Heim VPN-Server
URL: https://www.overclockers.at/netzwerktechnik/heim-vpn-server_264784/page_1 - zur Vollversion wechseln!
alex5612 schrieb am 15.03.2025 um 15:29
Hi,
das alex5612 spielt mit Netzwerk Drama geht weiter...
In der letzten Folge habe ich zusammen mit dem Forum mein Heim-Wlan soweit optimiert, dass man das Ergebnis als 'gut genug' abstempeln kann.
Ich bin zwar mit der Wlan-Abdeckung noch nicht ganz zufrieden, aber in Wahrheit ist zur Zeit der Leidensdruck nicht hoch genug um die Kreditkarte zu zücken.
Verwendet werden: ein TP-Link Archer C6 v2.0 und ein TP-Link Archer C20 v4 als zusätzlicher Accesspoint.
Nun bin ich auf die Idee gekommen, dass man am Router einen VPN-Server betreiben könnte. Das passt gar nicht so schlecht zur symmetrischen Leitung und statischer externer IP.
Damit könnte man ja direkt ein zukünftiges HeimNAS über "das Internet" erreichbar machen.
Eh alles super easy, man muss quasi nichts können oder verstehen um einen VPN Server zu betreiben.
Einige Stunden Gefrickel später funktioniert die Geschichte soweit ich es beurteilen kann. Ich kann via Laptop (per Handyhotspot) einen VPN Tunnel ins LAN aufbauen.
Ich schaffte es sogar per VPN eine Windows-Druckertestseite auszudrucken! - Ganz neue Trollmöglichkeiten tauchen da plötzlich auf.
Leider schaffe ich es nicht via VPN am zweiten Acccesspoint auf 10.0.0.102 zuzugreifen. Es kommt leider nur ein "403 - Forbidden" Fehler als Antwort - Ich gehe mal davon aus, dass der Accesspoint nichts mit dem 10.8.0.0 VPN-Subnet zu tun haben möchte und der Fehler nicht am VPN selbst liegt.
Preisfrage: Wie viel kann man vom integrierten VPN-Server erwarten, wenn man mit dem Gedanken spielt sich ein NAS zuzulegen?
Verschlüsselung ist AES-128-CBC. Von meinem Bauchgefühl her müsste das 'sicher genug' sein.
Oh und gibt es einen bequemen Trick um dem openVPN client beizubringen, dass kein Tunnel notwendig ist, wenn man bereits mit dem Laptop im passenden Lan ist?
TOM schrieb am 15.03.2025 um 16:07
Der TP-Link Archer C6 hat meiner Recherche nach eine "single-core CPU running at 775 MHz. This processor is paired with 128 MB of RAM" - würd darauf keinen VPN Server betreiben
ich würde einen großen bogen um die VPN tunnel machen und tailscale verwenden... point to point, UDP/Wireguard - also viel bessere Performance & security und du erspart dir zusätzlich jegliches port forwarding/firewall freischalten (UDP hole punching)
irgendeinem device im netzwerk in dein tailnet und das als jump-server verwenden (oder direkt am NAS tailscale laufen lassen)
it's the future, VPN is the past
and it's free* (https://tailscale.com/)
Extrafeinripp schrieb am 16.03.2025 um 14:13
Liegt der zweite Accesspoint im selben Subnet wie alles andere auch? Wenn ja, dann sollte es eigentlich funktionieren. Wenn nein, dann hat der Router eine Firewallregel, die offenbar nur auf das eine Basissubnet den traffic freigibt und nicht auch auf andere.
Hast du den Accesspoint vielleicht falsch konfiguriert? Das ist im Grunde ein Router. Meine Vermutung ist, dass du den zweiten Router also als Router konfiguriert hast. Dieser NAT-et dann sich in ein eigenes Subnet, was er gar nicht sollte.
Das wäre die naheliegendste Lösung.
Bei der Performance muss man zustimmen. Als Alterntive kann man sich den FLINT2 anschauen. Der ist sehr intuitiv aufgebaut und hat eine potente Hardware. Außerdem kann man im Hintergrund aufs OpenWRT zugreifen und so ziemlich alles einstellen was man will. Wenn man es denn kann.
In dieser Preisspanne ist allerdings wahrscheinlich eines der neuen Ubiquiti Geräten die bessere Wahl für Einsteiger und solche, die motiviert sind etwas mehr rauszuholen ohne viel sich mit Netzwerken beschäftigen zu müssen.
alex5612 schrieb am 16.03.2025 um 21:48
@Tom: Tailscale wirkt motiviert, aber puh - der vorhandene Router unterstützt es jedenfalls mal nicht.
Dass der Router nicht die Riesenleistung bietet, ist mir bewusst. Wird wahrscheinlich noch geändert.
Aktuelle Preisfrage für mich ist: Wie finde ich raus ob die vorhandene OpenVPN Implementierung noch sicher ist? Firmware ist von 2022... - Neuere gibt es ned.
NAS ist eh noch eine separate Baustelle. Da geht in Wahrheit eh "um nix" - Datengrab um bissi Zeug zu sichern, Handybackup und idealerweise zwei Rechner synchronisieren. - Ich muss mir da noch klar werden was genau ich eigentlich brauche, weil ein NAS mit 1x 3,5" Hdd tät eigentlich eh nur Taschengeldbeträge kosten und selbst welche mit 2x 3,5" zwecks Raid1 gibt es für wenig Geld. Das Hauptziel ist eigentlich nicht von Onedrive abhängig zu sein...
@Extrafeinrip: Ja, ist im selben Subnet. Ist auch als Accesspoint konfiguriert. Ping funktioniert. Browser liefert halt nen '403' Fehler wenn man auf die Konfigurationsseite zugreifen möchte. Siehe Billigplastikrouter: Eh alles toll, wenn der Usecase anstecken und vergessen ist.
Flint2 ist cool, aber ob es das für eine 50Mbit Leitung tatsächlich braucht.. 
Extrafeinripp schrieb am 17.03.2025 um 01:27
Ist auch als Accesspoint konfiguriert. Ping funktioniert. Browser liefert halt nen '403' Fehler wenn man auf die Konfigurationsseite zugreifen möchte. Siehe Billigplastikrouter: Eh alles toll, wenn der Usecase anstecken und vergessen ist.
langsam. Ping vom VPN subnet aus funktioniert, oder vom nativen Zuhause Subnet?
Ich habe bis vor wenigen Monaten selbst einen TP Link Archer C6 jedoch mit OpenWRT betrieben. Ich habe OpenWRT hassen gelernt, aber es hat funktioniert. Und weil es historisch gewachsen ist, habe ich auch einen noch älteren Router mit noch heißgeliebter Tomato firmware als zweiten Accesspoint betrieben.
Technisch funktionieren muss es also denn ich hatte das gleiche Setup. Es ist die Frage die bleibt ob die TP Link firmware hier eine firewall Einschränkung hat, oder ob es nicht doch ein Konfigurationsfehler ist.
Hast du am Accesspoint sicher kein NAT aktiviert? Der Accesspoint sollte seine eigene Adresse via DHCP oder von mir aus statisch zugewiesen bekommen, aber auf keinen Fall einen eigenen DHCP Server haben.
Es stimmt schon, mit 50 MBit reicht eine übertaktete Kartoffel als router. Bei VPN kanns tatsächlich knapp werden, aber IPSec/openvpn sollte trotzdem mit 50 MBit gehen.
Ich habe meinen tomato based router seit 2010, davor einen WRT54. Dazwischen 5 Jahre einen EdgeRouter X und 7 Jahre den TP Archer C6. den tomato router für b/g WiFi wiederverwendet. Alles Geräte die nie mehr als 70€ gekostet haben und extrem lange gehalten haben. Jetzt hat es mir gereicht und ich habe mir was neues gegönnt, was ein wenig teurer ist. Und ich habe den Sprung von OpenWRT zu einem kundenfreundlichen Managementsystem (Unifi) echt nicht bereut.
alex5612 schrieb am 17.03.2025 um 21:16
langsam. Ping vom VPN subnet aus funktioniert, oder vom nativen Zuhause Subnet?
Von Beiden funktioniert Ping. Interface ist aber nur vom nativen Zuhause Subnet nutzbar. Vom VPN Subnet aus zeigt es den '403 - Forbidden'
Fehler an.
Ich habe bis vor wenigen Monaten selbst einen TP Link Archer C6 jedoch mit OpenWRT betrieben. Ich habe OpenWRT hassen gelernt, aber es hat funktioniert. Und weil es historisch gewachsen ist, habe ich auch einen noch älteren Router mit noch heißgeliebter Tomato firmware als zweiten Accesspoint betrieben.
Hat das mit OpenWRT funktioniert? Auf der OpenWRT Webseite steht doch genau nix erbauliches dazu? Ich lese dort gerade beim C6 eher "freu dich, wenns überhaupt funktioniert".
Unifi wird hier öfter gelobt, aber bisher hat einfach der Leidensdruck gefehlt die Kreditkarte auszupacken...
PS.: Und nein, am zweiten AP läuft kein NAT. Der ist per LANport angeschlossen und als Accesspoint konfiguriert.
Extrafeinripp schrieb am 17.03.2025 um 23:57
Interface ist aber nur vom nativen Zuhause Subnet nutzbar. Vom VPN Subnet aus zeigt es den '403 - Forbidden'
Da gehts aber immer nur um den zweiten Router der als AP konfiguriert ist, nicht wahr?
Dann fehlen mir leider die Ideen. Die Frage ist wie relevant das ist für die Praxis. Ich nehme an das war der Test für ein NAS. Hast du sonst keinen anderen Client zum Testen außer den AP?
Hat das mit OpenWRT funktioniert? Auf der OpenWRT Webseite steht doch genau nix erbauliches dazu? Ich lese dort gerade beim C6 eher "freu dich, wenns überhaupt funktioniert".
OpenWRT hat funktioniert:
https://openwrt.org/toh/hwdata/tp-l...archer_c6_v2_eu
Ich habe mich damals für OpenWRT entschieden, weil ich eigentlich auf ein Gerät reduzieren wollte. Ursprünglich wollte ich den Archer nur als AP für schnelleres WLAN. Aber dann war es mir zu blöd und die Stockfirmware war zu starr. Dann habe ich im Endausbau also den Archer als Router gehabt und einen alten Tomato Router als zusätzlichen AP für legacy IoT devices.
Das hat mühelos geklappt, selbst mit VLAN Konfiguration.
Aber OpenWRT ist schon eine Frickelarbeit. Empfehlen würde ich es nicht, ich sag nur, die hardware als Basis braucht sich im Archer gar nicht verstecken. Die kann mit der richtigen Software so ziemlich alles was man braucht.
TOM schrieb am 18.03.2025 um 07:52
der vorhandene Router unterstützt es jedenfalls mal nicht.
braucht der router nicht unterstützen
tailscale ist point-to-point, also jedes device mit dem agent drauf ist von aussen via wireguard tunnel erreichbar. alles keybased, statt potenziell schwachen passwörtern
Und wenn man will, kann man mit einem device auch das ganze subnet raus routen und/oder es als exit node verwenden und über die IP raus surfen
z.B. synology hat ein tailscale paket und falls Du einen raspberry rumkugeln hast, wäre das ein sparsamer jump-server um das ganze netz erreichbar zu machen, statt dem VPN frickeln
war meine letzte einschaltung dazu, ich kann's aus eigener erfahrung schwer empfehlen
b_d schrieb am 18.03.2025 um 19:19
and it's free* (https://tailscale.com/)
if it's free you are the product gilt hier nicht mehr? das und die tatsache das auth ausschließlich über 3rd party provider geht haben mich bis jetzt von tailscale abgehalten :/ ich weiß, extrem (!!) aluhut und so, aber den einen wireguard port verkraftet ein router, wenn er exposed ist.
e, nachsatz: mit "use * for free, indefinitely!!!1111" bin ich in meinem IT leben schon mehr als einmal eingefahren, leider 
mags wirklich nicht schlecht reden, tailscale ist geil, aber ich genieße sowas nur noch mit vorsicht…
e2: +1 für einen einfach (eigenen) wireguard server, einfacher gehts nicht.
alex5612 schrieb am 18.03.2025 um 19:35
Da gehts aber immer nur um den zweiten Router der als AP konfiguriert ist, nicht wahr?
Dann fehlen mir leider die Ideen. Die Frage ist wie relevant das ist für die Praxis. Ich nehme an das war der Test für ein NAS. Hast du sonst keinen anderen Client zum Testen außer den AP?
Genau das. Praktisch ists eh blunzn.
OpenWRT hat funktioniert:
https://openwrt.org/toh/hwdata/tp-l...archer_c6_v2_eu
Ich habe mich damals für OpenWRT entschieden, weil ich eigentlich auf ein Gerät reduzieren wollte. Ursprünglich wollte ich den Archer nur als AP für schnelleres WLAN. Aber dann war es mir zu blöd und die Stockfirmware war zu starr. Dann habe ich im Endausbau also den Archer als Router gehabt und einen alten Tomato Router als zusätzlichen AP für legacy IoT devices.
Mich hat der Kommentar hier bisher abgeschreckt irgendwas damit zu machen.
WLAN Comments: 5GHz WLAN has greatly reduced speed, range and stability as of openwrt 19.07.
Was ich aber irgendwie erfolgreich verdrängt habe, ist, dass jetzt eigentlich 24.10 aktuell ist... 
Vielleicht hole ich mir irgendwo einen gebrauchten als OpenWRT Frickelbasis, dann tuts auch nicht weiter weh, wenn ich das Ding kaputt bastle. Mit aktueller Software sinkt obendrein auch die Chance, dass die VPN Implementierung irgendwie ernsthaft undicht ist.
/edit
Andererseits ist die 24.10 scheinbar auch 'fun and games'
5GHz WiFi is non-functional on certain devices with ath10k chipsets. Affected models include the TP-Link Archer C60 v1, TP-Link Archer C6 v2, and possibly others. For details, see issue #14541.
https://github.com/openwrt/openwrt/issues/14541
alex5612 schrieb am 18.03.2025 um 19:38
z.B. synology hat ein tailscale paket und falls Du einen raspberry rumkugeln hast, wäre das ein sparsamer jump-server um das ganze netz erreichbar zu machen, statt dem VPN frickeln
war meine letzte einschaltung dazu, ich kann's aus eigener erfahrung schwer empfehlen
Habe irgendwie keinen Raspberry zur Hand, aber man könnte ja mal...
Andererseits kann ein VPN Server oder das Tailscale Wunderding im Zweifelsfall eben auch auf einem Raspberry oder gar am NAS selbst laufen.
Viper780 schrieb am 18.03.2025 um 20:10
Tailscale ist auch nur wireguard aber stülpt eine Verwaltungsschicht drüber.
Durch diese kann Tailscale deinen gesamten traffic überwachen.
Mit Headscale kann man so ein Netzwerk selbst hosten
Ich hab noch ein paar Thinclients hier. Preis und Stromverbrauch ähnlich eines RasPi, Performance deutlich flotter. Aber nur dafür laufen lassen ist Overkill
Extrafeinripp schrieb am 18.03.2025 um 21:27
Mich hat der Kommentar hier bisher abgeschreckt irgendwas damit zu machen.
reduced speed and range kann ich zu 100% bestätigen. Für mich hatte es aber gereicht.
Würde openwrt ohne Stützräder nicht empfehlen. Deshalb habe ich den FLINT2 vorgeschlagen. openwrt mit Stützrädern und das auf Hardware die dafür geeignet ist.
alex5612 schrieb am 19.03.2025 um 21:42
reduced speed and range kann ich zu 100% bestätigen. Für mich hatte es aber gereicht.
Würde openwrt ohne Stützräder nicht empfehlen. Deshalb habe ich den FLINT2 vorgeschlagen. openwrt mit Stützrädern und das auf Hardware die dafür geeignet ist.
Okay, das ist dann eben genau wie befürchtet. Mal schauen ob es nicht doch irgendwas "Neues" von Cudy wird, weil eigentlich wäre etwas Lust zum OpenWRT frickeln meinerseits schon vorhanden.
/edit: Akut interessant ist aber für mich, dass der VPN-Server via Handyhotspot problemlos erreichbar ist. Via Magenta-Kabel ist es von Performanceseite eine Katastrophe. Ping ins LAN geht mit zweistellig ms, aber die Routerseite ladet nicht oder nur phantastisch langsam. Mit dem Printserver ist es die selbe Geschichte.
Keine Idee was da schon wieder bockt...
/edit2:
tun-mtu 1444
mssfix 1400
im client bewirken offenbar wunder...
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025