Site-to-site VPN via RasPi

Status
Für weitere Antworten geschlossen.

Felix82

Benutzer
Mitglied seit
31. Jan 2020
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
Hallo zusammen,

ich möchte gerne einen permanenten VPN-Tunnel zwischen zwei Standorten (DSL 100/40) aufbauen, um nächtliche automatische Sicherungen per HyperBackup auf ein weiteres NAS ausführen zu können.
Hierfür hätte ich angedacht, zwei Raspberry Pi 4 anzuschaffen und das Ganze wohl mit Wireguard zu realisieren.
Macht das Sinn, oder wären die Pi4 völlig überdimensioniert?
Hat schon jemand Erfahrungen mit einem ähnlichen Aufbau gemacht?
Laufen die RasPi zuverlässig im Dauerbetrieb - welche sonstige HW wäre dafür empfehlenswert (SD-Karten, Gehäuse/Kühlung, NT)?

Viele Grüße!
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
hab das selber so wie von dir beschrieben nicht am Laufen. Nach allem Internetgemunkel sollte das aber völlig sauber gehen. Und überdimensioniert würd ich das nicht nennen. Ggf. lässt du zusätzlich auf beiden noch Pihole laufen, dann ist auch die elendige Werbung reduziert und ein paar doofe Seiten gleich aussortiert...oder du spars nochmal etwas und nimmst raspi 3b jeweils, das sollte auch gehen. afaik.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Nur dafür ist ein Pi4 natürlich überdimensioniert. Nur ist der Kostenunterschied so gering, dass es sich m.E. trotzdem lohnt, den Pi4 zu verwenden. Außerdem spricht für den Pi4, dass er als einziger echtes Gigabit-LAN an Bord hat. Alle vorher emulierten die LAN-Verbindung über die USB-Schnittstelle, so dass sie keinen Gigabit-Durchsatz erreichen.

Auf meinem Pi 4 / 4 laufen verschiedene kleine Anwendungen wie Wireguard (allerdings nicht als Brücke konfiguriert, sondern als Zugang zum Heimnetz), CUPS als Druckerserver und PiHole. Die CPU ist dabei ziemlich „idle“, und warm wird er auch nicht.

Wenn mir noch irgendwas einfällt, hat er noch Leistungsreserven.

Hinweis zu Wireguard: Auch wenn es schon recht stabil ist, ist es immer noch nicht offiziell in den Linux-Kernel integriert. Daher kann es sein, dass WG aus dem System fliegt, nachdem Updates gelaufen sind. Wenn du den Remote erreichen kannst, kannst du dich darum kümmern. Sonst würde ich eine andere VPN-Variante nehmen, die unter dem Aspekt stabil läuft, bis WG voll integriert ist.
 

Felix82

Benutzer
Mitglied seit
31. Jan 2020
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
Danke für den Hinweis zu Wireguard! Daran hatte ich noch nicht gedacht.
Wäre es unter diesem Aspekt denn möglich, Wireguard und beispielsweise OpenVPN gleichzeitig auf den PIs zu betreiben (jeweils natürlich andere Ports) und bei Bedarf lediglich die Konfiguration in den Routern umzustellen? Auf die Remote-Fritzbox kann ich jederzeit zugreifen.
Welches Gehäuse und welche Micro-SD verwendest du denn für deinen Pi4 und kannst du diese empfehlen?
 

Donald

Benutzer
Mitglied seit
21. Sep 2012
Beiträge
375
Punkte für Reaktionen
2
Punkte
18
Habe so einen Site-Site VPN Tunnel seit ca. 1 Jahr im Dauerbetrieb am laufen. Zunächst beide Seiten mit RPi 3 und seit einem halben Jahr mit dem RPi 4. Beise Seiten Glasfaseranschlüsse mit 100/50 MBit und 200/50 MBit. Der Flaschenhals ist also der 50 MBit Upload. Mit OpenVPN erreiche ich wg. der Verschlüsselung ca. 40 MBit Netto Durchsatz. Das hat sich vom RPi3 zum RPi4 nicht geändert. Der RPi 4 wird passiv durch das bekannte Armor Gehäuse mehr als ausreichend gekühlt. Ein paar kleinere Sachen wie Pi-Hole laufen auch noch mit. Micro SD Karte ist eine ganz normale Intenso.
 

Felix82

Benutzer
Mitglied seit
31. Jan 2020
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
Vielen Dank für die bisherigen Antworten! Das hört sich doch schon mal ganz gut an. Es wäre noch interessant zu wissen, ob es denn theoretisch möglich ist OpenVPN und Wireguard gleichzeitig aktiv laufen zu lassen.
Ansonsten werde ich wohl mal zwei RasPi4 (2GB) mit original Netzteilen, SanDisk SD-Karten (Extreme oder Ultra), sowie Gehäuse mit passiver Kühlung (welche bin ich mir noch etwas unschlüssig) bestellen.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
2 VPN-Lösungen parallel: Ja, ist grundsätzlich möglich, komplett getrennt. D.h. auch die IP-Bereiche der virtuellen Netze müssen sich unterscheiden. Ich denke, man kann das dann auch zeitgleich betreiben, den Fall hatte ich allerdings noch nicht.

Gehäuse: Bei mir bewährt sich das FLIRC-Gehäuse. Passiv gekühlt, führt die Wärme ins Aluminium ab, 1 Stempel aus Alu geht bis runter auf die CPU, mit einem Wärmeleitpad. Alle Anschlüsse sind zugänglich, allerdings muss man die 30er Steckerleiste und den Kameraanschluss über Kabel nach außen führen. Hats kann man keine montieren. Die Fälle habe ich nicht. Mein Raspi steht neben dem Mac auf dem Schreibtisch (mit HDMI-Umschalter am externen Monitor), da wollte ich etwas optisch aufgeräumtes haben.

Was ich mir noch dazu geleistet habe: Einen USB 3.0-Hub mit eigener Stromversorgung. Das ist dann sinnvoll, wenn du z.B. mal eine externe 2,5“ Festplatte anschließen willst, die ihren Strom aus dem USB-Anschluss zieht. Das Netzteil des Raspi versorgt den Raspi selbst. Wenn der unter Last kommt, kann es an den eigenen USB-Anschlüssen knapp werden. Ich habe diesen hier genommen, solide gearbeitet und mit einem eigenen Ein-/Aus-Schalter am Gehäuse:

https://www.amazon.de/gp/product/B076KJP376/ref=ppx_yo_dt_b_asin_title_o00_s00?ie=UTF8&psc=1
 

Felix82

Benutzer
Mitglied seit
31. Jan 2020
Beiträge
30
Punkte für Reaktionen
1
Punkte
8
Eine kurze Rückmeldung von mir:
Ich habe mich nun für die Lösung "Wireguard only" entschieden und bereits erfolgreich eingerichtet. Der Tunnel scheint stabil zu laufen. Der komplette Upload der DSL-Leitungen lässt sich damit nutzen. Die beiden RasPI4 langweilen sich dabei natürlich... ;)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat