21
Welche VPN-Lösung für externe Mitarbeiter
Hallo zusammen,
wir haben in der Firma einen 600/600 Mbit Internetzugang und einen Mikrotik cloudcore Router mit aktiviertem OpenVPN-Server im Einsatz. Es sind ca. 10-20 OpenVPN User am Netzwerk angemeldet. Grundsätzlich funktioniert das sehr gut, auch die Reglementierung der Zugriffe von den externen Usern über die Firewall funktioniert an sich tadellos. Was aber problematisch ist (und da ist es egal ob 1 User oder 20 angemeldet sind), ist der langsame Transfer. mehr als 2-3Mbit sind nicht drin, was für Remotedesktops ausreicht aber für einige Anwendungen im Netzwerk ist das zu langsam. Ich bin schon einige Optimierungswege durchgegangen (Anpassung MTU, Verschlüsselung runter usw.) aber viel schneller wird es nicht. Was kann für 10-20 User an Hardware und VPN-System derzeit empfohlen werden? Lancom scheidet wegen der hohen Kosten für Client-Lizenzen aus. Windows-Bordeigene Mittel wie L2tp waren in der Vergangenheit sehr unzuverlässig in der Einwahl, daher erfolgte der Umstieg zu OpenVPN. Wireguard scheint noch nicht stable freigegeben zu sein. Was würdet Ihr empfehlen, wenn es auch um schnelle Zugriffe geht. Beim Anwender sollte es nur eine clientsoftware geben die mittels Zertifikat und Benutzer/Kennwort Ihre Verbindung aufbauen können.
Vielen Dank!
wir haben in der Firma einen 600/600 Mbit Internetzugang und einen Mikrotik cloudcore Router mit aktiviertem OpenVPN-Server im Einsatz. Es sind ca. 10-20 OpenVPN User am Netzwerk angemeldet. Grundsätzlich funktioniert das sehr gut, auch die Reglementierung der Zugriffe von den externen Usern über die Firewall funktioniert an sich tadellos. Was aber problematisch ist (und da ist es egal ob 1 User oder 20 angemeldet sind), ist der langsame Transfer. mehr als 2-3Mbit sind nicht drin, was für Remotedesktops ausreicht aber für einige Anwendungen im Netzwerk ist das zu langsam. Ich bin schon einige Optimierungswege durchgegangen (Anpassung MTU, Verschlüsselung runter usw.) aber viel schneller wird es nicht. Was kann für 10-20 User an Hardware und VPN-System derzeit empfohlen werden? Lancom scheidet wegen der hohen Kosten für Client-Lizenzen aus. Windows-Bordeigene Mittel wie L2tp waren in der Vergangenheit sehr unzuverlässig in der Einwahl, daher erfolgte der Umstieg zu OpenVPN. Wireguard scheint noch nicht stable freigegeben zu sein. Was würdet Ihr empfehlen, wenn es auch um schnelle Zugriffe geht. Beim Anwender sollte es nur eine clientsoftware geben die mittels Zertifikat und Benutzer/Kennwort Ihre Verbindung aufbauen können.
Vielen Dank!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1377006943
Url: https://administrator.de/contentid/1377006943
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
21 Kommentare
Neuester Kommentar
Wireguard scheint noch nicht stable freigegeben zu sein.
Seit letztem Jahr ist es Standard im Linux-Kernel. Was wird denn noch mehr erwartet als "stable"?!Was ist denn das für ein "CloudCore-Router" von Mikrotik?! Oder ist das eher ein CCR?
Es ist ein CCR1009-7G-1C-1S+
Oha:
CPU TLR4-00980
CPU core count 9
CPU nominal frequency 1 GHz
Size of RAM 2 GB
@aqui: weist, wenn ich recht erinnere, darauf hin, dass OpenVPN nicht Multikern-tauglich ist?! Oder habe ich das falsch in Erinnerung. Irgendwie war die Skalierung wohl limitiert.
Auf jeden Fall nutzt Du nicht die beeindruckende IPsec-Leistung:
https://mikrotik.com/product/CCR1009-7G-1C-1SplusPC#fndtn-testresults
Bevor ich ne extra HW anschaffen würde, würde ich wohl erstmal die Wireguard-Implementierung von RouterOS testen. ROS7 muss doch jetzt irgendwann mal "Standard" werden?! Die neuen R5009 haben das ja als Voraussetzung.
CPU TLR4-00980
CPU core count 9
CPU nominal frequency 1 GHz
Size of RAM 2 GB
@aqui: weist, wenn ich recht erinnere, darauf hin, dass OpenVPN nicht Multikern-tauglich ist?! Oder habe ich das falsch in Erinnerung. Irgendwie war die Skalierung wohl limitiert.
Auf jeden Fall nutzt Du nicht die beeindruckende IPsec-Leistung:
https://mikrotik.com/product/CCR1009-7G-1C-1SplusPC#fndtn-testresults
Bevor ich ne extra HW anschaffen würde, würde ich wohl erstmal die Wireguard-Implementierung von RouterOS testen. ROS7 muss doch jetzt irgendwann mal "Standard" werden?! Die neuen R5009 haben das ja als Voraussetzung.
Hi
Sehr komisch.
Sicher das dort nicht was verkonfiguriert ist ?
Was ist den der Upload bei den Clients? An was für einen Anschluss hängen die ?
SSTP fällt mir nur ein. Kann der Mikrotik. Zertifikat und AD USERNAME und Passwort.
Anmeldung am VPN kann auch vor der Windows Anmeldung erfolgen.
Mit freundlichen Grüßen
Nemesis
Sehr komisch.
Sicher das dort nicht was verkonfiguriert ist ?
Was ist den der Upload bei den Clients? An was für einen Anschluss hängen die ?
SSTP fällt mir nur ein. Kann der Mikrotik. Zertifikat und AD USERNAME und Passwort.
Anmeldung am VPN kann auch vor der Windows Anmeldung erfolgen.
Mit freundlichen Grüßen
Nemesis
OpenVPN auf Mikrotik Hardware kannst du knicken das wirst du nicht performant kriegen, schon gar nicht mit TCP was in der Stable ausschließlich supported wird. Erst ab RouterOS 7 gibt es OpenVPN UDP Support.
Bei Mikrotik bietet sich auch IKEv2 an, das gibbet unter Windows und Mikrotik beides im Standardlieferumfang.
Bei Mikrotik bietet sich auch IKEv2 an, das gibbet unter Windows und Mikrotik beides im Standardlieferumfang.
Kollege @Visucius hat Recht, das Optimum wirst du aus OpenVPN nie rausholen können.
In sofern ist der Rat auf IPsec zu gehen bei deinem Mikrotik absolut richtig.
Hat dann sogar den Vorteil das du bei allen Betriebssystemen und Mobilgeräten den eigenen onboard VPN Client nutzen kannst OHNE mit 3rd Party VPN Clients frickeln zu müssen:
Scheitern am IPsec VPN mit MikroTik
In sofern ist der Rat auf IPsec zu gehen bei deinem Mikrotik absolut richtig.
Hat dann sogar den Vorteil das du bei allen Betriebssystemen und Mobilgeräten den eigenen onboard VPN Client nutzen kannst OHNE mit 3rd Party VPN Clients frickeln zu müssen:
Scheitern am IPsec VPN mit MikroTik
Moin darodesk,
eine Sophos XG oder XGS.
SSL VPN (open VPN) oder IPsec ist beides ohne Probleme möglich.
Authentifiziert wird bei uns überwiegend gegen AD + 2FA.
Beste Grüsse aus BaWü
Alex
Was würdet Ihr empfehlen, wenn es auch um schnelle Zugriffe geht.
eine Sophos XG oder XGS.
SSL VPN (open VPN) oder IPsec ist beides ohne Probleme möglich.
Beim Anwender sollte es nur eine clientsoftware geben die mittels Zertifikat und Benutzer/Kennwort Ihre Verbindung aufbauen können.
Authentifiziert wird bei uns überwiegend gegen AD + 2FA.
Beste Grüsse aus BaWü
Alex
pfSense und das OpenVPN Paket auf einer Serverhardware mit Xeon und genügend Ram installiert, der muss nicht mal zu neu sein, geht bei uns einwandfrei, die OpenVPN Verbindungen laufen weitaus schneller als unsere IPSEC Tunnel die wir mit dem schnellstmöglichen Bintec bereitstellen.
Settings mehr oder weniger default was die Doku hergibt und Anmeldung über LDAP und Zertifikat.
Ganz ehrlich, wenn eh schon externe HW und extra VPN-Clients eingesetzt werden sollen, dann doch bitte gleich Wireguard.
pfSense und das OpenVPN Paket auf einer Serverhardware mit Xeon und genügend Ram installiert
Wenn man das schon (richtigerweise) so perfekt macht ist es aber erheblich sinnvoller IMMER mit den onboard VPN Clients zu arbeiten die ALLE Endgeräte in der Regel mitbringen. Das erspart immer die Extrafrickelei mit externen und fremden VPN Clients die meist nie so perfekt ins OS integriert sind wie die bordeigenen.PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Zitat von @Visucius:
Ganz ehrlich, wenn eh schon externe HW und extra VPN-Clients eingesetzt werden sollen, dann doch bitte gleich Wireguard.
Ganz ehrlich, wenn eh schon externe HW und extra VPN-Clients eingesetzt werden sollen, dann doch bitte gleich Wireguard.
Kannst du das auch genauer ausführen warum das sinnvoller sein soll?
Meine OpenVPN Implementierung läuft seit Jahren wunderbar stabil, Wireguard hab ich mal testweise als Paket aktiviert und es hat mir gleich mal das Netzwerk und die Firewall Settings geschossen und es ging gar nix mehr.
Bevor ich das wieder probiere vergehen noch ein paar Jahre.
Zitat von @aqui:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
pfSense und das OpenVPN Paket auf einer Serverhardware mit Xeon und genügend Ram installiert
Wenn man das schon (richtigerweise) so perfekt macht ist es aber erheblich sinnvoller IMMER mit den onboard VPN Clients zu arbeiten die ALLE Endgeräte in der Regel mitbringen. Das erspart immer die Extrafrickelei mit externen und fremden VPN Clients die meist nie so perfekt ins OS integriert sind wie die bordeigenen.PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Warum sollte man das tun wenn der mitgelieferte Software Client unabhängig vom Betriebssystem überall gleich gut funktioniert? Egal ob Android, iOS, Windows, Linux, einfach die per Tool exportierte Config reinbügeln und gut ist.
Wenn ich überall die Onboard Clients verwende muss ich für jeden eine eigene Anleitung erstellen und bei jedem andere Fehlerquellen beheben. So sieht die Software überall relativ gleich aus und jeder kommt damit zurecht.
Und dabei ist noch gar nicht erwähnt das Microsoft und Google gerne mal Features einfach rauspatchen und dann plötzlich nix mehr geht und keiner weiß warum.
So installier ich einfach die App, schick dem Kollegen die Config per Email aufs Handy und los gehts.
Kannst du das auch genauer ausführen warum das sinnvoller sein soll?
Das liegt vermutlich eher daran, "aus welcher Richtung" man kommt. Du bist halt ein OpenVPN-Kind und ich spiele mit Wireguard schon seit der Beta-Phase rum und sehe dort deutlich weniger Abhängigkeiten. Wenns einmal konfiguriert ist, dann läuft das einfach problemlos und unabhängig von der verbauten HW.Die Performance-Problematik von openVPN wird mit UDP offenbar abgeschwächt auf der anderen Seite ist das anfängliche DHCP-Thema bei Wireguard wohl auch behoben. Das habe ich aber selber noch nicht getestet.
Beeindruckend bei Wireguard ist immer wieder die Stabilität und der kaum spürbare Aufbau der Leitung. Und da macht es auch nix, wenn Windows Updates einspielt, selbst nach WG-Updates kommt das alles automatisch wieder hoch. Ich habe das hier schon ein paar mal geschrieben: Ich habe nach 4 Monaten ein Laptop vom MA zurückbekommen, welches im Prinzip die ganze Zeit mit aktiviertem VPN lief. Da hat einfach niemand mehr dran gedacht.
VG
N'Abend.
Was "transferiert" ihr denn da durch den Tunnel? Sind das nur Zugriffe auf SMB-Shares oder ist da ne Applikation auf den Clients installiert, die dann z.B. auf nen internen DB-Server zugreift?
Wäre denn ein RDS-Server intern eine Möglichkeit? Das würde zumindest "Transfers" obsolet machen.
Cheers,
jsysde
Was "transferiert" ihr denn da durch den Tunnel? Sind das nur Zugriffe auf SMB-Shares oder ist da ne Applikation auf den Clients installiert, die dann z.B. auf nen internen DB-Server zugreift?
Wäre denn ein RDS-Server intern eine Möglichkeit? Das würde zumindest "Transfers" obsolet machen.
Cheers,
jsysde
Moin darodesk,
ich habe da irgendwie ein komisches Gefühl, dass deine Probleme nicht vom verwendeten VPN Typ/Hardware abhängig sind. 🤔
Kannst du von den Clients aus die Zielserver anpingen und auch umgekehrt vom den Servern aus auch die Clients?
Beste Grüsse aus BaWü
Alex
Was aber problematisch ist (und da ist es egal ob 1 User oder 20 angemeldet sind), ist der langsame Transfer. mehr als 2-3Mbit sind nicht drin, was für Remotedesktops ausreicht aber für einige Anwendungen im Netzwerk ist das zu langsam.
ich habe da irgendwie ein komisches Gefühl, dass deine Probleme nicht vom verwendeten VPN Typ/Hardware abhängig sind. 🤔
Kannst du von den Clients aus die Zielserver anpingen und auch umgekehrt vom den Servern aus auch die Clients?
Beste Grüsse aus BaWü
Alex
Im Prinzip reichen die 2-3Mbit für die Remotedesktops. Wir haben eine ganze Abteilung virtualisiert und das funktioniert tadellos. Allerdings haben wir 2 Standorte, die mit OpenVPN site2site vernetzt sind und die schaffen halt auch nur 2-3 Mbit. Dort arbeiten die Mitarbeiter zwar auch auf einem Remotedesktop aber wenn die in der VM was ausdrucken wollen, geht die Monsterdruckdatei über das 2-3Mbit VPN zurück an den lokalen Drucker und das dauert dann mitunter 8-9 Minuten wo dann schon die ersten anrufen, das nicht gerdruckt wird... Hier könnte ich sonst auch auf IPsec umstellen, vielleicht wäre dann zu mindestens das Problem zwischen den Standorten gelöst.
Naja, MysticFoxDE hat es doch schon angedeutet. Es ist so oder so "komisch", dass da nur 2-3 Mbit durchgehen.
Ggfs. erstmal im bestehenden Setup nach der Ursache für dieses "Rinnsal" suchen. Ich meine, da waren ja die alten Fritzbox schon flotter unterwegs - und über die wurde hier immer gelästert.
Vielleicht bin ich da ja naiv - würde aber bei nem 400 EUR Router irgendwie mehr Dampf erwarten.
VG
Ggfs. erstmal im bestehenden Setup nach der Ursache für dieses "Rinnsal" suchen. Ich meine, da waren ja die alten Fritzbox schon flotter unterwegs - und über die wurde hier immer gelästert.
Vielleicht bin ich da ja naiv - würde aber bei nem 400 EUR Router irgendwie mehr Dampf erwarten.
VG
1
Moin darodesk,
wie schon vorher gefragt, können sich Server und Clients gegenseitig pingen?
Wenn nein, dann hast du auf jeden Fall schon mal ein Problem mit dem "MTU Path Discovery" welches genau so wie der Ping über ICMP abgewickelt wird. 😉
Beste Grüsse aus BaWü
Alex
Im Prinzip reichen die 2-3Mbit für die Remotedesktops. Wir haben eine ganze Abteilung virtualisiert und das funktioniert tadellos. Allerdings haben wir 2 Standorte, die mit OpenVPN site2site vernetzt sind und die schaffen halt auch nur 2-3 Mbit. Dort arbeiten die Mitarbeiter zwar auch auf einem Remotedesktop aber wenn die in der VM was ausdrucken wollen, geht die Monsterdruckdatei über das 2-3Mbit VPN zurück an den lokalen Drucker und das dauert dann mitunter 8-9 Minuten wo dann schon die ersten anrufen, das nicht gerdruckt wird... Hier könnte ich sonst auch auf IPsec umstellen, vielleicht wäre dann zu mindestens das Problem zwischen den Standorten gelöst.
wie schon vorher gefragt, können sich Server und Clients gegenseitig pingen?
Wenn nein, dann hast du auf jeden Fall schon mal ein Problem mit dem "MTU Path Discovery" welches genau so wie der Ping über ICMP abgewickelt wird. 😉
Beste Grüsse aus BaWü
Alex
ping funktioniert in beide Richtungen
Moin darodesk,
OK, das ist schon mal gut. Ist zwar noch keine Garantie, dass "MTU Path Discovery" zu 100% funktioniert, zu +- 80% sollte es aber funktionieren.
Hast du die Übertragungsperformance schon mal mit iPerf(3) gemessen?
Haben die Standorte einen synchronen oder einen a-synchronen WAN Anschluss?
Beste Grüsse aus BaWü
Alex
ping funktioniert in beide Richtungen
OK, das ist schon mal gut. Ist zwar noch keine Garantie, dass "MTU Path Discovery" zu 100% funktioniert, zu +- 80% sollte es aber funktionieren.
Hast du die Übertragungsperformance schon mal mit iPerf(3) gemessen?
Haben die Standorte einen synchronen oder einen a-synchronen WAN Anschluss?
Beste Grüsse aus BaWü
Alex
Moin,
Gruß,
Dani
Haben die Standorte einen synchronen oder einen a-synchronen WAN Anschluss?
sychron ist die Leitung hoffentlich. Du meinst sicherlich (a)symmetrisch... Gruß,
Dani
Moin Dani,
ups, du hast vollkommen recht. 🙃
Gruss Alex
Zitat von @Dani:
Moin,
Gruß,
Dani
Moin,
Haben die Standorte einen synchronen oder einen a-synchronen WAN Anschluss?
sychron ist die Leitung hoffentlich. Du meinst sicherlich (a)symmetrisch... Gruß,
Dani
ups, du hast vollkommen recht. 🙃
Gruss Alex
