Was sind die Vor-/Nachteile bei VPN auf Fritz!Box vs Synology?

[DS111-User]

Kann hier jemand aufgrund eigener Erfahrungen die wichtigsten Vor- und Nachteile der VPN-Konfiguration auf einer Fritz!Box im Vergleich zu VPN auf einer Synology aufzeigen?

Mir ist aus Netzwerk-Sicht nicht klar, welche Variante besser/schneller/einfacher/sicherer/praktischer ist. Gibt es für die Auswahl eindeutige Killer-Kriterien?
Es geht mir nicht um die vermutete Sicherheit von VPN-Protokollen, sondern mehr darum, in welchen Fällen man die Fritz!Box bevorzugt und in welchen die Synology. Gibt es dafür klare Kriterien oder ist das eher so ein "Bauchding", bei denen sich die einen eher auf der Seite von AVM oder die anderen auf der Seite von Synology "wohl fühlen"?

 

[Stationary]

Gefühlt ist die AVM-Lösung einfacher einzurichten, weil Du die dann jegliche Portfreigaben sparen kannst, Du bewegst Dich unter VPN von extern in Deinem Heimnetz wirklich so, als wenn Du zu Hause wärst. Ich fand den Aufwand mit dem VPN-Server auf der Synology größer (das mögen die Profis hier anders sehen, auch weil die Fritzbox “out of the box“ nur IPSec kann). Außerdem bin ich der Meinung, daß der VPN-Eingangspunkt auf den Eingangspunkt des Heimnetzes gehört und nicht mitten hinein.

 

[Synchrotron]

Ein Unterschied: Bei der FB kann jeder User nur 1x angemeldet sein. Wenn man daher mehrere VPN-Verbindungen gleichzeitig aufbauen möchte, sollte man mehrere User auf der FB anlegen, für jeden den VPN-Zugang konfigurieren und auf den Endgeräten jeweils einen davon installieren.

Mit VPN auf dem Router vs. der DS ist so ein wenig Glaubenskrieg. Persönlich sehe ich auch den Router (oder ein direkt dahinter installierter VPN-Router, dazwischen eine DMZ) als die bessere Lösung. Den VPN-Server auf dem NAS ist die schlechteste Lösung, weil man den Zugangspunkt direkt auf den „Datenschatz“ setzt.

 

[NSFH]

Pflichte all dem bei.
Fritz hat nur 2 Nachteile:
1. langsamer
2. das VPN Protokoll ist schon etwas betagt und sorgt indirekt auch für die nicht gerade berauschende Performance.
Ich würde niemals meinen Fileserver (Syno) direkt ins Internet hängen, auch wenn es um VPN geht nicht!

 

[Stationary]

Fritz hat nur 2 Nachteile:
1. langsamer

Die Fritzboxen sind mit dem 7.21 Update etwas schneller geworden, klar immer noch nicht die schnellsten, aber schon deutlich besser. Wenn es wesentlich beispielsweise darum geht, sich von unterwegs mal mit DS Photo Bilder anzusehen, reicht es aber.

 

[Synchrotron]

Bei der FB soll es ab Fritz!OS 7.20 schneller gehen.

Kann es nicht testen, meine ISP-verwaltete 6591 hängt noch auf 7.13

Als günstige Alternative werkelt bei mir ein Raspi 4, auf dem (neben anderem) WireGuard installiert ist. Empfehlenswert, sehr einfach einzurichten, schnell. Aber man muss dafür sicher sein in der Einrichtung von Portweiterleitungen und der Firewall des Raspi, und keine Angst vor ein wenig Konsolenyoga haben.

Das FB-VPN ist bei mir die Rückfallebene (WireGuard über DDNS, FB über MyFRITZ).

 

[peterhoffmann]

Vor- und Nachteile der VPN-Konfiguration auf einer Fritz!Box im Vergleich zu VPN auf einer Synology

VPN über das NAS:
Wenn es hier jemand schafft einzudringen, ist er direkt auf dem NAS.

VPN über FB:
Wenn es hier jemand schafft, ist er im Netzwerk, aber müsste dann noch den Zugang zum NAS überwinden.

 

[DS111-User]

Heisst das im Umkehrschluss bei einem Hack nicht auch:
a) VPN über das NAS: Er ist auf dem NAS müsste dann aber noch den Zugang zu den übrigen Netzwerk-Geräten/Servern überwinden?

 

[peterhoffmann]

Heisst das im Umkehrschluss

Wenn er über die FB kommt, hat er das alles auch vor sich. Nur will er da überhaupt hin?

Außerdem, wenn ich in der Bank den Tresor?(NAS) geknackt habe, der Zugang hin und zurück frei ist, interessiert mich in der Regel die Buchhaltung (PC) und die Portokasse in der 1. Etage (Mediaplayer, Tablet, Handy, usw.) herzlich wenig.

 

[DS111-User]

Außerdem, wenn ich in der Bank den Tresor?(NAS) geknackt habe, der Zugang hin und zurück frei ist, interessiert mich in der Regel die Buchhaltung (PC) und die Portokasse in der 1. Etage (Mediaplayer, Tablet, Handy, usw.) herzlich wenig.

Die Goldbarren und Geld-Paletten aus dem Tresor sind das Eine. Es gibt aber z.B. auch noch Schliessfächer oder ein Wertpapier-Abteil. Auch die HR-Daten könnten interessant sein.

Ich verstehe aber grundsätzlich, was Du sagen willst.

 

[Puppetmaster]

VPN über das NAS:
Wenn es hier jemand schafft einzudringen, ist er direkt auf dem NAS.

Und umgekehrt? VPN über bspw. populäre Fritzbox? Wenn das verbuggt ist, bist du direkt in meinem Herz und kannst dir die Ports legen wie du magst, dann steht dir auch alles offen.

 

[ottosykora]

Nur Zwischenfrage:

wie genau verbindet sich ein PC mit dem VPN Server der FB?
Braucht eine Client SW oder geht es auch normal mit Windows?

(sorry, habe schon lange keine Experiment mit FB, gemacht, früher war das etwas kompliziert, wir haben immer VPN von Syno genommen)

 

[peterhoffmann]

dann steht dir auch alles offen.

Das NAS, wo deine Daten lagern, (noch) nicht.

Einbruch über die FB:
Er ist in der FB und im Netzwerk. Aber noch nicht im NAS. Somit hat dieser Weg zwei Hürden.

Einbruch über das NAS:
Er ist im NAS und im Netzwerk.

wie genau verbindet sich ein PC mit dem VPN Server der FB?

Link: https://avm.de/service/vpn/praxis-t...box-unter-windows-einrichten-fritzfernzugang/

 

[Stationary]

Alternativ mit ShrewSoft client: https://avm.de/service/vpn/tipps-tr...ritzbox-mit-shrew-soft-vpn-client-einrichten/

 

[DS111-User]

ShrewSoft client:

Fürs Protokoll: AVM schreibt zu diesem Client auch «Windows 10 wird von dem VPN Client nicht offiziell unterstützt. Unserer Erfahrung nach kann der VPN Client aber auch unter Windows 10 genutzt werden.»
Der aktuelle stabile Release v2.2.2 ist vom 01. Juli 2013.

 

[ottosykora]

OK, danke für Infos.

Wir haben wahrscheinlich deshalb immer VPN Server von DS genommen, das geht dann ohne SW.
Meine alte private DS hat das bis jetzt, direkt mit windows geht die Verbindung. (L2TP)

 

[Stationary]

Release 2.2.2

Release 2.2.2 funktioniert aber in der Tat - ich habe das auf einem Bootcamp-Windows 10 Pro auf einem MacBook laufen. Tut was es soll.

 

[DS111-User]

Wir haben wahrscheinlich deshalb immer VPN Server von DS genommen, das geht dann ohne SW.

Das scheint mir auch ein erwähnenswertes Kriterium zu sein.

 

[Stationary]

erwähnenswertes Kriterium

Aber nur, wenn Windows-Rechner den Zugang nutzen sollen...MacOS kann das mit Bordmitteln, ohne zusätzlich zu installierende Software.

 

[ottosykora]

wir haben es unter XP, w7 und w10 verwendet, ging immer bestens mit Bordmitteln, ohne etwas zu installeiren