ichwaergerneschlau
Goto Top

Wieviele VPN-Verbindungen kann ein Router weiterleiten?

Hallo,

wieder mal eine dumme Frage von mir face-wink, aber wie viele VPN-Verbindungen gleichzeitig kann ein Feld-Wald-und-Wiesen-Router, z.B. eine Fritz!Box per Forwarding/Portfreigabe (TCP-Port 1723 + GRE) gleichzeitig weiterleiten?
Theoretisch halbwegs "unbeschränkt", so viel wie Bandbreite und Rechenleistung hergeben oder gibt es da (in der Regel) harte, niedrige Beschränkungen?
Entweder habe ich Google falsch befragt oder Google weiß es auch nicht (auf den ersten x Seiten).

Content-ID: 266666

Url: https://administrator.de/contentid/266666

Ausgedruckt am: 23.11.2024 um 01:11 Uhr

114757
114757 18.03.2015 aktualisiert um 10:03:01 Uhr
Goto Top
Genau eine, denn ein Router kann den PPTP-Port und das Protokoll nicht doppelt an unterschiedliche Rechner im LAN weiterleiten ! Ist ja auch logisch... PPTP läuft ja auf einem Fest definierten Port den du auf den Clients meist nicht ändern kannst.
Greifst du zu OpenVPN lassen sich natürlich mehrere unterschiedliche Ports auf die internen VPN Server verteilen, hier ist man dann nicht beschränkt.

Gruß jodel32
ichwaergerneschlau
ichwaergerneschlau 18.03.2015 um 10:12:26 Uhr
Goto Top
Danke, aber es ging mir nicht um eine Anzahl der unterschiedlichen Weiterleitungsziele (unterschiedliche Rechner) im Netz sondern um die Anzahl der eingehenden (weiterzuleitenden) gleichzeitigen VPN-Verbindungen auf ein (1) einziges Ziel.
certifiedit.net
certifiedit.net 18.03.2015 um 10:15:16 Uhr
Goto Top
Ist im Prinzip so, wie wenn du mit 1,2,3,4,5 ... Leuten sprichst - irgendwann macht deine Fähigkeit das zu verarbeiten nicht mehr mit. Kommt jetzt natürlich noch darauf an, wie schnell und wie frequent die Leute etwas sagen. Oft ist es auch SW technisch limitiert- AVM llimitiert das bspw aber nur durch die HW.
MartinMeint
MartinMeint 18.03.2015 um 10:15:31 Uhr
Goto Top
Mein Router kann GRE und TCP1723 an verschiedene Rechner weiterleiten. Ergo sollten Mehrfachverbindungen möglich sein. Wieviele maximal möglich sind hängt, denke ich, von der Beschaffenheit des Routers ab.

Beste Grüße
114757
114757 18.03.2015 aktualisiert um 10:21:17 Uhr
Goto Top
Was für ein VPN-Server-System ist das Ziel der Weiterleitung ?
keine-ahnung
keine-ahnung 18.03.2015 aktualisiert um 10:20:03 Uhr
Goto Top
Wenndugernschlauwaerst nutze doch das hier. Musst Du halt für jeden Router machen, da die Hersteller das unterschiedlich handhaben, bspw. um VPN-Lizenzen zu verticken. Wir googeln das doch gerne für Dich ...
aqui
aqui 18.03.2015 aktualisiert um 12:36:56 Uhr
Goto Top
Du solltest dich mal etwas genauer ausdrücken...
Anzahl der eingehenden (weiterzuleitenden) gleichzeitigen VPN-Verbindungen auf ein (1) einziges Ziel.
WAS genau ist damit gemeint ??
Nur mal grob:

Verbindungen die von außen also dem Internet eingehen und über das NAT (IP Adresstranslation) des Routers per Port Forwarding auf das lokale Netz weitergeleitet werden = Siehe Aussage vom Kollegen jodel32 !
Da ist generell pro Port und Protokoll nur eine einzige Verbindung möglich wenn du mit VPN Protokollen wie PPTP (dein Beispiel) oder IPsec arbeitest die aus mehreren Protokollkomponenten bestehen !
Wenn du ein SSL basiertes VPN Protokoll verwendest wie z.B. OpenVPN rein auf UDP oder TCP Basis kann man mit Port Translation auch mehrere VPN Tunnel von außen forwarden nach intern.
Es ist also Protokoll abhängig, denn "VPN" ist ja nur ein globaler Begriff wie "Auto".

Wenn du Verbindungen meinst die von innen, also dem lokalen Netz, nach draufen gehen ist das abhängig von der HW UND dem Protokoll !
Da du ja nicht so schlau bist: PPTP (deine Beispiel) besteht aßer aus TCP 1723 noch aus einem GRE Tunnel. Das IP protokoll 47, GRE hat aber in sich keine Ports damit bekommen NAT Session Tabellen ein Problem.
Doofe billige Router können gerade mal eine PPTP Session im Cache halten weil sie nur ein Session Counter für GRE haben.
Ähnlich verhält es sich bei IPsec da dort eine Komponente ESP ist (IP Protokoll 50) was auch keinen Ports hat.
Alles weiter an solen Protokoll Sessions mehr als eine von intern funktioniert dann nicht mehr.
Bessere Router, die etwas intelligenter sind, haben ein Application Gateway was damit besser umgehen kann.
Hier lautet also die Aussage: Es kommt darauf an (Hardware)
Auch hier gilt das SSL basierte Protokolle diese Einschränkungen NICHT haben !

So hoffen wir mal das das etwas zur Erhöhung der "Schlauheit" beigetragen hat ?!
Ansonsten gilt wie immer der Tipp vom Kollegen k.A. oben !
ichwaergerneschlau
ichwaergerneschlau 18.03.2015 um 13:25:09 Uhr
Goto Top
Wird bereits genutzt, aus technischen Gründen muss/soll Portforwarding (auch, von anderen Clients) genutzt werden
ichwaergerneschlau
ichwaergerneschlau 18.03.2015 um 13:27:15 Uhr
Goto Top
Windows Server 2012
aqui
aqui 18.03.2015 um 13:34:31 Uhr
Goto Top
Und, jetzt ?? Was sollen uns diese Statements jetzt sagen... Bahnhof ?
Was Router können und was nicht bei welchem VPN Protokoll kannst du ja nun oben GENAU lesen zum Schlaumachen... ?!
ichwaergerneschlau
ichwaergerneschlau 18.03.2015 um 13:38:56 Uhr
Goto Top
Weißt Du zufällig das Limit von AVM? Wobei dies sicher auch dort Modellabhängig wäre.
Bei AVM ist mir nur ein Limit bei "Fritz!Fernverbindung" bekannt, welches aber auch eher kein zwangsweise hartes Limit ist. AVM schreibt selber "8 Verbindungen" eingerichtet - nicht am Laufen. Ab 9 kein Support und möglicherweise fehlerhafte Darstellung und Verbindung/Datenübertragung/etc. Fehlerhafte Darstellung kann ich bestätigen, bei einer 9 eingerichteten Verbindung bei nur zwei laufenden Verbindungen wird nicht mehr dargestellt, ob die Verbindung #9 gerade läuft. Aber wie gesagt, es geht hier schon um die Einrichtung als Limit. Ob 8 oder mehr gleichzeitige "Fernverbindungen" zu seltsamen Fehlern führen, will ich gar nicht testen.
Auch deshalb meine Frage.
aqui
aqui 18.03.2015 um 13:43:53 Uhr
Goto Top
Weißt Du zufällig das Limit von AVM? Wobei dies sicher auch dort Modellabhängig wäre.
Welche Richtung meinst du denn ?? Da ist ja von dir immer noch keine Aussage zu.

Normal ist ja von außen (Internet) via Router ins lokale LAN und da kann auch AVM nur eine einzige Verbindung ! Du kannst also nicht multiple VPN Server mit PPTP oder IPsec hinter dem NAT haben.
Wenn es dir allerdings nur darum geht alle eingehenden PPTP Verbindungen auf einen einzelnen Server forzuwarden, dann reicht ein einziger Port Forwarding Eintrag mit TCP 1723 und GRE. Siehe auch hier:
VPNs einrichten mit PPTP
Suchfunktion läßt grüßen.

Kundige Netzwerker terminieren deshalb die VPN Verbindung immer auf dem Router oder der Firewall und leiten niemals sowas in ein internes LAN.
Und nutzen auch kein PPTP mehr:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
ichwaergerneschlau
ichwaergerneschlau 18.03.2015 um 13:47:57 Uhr
Goto Top
Danke für die Antwort.
Aber erstens gibt es hier bei nur ein Ziel, zweitens wie weiß Dein Router wohin er denn gerade weiterleiten muss?
Da muss sich der Client ja irgendwie zu erkennen geben.

Und drittens, wenn Dein Router da mehr kann als ein "Feld-Wald-Wiesen"-Router, dann ist es wahrscheinlich, dass er auch sonst mehr kann.
Mehrfach ist möglich, auch bei einem Feld-Wald-Fritz-Router, nur wo ist das Limit? - und AVM ist auf der Cebit und nicht zuhause.
Naja, werde einfach abwarten, was die so irgendwann antworten.
ichwaergerneschlau
ichwaergerneschlau 18.03.2015 um 13:55:56 Uhr
Goto Top
Liegt es an mir oder an dir, dass Du herauslesen willst, dass ich mehrer Portweiterleitungen einrichten will? Ich habe dies nie geschrieben!
Ich wollte nur wissen wieviele Weiterleitungen EINE eingerichtet Portweiterleitung, wie schon von mir ganz oben geschrieben TCP-Port 1723 + GRE, gleichzeitig kann.
Wenn der Admin keine entsprechenden Router bekommt, dann kann er ein noch so kundiger Netzwerker sein wie er will.
Er könnte natürlich kundig und sehr spendabel sein und aus eigener Tasche so einen Router spendieren. Zumindest die Spendabilität fehlt mir hier aber.
aqui
aqui 18.03.2015 um 13:58:24 Uhr
Goto Top
zweitens wie weiß Dein Router wohin er denn gerade weiterleiten muss?
OHNE einen entsprechenden Port Forwarding Eintrag von DIR im Router weiss er es natürlich nicht und würde wie es sich für einen NAT Firewall dann gehört alle eingehenden Verbindungen ohne gültigen Session Table Eintrag blocken und verwerfen !
Da muss sich der Client ja irgendwie zu erkennen geben.
Ja, das macht er über die TCP/UDP Ports bzw. Protokoll Header (bei GRE z.B.) mit denen er beim Router ankommt, logisch !
wenn Dein Router da mehr kann als ein "Feld-Wald-Wiesen"-Router, dann ist es wahrscheinlich, dass er auch sonst mehr kann.
Ja, das ist so face-wink
nur wo ist das Limit?
Das ist Protokoll bedingt wie oben dir schon mehrfach gesagt wurde. Der Knackpunkt ist das GRE Protokoll um mal bei deinem Beispiel PPTP VPNs zu bleiben.
GRE ist ein eigenens IP Protokoll hat also keine internen Ports wie du es von TCP kennst mit Port 80 z.B. (HTTP) oder Ports 20 u. 21 (FTP) oder 25 (Email) usw. usw.
So hat der Router keinerlei Chance unterschiedliche GRE Sessions zu erkennen. Er muss dann weiter in den Protokoll Header von GRE sehen um dort seinen Session Counter zu "sehen".
Das kannst du übrigens auch wenn du dir mit dem freien Wireshark Sniffer mal ein GRE Paket ansiehst !! (Soviel zum Thema Schlaumachen !)
Doofe Router klönnen das aber nicht, da es eine gewisse CPU Power erfordert tiiefer in Datenpakete zu sehen und das zu analysieren mit entsprechender Firmware.
Für den deutschen Michel darfs ja nix kosten deshalb greift der ja immer im Blödmarkt zu und da nimmt das VPN Unglück dann seinen Lauf...sofern man denn überhaupt Wert auf VPNs legt ?!
keine-ahnung
keine-ahnung 18.03.2015 um 14:03:09 Uhr
Goto Top
Moin nochmal,
nur wo ist das Limit? - und AVM ist auf der Cebit und nicht zuhause. Naja, werde einfach abwarten, was die so irgendwann antworten.
bist Du nicht nur zu faul, selber zu googeln, sondern auch noch zu bequem, auf die Links zu klicken, die Dir hier dann noch angeboten werden???
Sie können in der FRITZ!Box bis zu acht VPN-Verbindungen (Virtual Private Network) zu anderen Netzwerken oder Benutzern einrichten. Wie viele dieser VPN-Verbindungen gleichzeitig nutzbar sind, hängt lediglich von der Geschwindigkeit und Auslastung der Internetverbindung ab.
Was bitte genau ist daran jetzt unverständlich?
ichwaergerneschlau
ichwaergerneschlau 06.04.2015 um 10:29:36 Uhr
Goto Top
Zitat von @keine-ahnung:

Moin nochmal,
> nur wo ist das Limit? - und AVM ist auf der Cebit und nicht zuhause. Naja, werde einfach abwarten, was die so irgendwann
antworten.
bist Du nicht nur zu faul, selber zu googeln, sondern auch noch zu bequem, auf die Links zu klicken, die Dir hier dann noch
angeboten werden???

Woher nimmst du die Unverfrortenheit zu behaupten, jemand sei zu faul zu "google"?
Auch sehe ich nirgendwo hier einen Link der explizit die Frage nach dem Limit beantwortet, solltest Du meine Frage überhaupt verstanden haben. Letzteres ist vermutlich der Knackpunkt.

> Sie können in der FRITZ!Box bis zu acht VPN-Verbindungen (Virtual Private Network) zu anderen Netzwerken oder Benutzern
einrichten. Wie viele dieser VPN-Verbindungen gleichzeitig nutzbar sind, hängt lediglich von der Geschwindigkeit und
Auslastung der Internetverbindung ab.
Was bitte genau ist daran jetzt unverständlich?

Nichts! Habe ich geschrieben, dass es unverständlich wäre? Wenn Du etwas nichts verstehst, dann werfe es bitte anderen nicht vor.
Dieses Zitat von AVM diente nur zur Information.
Noch einmal - obwohl inzwischen erledigt - ganz langsam zum mitschreiben: ;)
Das Limit von 8 Fritz-VPNs war nicht meine Frage, sondern höchstens der Grund meiner Frage (wenn's Dir zu kompliziert wird, lies einfach langsamer). Das Problem bei diesen Fritz-VPNs ist, dass schon mehr als 8 eingerichtete aber gar nicht genutzte "Fernzugriffe" zu Fehlfunktionen führen (können? Bei meinen Tests traten ab dem 8. eingerichteten (!) Fernzugriff zuverlässig zumindest Anzeigeprobleme auf.) Mal abgesehen davon, dass die Performance möglicherweise deutlich suboptimal sein könnte.
Wenn also mehr als acht Nutzer eine VPN-Verbindung nutzen wohlen, dann ist die Fritz-Option eben keine sinnvolle Option. Um weitere Probleme vorzeitig zu wissen, habe ich eben die Eingangsfrage gestellt.
Auch die noch einmal kurz für Dich *bg*, ich wollte einfach vorbeugend wissen, wie viele eingehende VPN-Verbindungen auf eine LAN-IP-Adresse ein Feld-Wadl-und-Wiesen-Router (wie es eine Fritz!Box eben ist) in der Regel gleichzeitig problemlos weiterleiten kann.
Leider bitte die Forensoftware nicht die Option anzuwählen "Hat nicht zur Lösung beigetragen".
certifiedit.net
certifiedit.net 06.04.2015 um 10:49:35 Uhr
Goto Top
Wenn du es schon weist, warum fragst du dann (dumm und überheblich).

Ja die Hardware limitiert, nein VPN gehört nicht zu den Kern Kennzahlen einer box und ja im business sollte man auch business Produkte, entsprechend angepasst nutzen.

Gruß
aqui
aqui 06.04.2015 um 11:43:50 Uhr
Goto Top
Der TO hat zudem vergessen das die FB eine simple und einfache Consumer Box ist. Der Router also für Oma Grete und den deutschen Couch Surfer Michel der vielleicht mit dem iPhone mal seine Bildersamlung per VPN auuf dem heimischen NAS sehen will.
In einem skalierbaren VPN Umfeld hat der nichts zu suchen !
Da gibt es andere Hersteller die skalierbare Systeme herstellen und bei der so eine Frage auch Sinn (oder letztlich keinen Sinn) machen würde.
Aber mit der Bezeichnung "Feld- Wald- Wiesenrouter" hat der TO das ja auch selber schon folgerichtig erkannt.
certifiedit.net
certifiedit.net 06.04.2015 um 11:53:59 Uhr
Goto Top
Zitat von @aqui:

Aber mit der Bezeichnung "Feld- Wald- Wiesenrouter" hat der TO das ja auch selber schon folgerichtig erkannt.

ironischerweise schon im Anfangspost.
114757
114757 06.04.2015 aktualisiert um 13:01:31 Uhr
Goto Top
Das Problem bei diesen Fritz-VPNs ist, dass schon mehr als 8 eingerichtete aber gar nicht genutzte "Fernzugriffe" zu Fehlfunktionen führen (können? Bei meinen Tests traten ab dem 8. eingerichteten (!) Fernzugriff zuverlässig zumindest Anzeigeprobleme auf.)

Jetzt sprichst du wieder von den VPN Zugängen in der Fritte ?? Du sagtest doch das dein Server 2012 der VPN-Responder ist und nicht die Fritte ?! Und was meinst du mit Anzeigeproblemen ??

Damit das ganze hier mal ein Ende hat habe ich vorhin auch aus eignem Interesse mal einen Test mit einer Fritzbox 7390 gefahren:

15 VMs (10x Ubuntu/ 5x Win 7) bauen gleichzeitig / kurz versetzt eine PPTP-Verbindung zu einem Server 2012R2 welcher hinter einer Fritzbox 7390 sitzt, auf. Auf den VMs läuft ein Script das kontinuierlich Daten übers VPN laufen lässt.

Ergebnis: Alle Verbindungen liefen stabil im Testzeitraum und keinerlei Abbrüche zu verzeichnen. Datentransferraten blieben im erwarteten Rahmen. Es wurde dabei die volle WAN Bandbreite der FB ausgelastet (16MBit Down /1MBit Up mehr ist dieser leider nicht gegönnt).
Fritzbox-CPU Auslastung lag dabei bei 55% -60%.(kann variieren je nachdem was man auf der FB für Dienste aktiv hat)

Mehr VMs konnte ich momentan mangels Hauptspeicher nicht testen, aber so wie es aussieht gehen noch wesentlich mehr.

Gruß jodel32