder darauf hin, dass die NAS zwar diverse VPN Protokolle KÖNNEN und als VPN-Server eingesetzt werden KÖNNEN, dass das aber aus Gründen der Sicherheit nicht gemacht werden SOLLTE. Gefühlt behandelt dort jeder 2. Beitrag das Thema NAS als VPN-Server (jeder dritte macht den Router per dutzend PWL auf für alles und jeden)...
;)
Tip wäre in der Sparvariante Raspberries als VPN Server einzusetzen, sonst eben nen teuren Router mit Zusatzfunktion VPN und Hardware-Encryption oder aber (von mir persönlich präferiert) die Lösung aus Antwort nr1: open oder pf Sense einsetzen. Ich habe das hinter einer fritz als Router so implementiert und hier läuft das seit Einrichtung stabil, doppeltes NAT hin oder her (aqui weist im Tutorial ja auch explizit auf Lösungsansätze hin...).
Für das private Heimnetzwerk mehr als ausreichend. Aber das wäre ein Raspi vermutlich in 75 Prozent der dort gestellten Fragen auch...
Alle drei Wege wären besser und sicherer als den VPN Server auf dem File (und backup) Server laufen zu lassen...
Grüßle
th30other
1
Raspberry hat nur eine Netzwerk Schnittstelle, dann müsste man virtuell per vlan trennen (vorausgesetzt er hat einen Switch mit VLAN Funktion).
Wenn dann höchstens einen Banana-Pi.
Wenn dann höchstens einen Banana-Pi.
1
2x Mikrotik RBs für keine 50€ einkaufen, statische Routen auf den Fritten einrichten, und gut ist.
Gruß
Alex
Gruß
Alex
1
Zitat von @Ad39min:
2x Mikrotik RBs für keine 50€ einkaufen, statische Routen auf den Fritten einrichten, und gut ist.
2x Mikrotik RBs für keine 50€ einkaufen, statische Routen auf den Fritten einrichten, und gut ist.
Welche Modell würdes du empfehlen? Soll ausreichend Power haben für VPN
Gruß Laszlo
Unter einem hEXR3 https://www.varia-store.com/de/produkt/36790-mikrotik-routerboard-hex-mi ... solltest du es wegen des Krypto Durchsatzes nicht machen. Besser 3011er oder 4011er.
Konfig Beispiele je nach VPN Protokoll hier:
OpenVPN:
Clientverbindung OpenVPN Mikrotik
IPsec:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Konfig Beispiele je nach VPN Protokoll hier:
OpenVPN:
Clientverbindung OpenVPN Mikrotik
IPsec:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
1
Kann mich da der Empfehlung von aqui anschließen. Würde OpenVPN als Protokoll empfehlen.
1Zitat von @aqui:
Unter einem hEXR3 https://www.varia-store.com/de/produkt/36790-mikrotik-routerboard-hex-mi ... solltest du es wegen des Krypto Durchsatzes nicht machen. Besser 3011er oder 4011er.
Unter einem hEXR3 https://www.varia-store.com/de/produkt/36790-mikrotik-routerboard-hex-mi ... solltest du es wegen des Krypto Durchsatzes nicht machen. Besser 3011er oder 4011er.
Wenn ich richtig verstanden habe, dann soll ich einen 3011 oder 4011-er Mikrotik mir zulegen. (bzw. 2 Stck.) Damit habe ich dann RouterOS von Miktotik als Firewall darauf. Sollte ich dann mit RouterOS und OpenVPN mein Vorhaben bewerkstelligen oder auf Mikrotik HW kann ich ev. PFsense oder OPNsense auch installieren? Oder auf Mikrotik HW. funkt nur RouterOS sonst nicht? Da ich mit RouterOS null erfarung habe, frage ich ob mit RouterOS grundsätzlich einfacher zu arbeiten als mit PFsense oder OPNsense? Mit PFsense habe ich Erfahrung. Solle aber kein Problem sein mich einzuarbeiten. 😊
Gruß Laszlo
Du redest leider etwas wirr...sorry. Das treibt einem etwas die Sorgenfalten ind Gesicht ob du wirklich weisst was du da tust. Aber mal der Reihe nach:
Du brauchst also entsprechend potente Hardware durch deine eigene Erwartungshaltung.
Die Firewall ist ein Feature auf dem Router wie die lokale Windows Firewall ein Feature auf einem Winblows Rechner ist.
OpenVPN ist eines der VPN Features auf dem darunter liegenden Betriebssystem RouterOS. Für dein VPN Vorhaben ist es aber egal ob die IPsec, L2TP oder OpenVPN als VPN Protokoll benutzt. OpenVPN ist am universellsten was die Clients anbetrifft und relativ einfach zu konfigurieren. Die Lernkurve bei IPsec ist etwas steiler.
Was du siehst zur Konfiguration ist also ein simples Klicki Bunti Interface wie du es auch von FritzBox, Winblows und Co. kennst. Nacktes Router OS siehst du wie auch bei FritzBox und Co. als Anwender auch gar nicht.
Da du pfSense Profi bist: Hast du jemals auf der FreeBSD Shell der pfSense gearbeitet ? Sicher wohl eher weniger..?!
Ein winziges Bisschen grundlegendes Netzwerk Know How sollte natürlich vorhanden sein.
Wenn dir die pfSense näher liegt dann nimm diese. Die kann auch OpenVPN und wenn du dort einen entsprechend potenten Unterbau nimmst mit einem aktuellen APU4 Board https://pcengines.ch/apu4c2.htm dann bist du ebenfalls sehr gut bedient. Denn das hat AES-NI Support in Silizium an Bord.
Dann bleib bei der pfSense !
dann soll ich einen 3011 oder 4011-er Mikrotik mir zulegen
Da du dir selber ! die Aufgabe eines sehr hohen VPN Durchsatzes gestellt hast was dann eine entsprechende CPU und Crypto Performance der Hardware erfordert ist das die Empfehlung. Klar kannst du das auch mit einem 20 Euro hAP lite machen aber dann eben nur mit 2Mbit VPN Durchsatz.Du brauchst also entsprechend potente Hardware durch deine eigene Erwartungshaltung.
Damit habe ich dann RouterOS von Miktotik als Firewall darauf
Jein. Router OS ist das grundlegende Betriebssystem wie IOS bei Cisco oder Unix bei Linux oder FreeBSD bei pfSense/OPNsense und Apple Mac oder Linux bei Android oder....Die Firewall ist ein Feature auf dem Router wie die lokale Windows Firewall ein Feature auf einem Winblows Rechner ist.
Sollte ich dann mit RouterOS und OpenVPN mein Vorhaben bewerkstelligen
Du merkst selber die Sinnfreiheit dieser Frage. Das ist identisch so als wenn du jemanden fragst: "Soll ich den Brief mit Windows schreiben oder mit Word ?"OpenVPN ist eines der VPN Features auf dem darunter liegenden Betriebssystem RouterOS. Für dein VPN Vorhaben ist es aber egal ob die IPsec, L2TP oder OpenVPN als VPN Protokoll benutzt. OpenVPN ist am universellsten was die Clients anbetrifft und relativ einfach zu konfigurieren. Die Lernkurve bei IPsec ist etwas steiler.
oder auf Mikrotik HW kann ich ev. PFsense oder OPNsense auch installieren?
Das kannst du dir aussuchen. Das ist so als ob du dir überlegst mit einem grünen, einem roten oder doch mit einem blauen Auto in die Stadt zu fahren.Da ich mit RouterOS null erfarung habe
Dafür braucht es keinerlei Erfahrung. Der Router hat ein WebGUI zum Konfigurieren und obendrein noch ein grafisches Konfig Tool WinBox wie du es z.B. HIER sehen kannst.Was du siehst zur Konfiguration ist also ein simples Klicki Bunti Interface wie du es auch von FritzBox, Winblows und Co. kennst. Nacktes Router OS siehst du wie auch bei FritzBox und Co. als Anwender auch gar nicht.
Da du pfSense Profi bist: Hast du jemals auf der FreeBSD Shell der pfSense gearbeitet ? Sicher wohl eher weniger..?!
Ein winziges Bisschen grundlegendes Netzwerk Know How sollte natürlich vorhanden sein.
ob mit RouterOS grundsätzlich einfacher zu arbeiten als mit PFsense oder OPNsense?
Das ist ziemlich "Latte", denn alles ist ja nur simples Klicki Bunti im Web Browser. Im Grunde gibts da Null Unterschied.Wenn dir die pfSense näher liegt dann nimm diese. Die kann auch OpenVPN und wenn du dort einen entsprechend potenten Unterbau nimmst mit einem aktuellen APU4 Board https://pcengines.ch/apu4c2.htm dann bist du ebenfalls sehr gut bedient. Denn das hat AES-NI Support in Silizium an Bord.
Dann bleib bei der pfSense !
Vielen Dank für Deine schnelle Antwort.
Sorry, für die doofe Fragen. Ich wollte damit wirklich keine Sorgenfalten ins dein Gesicht treiben. Ich habe die Fragen etwas ungeschickt formuliert. Es liegt an mein Deutsch! 1000 Sorry noch einmal. (Für mich Deutsch leider immer noch ´n Fremdsprache. Obwohl ich gib mir wirklich Mühe.)
Ich habe gedacht, wenn über RouterOS ist die Rede, das bedeutet dann Betriebssystem inkl. das Firewall von Mikrotik. Es wird auch so beschrieben auf Mikrotik Seite.
Ja, ich habe mit PFsense Erfahrung, (bin aber kein Profi) und habe ich bis dato nur auf ESXi aufgesetzt und betrieben und nie auf einem Board. Deshalb sind für mich das Neuland.
Was ich ursprünglich wissen wollte! Mit einen Mikrotik HW (Z.B. 4011) bekomme ich Betriebssystem und Software Level 5 vorinstalliert. Wenn es mir aber doch nicht zusagt, ist es möglich auf den Mikrotik Board z.B. Pfsense installieren oder ehe nicht, bzw. nur mit Bastelei?
Gruß
Laszlo
Sorry, für die doofe Fragen. Ich wollte damit wirklich keine Sorgenfalten ins dein Gesicht treiben. Ich habe die Fragen etwas ungeschickt formuliert. Es liegt an mein Deutsch! 1000 Sorry noch einmal. (Für mich Deutsch leider immer noch ´n Fremdsprache. Obwohl ich gib mir wirklich Mühe.)
Ich habe gedacht, wenn über RouterOS ist die Rede, das bedeutet dann Betriebssystem inkl. das Firewall von Mikrotik. Es wird auch so beschrieben auf Mikrotik Seite.
Ja, ich habe mit PFsense Erfahrung, (bin aber kein Profi) und habe ich bis dato nur auf ESXi aufgesetzt und betrieben und nie auf einem Board. Deshalb sind für mich das Neuland.
Was ich ursprünglich wissen wollte! Mit einen Mikrotik HW (Z.B. 4011) bekomme ich Betriebssystem und Software Level 5 vorinstalliert. Wenn es mir aber doch nicht zusagt, ist es möglich auf den Mikrotik Board z.B. Pfsense installieren oder ehe nicht, bzw. nur mit Bastelei?
Gruß
Laszlo
Wenn von Windows die Rede ist bedeutet das doch auch immer das die Windows Firewall dann immer inkludiert ist ?! Bei Linux ist immer die iptables Firewall dabei.
Da versteht man leider deine Logik irgendwie nicht so richtig. Das eine ist ein grundlegendes Betriebssystem und das andere ist ein Feature bzw. eine App darauf. Das ist doch bei MT absolut identisch.
Da du ja pfSense Profi bist:
Das Betriebssystem von pfSense ist FreeBSD Unix. Überträgt man deine Mikrotik Logik darauf sagst du dann:
"Ich habe gedacht, wenn über FreeBSD Unix die Rede ist, das bedeutet dann Betriebssystem inkl. der Firewall von pfSense."
Du verstehst vermutlich das das eine mit dem anderen nur bedingt was zu tun hat.
Wenn du von FreeBSD Unix keine Ahnung hast bedeutet das ja noch lange nicht das du dann auch die pfSense nicht bedienen bzw. konfigurieren kannst ! Oder was sagt dir deine pfSense Erfahrung dazu ? Muss man Ahnung von FreeBSD Unix dafür haben ??
Wenn du mit dem Auto von A nach B willst ist es doch völlig Wumpe ob du in einem VW, BMW oder Dacia Logan sitzt sofern es nur 4 Räder hat, einen Motor und rollt..... Simpleste Logik !
Du solltest dich schon besser entscheiden.
Wenn du pfSense Erfahrung hast dann nimm ein APU4 Board und mache das damit. Das gibts sehr bequem als einfachen Bausatz:
https://www.varia-store.com/de/produkt/33968-pc-engines-apu4c2-bundle-bo ...
Für den max. 15 minütigen Zusammenbau reicht ein simpler Kreuzschlitz Schraubendreher.
Da versteht man leider deine Logik irgendwie nicht so richtig. Das eine ist ein grundlegendes Betriebssystem und das andere ist ein Feature bzw. eine App darauf. Das ist doch bei MT absolut identisch.
Da du ja pfSense Profi bist:
Das Betriebssystem von pfSense ist FreeBSD Unix. Überträgt man deine Mikrotik Logik darauf sagst du dann:
"Ich habe gedacht, wenn über FreeBSD Unix die Rede ist, das bedeutet dann Betriebssystem inkl. der Firewall von pfSense."
Du verstehst vermutlich das das eine mit dem anderen nur bedingt was zu tun hat.
Wenn du von FreeBSD Unix keine Ahnung hast bedeutet das ja noch lange nicht das du dann auch die pfSense nicht bedienen bzw. konfigurieren kannst ! Oder was sagt dir deine pfSense Erfahrung dazu ? Muss man Ahnung von FreeBSD Unix dafür haben ??
bis dato nur auf ESXi aufgesetzt und betrieben und nie auf einem Board.
Das ist doch auch völllig "Latte". Du konfigurierst die ja nur und da "siehst" du ja über das GUI nicht ob sie virtuell ist eine bare metal Firewall.Wenn du mit dem Auto von A nach B willst ist es doch völlig Wumpe ob du in einem VW, BMW oder Dacia Logan sitzt sofern es nur 4 Räder hat, einen Motor und rollt..... Simpleste Logik !
Mit einen Mikrotik HW (Z.B. 4011) bekomme ich Betriebssystem und Software Level 5 vorinstalliert
Ja !Wenn es mir aber doch nicht zusagt, ist es möglich auf den Mikrotik Board z.B. Pfsense installieren
Nein, pfSense Firmware geht nicht aber du kannst OpenWRT installieren was aber Blödsinn wäre.Du solltest dich schon besser entscheiden.
Wenn du pfSense Erfahrung hast dann nimm ein APU4 Board und mache das damit. Das gibts sehr bequem als einfachen Bausatz:
https://www.varia-store.com/de/produkt/33968-pc-engines-apu4c2-bundle-bo ...
Für den max. 15 minütigen Zusammenbau reicht ein simpler Kreuzschlitz Schraubendreher.
Ich habe alles verstanden. Vielen Dank noch einmal.
👍
