Drei Site-to-Site VPN-Verbindungen mit dem Ubiquity ER-X hinter Fritzbox

[domarffm]

Hallo zusammen,

ich habe in meinem privaten Umfeld zuletzt drei Standorte über die Fritzbox-VPN-Funktionalität über permanente Site-to-Site-Verbindungen zusammengeschlossen, damit von jedem Standort auf die Daten von zwei Diskstations zugegriffen werden kann. Allerdings ist die Fritzbox jeweils der Flaschenhals, was den Datendurchsatz betrifft. Mehr als 5 Mbit/s sind nicht machbar, was bei (zukünftigen) Anschlüssen von 10/10/40 Mbit/s im Upload wenig Sinn ergibt.

Daher möchte ich an allen Standorten einen Ubiquiti ER-X Router einsetzen, der ausschließlich für die VPN-Verbindungen vorgesehen ist.
Nun stellt sich mir noch die Frage, wo ich diesen Router genau anschließe, damit a) der interne Traffic des betroffenen Standorts nicht über den VPN-Router läuft und b) die Fritzbox weiter als Modem eingesetzt wird (der ER-X Router also hinter der Fritzbox sitzt)..?

Anbei mal ein grober Aufbau der Infrastruktur:



Kennt sich jemand mit den Ubiquity-Modellen aus und kann dazu Tipps und Empfehlungen geben?

Vielen Dank schon mal!

 

[NSFH]

Hallo!
Ich habe mit dem Ubiquiti ERX Schiffbruch erlitten. Es war nicht möglich die kolportierten Übertragungsraten für VPN zu erreichen. Mit GUI ging da sowieso nichts, muss alles über CLI gemacht werden, sonst geht gar nichts vernünftig.
Da ich auch grösseren Durchsatz benötige ist die wohl kostengünstigste, von mir gefundene Lösung ein Daytrek 2960.
Die FB kannst du als Modem laufen lassen lässt halt die Netzwerkeinstellungen auf aus.
Grosses ABER: Die FB scheint nicht wirklich als Modem geeignet, denn der Datendurchsatz mit PPOE hinter dem LAN Port entspricht bei VPN nicht dem Input. Tauscht man die FB gegen ein simples Modem aus ist der Datendurchsatz markant höher.
https://avm.de/service/fritzbox/fri...ie-FRITZ-Box-als-DSL-Modem-eingesetzt-werden/
Wenn du eine Telekom Anschluss hast kannst du PPPOE sowieso vergessen, es wird nur einer unterstützt, geht also nicht.

 

[blurrrr]

damit a) der interne Traffic des betroffenen Standorts nicht über den VPN-Router läuft und b) die Fritzbox weiter als Modem eingesetzt wird (der ER-X Router also hinter der Fritzbox sitzt)..?

Interner Traffic läuft sowieso nicht über die Gateways... (s. Thema Routing). Der Router würde vermutlich einfach hinter die Fritzbox wandern, oder diese komplett ersetzen zzgl. eines Modems für Deine Anschlussart (VDSL/Cable/usw.). Die Fritzbox könnte als reiner "Client" noch weiter im Netz hängen und sich ggf. um Telefonie kümmern. Ob das Ding allerdings mehr Leistung bringt beim VPN als die Fritzbox solltest Du dort nochmal nachlesen (wenn nicht angegeben, ggf. anrufen und fragen).

 

[NSFH]

Genau das war das Problem mit Ubiquiti, in den TechSpecs steht gar nichts hinsichtlich Übertragungsraten, mündlich hiess es 50MBit, gemessen waren es dann 15.
Die Lösung bei mir für VPN sieht dann also so aus:

neues VDSL Modem mit 2 Ausgängen
Ausgang 1 geht an die FB für VOIP (Lan Anschluss 1 der FB)
Ausgang 2 an den Vigor 2960 als Firewall und VPN Router.


PS: Nein, habe ich nicht im Betrieb, ist mein aktueller Planungsstand

 

[domarffm]

Vielen Dank für euer Feedback. Klar habe ich keine gigantischen Datenraten erwartet, mind. 40 Mbit/s mit dem 100/40er Anschluss dann aber doch erhofft. Zumal es ja "nur" um die Verbindung untereinander gehen soll, ohne großes weiteres Routing.

Danke auch für die oben beschriebene Konstellation mit dem Vigor 2960, allerdings schießt das wirtschaftlich dann doch über das Ziel hinaus. Ich hatte gehofft, dass man das Ganze mit einer weiteren Netzwerkkomponente in Form des ER-X umsetzen kann...

Muss ich dann nochmal überlegen, was am meisten Sinn macht.

 

[Nomad]

Ich habe gerade an OpenVPN herumgepfuscht aus genau dem selben Grund wie du.

Nach Aufrüstung des Internets auf 200/50 wird die Fritzbox zum Flaschenhals. Zwischen 6490 (200/50) und 7490 (50/10) erreiche ich maximal ca. 12 MBIT/s. Wobei ich mir vorstellen könnte, dass die Topmodelle 6590 / 7590 noch ein wenig schneller sein könnte.

Momentan habe ich eine abenteuerliche Konstruktion aus OpenVPN Server/Client auf verschiedenen Rechnern zusammengebastellt und erste Messungen durchgeführt. Wie erwartet gibt es da keinen Flaschenhals bei CPU- bzw. Verschlüsselungsleistung.

Wenn die Konfiguration bei dir mit Fritzboxen läuft wäre das IMHO einen Versuch wert mit größeren Modellen?

Ansonsten liegt man mit OpenVPN bzgl. Rechenleistung eher auf der sicheren Seite da man jede gewünschte Verschlüsselungsleistung bekommt die man braucht?

 

[domarffm]

Ich bin ehrlich gesagt eher auf der Suche nach einer "fertigen" Lösung in Form einer Appliance.

Am "Standort A" liegen auf der DS918+ die Hauptdaten ab, weshalb dies aktuell der wichtigste Standort in Bezug auf die Diskstation ist. Dort fliegt die 6490er Kabel-Fritzbox im November raus. Dann endet der Unitymedia-Vertrag (aktuell 128/6 Mbit/s) und es beginnt der neue Telekom-Vertrag (100/40). Ein Router ist dazu bislang noch nicht final definiert. Im Fokus hatte ich bislang die aktuelle Fritzbox 7590, auch wegen den Vectoring-Profilen. An diesem Standort wird für die Telefonie derzeit eine Gigaset N510 IP Pro-DECT-Station eingesetzt, die mit der aktuellen 6490 fungiert und auch später an der 7590 eingeplant war. Ansonsten wäre ich da recht offen für Alternativen, wenn die N510 sauber implementiert werden kann.

Am "Standort B" steht mit der DS214 die Backup-DS, auf die das tägliche Backup von der DS918+ erfolgt. Dort wurde die Fritzbox 7490 erst vor wenigen Wochen neu bezogen und eingerichtet, da dort standortbezogen nicht mehr als 50/10 Mbit/s verfügbar sind und die Box technisch gesehen ausreicht, was den Internetzugang betrifft. Daher möchte ich die 7490er Fritzbox nur sehr ungern nach wenigen Wochen wieder ersetzen.

Am "Standort C" steht selbst keine Diskstation, allerdings werden sehr viele Daten von und zur DS am Standort A ausgetauscht. Hier steht ein 50/10 Anschluss zur Verfügung für den die 7390er Fritzbox aktuell ausreichend ist.

Bedeutet, dass ich evtl. zwei Router/Modems austauschen, bzw. neu einsetzen kann, wenn die Anforderungen (Gigaset N510) bedient werden können. Allerdings bevorzuge ich lieber eine schlanke und kostengünstige Option.

Ich mal mich nun nochmals umgesehen und bin noch auf den Linksys LRT214 gestoßen. Das Datenblatt verspricht bei IPsec einen Datendurchsatz von 110 Mbit/s.
Hat das Gerät schon mal jemand im Fokus gehabt?

 

[Nomad]

Im Prinzip wäre das doch ein perfektes Szenario, um Site-2-Site VPN mit Synology zu realisieren. Ich verstehe nicht, warum sie offenbar mit viel Aufwand VPN so beschnitten hat.

Ok, vielleicht hatten sie mal geplant diese Features gegen Geld freizuschalten. Ich fand das jedenfalls sehr ärgerlich.

Viele Alternativen mit fertigen VPN Routern scheint es nicht zu geben denn ich bin auch genau auf dieses Gerät gestoßen. Für mich war das dann doch weder Fisch noch Fleisch. Nicht viel billiger als Fritzbox, kann dennoch die 200 MBIT/s Marke knacken. Was tun wenn die Provider uns mit höheren Bandbreiten überraschen? Auch finde ich eine weitere Kiste alles andere als ansprechend, vor allem wenn sowieso Hardware läuft die diese Aufgabe mit übernehmen können. Ich verstehe aber, dass eine fertige Kiste ansprechender sein kann wenn man nicht fachkundiges Personal vor Ort hat. Kann schon stressig sein durch einen falschen Mausklick sich selbst aus einer Kiste auszusperren die sehr weit weg steht.

 

[NSFH]

Das Problem liegt ja offensichtlich nur bei Standort A. Die beiden anderen Standorte sind mit der FB ausreichend bedient. Eine FB 7590 ist bei VPN tatsächlich etwas performanter als die 7490, der Unterschied ist aber nicht sehr gross.
Fakt ist, eine FB ist an A nicht einsetzbar, höchstens als Peripheriegerät für Telefonie. Die WAN Anbindung muss mit einem anderen (Modem-)Router erfolgen.
Evtl ist der kleine WLAN Bruder der Vigor 2960 eine Lösung: https://www.draytek.de/vigor2860-serie.html.
Der Vigor hat den Vorteil, dass er problemlos mit der CISCO Funktion der Fritzboxen (Preshared key) funktioniert. Ausserdem klappt Radius Server auf der Syno mit dem Vigor auch, was die Nutzerverwaltung extrem vereinfacht.
https://www.draytek.de/aktuelle-new...em-draytek-router-und-einer-avm-fritzbox.html

Übrigens, wenn du die FB am Vigor verwenden willst, musst du die VOIP Variante der 2860 kaufen.

 

[domarffm]

Ich habe mir mal die Kombination aus Vigor (2860) und N510 angesehen. Offenbar können beide Geräte, genau wie Fritzbox/N510, ebenfalls miteinander betrieben werden. Ich werde da nun noch etwas weiter nachforschen, ob das soweit bestätigt werden kann.

Sollte das so sein, könnte dann früher oder später ein Vigor die jeweilige Fritzbox ersetzen, was preislich auch in Ordnung wäre, wenn man die Investition einer neuen Fritzbox + einer weiteren Appliance in Betracht zieht. Ja, das könnte echt passen... Vielen Dank für den Denkanstoß.

Kannst Du noch etwas zum Datendurchsatz des Vigor via IPsec schildern?

 

[Nomad]

Keine eigene Erfahrung aber habe bei Amazon nachgeschaut. Da berichtet einer von etwa 150 MBIT/s.

Sofort ins Auge fielen mir aber 17 bis 24 W. Bekommt man das noch passiv gekühlt?

Selbst Fritzboxen unter 10 W werden trotz riesigem Gehäuse sehr warm und soweit ich mitbekommen habe lässt Synology den Lüfter durchlaufen wenn die Leistung in diesen Bereich geht?

 

[domarffm]

Habe die Übersicht nun gefunden: https://www.draytek.de/vergleichstabelle-router-aps.html

Wenn bei mir die VoIP-Sache geklärt ist, bevorzuge ich derzeit wohl die 2860er Serie, wenn die "versprochenen" 60 Mbit/s VPN-Datendurchsatz gehalten werden. Dann würde ich die Fritzboxen an allen Standorten nach und nach durch das Draytek-Modell ersetzen.

 

[blurrrr]

Bis Du dann in einem Jahr wieder alles umstellen kannst, da der VPN-Durchsatz nur knapp über Deinem Upload liegt

 

[domarffm]

Bis Du dann in einem Jahr wieder alles umstellen kannst, da der VPN-Durchsatz nur knapp über Deinem Upload liegt

Wenn dem so wäre, wäre ich froh, weil das gleichbedeutend einen Fortschritt beim Breitbandausbau wiederspiegelt. Aber hier in Deutschland...

 

[blurrrr]

Naja, zur Not buddeln Unternehmen selbst - s. Deutsche Glasfaser hier im Raum NRW... auch in anderen Bereichen Deutschland gibt es entsprechende Firmen, die schlichtweg ihre eigenen physikalischen Netzstrukturen hochziehen

 

[Nomad]

Nach zwei, drei Jahren könnte man die Geräte in die Tonne schmeissen aber die Konfiguration?

Ich dachte mehr Bandbreite bekäme ich nie aber dann ging es Schlag auf Schlag. Von 16/1 auf 200/12. Etwas mehr als ein Jahr später gab es als CeBIT Presseknaller (?) ohne große Ankündigung 200/50. Würde mich nicht überraschen wenn bald 500/xxx geschaltet würde.

An einem anderen Standort gab es 50/10, knapp ein Jahr später meldet die dort angeschlossene Fritzbox 100/40 möglich.

Dass es auch anders geht sehe ich allerdings auch. Ein Standort hängt bei 4/0,7 fest, am anderen wurde heute von 14/1 auf immerhin 14/2 geschaltet.

Wenn ich heute für eine VPN Lösung entscheiden müsste würde ich eher längerfristig planen und ausreichend Reserven vorsehen da das Ausrollen mehr Aufwand ist als die paar EUR höhere Gerätepreise.

 

[NSFH]

Bin jetzt etwas schlauer, was die Drayteks betrifft.
Eine Konfiguration mit Fritzbox sieht so aus:
Übergabepunkt Telekom auf die Vigor2862
Die Fritzbox hängt als normaler Client am LAN der 2862 und macht dort nur VOIP
Nur wer VOIP via LAN (Telefon mit LAN Anschluss) machen will muss die VOIP Variante der 2862 nehmen, aber nur dann.

Wenn die VPN Bandbreite der 2862 nicht ausreicht sieht die Konfiguration so aus:
Übergabepunkt Telekom auf die Vigor130
Vigor130 auf Vigor2960
Die Fritzbox hängt als normaler Client am LAN der 2960 und macht dort nur Telefonanlage.

Mir ist aktuell keine Konfiguration bekannt, die hier mithalten kann. Zudem bekommt man von Draytek die VPN Clients umsonst und muss nicht wie bei ausnahmslos allen Anbietern teure VPN Lizenzen kaufen.
Was ebenfall in Verbindung funktioniert ist der Radius Server der Syno, der die Clients für die Vigor hostet. Das reduziert den Verwaltungsaufwand enorm.

 

[blurrrr]

s. #3 Die 130er Modelle setz ich auch immer entsprechend vor einer Sophos beim VDSL-Anschluss ein. "ausnahmslos" kostenpflichtige VPN-Clients kann ich so in keinster Weise unterschreiben - Sophos UTM Home ist kostenlos für privat und ebenso die VPN-Clients (auf mobile Geräten eben die OpenVPN-App) Ich persönlich - wenn man mal aus dem "kleinen" SOHO-Bereich raus kommt - finde es eh praktischer Router und Modem zu trennen. Sollte sich dann mal das Medium ändern, tauscht man einfach das Modem und fertig und muss nicht gleich wieder alles komplett neu machen. Allerdings macht das bei einem "kleinen" SOHO-Bereich i.d.R. keinen Sinn und ist für viele auch zu kostspielig.

 

[domarffm]

Du wirst lachen, aber genau diese beiden Varianten habe ich mir heute im Laufe des Tages auch gedanklich zusammengeschustert.

Richtig angenehm wäre natürlich, wenn für VoIP keine zusätzliche Fritzbox nötig ist, sondern dies mit über ein Draytek-Modell abgewickelt werden kann. Vor allem auch, weil die 6490er Cable-Box wieder zurück an den Provider geht und ich zusätzlich investieren müsste. Nur leider gibt es die "V"-Modelle auch nur direkt mit WLAN, was ich durch externe Access Points gar nicht benötige.

Aber ich merke schon, ich, bzw. auch andere Mitinteressenten kommen dem Ziel so langsam näher. Danke für die Unterstützung!

 

[blurrrr]

Na dann würde ich mal sagen: analogen Kram raus, nur noch VoIP-Telefone (oder direkt via Handy-App) und virtualisiert auf der Syno eine vPBX laufen lassen, Thema erledigt