darodesk
Goto Top

Welche VPN-Lösung für externe Mitarbeiter

Hallo zusammen,

wir haben in der Firma einen 600/600 Mbit Internetzugang und einen Mikrotik cloudcore Router mit aktiviertem OpenVPN-Server im Einsatz. Es sind ca. 10-20 OpenVPN User am Netzwerk angemeldet. Grundsätzlich funktioniert das sehr gut, auch die Reglementierung der Zugriffe von den externen Usern über die Firewall funktioniert an sich tadellos. Was aber problematisch ist (und da ist es egal ob 1 User oder 20 angemeldet sind), ist der langsame Transfer. mehr als 2-3Mbit sind nicht drin, was für Remotedesktops ausreicht aber für einige Anwendungen im Netzwerk ist das zu langsam. Ich bin schon einige Optimierungswege durchgegangen (Anpassung MTU, Verschlüsselung runter usw.) aber viel schneller wird es nicht. Was kann für 10-20 User an Hardware und VPN-System derzeit empfohlen werden? Lancom scheidet wegen der hohen Kosten für Client-Lizenzen aus. Windows-Bordeigene Mittel wie L2tp waren in der Vergangenheit sehr unzuverlässig in der Einwahl, daher erfolgte der Umstieg zu OpenVPN. Wireguard scheint noch nicht stable freigegeben zu sein. Was würdet Ihr empfehlen, wenn es auch um schnelle Zugriffe geht. Beim Anwender sollte es nur eine clientsoftware geben die mittels Zertifikat und Benutzer/Kennwort Ihre Verbindung aufbauen können.

Vielen Dank!

Content-ID: 1377006943

Url: https://administrator.de/forum/welche-vpn-loesung-fuer-externe-mitarbeiter-1377006943.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Visucius
Visucius 11.10.2021 um 14:53:39 Uhr
Goto Top
Wireguard scheint noch nicht stable freigegeben zu sein.
Seit letztem Jahr ist es Standard im Linux-Kernel. Was wird denn noch mehr erwartet als "stable"?!

Was ist denn das für ein "CloudCore-Router" von Mikrotik?! Oder ist das eher ein CCR?
darodesk
darodesk 11.10.2021 um 15:06:16 Uhr
Goto Top
Es ist ein CCR1009-7G-1C-1S+
Visucius
Visucius 11.10.2021 um 15:15:29 Uhr
Goto Top
Oha:

CPU TLR4-00980
CPU core count 9
CPU nominal frequency 1 GHz
Size of RAM 2 GB

@aqui: weist, wenn ich recht erinnere, darauf hin, dass OpenVPN nicht Multikern-tauglich ist?! Oder habe ich das falsch in Erinnerung. Irgendwie war die Skalierung wohl limitiert.

Auf jeden Fall nutzt Du nicht die beeindruckende IPsec-Leistung:
https://mikrotik.com/product/CCR1009-7G-1C-1SplusPC#fndtn-testresults

Bevor ich ne extra HW anschaffen würde, würde ich wohl erstmal die Wireguard-Implementierung von RouterOS testen. ROS7 muss doch jetzt irgendwann mal "Standard" werden?! Die neuen R5009 haben das ja als Voraussetzung.
nEmEsIs
nEmEsIs 11.10.2021 um 15:36:03 Uhr
Goto Top
Hi

Sehr komisch.
Sicher das dort nicht was verkonfiguriert ist ?
Was ist den der Upload bei den Clients? An was für einen Anschluss hängen die ?

SSTP fällt mir nur ein. Kann der Mikrotik. Zertifikat und AD USERNAME und Passwort.

Anmeldung am VPN kann auch vor der Windows Anmeldung erfolgen.

Mit freundlichen Grüßen
Nemesis
149569
149569 11.10.2021 aktualisiert um 16:17:10 Uhr
Goto Top
OpenVPN auf Mikrotik Hardware kannst du knicken das wirst du nicht performant kriegen, schon gar nicht mit TCP was in der Stable ausschließlich supported wird. Erst ab RouterOS 7 gibt es OpenVPN UDP Support.

Bei Mikrotik bietet sich auch IKEv2 an, das gibbet unter Windows und Mikrotik beides im Standardlieferumfang.
aqui
aqui 11.10.2021, aktualisiert am 12.10.2021 um 10:07:23 Uhr
Goto Top
Kollege @Visucius hat Recht, das Optimum wirst du aus OpenVPN nie rausholen können.
In sofern ist der Rat auf IPsec zu gehen bei deinem Mikrotik absolut richtig.
Hat dann sogar den Vorteil das du bei allen Betriebssystemen und Mobilgeräten den eigenen onboard VPN Client nutzen kannst OHNE mit 3rd Party VPN Clients frickeln zu müssen:
Scheitern am IPsec VPN mit MikroTik
MysticFoxDE
MysticFoxDE 11.10.2021, aktualisiert am 13.10.2021 um 17:15:17 Uhr
Goto Top
Moin darodesk,

Was würdet Ihr empfehlen, wenn es auch um schnelle Zugriffe geht.

eine Sophos XG oder XGS.
SSL VPN (open VPN) oder IPsec ist beides ohne Probleme möglich.

Beim Anwender sollte es nur eine clientsoftware geben die mittels Zertifikat und Benutzer/Kennwort Ihre Verbindung aufbauen können.

Authentifiziert wird bei uns überwiegend gegen AD + 2FA.

Beste Grüsse aus BaWü

Alex
rzlbrnft
rzlbrnft 12.10.2021 aktualisiert um 11:30:14 Uhr
Goto Top
Zitat von @darodesk:
Was würdet Ihr empfehlen, wenn es auch um schnelle Zugriffe geht.

pfSense und das OpenVPN Paket auf einer Serverhardware mit Xeon und genügend Ram installiert, der muss nicht mal zu neu sein, geht bei uns einwandfrei, die OpenVPN Verbindungen laufen weitaus schneller als unsere IPSEC Tunnel die wir mit dem schnellstmöglichen Bintec bereitstellen.
Settings mehr oder weniger default was die Doku hergibt und Anmeldung über LDAP und Zertifikat.
Visucius
Visucius 12.10.2021 um 11:40:30 Uhr
Goto Top
Ganz ehrlich, wenn eh schon externe HW und extra VPN-Clients eingesetzt werden sollen, dann doch bitte gleich Wireguard.
aqui
aqui 12.10.2021 aktualisiert um 12:45:42 Uhr
Goto Top
pfSense und das OpenVPN Paket auf einer Serverhardware mit Xeon und genügend Ram installiert
Wenn man das schon (richtigerweise) so perfekt macht ist es aber erheblich sinnvoller IMMER mit den onboard VPN Clients zu arbeiten die ALLE Endgeräte in der Regel mitbringen. Das erspart immer die Extrafrickelei mit externen und fremden VPN Clients die meist nie so perfekt ins OS integriert sind wie die bordeigenen.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
rzlbrnft
rzlbrnft 12.10.2021 aktualisiert um 14:31:36 Uhr
Goto Top
Zitat von @Visucius:
Ganz ehrlich, wenn eh schon externe HW und extra VPN-Clients eingesetzt werden sollen, dann doch bitte gleich Wireguard.

Kannst du das auch genauer ausführen warum das sinnvoller sein soll?

Meine OpenVPN Implementierung läuft seit Jahren wunderbar stabil, Wireguard hab ich mal testweise als Paket aktiviert und es hat mir gleich mal das Netzwerk und die Firewall Settings geschossen und es ging gar nix mehr.
Bevor ich das wieder probiere vergehen noch ein paar Jahre.

Zitat von @aqui:
pfSense und das OpenVPN Paket auf einer Serverhardware mit Xeon und genügend Ram installiert
Wenn man das schon (richtigerweise) so perfekt macht ist es aber erheblich sinnvoller IMMER mit den onboard VPN Clients zu arbeiten die ALLE Endgeräte in der Regel mitbringen. Das erspart immer die Extrafrickelei mit externen und fremden VPN Clients die meist nie so perfekt ins OS integriert sind wie die bordeigenen.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Warum sollte man das tun wenn der mitgelieferte Software Client unabhängig vom Betriebssystem überall gleich gut funktioniert? Egal ob Android, iOS, Windows, Linux, einfach die per Tool exportierte Config reinbügeln und gut ist.
Wenn ich überall die Onboard Clients verwende muss ich für jeden eine eigene Anleitung erstellen und bei jedem andere Fehlerquellen beheben. So sieht die Software überall relativ gleich aus und jeder kommt damit zurecht.

Und dabei ist noch gar nicht erwähnt das Microsoft und Google gerne mal Features einfach rauspatchen und dann plötzlich nix mehr geht und keiner weiß warum.
So installier ich einfach die App, schick dem Kollegen die Config per Email aufs Handy und los gehts.
Visucius
Visucius 12.10.2021 um 15:18:54 Uhr
Goto Top
Kannst du das auch genauer ausführen warum das sinnvoller sein soll?
Das liegt vermutlich eher daran, "aus welcher Richtung" man kommt. Du bist halt ein OpenVPN-Kind und ich spiele mit Wireguard schon seit der Beta-Phase rum und sehe dort deutlich weniger Abhängigkeiten. Wenns einmal konfiguriert ist, dann läuft das einfach problemlos und unabhängig von der verbauten HW.

Die Performance-Problematik von openVPN wird mit UDP offenbar abgeschwächt auf der anderen Seite ist das anfängliche DHCP-Thema bei Wireguard wohl auch behoben. Das habe ich aber selber noch nicht getestet.

Beeindruckend bei Wireguard ist immer wieder die Stabilität und der kaum spürbare Aufbau der Leitung. Und da macht es auch nix, wenn Windows Updates einspielt, selbst nach WG-Updates kommt das alles automatisch wieder hoch. Ich habe das hier schon ein paar mal geschrieben: Ich habe nach 4 Monaten ein Laptop vom MA zurückbekommen, welches im Prinzip die ganze Zeit mit aktiviertem VPN lief. Da hat einfach niemand mehr dran gedacht.

VG
jsysde
jsysde 12.10.2021 um 19:27:59 Uhr
Goto Top
N'Abend.

Was "transferiert" ihr denn da durch den Tunnel? Sind das nur Zugriffe auf SMB-Shares oder ist da ne Applikation auf den Clients installiert, die dann z.B. auf nen internen DB-Server zugreift?

Wäre denn ein RDS-Server intern eine Möglichkeit? Das würde zumindest "Transfers" obsolet machen.

Cheers,
jsysde
MysticFoxDE
MysticFoxDE 12.10.2021 aktualisiert um 21:50:40 Uhr
Goto Top
Moin darodesk,

Was aber problematisch ist (und da ist es egal ob 1 User oder 20 angemeldet sind), ist der langsame Transfer. mehr als 2-3Mbit sind nicht drin, was für Remotedesktops ausreicht aber für einige Anwendungen im Netzwerk ist das zu langsam.

ich habe da irgendwie ein komisches Gefühl, dass deine Probleme nicht vom verwendeten VPN Typ/Hardware abhängig sind. 🤔

Kannst du von den Clients aus die Zielserver anpingen und auch umgekehrt vom den Servern aus auch die Clients?

Beste Grüsse aus BaWü

Alex
darodesk
darodesk 13.10.2021 um 15:54:23 Uhr
Goto Top
Im Prinzip reichen die 2-3Mbit für die Remotedesktops. Wir haben eine ganze Abteilung virtualisiert und das funktioniert tadellos. Allerdings haben wir 2 Standorte, die mit OpenVPN site2site vernetzt sind und die schaffen halt auch nur 2-3 Mbit. Dort arbeiten die Mitarbeiter zwar auch auf einem Remotedesktop aber wenn die in der VM was ausdrucken wollen, geht die Monsterdruckdatei über das 2-3Mbit VPN zurück an den lokalen Drucker und das dauert dann mitunter 8-9 Minuten wo dann schon die ersten anrufen, das nicht gerdruckt wird... Hier könnte ich sonst auch auf IPsec umstellen, vielleicht wäre dann zu mindestens das Problem zwischen den Standorten gelöst.
Visucius
Visucius 13.10.2021 um 16:15:30 Uhr
Goto Top
Naja, MysticFoxDE hat es doch schon angedeutet. Es ist so oder so "komisch", dass da nur 2-3 Mbit durchgehen.
Ggfs. erstmal im bestehenden Setup nach der Ursache für dieses "Rinnsal" suchen. Ich meine, da waren ja die alten Fritzbox schon flotter unterwegs - und über die wurde hier immer gelästert.

Vielleicht bin ich da ja naiv - würde aber bei nem 400 EUR Router irgendwie mehr Dampf erwarten.

VG
MysticFoxDE
MysticFoxDE 13.10.2021 aktualisiert um 17:14:42 Uhr
Goto Top
Moin darodesk,

Im Prinzip reichen die 2-3Mbit für die Remotedesktops. Wir haben eine ganze Abteilung virtualisiert und das funktioniert tadellos. Allerdings haben wir 2 Standorte, die mit OpenVPN site2site vernetzt sind und die schaffen halt auch nur 2-3 Mbit. Dort arbeiten die Mitarbeiter zwar auch auf einem Remotedesktop aber wenn die in der VM was ausdrucken wollen, geht die Monsterdruckdatei über das 2-3Mbit VPN zurück an den lokalen Drucker und das dauert dann mitunter 8-9 Minuten wo dann schon die ersten anrufen, das nicht gerdruckt wird... Hier könnte ich sonst auch auf IPsec umstellen, vielleicht wäre dann zu mindestens das Problem zwischen den Standorten gelöst.

wie schon vorher gefragt, können sich Server und Clients gegenseitig pingen?

Wenn nein, dann hast du auf jeden Fall schon mal ein Problem mit dem "MTU Path Discovery" welches genau so wie der Ping über ICMP abgewickelt wird. 😉

Beste Grüsse aus BaWü

Alex
darodesk
darodesk 13.10.2021 um 20:36:20 Uhr
Goto Top
ping funktioniert in beide Richtungen
MysticFoxDE
MysticFoxDE 14.10.2021 aktualisiert um 06:50:41 Uhr
Goto Top
Moin darodesk,

ping funktioniert in beide Richtungen

OK, das ist schon mal gut. Ist zwar noch keine Garantie, dass "MTU Path Discovery" zu 100% funktioniert, zu +- 80% sollte es aber funktionieren.

Hast du die Übertragungsperformance schon mal mit iPerf(3) gemessen?
Haben die Standorte einen synchronen oder einen a-synchronen WAN Anschluss?

Beste Grüsse aus BaWü

Alex
Dani
Dani 14.10.2021 um 18:47:37 Uhr
Goto Top
Moin,
Haben die Standorte einen synchronen oder einen a-synchronen WAN Anschluss?
sychron ist die Leitung hoffentlich. Du meinst sicherlich (a)symmetrisch... face-wink

Gruß,
Dani
MysticFoxDE
MysticFoxDE 15.10.2021 um 18:40:33 Uhr
Goto Top
Moin Dani,

Zitat von @Dani:

Moin,
Haben die Standorte einen synchronen oder einen a-synchronen WAN Anschluss?
sychron ist die Leitung hoffentlich. Du meinst sicherlich (a)symmetrisch... face-wink

Gruß,
Dani

ups, du hast vollkommen recht. 🙃

Gruss Alex