Fragen zur optimalen VPN-Konfiguration/Router

[michael_na]

Hallo Zusammen,

ich beschäftige mich seit Wochen mit dem Thema, komme aber noch auf keinen grünen Zweig bzw. hab noch Verständnisprobleme.
Ich möchte von ausserhalb auf meine NAS zugreifen, mit einer möglichst sicheren Konfiguration. Bisher verwende ich eine Fritzbox 6490 (Kabel) und dahinter steht eine DS 918+. Zukünftig möchte ich es in Sachen Geschwindigkeit, Sicherheit, Zukunftsfähigkeit ein wenig optimieren. Da ich mir einen WIFI-6 Router zulegen wollte, könnte man das Thema VPN gleich damit verbinden. Alternativ auch gerne eine getrennte Betrachtung und z.B. das VPN der Synology nutzen bzw. eine Kombination.

Meine Verständnisprobleme

1. Aktuell verwende ich das langsame VPN der Fritzbox um auf meine NAS zuzugreifen. Sobald aber jemand z.B. aus meiner Familie sich auch per VPN einwählt, hat er theoretisch Zugriff auf alle Geräte im Netz. Im Fall der NAS auf alle möglichen Ports und somit auch theoretisch auf jeden Docker Container. Selbst wenn ich irgendwelche Ports sperren/zuweisen könnte, gilt das für alle Benutzer die sich per VPN einwählen. Denn ich kann ja bei der Fritte nur auswählen ob sich der User über VPN verbinden kann, aber keine Unterscheidungen vornehmen. Es gibt also keine Unterscheidung ob der User ausserhalb ist oder hier per WLAN mit meinem Netz verbunden ist. Ist das korrekt was ich sage und gibt es Lösungen die Zugriffe zu trennen?
2. Um auf meine NAS per VPN zu kommen, nutze ich ja die Fritte. Ist die Fritte denn auch immer die erste Tür aus dem Internet zu meinem Netzwerk oder kann das theoretisch jedes Gerät wie die NAS sein? Also über VPN und eine DDNS-Adresse direkt auf meine NAS zuzugreifen ohne das ich irgendwas mit der Fritzbox mache. Über die Fritzbox läuft dann weder VPN, DDNS, Portfreigabe etc. Oder muss jede Anfrage von Außen irgendwie durch die Fritzbox freigegeben werden?
3. Gleicher Fall, falls ich mir einen neuen WIFI-6 Router hole. Der Router würde ja mit der Fritzbox verbunden werden. Ist dann wieder die Fritzbox (Internetversorgung) das erste Tor oder kann es auch der neue Router sein?

Mein Bedarf

• schnellstmögliches und sicheres VPN um auf meine NAS zu kommen (lese in diesem Zusammenhang immer von Wireguard)
• Die User die sich per VPN einwählen, erhalten nur Zugriff auf bestimmte Bereiche. z.B. ein spezieller Port eines Docker-Containers auf der NAS
• IP-Anonymisierung über einen VPN-Dienstleister für alle Geräte im Netzwerk, die auf das Internet zugreifen bzw. einzelne Geräte sollte man davon ausschließen können (=> neuer Router?)

Was wäre denn für mich die beste Lösung bzw. welche Infos fehlen noch?

Besten Dank!
Michael

 

[NSFH]

Schnellstmögliches VPN: Fitzbox nur noch im Bridgge Mode nutzen und einen VPN Router dahinter betreiben.
Alles was von Aussen kommt muss zwangsläufig durch den Router.
Problem Portweiterleitung: Du leitstest in den SoHo Routern ungefilterten Datenverkehr an das Ziel im eigenen LAN = Sicherheitsrisiko.
In einem vernünftigen Router kannst du all das realisieren was du willst und dort werden die weitergeleiteten Ports auch durch die Firewall geschleust.
Zu guten Routern gehören neben Unterstützung aller VPN Formate hohe Datenübertragungsraten und passende VPN Clients für Win, Mac, Android.
Meine Empfehlung da preisgünstig, schnell, VPN Clients sind kostenfrei, eigener DDNS Dienst und mit deutschem Telefonsupport: https://www.draytek.de/produktuebersicht.html
WLAN würde ich mit externen AP Points realisieren, nicht im Router!

 

[michael_na]

Herzlichen Dank für Deine Antwort NSFH!

Alles was von Aussen kommt muss zwangsläufig durch den Router.

Das heißt aber nicht, dass alles auch durch die Fritzbox muss? Also wenn die Fritzbox im Bridge-Modus ist, ist der alternative Router die erste Adresse von Außen, obwohl durch die Fritzbox die Internetverbindung zustande kommt?

Hättest Du noch eine Empfehlung für mich von Draytek (gute Preis-Leistung) und eine Empfehlung bzgl. AP-Point?

 

[NSFH]

Die Fritz leitet nur weiter. Problem ist bei Kabelanschlüssen durch zB Unitymedia (jetzt Vodafone) dass DOCSIS Modems benötigt werden. Dann wäre die Ideallösung Fritbox raus, Technicolor TC4400 rein. Das ist ein reines Modem. Dahinter sitzt dann der modemlose Router. Hinter dem Router kann man dann wieder die Fritzbox als reine Telefonanlage betreiben.
Es gibt aber auch Kabelanbieter die direkt Modems anbieten. Auch das ist besser als die Fritz. Dieser Bridge Mode bei Fritz ist nur eine Krücke.
Der günstigste VPN Router (ohne Modem, ohne WLAN dürfte https://www.draytek.de/vigor2135-serie.html sein.
WLAN AP der 960C als neustes Modell. Du kannst aber auch andere AP verwenden.
Die bessere Lösung wäre https://www.draytek.de/vigor2927-serie.html
Wie die Geräte zu konfigurieren sind kannst du dir über die Live Demo anschauen.

Auf der Support Seite deutsch und noch mehr englischen Seite findest du haufenweise Hilfe zu allen möglichen Fragen.

 

[blurrrr]

Die bessere Lösung wäre https://www.draytek.de/vigor2927-serie.html

...

...mit Durchsätzen bis zu 285Mbit/s bei IPsec und bis zu 110 Mbit/s bei SSL-VPN mit voller Verschlüsselung

... schämst Du Dich nicht sowas zum empfehlen? Wir leben doch mittlerweile in einer GIGAbit Gesellschaft!! ??

Spass beiseite, nicht verunsichern lassen @michael_na - passt schon alles ?

 

[NSFH]

VPN und Datendurchsatz sind 2 Dinge die nicht wirklich miteinander harmonieren. Wenn man dann noch wie ich SSL-VPN favorisiert, weil es einfach überall funktioniert, muss ich diese Krücke halt schlucken....oder richtig Geld in die Hand nehmen. Die grösseren VPN Brüder von Draytek weisen auch ganz andere Übertragungsraten auf, kosten dann aber das Doppelte,
Immerhin sind die Drayteks gegenüber den Fritz wahre Raketen ;-)

 

[michael_na]

Was würde denn gegen Wireguard spreche n? Das soll ja in Sachen Geschwindigkeit allen überlegen sein?

 

[blurrrr]

Mach doch! Ich fände es auch toll, wenn ich mir ein Auto bauen kann, hab ich nur keine Ahnung von und auch kein Material, also wird das wohl eher nix, aber mit ein bisschen einlesen und ein paar Raspberry-Dingern (oder was auch immer) geht bestimmt einiges. Muss halt jeder für sich entscheiden... Dinge wie IPsec und SSL-VPN gibt es schon seit Ewigkeiten, wireguard ist halt der "neue heisse Schei**". Schlussendlich muss das jeder für sich selbst entscheiden, aber für den "Anfang" wäre eine "Appliance" vermutlich nicht verkehrt, oder hast Du Dich schon mal mit iptables und Co. rumgeschlagen? Ein VPN allein macht nämlich noch lange keine Firewall und es ist schon ein Unterschied, ob man sich ein paar Regeln "zusammenklicken" kann, oder ob man wissen muss, was man da tut (und dann tun sich auf einmal ganz neue Abgründe auf - kleiner Vorgeschmack hier). Ist also nicht grade anfängerfreundlich, aber wenn es Dich in den Fingern juckt und Du so richtig Bock hast, ich bin der letzte, der etwas dagegen sage würde ??

 

[servilianus]

Problem ist bei Kabelanschlüssen durch zB Unitymedia (jetzt Vodafone) dass DOCSIS Modems benötigt werden. Dann wäre die Ideallösung Fritbox raus, Technicolor TC4400

Leider ist das Technicolor-Kabelmodem für den Privatkunden schwer zu bekommen bzw. sehr schnell vergriffen (bei Shop-Werner z.B).
Möglichkeit daher nur in der Fritzbox den dahinterliegenden VPN-Router als Exposed Host zu definieren (dann mit doppeltem NAT leben, kann man aber denke ich für den Hausgebrauch verschmerzen) - oder den Kabelanbieter bitten, die Fritzbox zu bridgen. Der Endkunde kann das ja nicht (mehr). Hat damals Unitymedia bei mir gemacht, die Fritzbox wurde so zu einem reinen Modem degradiert, dahinter rennt dann ein Draytek 2952 (und an anderen Standorten dann mehrere Vigors 2926). Ob das Vodafone auch noch anbietet, weiss ich allerdings nicht.

Aktuell verwende ich das langsame VPN der Fritzbox um auf meine NAS zuzugreifen. Sobald aber jemand z.B. aus meiner Familie sich auch per VPN einwählt, hat er theoretisch Zugriff auf alle Geräte im Netz. Im Fall der NAS auf alle möglichen Ports und somit auch theoretisch auf jeden Docker Container.

Genau solche Beschränkungen klappen in der Fritzbox nicht, da keine gescheite Firewall-Regeln anlegbar. In einem richtigen VPN-Router kann man aber die Zugriffe auf bestimmte Geräte/Clients/Server im LAN sehr schön individuell pro VPN-Nutzer beschränken oder auch freigeben.

Um auf meine NAS per VPN zu kommen, nutze ich ja die Fritte. Ist die Fritte denn auch immer die erste Tür aus dem Internet zu meinem Netzwerk oder kann das theoretisch jedes Gerät wie die NAS sein?

Würde davon abraten, den Einstiegspunkt für das VPN auf die Synology zu verlegen (also die Synology als VPN-Server einzurichten). Der Einstiegspunkt für das VPN gehört auf die Schnittstelle WAN-LAN, also auf den Router, nicht auf ein Gerät im LAN.

Fazit: Für die Zwecke des TE sollte ein gescheiter VPN-Router eingesetzt werden und die Fritzbox dann ersetzen oder zumindest degradieren. Also am besten: Kabel-Modem oder DSL-Modem (Vigor 165), VPN-Router, Fritzbox dann für die Telefoniefunktionen als Client im LAN.
Alternativ: Fritzbox bleibt, VPN-Router als Exposed Host, die Fritzbox hat dann keine anderen Funktionen mehr als Telefonie und alle Pakete an den VPN-Router durchzuleiten, der dann auch die entsprechende Firewall hat.

 

[michael_na]

Vielen Dank für Eure Antworten.
Also die Fritzbox 6490 Kabel habe ich auf dem freien Markt gekauft. Mein Provider war Cabelsurf und wurde dann von PYUR gekauft. Ich kann mich offen gesagt nicht mehr erinnern ob ich damals im Store war, damit die Box irgendwie freigeschaltet wurde. Früher war das noch so. Bei der Letzten glaube ich nicht mehr. Kann ich auf die Fritzbox verzichten oder wird die trotzdem benötigt? Telefonie ist zweitrangig. Im Grunde kann ich auch mit der Fritz als Bridge leben und schalte dahinter einen Router. Wenn ich aber nach meinem Modell und Bridge suche, bekomme ich bei AVM folgende Meldung:

Kann die FRITZ!Box als Modem (Bridge-Modus) eingesetzt werden?​

Die FRITZ!Box kann nicht als einfaches Modem oder im sogenannten Bridge-Modus eingesetzt werden. Im Betrieb als einfaches Modem könnten die an vielen Kabelanschlüssen zusammen mit dem Internetanschluss bereitgestellten Telefonie-, Fernseh- und Hotspot-Angebote nicht mehr genutzt werden. Auch der Großteil der Funktionen der FRITZ!Box wäre dann nicht mehr nutzbar. Richten Sie die FRITZ!Box daher wie in der Anleitung FRITZ!Box für Betrieb am Kabelanschluss einrichten beschrieben ein.

Was soll ich nun machen bzw. welcher Router soll es werden? Bei den unterschiedlichen Vigor Modellen verliert man ein wenig den Überblick.
Genau, noch ein Punkt. Es ist ein Thema irgendwann auf 2,5GBit oder 10GBit umzusteigen. Muss das der Router können oder geht es hier lediglich um das Internet?

Und dann fehlt auch noch eine WiFi 6 AP Empfehlung.

 

[blurrrr]

Wenn das nicht funktioniert bliebe auch noch die Variante, dass man das Ding einfach nur Stumpf als Router mit statischen internen Routen benutzt, dann kann man sich ein weiteres (internes) auch direkt sparen.

Muss das der Router können oder geht es hier lediglich um das Internet?

Mit "ein bisschen" Nachdenken, kann man sich die Frage ganz leicht selbst beantworten:

Clients <-> Switch <-> Firewall/Router <-> Modem/Router <-> Internet

Ein Client wird erst dann sein Standard-Gateway ansprechen, wenn das gewünschte Ziel nicht innerhalb des eigenen Netzes liegt, oder keine anderweitigen Routen bekannt sind. Client <-> NAS dürfte wohl im gleichen Netzsegment liegen, ergo geht da auch nichts über den Router.

Vergleich es von mir aus mit einer "Haustür"... da passen leider nur kleine Kinder durch, aber ist das für die Erwachsenen "innerhalb" des Gebäudes auch nur ansatzweise relevant? Nö.

 

[michael_na]

Mit "ein bisschen" Nachdenken, kann man sich die Frage ganz leicht selbst beantworten:

Eigentlich war es klar, mich hat es nur gewundert, dass es Router auf dem Markt gibt die einen 10 Gbit Port haben. Also geht es bei den Modellen um möglich Internetverbindungen jenseits der 1Gbit?

 

[blurrrr]

Das kann durchaus auch für interne Dinge sein, oder halt 10G Internet, je nach Portkonfiguration

 

[NSFH]

Du wirst kaum einen Router finden, der mehr als 1GB nach Aussen kann. Die höheren Geschwindigkeiten sind in der Regel für den internen Betrieb.
Was viele Hersteller unterschlagen ist der NAT Durchsatz. Also das, was wirklich durch den Router durch kann nach allem filtern. Was nützt einem also ein 1GB Internetzugang wenn NAT nur 600MB schafft: NIX!
Der Draytek Vigor2962 ist zB so ein Gerät, dass da andere Massstäbe setzt, auch im VPN Bereich. https://www.draytek.de/vigor2962.html
Der 2962 wird mein Standdard bei zukünftigen Installationen sein.

Was die Auswahlö der möglichen Geräte angeht, die ist gar nicht so gross, da nur Router OHNE Modem (und evtl auch ohne WLAN) in Frage kommen sollten. WLAN würde ich IMMER mit externen AP realisieren.

 

[michael_na]

Der Draytek Vigor2962 ist zB so ein Gerät, dass da andere Massstäbe setzt, auch im VPN Bereich.

Der gefällt mir auch sehr gut, aber 500 EUR sind für den Heimgebrauch schon eine Ansage, vor allem da noch ein zusätzlicher AP benötigt wird. Ich schaue mir noch mal die Modelle darunter an ohne 2fach WAN.

Hast Du denn zu einem WiFi 6 AP eine Empfehlung?

 

[michael_na]

Glasfaseranschluss und der sehr hohe Durchsatz sprechen schon klar für den 2962. Da hätte man auch langfristig Freude daran.

Puh, schwierig. Vermutlich erst mal der Vigor2135 und später wenn die hohen Geschwindigkeiten interessant werden, verkaufen und auf den 2962 wechseln.

Noch ein Nachtrag: Anscheinend habe ich in der Fritzbox wirklich keinen Bridgemodus. Den haben wohl nur die Provider-Boxen und nicht selbstgekaufte. Das soll jemand verstehen?

Jetzt stehe ich fast wieder am Anfang meiner Frage

 

[NSFH]

Ist Puy dein Anbieter? Gibt es da vielleicht ein Forum, wo die Modemfrage diskutiert wird?
Ich habe keine Ahnung wie deren/deine Anschlüsse technisch aussehen.

AP: https://www.draytek.de/vigorap-960c.html
Wenn du bei Draytek Geräten bleibst kannst du die alle zentral vom Router aus managen, so wie es ähnlich Ubiqiti macht.

 

[blurrrr]

Ach komm, jetzt muss ich auch mal... Ist zwar nicht so "hübsch", aber was soll's...: Ansonsten halt eigene Hardare mit Sophos UTM Home drauf (@NSFH ??) und in der Fritzbox einfach statische Routen für die Netze hinter der Firewall deklarieren, fertig. Somit bleibt das NAT dann auch einzig und allein beim Router. Mit einfach "nur" Modem wäre eben die hübschere Variante. Sophos UTM Home ist die kostenlose Variante (mit allen ansonsten kostenpflichtigen Subscriptions) für Privatanwender. Hardware nach eigenem Ermessen.

 

[the other]

Moinsen,
Na dann geb ich meinen Mist auch noch dazu...
Fritzbox lassen, pwl auf dahinter installierte pfSense auf apu Board. Kostet ca 200 Euro.
Haste auch vpn, mit openvpn auch eine ssl-vpn Variante , wenn unbedingt (blingbling) nötig ab 2.5 auch wireguard, Vlans, Firewall, DHCP, DNS, Und und und...
Vermutlich mehr als du brauchst. Wenn dir das apu Board nicht reicht, nimmst potentere Hardware.
Aber (wie @NSFH sagte), Support musst du dir selber anlesen, da ist draytek vermutlich komfortabler.. .

 

[Synchrotron]

Mir ist der Use Case noch nicht wirklich klar - 200 parallele VPN-Verbindungen kommen da aber nicht vor, denke ich. Was soll da denn konkret abgerufen werden ? Und mit welchem Endgerät, über welches Netz ? Laufend und performant, den ganzen Tag, oder mal so bei Gelegenheit ?

Beispiel: Wenn ich von außen über ein Mobiltelefon in einem WLAN und normalem öffentlichem Internet zugreifen will, ist es egal, ob die interne VPN-Lösung hunderte von Mbit schaufelt - die Leistung kommt nicht an.

Über die VPN-Anbindung an einen externen Dienst wurde (glaube ich) noch überhaupt nicht gesprochen, soll aber auch sein.

Daher ist mir das alles bisher zu diffus, um wirklich einen Beitrag zu formulieren. Und schon gar keine Modellnummer irgendeines VPN-Routers irgendeines Herstellers ... "passt immer" mag sein, aber dann steht da so ein Möbel, und langweilt sich. Wär doch schade !