VPN Router, welcher ist der Richtige?

[NSFH]

Das war aber mal die Ausgangsfrage aus #1 die mich auch interessiert hätte.
Auf der anderen Seite, was spricht dagegen, die VPN Funktionen der Syno zu nutzen, wenn man sie denn schon hat?

Ganz einfach: Die Abhängigkeit von der Syno. Ist die aus komme ich nicht mehr in das Heimnetz.
Und dann gibt es noch den Grundsatz Anwendungsgeräte und Software von der DMZ/Firewall immer getrennt zu halten. Es ist für Hersteller schön einfach in einem kleinen Router Firewall und zB DHCP unter zu bringen. Alleine das ist schon ein Bruch jeglicher Vernunft und sollte selbst im Semiprofesionellen Bereich erst gar nicht vorkommen.
Muss man sich mal überlegen: VPN via Syno und darin ist ein Fehler enthalten. Dann habe ich gleich meine Firewall ausser Betrieb gesetzt und den Eindringling direkt auf den Server gelassen. Dafür ist mir das DSM zu undurchsichtig, als das ich mich auf solche Konstrukte einlassen würde.

 

[blurrrr]

@Ar-Al: Ich antworte Dir mal via PM, damit der Thread hier nicht so zugemüllt wird. Wenn Du kannst, wäre es nett, wenn Du noch die eingesetzten Fritzbox-Modelle aufführen könntest, sowie die von Dir gemessenen Übertragungsraten

 

[dynamiX]

Guten Tag zusammen
Also ich gebe einfach meine wenigen Erfahrungswerte in den Raum

Von Fritzbox bis Netgear, Cisco & Co alles was billig ist schon probiert, gleich in den Müll gewandert (ausser aktuell Netgear R7000 Router wegen Umstellung, also temporär).
Gute Erfahrungen habe ich mit folgenden 3 Szenarios:

1) Intel NUC 6th Gen mit i5, 32 RAM, 500 GB NVMe mit vmware drauf und alles virtualisiert, ja auch FW mit VPN (NUC nur 1 RJ45 Port, aber mittels USB zu RJ45 Kabel 2ten Anschluss problemlos erstellt). Als FW kommt dann ein pfSense zum Einsatz mit VPN und all den schönen anderen Dingen.
Performance -> hab nur 200/20er Leitung aber hier habe ich meistens die volle Bandbreite auch über VPN. Vorteil der ganzen Lösung, alles was virtuell ist redet auch über den virtuellen switch
vom Preis her schwer zu sagen da ich das Zeug nicht gekauft habe, aber ich schätze ab 350 Euro aufwärts.

2) UP! Board gekauft (KS gefunded), hat mich als WLAN Version damals mit Pentium Prozzi, 2 GB RAM und glaube 32 oder 64 GB Speicher + WLAN Antennen etc um die 180 Euro gekostet. SATA HDD ran, pfSense baremetal drauf und ab geht die Luzi. Der UP Board hat 2x RJ45 Ports, HDMI, DP etc und aktiv Kühlung.
Performance muss ich gestehen nicht probiert, aber ich weiss beim letzten mal hatte ich eine etwas höhere Verschlüsselung bei OpenVPN gewählt. Müsste ich nochmals genau nachschauen (Setup aktuell inaktiv da Umbau)

3) Alten Rechner gekauft (HP SFF i5 8 GB 128 SSD) und Dell irgendwas mini i7, 8 GB und noch eine 128 GB SSD eingebaut, dann günstig 4 Port Intel Netzwerkkarten im netz geschossen (glaub je 15 Euro) und da drauf pfSense.
je Setup (PC 50 Euro, Karte 15 Euro) also unter 100 Euro für Router/FW/GW etc. kann man nicht sagen.
Zur Performance. Bin ich hier unschlüssig da ich keine realen Werte habe und lügen möchte ich nicht. Aber Hand aufs Herz, wer hat schon auf der Gegenseite (Handy, Mobile-Device über WLAN oder normales Netz) die volle Bandbreite & braucht das auch? Ich glaube eher ist der Upload der Flaschenhals….

Wenn man gerne fummelt und Ahnung hat empfehle ich jeden so etwas, und wenn man eine fertige Lösung will und nie was dran machen -> kauft euch eine fertige Lösung und gut ist.

Jemand hatte Sophos erwähnt hier, das muss ich mir mal genauer anschauen.

Grüsse

PS: zum Titel / Thread: Antwort: keiner, denn jeder hat seine Vorzüge und Vorlieben und jeder findet sein Setup das beste

 

[Ar-Al]

@dynamiX: Sehr schöne Beispiele, vielen Dank.

Du hast pfSense verwendet und das VPN dann wohl über IPsec aufgebaut, so wie z.B. hier beschrieben:
https://www.biteno.com/tutorial/vpn-tunnel-mit-ipsec/

Warum hast Du denn in Beispiel 2 auch OpenVPN genannt?

Da ich kein Linux-Experte bin, stellt sich für mich die Frage, ob es fertige Boxen mit fertiger VPN-Firmware/Software gibt, angefangen beim Raspi bis zum Intel NUC6CAYH, NUC7CJYH, NUC7CPJYH, oder andere.

 

[dynamiX]

nein @Ar-Al
nicht mit ipsec, zbsp https://www.biteno.com/tutorial/openvpn-auf-einer-pfsense-firewall-einrichten/
Anleitung weiss ich nicht mehr welche, hab ich schon länger her mal gefummelt und seit dem gehts *fast* immer ausm kopf
gibt aber genug anleitungen dies mittels OpenVPN zu realisieren, einfach mal pfsense + vpn oder pfsense + openvpn suchen

bei 1,2 und 3 setze ich immer openvpn ein. meinde Endgeräte (Handy, Tablet, Notebook -> Mac mit Tunnelblick) haben OpenVPN drauf. Man muss halt dann einfach die Zertifikate aufs Gerät bekommen...

ja gibt es, zbsp Netgate (offizieller Partner von pfSense) https://www.pfsense.org/products/ -> HW mit pfSense bereits vorinstalliert.
gibt auch im Netz andere Anbieter aber da würde ich die Finger von lassen weil man weiss nie was für Backdoors die da so mitinstallieren


ach ja, ganz vergessen, meine Variante 4:

4) Raspberry Pi mit Pi Hole drauf der als OpenVPN Server fungiert (aktuelles Setup zu Testzwecken)
finde eine Raspberry Variante immer sehr geil und vor allem günstig. Habe einige Pi's in Remote Locations (Familie, Freunde...) wo Pi Hole drauf läuft und VPN zwecks Fernwartung etc.
Pi + SD Karte ca. 35 Euro?

VPN aufm Pi kannst du mit 1 Befehl installieren -> siehe hier http://www.pivpn.io/ und eine gute Anleitung findest du hier https://www.kuketz-blog.de/pivpn-raspberry-pi-mit-openvpn-raspberry-pi-teil3/
musst dann lediglich einen Port definieren und freigeben im Router der auf den Pi zeigt

Grundsätzlich hat ja sicherlich jeder jemanden im Freundeskreis / Familie der sowas hinkriegt.

probier das mit dem Pi und VPN mal aus und wenn du nicht weiter kommst kannst dich ja melden

 

[Ar-Al]

@dynamiX: Oh, gerade gesehen, dass Du schon geantwortet hast.

Ich hatte gerade in einer anderen Diskussion
https://www.computerbase.de/forum/showthread.php?t=1700238
den Router ubiquiti EdgeRouter X (ER-X) gefunden, der eine gute VPN-Performance haben soll
https://community.ubnt.com/t5/EdgeRouter/ER-X-IPsec-VPN-Performance/td-p/1700115
Der Router kostet unter 50€.

Aber Deine Idee mit dem Ausprobieren eines Raspis finde ich gut. So kann ich lernen und üben und wenn ich etwas anderes benötige, kommt er zu meiner Mutter ins Netzwerk.
Nun muss ich bloß überlegen, welchen Raspi ich nehme, der neue 3B+ braucht ja "viel mehr" Strom als der 3B.

 

[dynamiX]

3B reicht vollkommen aus. under der 3B+ frisst ja auch nicht unmengen mehr an strom, wenn man bedenkt, dass dies im jahr ca. 5 Euro sind die der verbraucht wäre mir das eh wurst

bzgl. dem Ubiquity Edge Router X: kenne ich nicht. ich bin eben ein fan davon die dinge selber zu machen und selber zu managen und nicht pfannenfertige lösungen in betrieb zu nehmen. ausserdem selfmade = mehr flexibilität.
schau mal am beispiel vom raspberry pi an, da kannst du neben dem vpn noch zig andere sachen selfmade machen (pihole usw...) so sachen kannst du halt mit einer ubiquity lösung nicht realisieren.

zum anfangen würde ich empfehlen hol dir ein pi + microSD und leg los, dann siehst du ja ob es deinen wünschen entspricht oder nicht. was andere kaufen kannst du ja immer noch. ein Pi kann man immer brauchen, egal für was....

// Edit Nachtrag: der Pi hat nur einen 100mb Port, also nicht das du dich dann wunderst wenn der riegelt. der Pi 3B+ hat zwar Gigabit aber achtung, ist kein echtes Gigabit sondern nur ca. 300mb weil der das irgendwie mit der USB Lane teilt oder so ähnlich. hab mich damit noch nicht detailliert beschäftigt aber meine sowas mal irgendwo aufgeschnappt zu haben

 

[Ar-Al]

Ich habe hier noch einen Pi 1B aus 2013 liegen.
Ich probiere das einfach mal, ein 3B oder 3B+ kann ja dann evtl. folgen.

Nochmals danke für die Tipps.
Auch Pi-hole möchte ich gerne auf einem Pi haben.

 

[dynamiX]

und, hast du die kiste zum laufen gebracht?

 

[Ar-Al]

Noch keine Zeit, ich muss erstmal ein paar Offloader für "Freifunk" aufbauen.
Dafür nehme ich "alte" Fujitsu FUTRO S550-2, auf die Gluon kommt.
FUTRO S550-2: https://wiki.freifunk.net/Freifunk_Nord/Welchen_Router#Futro_S-550

Foto-Quelle: https://forum.freifunk.net/uploads/.../7f9c59e9f761ae121c402ea6e612f1dc26e67d0c.png
Gluon: https://wiki.freifunk.net/Freifunk_Firmware_Gluon
Gluon2USB: https://github.com/oszilloskop/Gluon2Futro/tree/master