PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : zwei LANs über WAN verbinden - Grundsatzfragen


lipp
2017-08-18, 10:03:03
Hallo,

wenn ich zwei LANs über Internet verbinden will, könnte ich das doch über openVPN machen, oder? dazu wird es aber vermutlich notwendig sein, dass beide Netzwerke nach außen eine feste IP vom ISP bekommen, richtig?

oder ist es auch möglich eine dauerhafte, bzw. sich neu verbindende, Verbindung zu erstellen, wenn eines der netzwerke vom ISP eine neue IP bekommt?

Muss ich dann ein gemeinsames subnetz erstellen, wo alle clients aus beiden netzwerken rein kommen? eine ordner und datenfreigabe wäre natürlich wünschenswert. ist dies auch ohne dedizierten server auf jeder seite möglich, oder sind das schon szenarien wo man jeweils an jedem standort einen server (samba, etc.) braucht?

bin auf der netzwerkschiene noch recht unwissend, was ich aber gerne ändern möchte.

vielleicht könnt ihr mir ja die fragen beantworten und noch ein paar nützliche tipps mit an die hand geben :)

Danke!:confused:

RaumKraehe
2017-08-18, 10:10:02
Ja, das kann man machen.

Wenn sich eine IP ändert dann muß diese Seite halt die Verbindung aufbauen. Also Verbindung zur festen IP.

Ich würde dir vernünftige Endgeräte Empfehlen, also Router auf beiden Seiten die VPN von sich aus können.

qiller
2017-08-18, 11:45:50
Die Firewall-Distribution IPFire kann das z.B. recht komfortabel, falls man z.B. nen alten Rechner mit 2 NICs auf beiden Seiten abstellen kann. Netzwerkkenntnisse sind aber leider notwendig, damit das wirklich reibungslos funktioniert. Stichwort ist Site-to-Site VPN.

Rechner-Tester
2017-08-18, 11:46:16
Das Stichwort was du suchst ist Site-to-Site VPN, im Gegensatz zu "Roadwarrior", also Client zu Netz. OpenVPN ist dazu sicherlich keine schlechte Wahl, aber es sollte reichen wenn eine und nicht beide Seite unter bekannter IP-Adresse erreichbar ist. Ich denke aber eine feste IP ist nicht nötig, DynDNS sollte für den Wiederaufbau der Verbindung reichen. (Ich benutze z.B. eine eigene Domain und habe für die Standorte DynDNS Subdomainen angelegt. Also etwa berlin.example.com und bonn.example.com, betreibe aber auch kein VPN).
IP-Konflikte solltest du natürlich vermeiden, zum Thema Server: Keine Ahnung wie viel, wie oft mit welcher Zeitvorgabe und bei welchen Anbindungen du Daten rüber schiebst, das kannst du nur selber entscheiden.
Abhängig davon was du machen willst brauchst du vielleicht auch gar kein VPN, sondern kannst Dienste nutzen wie Nextcloud, rsync, etc.
Und last but not least ich nutze OPNsense auf einem APU2 Board, falls es dich interessant. Aber es gibt für Hard- und Software auch gute Alternativen.

Grüße und gutes Gelingen
Rechner-Tester

RaumKraehe
2017-08-18, 13:46:04
Zumindest bei Geräten von Lancom (sind aber auch recht teuer) ist so ein Site to Site Kanal mit 2 Mausklicks aufgebaut. Technische Kenntnisse sind dafür praktisch nicht notwendig.

Auch bleiben beide Netzwerke in separaten IP-Kreisen. Die Router regeln das Routing dann komplett von allein.

lumines
2017-08-18, 13:55:00
Viel spannender ist eigentlich auch der Durchsatz. Viele MIPS-CPUs schaffen nicht mehr als ~14 MBit/s per OpenVPN in Software. Angeblich geht je nach Implementierung auch mehr, aber damit habe ich null Erfahrung.

Man muss auf jeden Fall sehr auf den SoC und die Leistung achten, wenn man das VPN nicht im Schneckentempo haben will.

RaumKraehe
2017-08-18, 14:10:28
Viel spannender ist eigentlich auch der Durchsatz. Viele MIPS-CPUs schaffen in Software nicht mehr als ~14 MBit/s per OpenVPN in Software. Angeblich geht je nach Implementierung auch mehr, aber damit habe ich null Erfahrung.

Man muss auf jeden Fall sehr auf den SoC und die Leistung achten, wenn man das VPN nicht im Schneckentempo haben will.

Korrekt. Deswegen empfahl ich vernünftige Hardware. Die zumindest der Verschlüsselung in Hardware durchführen.

Für Dummis kann man natürlich auch sowas wie Hamachi verwenden.

lumines
2017-08-18, 18:42:03
Korrekt. Deswegen empfahl ich vernünftige Hardware. Die zumindest der Verschlüsselung in Hardware durchführen.

Das ist das Problem: Die Verschlüsselung von OpenVPN lässt sich extrem schwer in Hardware durchführen, weil da irgendetwas mit dem Kernelmodul von OpenSSL dazwischenfunkt. Die meisten SoCs können nur IPSec beschleunigen. Für OpenVPN braucht man rohe CPU-Leistung und die haben die meisten MIPS-basierten Router einfach nicht.

Man kann natürlich auch einfach L2TP / IPSec benutzen, allerdings ist das sehr viel komplexer. Wenn der Hersteller das nicht gerade schon richtig vorkonfiguriert, ist das für einen Laien praktisch unmöglich richtig zu konfigurieren.

Für OpenVPN würde ich daher irgendetwas nehmen, was x86-basiert ist und die entsprechende Leistung hat. Das kann ein alter Rechner mit zwei NICs oder eben so ein PC-Engine-Board mit einem OS genau für den Zweck sein. IPFire wäre so ein OS oder eventuell pfsense.

Man sollte auch WireGuard im Auge behalten. Es ist ein extrem simples Protokoll für VPNs und bedeutend schneller in Software, weil es statt AES auf ChaCha20-Poly1305 basiert. Leider ist es noch nicht ganz fertig, aber wenn es irgendwann einen finalen Zustand erreicht, wird das wahrscheinlich so ziemlich alle anderen Protokolle ersetzen.

https://www.wireguard.com/

xiao didi *
2017-08-18, 18:50:42
Viele MIPS-CPUs schaffen in Software nicht mehr als ~14 MBit/s per OpenVPN in Software.
In der Gegend hört der Upload bei den meisten Internetverbindungen aber auch sowieso auf.

@TS: Welche Hardware ist denn derzeit vorhanden?
VPN Server sind heutzutage häufig auf Consumer-Endgeräten bereits vorinstalliert und warten nur darauf zu konfiguriert werden. Seltener ist es sogar möglich, OpenVPN nachzuinstallieren.
Mit viel Glück hast du vielleicht sogar Router, die mit LEDE geflasht werden können, welches hier kaum Wünsche offen lassen sollte.

Trifft das beides nicht zu, hier ein paar Vorschläge:

WAN-Router als VPN-Server:
Tunnel zwischen 2x EdgeRouter X als WAN-Router, ca. 100 €, Durchsatz geschätzt 70-300 Mbps (im Netz findet man ein paar Werte, kann aber nicht einschätzen wie ehrlich die sind)
Nachteil: WAN-Router ersetzen kann sehr aufwändig sein

VPN-Server im internen Netz mit dedizierter Hardware:
Tunnel zwischen 2x Raspi, ca. 50 €, Durchsatz geschätzt 50-70 Mbps.
Vorraussetzung: Routen müssen an den WAN-Routern gesetzt werden.
(Der Raspi ist ein Beispiel. Er vereint recht gekonnt Preis, Leistung und vorallem Dokumentation. Welches Tutorial man als erstes findet bestimmt dann auch das Betriebssystem. Auf anderer Hardware kann eine Installation der unten genannten Betriebssysteme ebenfalls möglich sein.

VPN-Server im internen Netz als VM auf beliebigem Rechner:
Zum testen, probieren und lernen kann man sich 2 Firewall / Router VMs
(pfsense, IPFire, IPCop usw.) an jeweils jedem Standort aufsetzen und tunneln. Kosten hoffentlich keine, Durchsatz je nach Hardware
Voraussetzungen: wie Vorschlag 1 sowie 2x Linux oder Windows-Rechner

Auch der EdgeRouter X ist nur ein Beispiel. Günstige, sparsame Hardware gibts in allen Formen und Farben.

Leider ist in allen Fällen immer etwas Aufwand nötig. Einfach ist das nie, wenn die Netzwerk- und Systemkenntnisse eingeschränkt sind. Da heißt es Tutorials lesen, lernen und ein wenig ausprobieren. Es ist aber auch keine Rocket Science, also keine Angst!

qiller
2017-08-18, 21:16:35
Hab selber eine Site-to-Site Verbindung zwischen 2 LANs dauerhaft laufen. Eine Seite IPFire, andere DD-WRT in nem 45€ TP-Link Router. Funktioniert aber zumindest auf DD-WRT-Seite nicht Out-of-the-Box, man muss sich zwangsläufig mit den OpenVPN-Optionen und möglichen Konfigurationen auseinandersetzen. Hat man auf beiden Seiten das gleiche (Fertigbau-)VPN-System, ist es in der Regel deutlich einfacher. Die Möglichkeit die VPN-Endpunkte ins interne LAN zu setzen macht nur Sinn, wenn man in den Gateways der beiden LANs auch Routen setzen kann (was ja bei stark abgespeckten Routern durchaus problematisch ist).

Screemer
2017-08-18, 22:47:43
:confused: