VPN Router, welcher ist der Richtige?

[blurrrr]

Ich glaube, da hast Du nun Sinn und Zweck eines (im heutigen Gebrauch üblichen) "NAS" nicht verstanden. Sicher ist es weitaus "besser" (vermutlich in fast jedem Bereich) sich selbst etwas zu bauen und es entsprechend zu bestücken, aber mal ganz ehrlich... Wer hat denn heute noch die Zeit sich groß damit auseinander zu setzen? Anforderung, Gerät erfüllt anforderungen, kaufen, "kurz" einrichten, läuft, fertig. Hast Du Dir mal überlegt, wie es aussieht, wenn man das "normale" Volk auf z.B. iptables loslässt? Selbst damit ist man ja noch "lange" nicht am Ziel angekommen... die meisten haben einfach "keine Lust" sich damit zu beschäftigen und logischerweise bringt das natürlich die "Wir haben alles unter einer Haube und natürlich einfach!"-Leute auf den Plan. Selbst bei den Opensource-Geschichten gehen die Stimmen der Verschwörungstheoretiker ja hoch (s. UK/Canonical z.B.). Also alles in allem "bleibt" es alles wie es "ist": "offline ist das sichere online" (Vergiss bitte auch die Tatsache nicht, dass auch schon Repositories komprimitiert wurden )

 

[whitbread]

Also ich habe jetzt noch nicht ganz verstanden, ob wir jetzt über VPN im Home- oder Business-Bereich diskutieren?!?

Eine Sophos UTM habe ich auch im Einsatz, VPN würde ich darüber aber nicht fahren; GUI und was daraus am Ende wirklich für eine Konfig ensteht ist mir zu intransparent.
Und alles was es im Blödmarkt zu kaufen gibt verdient den Namen Router definitiv nicht!
Ich bin damals nach ersten Gehversuchen mit pfSense bei Mikrotik gelandet, da die HW einfach unschlagbar günstig ist. Aktuell gibt es saugünstige Geräte mit HW-Unterstützung für IPSEC. Für OpenVPN wäre MTik imho aber nicht erste Wahl.
Also kommt es wie immer auf das Einsatzszenario an...

 

[NSFH]

Ich glaube wir können hier ruhig 2-gleisig fahren, VPN für Home und für Business. Genau so nutze ich es ja auch. Für meine wenigen Anwendungen privat nutze ich das einfache VPN der Fritzbox und ein NAS. Warum? Habe weder Lust noch Zeit zu Hause aufwändige Pflege- und Wartungsarbeiten an meinem Heimnetzwerk durchzuführen. Das soll einfach nur am besten mit plug'n play laufen.
Ganz anders sieht es im geschäftlichen Bereich aus. In einem Fall habe ich 60 Aussendienstmitarbeiter, die auf den Server müssen. Dazu Zugang zu Notes, CalDav und CardDav. Da sind offene Ports bei dann wirklich sensiblen Daten mehr als unerwünscht. In so einem Fall braucht man halt einen VPN Server, der einen 40MBit uplink auch ausnutzen kann. Die kleinen Universalrouter leisten das nicht.
Problem ist wirklich die Aufpreispolitik, die dann an Hand der VPN.Lizenzen den Systempreis nach oben treiben. Genau um diese Geräte möchte ich einen Bogen machen.

 

[blurrrr]

Ich glaube "so" relevant ist die Unterscheidung garnicht mal (ausser natürlich in der Handhabung), denn die 0815-SOHO-Büchsen sind ja schon mal ganz gerne mit einer "aktuellen" Leitung (z.B. T-Kom 100/40) überfordert, wenn es um das Thema VPN geht. Ich verstehe da auch die Privatleute ganz gut, welche sich dann entsprechend wundern, warum denn nun via VPN keine 40MBit mehr funktionieren. Dabei wollten Sie doch "nur eben kurz" ein paar GB via Cloudstation synchronisieren! Da sollte durchaus schon gesagt worden sein: Für große Umzüge nimmt man "keinen" Fiat Panda, für kleinere Umzüge vielleicht schon

Also alles in allem ist es auch für Laien nicht verkehrt zu wissen, dass es - theoretisch - die Möglichkeit nach oben gibt, aber eben auch, dass es irgendwo eine Preisfrage ist. Das ist nunmal in vielen Lebensbereichen so und da macht das Heimnetzwerk eben keine Ausnahme (inkl. der Heimautomatisierung). Mir schreien in letzter Zeit sowieso immer zuviele Leute rum von wegen "zu teuer", aber hauptsache alle haben "nur" Applegeräte im Haus, dazu muss man dann auch nix mehr sagen. Wenn dann "on top" der 20€-TP-Link-Router kommt und dann Leute angeheuert werden, damit das schlechte WLAN-Signal gerichtet wird... sorry, hab ich kein Verständnis mehr für. Lieber einmal vernünftig investiert und der Drops ist gelutscht

 

[diver68]

Für große Umzüge nimmt man "keinen" Fiat Panda, für kleinere Umzüge vielleicht schon
... sorry, hab ich kein Verständnis mehr für. Lieber einmal vernünftig investiert und der Drops ist gelutscht

Vernünftig investiert in....? Sorry, aber in dem Thread habe ich noch keine einzige Alternative zu den bekannten Routern gelesen. Was empfehlen denn jetzt die Experten für einen “semiprofessionellen” VPN Einsatz? Ubiquity? Mikrotek? Welches Modell?

 

[blurrrr]

Das kommt dann wohl primär auf die Größe des Umzugs und die Schnelligkeit mit der es von statten gehen soll an (so wie schon beschrieben). Es gibt "keine" generelle Empfehlung - ausser natürlich: kauf einfach das dickste was Dir unter kommt, das wird schon passen... Was natürlich völliger Schwachsinn ist. Entweder gehst Du hin und sagst: Ich habe X MBit und das soll via VPN auch so bleiben - dann schaust Du nach entsprechenden Durchsätzen der Geräte in Kombi mit der jeweiligen VPN-Art (sofern Du irgendwo was findest, bei den teuren Sachen ist sowas i.d.R. aufgeführt). Alternativ sagst Du: ich will da länger was von haben und plane auch schon für die Zukunft mit, dann wird es vermutlich entsprechend teurer. Eine verallgemeinerte Antwort á la "Gerät XY ist das beste" wirst Du wohl nie hier finden, da es einfach abhängig vom Einsatzzweck und den gewünschten Möglichkeiten ist.

 

[diver68]

Nun, für mich kommt es eh nicht in Frage, da ich mit meinem “OpenVPN Server” auf der 815+ und einer 200/25 Internet über Vodafone Kabel zufrieden bin. Bei entsprechend guter Gegenstelle (wie jetzt hier in Dubai z.B.) komme ich locker auf 10-12 MBit von zu Hause aus, mich hätte nur mal interessiert welche Router man “pauschal” empfehlen kann, die so was auch können.

 

[blurrrr]

Da hat "fast" jeder Anbieter entsprechendes im Angebot. Zudem ist es auch eine Frage der Bequemlichkeit bzgl. Interface/Einrichtung/usw., von daher kann da leider auch keine pauschale Antwort gegeben werden, da es auch immer auf den User ankommt. Den einen stört Konsolenarbeit nicht, dem anderen ist es schon zu viel. Zuviele Faktoren halt

 

[diver68]

Wenn man eine Preisgrenze bei 500€ zieht, was würdet ihr empfehlen? Welche Erfahrungen habt ihr gemacht?

Das war aber mal die Ausgangsfrage aus #1 die mich auch interessiert hätte.
Auf der anderen Seite, was spricht dagegen, die VPN Funktionen der Syno zu nutzen, wenn man sie denn schon hat?

 

[ClearEyetemAA55]

https://www.heise.de/ct/ausgabe/201...LAN-Router-fuer-Mehr-Zonen-Netze-3747234.html

 

[blurrrr]

Tjo, grundlegende Frage: Fertigkauf oder Eigenbau (ggf. mit Installation eines "kompletten" Betriebssystems drauf). Grundsätzlich müsstest Du schon entscheiden:

1) Alles fertig, da gibt es zig Anbieter (von AVM mal abgesehen), welche auch in den Businessbereich treten (mit entsprechend teuren Geräten und ggf. zusätzlichen Kosten)
2) Hardware selbst zusammenstellen und fertiges Betriebssystem draufpacken (Beispiele dafür wären mitunter OpenWRT, pfSense/OPNsense, usw. aber ggf. eben auch so Dinge wie die Sophos Home)
3) Einfach alles selbst machen, sprich: eigene Hardware zusammenstellen, Linux/BSD der Wahl drauf und sämtliche Dienste via Shell durchkonfigurieren

Was gegen die Nutzung von VPN auf Servern/Geräten ist die Erklärung ganz einfach: kleines Beispiel: Router mit VPN-Funktionalität (z.B. Fritzbox), NAS mit VPN-Funktionalität und eine Heimsteuerungsanlage.

1) VPN@NAS: NAS fällt aus, Internet funktioniert zwar, aber Du kommst nicht mehr an die Heimsteuerungsanlage.
2) VPN@Router: NAS fällt aus, Internet funktioniert, Du kommst wenigstens noch an die Heimsteuerungsanlage

Fällt das Internet aus oder der Router geht sowieso nichts mehr (ausser ggf. mit einer Backup-Leitung). Was natürlich "für" den Einsatz (bei der o.g. Kombi) des NAS als VPN-Server spricht, ist die Verwaltungbarkeit der sowieso schon vorhandenen User. Ähnliches könnte man zwar auch anders realisieren, aber das ist natürlich wieder mehr Aufwand (LDAP/Radius/etc.). Vielleicht ist es aber auch irgendwo sinnvoll, dass die NAS-User einfach nichts mit den VPN-Usern zu tun haben, denn sollten die VPN-User-Daten mal abhanden kommen, wäre mit dem Konto mitunter auch ein direkter Datenzugriff möglich. Mitunter könnte da vllt noch eine Passwort-Policy helfen, welche zum wöchentlichen Wechsel der Passwörter drängt (aber wer will schon sowas "lästiges" ).

Was die Grenze von 500€ angeht, so kann man sich da mitunter bestimmt mal bei den "kleinen" Geräten der größeren Hersteller orientieren (sofern man da direkt was "fertiges" haben möchte). Die haben i.d.R. auch schon eine sehr gute Performance (so eine kleine 105er Sophos z.B. kostet auch noch unter 500€ und bringt entsprechende Durchsätze mit (vgl. Tabelle)). Das ist eben auch ein großer Vorteil gegenüber vielen kleinen Anbietern... Im Enterprise sind die Durchsätze wirklich "wichtig", daher werden diese dann meist auch für alles mögliche angegeben und es "passt" dann auch. Solche Angaben gibt es normalerweise von allen entsprechenden Anbietern, also eben auch Ubiquity, Juniper, usw.

 

[Ar-Al]

Ich glaube wir können hier ruhig 2-gleisig fahren, VPN für Home und für Business. ... In einem Fall habe ich 60 Aussendienstmitarbeiter, die auf den Server müssen. Dazu Zugang zu Notes, CalDav und CardDav.

Genau dies interessiert mich, denn die Außendienstmitarbeiter oder Telearbeiter (Homeoffice) greifen ja mit Softwareclients auf Smartphones, Tablets oder PC auf Business-VPN-Server zu und selten mit Hardware.

Kann man eine FRITZ!Box, oder andere, verbreitete Boxen für VPN (Home <-> Firma) einsetzen? Wie schnell ist das?
Könnte die Firma fertig konfigurierte Raspis für VPN (Home <-> Firma) verteilen? Welchen Raspi und wie schnell ist das?
Welchen Softwareclient sollte man auf Android/iPhone/iPad für VPN (Home <-> Firma) einsetzen? Wie schnell ist das?
Welchen VPN-Server sollte man sich in die Firma stellen?

 

[whitbread]

Also ich finde 500€ schon ziemlich happig - da gibt es bei Mikrotik schon 800MBit IPSEC- Durchsatz. Wer nur seine (V)DSL-Leitung auslasten will kommt mit 60€ hin...

 

[blurrrr]

"Wie schnell ist das?"... Vielleicht liest Du Dir einfach nochmal alles über Deinem letzten Post durch, denn sowas ist nach wie vor nicht so pauschal zu beantworten....

Mal ganz ehrlich (ist nur meine persönliche Meinung und vllt trete ich hier Leuten auf die Füsse, sorry schon mal dafür) : wenn wir hier beim Thema "Firma" sind, such Dir einen (ja, der kostet Geld, aber ein iPad war Dir ja anscheinend auch nicht zu teuer...) der Dir entsprechendes implementiert (wieviel es Dir wert ist, musst Du selbst wissen, "geiz ist geil" zieht da allerdings eher nicht mehr) und auch vorab berät. Alternativ betreust Du selbst eine Firma, hast keine Ahnung und hättest gern kostenlos wissen abgezapft - finde ich ja persönlich weniger chic, denn wenn man sowas macht, sollte man schon entsprechend Ahnung von der Thematik haben. Wissen kann man sich durch Recherche aneignen, muss sich natürlich auch auf den Stundensatz auswirken. Jemand der mit 20€/Std durch die Gegend krebst wird schlichtweg keine Zeit für Weiterbildung haben.

Was aus meiner Warte noch so ein zusätzlicher Punkt ist (was viele einfach nicht begreifen/begreifen wollen) : Die Infrastruktur ist das A und O, die Clients sind relativ nebensächlich (für Büros)... anstatt hunderte/tausende an Euros für diverse z.B. Applegeräte auszugeben (ich kenn da so Leute: Surfen, bissken Mail, Briefe schreiben -> 27" iMac....) sollte man lieber einmal "vernünftig" in die Infrastruktur investieren, womit ein Ausbau problemlos möglich wäre und man sich nicht direkt mit jeder neuen Internetleitung gleich wieder neue Hardware kaufen darf.

 

[ClearEyetemAA55]

Ja klar,

weil der Themenstarter auch das Know-how zum Betrieb eines eigenen Serverzentrums abgreifen wollte mit der Frage was man statt einer Fritzbox für VPn hernehmen soll

 

[blurrrr]

@ClearEyetemAA55: Hauptsache mal was gesagt? Das war bezogen auf den Beitrag von "Ar-Al". Zum ursprünglichen Thread habe ich schon so einiges gesagt und nicht einfach nur sowas dahergeflamed wie Du es grade tust, also: lass ma gut sein jetzt und schilder lieber mal Deine Erfahrungen in dem Bereich

 

[ClearEyetemAA55]

Zum ursprünglichen Thread habe ich schon so einiges gesagt

Einiges oder genug *grins

Aber zu deiner Frage.. Ich habe im privaten Umfeld bzgl. VPN durch:
Myfritz
Freetz OpenVPN
HP PS 110
Sophos UTM (virtualisiert)

Als Kompromiss zwischen Aufwand, Konfigurierbarkeit und Stabilität hat mir ein dediziertes Gerät (Router/Modem) am besten gefallen. Würde ich altuell noch auf DSL setzen wäre ich bei den Draytek. Oder einem Nachfolger des HP -> RS120

 

[Ar-Al]

Mal ganz ehrlich ... wenn wir hier beim Thema "Firma" sind, such Dir einen (ja, der kostet Geld, aber ein iPad war Dir ja anscheinend auch nicht zu teuer...) der Dir entsprechendes implementiert (wieviel es Dir wert ist, musst Du selbst wissen, "geiz ist geil" zieht da allerdings eher nicht mehr) und auch vorab berät. Alternativ betreust Du selbst eine Firma, hast keine Ahnung und hättest gern kostenlos wissen abgezapft - finde ich ja persönlich weniger chic, denn wenn man sowas macht, sollte man schon entsprechend Ahnung von der Thematik haben.

Hast Du mich mit jemandem verwechselt, oder warum greifst Du mich hier im Forum so offen an?

 

[blurrrr]

Ich nahm lediglich Bezug auf dieses hier...

Kann man eine FRITZ!Box, oder andere, verbreitete Boxen für VPN (Home <-> Firma) einsetzen? Wie schnell ist das?
Könnte die Firma fertig konfigurierte Raspis für VPN (Home <-> Firma) verteilen? Welchen Raspi und wie schnell ist das?
Welchen Softwareclient sollte man auf Android/iPhone/iPad für VPN (Home <-> Firma) einsetzen? Wie schnell ist das?
Welchen VPN-Server sollte man sich in die Firma stellen?

... in Kombination mit der Signatur.

Zudem wurde ja wohl schon vorher im Thread festgestellt, dass sich so pauschale Aussagen eben nicht treffen lassen, weil es a) auf die Umgebung und b) die gewünschten Ziele ankommt.

Eine Frage davon kann aber durchaus beantwortet werden (mein Fehler, dass ich das einfach so übergangen habe, hole ich hiermit nach):

Sicherlich "kann" man vorkonfigurierte Raspis verteilen (die müssen sich aber beim Ziel einwählen, da Du keine Kontrolle über die Portfreigaben der Endbenutzer Zuhause hast) und verbunden wäre das ganze noch mit jeder Menge Schnickschnack. Du könntest statt den Raspis einfach Fritzboxen (z.B. 4040er) nehmen, die haben mehrere LAN-Ports. Vorkonfiguriert muss der "user" dann nur noch den WAN-Port mit seinem Router verbinden (DHCP) und die Geräte, welche ins VPN sollen, an die LAN-Ports der Fritzbox hängen. Ganz einfaches Szenario. Mit einem Raspi wird es für den normalen Mitarbeiter relativ unhandlich (ausser es gibt mehrere LAN-Ports, an welchen auch der Client angeschlossen wird), da im Router oder auf dem Client noch entsprechende Routen zu setzen wären. Allerdings sind die Fritzboxen nicht grade bekannt dafür via VPN die volle Leitungskapazität auszuschöpfen. Da ich hier öfters Sophos erwähnt habe - es gibt die Sophos RED-Devices - die lassen sich bequem vorkonfigurieren und bringen auch entsprechend Leistung. Mehr dazu erfährst Du dann von der IT-Firma Deiner Wahl (Hier sei noch gesagt, dass andere Anbieter durchaus vergleichbare Lösungen anbieten und Sophos hier nicht die eierlegende Wollmilchsau ist!)

Ausserdem ist das wieder so eine blöde pauschale Antwort. Man müsste erstmal wissen, wieviele Mitarbeiter versorgt werden sollen. So eine Lösung mit z.B. 60 Leuten jeweils im Homeoffice ist einfach nur hässlich, verursacht einen riesigen Aufwand und ist nicht wirklich kontrollierbar. Wäre natürlich sicherlich eine Lösung, wenn DU dafür bezahlst wirst, aber bleiben wir besser mal realistisch... Ich rede ja nicht umsonst von "teurer", schlichtweg weil es mehr Möglichkeiten gibt. Du könntest auch 100 oder 1000 RED-Devices alle zentral von der Hauptfirewall managen. Die dazugehörigen Accesspoints die jeder Mitarbeiter nach Hause mitbekommt ebenso und dort sogar noch nach Abteilung (Einkauf, Buchhaltung, etc.) unterteilen, den Traffic steuern, usw. .... Bandbreiten, Userkontrolle, Useranzahl, sonstige extra Würstchen... all das sind die Gründe, warum man schlecht pauschale Aussagen treffen kann. Aber ganz ehrlich, all das tut hier eigentlich eher "nichts" zur Sache, da wir bei Geräten unter 500€ sind (Sophos 105 liegt unter 500, ein RED-Devices auch noch grade eben ).

Was "Du" aber machen kannst: Erzähl uns doch mal von Deinem bisherigen Konstrukt (sofern unter 500€), denn darum geht es ja hier

 

[Ar-Al]

Vielen Dank erstmal für Deine umfangreichen Ausführungen zur FRITZ!Box, zum Raspi und zu Sophos.

Ich nahm lediglich Bezug auf dieses hier...
... in Kombination mit der Signatur.

Aber ich verstehe nicht Deine zuvor gemachte Aufforderung und Beleidigung:
- such Dir einen der Dir entsprechendes implementiert
- ... Du ... hast keine Ahnung und hättest gern kostenlos wissen abgezapft

Und, warum darf ich mir kein iPad kaufen? Ich habe auch ein TrekStor SurfTab breeze 7.0, aber das kann zu wenig. Die iPhones und iPads für meine Frau und für mich habe ich bei eBay "refurbished" mit 1 Jahr Garantie gekauft.

Weil der Threadersteller die 60 Außendienstmitarbeiter genannt hatte und hier gerne Privat und Business mischen wollte, habe ich die Fragen formuliert, die mich auch interessieren.

Wie zum Thema Backup zu lesen ist, habe ich hier eine DS216j mit Backup im Hause auf externer IronWolf 10TB und auf NAS Conceptronic CH3MNAS.
30 Kilometer entfernt steht eine weitere DS216j und 500 Kilometer eine weitere CH3MNAS nur für nächtliche Backups.
3 FRITZ!Boxen sind mit VPN verbunden und entsprechend langsam läuft das Backup.
Daher meine Fragen nach FRITZ!Box und anderer VPN-Gegenstelle, z.B. Raspi.

Und da ich mich mit einem Windows-PC und iPhone und iPad unterwegs per VPN verbinde interessiert mich, ob es den ultimativen VPN-Softwareclient gibt, oder ob es vielleicht sinnvoll wäre, einen Raspi für VPN mitzuführen.