Welcher VPN Router ist zu empfehlen?

https://www.qnap.com/de-de/how-to/tutorial/article/pfsense-auf-einem-qnap-nas-installieren
https://www.qnap.com/solution/virtualization-station-3/de-de/

Sorry, kann mir die Kante nicht verkneifen: Google: „pfsense qnap“ hätte dir deine Frage auch beantwortet :stuck_out_tongue:

1 „Gefällt mir“

Ich sag im Namen des Fragestellers einfach mal DANKE!

Habe danach gegoogelt und auch viele Suchergebnisse erhalten. Da dann aber für mich rauszufiltern was gut ist…das ist das Problem.
Darum frage ich ja Experten.

Aber wäre das dann so konfigurierbar das es dann so läuft wie mit dem Asus RT-AC86U ?

Grundsätzlich ist die pfSense erstmal eine Firewall mit Routingfunktionen. Um sie voll nutzen zu können brauchst du ein Stück (unterstützte) Hardware mit zwei LAN-Schnittstellen. Das hat die TS 253 Pro. Willst du mehrere Geräte hinter der pfSense (also letztendlich hinter dem VPN-Tunnel) betreiben, dann benötigst du noch einen Switch.
Wenn du die pfSense nach Tutorial zum Laufen gebracht hast, die Schnittstellen eingerichtet sind, ggf. einige Firewallregeln gesetzt wurden, kannst du OpenVPN einrichten. Zum Verständnis: In der pfSense richtest du einen (oder mehrere) OpenVPN-Clients ein, keinen Server! Du willst dich ja nicht von außen über VPN mit der pfSense verbinden, sondern die pfSense soll sich mit einem OpenVPN-Server verbinden. Wenn du das alles erledigt hast, müssen die Geräte, die über den VPN-Tunnel laufen sollen, als Gateway UND Nameserver die IP der pfSense eingetragen bekommen. Und bevor du das dann letztendlich final nutzt, mache unbedingt einen DNS-Leak-Test, damit du kontrollierst, dass die Nameserver korrekt verarbeitet werden in diesem Setup.

Anleitungen für all dies findest du zuhauf im Netz. Beginne einfach damit die pfSense zu installieren und sie soweit zu bringen, dass sie Zugang zum Internet hat, alles weitere dann danach.

1 „Gefällt mir“

Ok, bin schon dabei. pfsense-VM ist schon drauf.

Aber nochmal zu meinem grundsätzlichen Antrieb, bevor ich stundenlang dran sitze.

Wäre die Down/Upload-Geschwindigkeit höher als über den Asus RT-AC86U ?

Gruß

In der NAS ist wohl ein Intel® Celeron® J1900 verbaut. Laut Intel-Seite (https://ark.intel.com/de/products/78867/Intel-Celeron-Processor-J1900-2M-Cache-up-to-2-42-GHz-) unterstützt diese CPU keine Hardwareverschlüsselung (AES-NI, ganz unten). Trotzdem scheint die Qnap Hardwareverschlüsselung zu unterstützen (eventuell über einen abgesetzten Chip). Sie soll unter AES256 auf bis zu 70 MB/s bei der Volumenverschlüsselung erreichen.
Du musst es einfach ausprobieren. Wenn die virtualisierte pfSense auf die Hardwareverschlüsselung Zugriff hat, dann wirst du höhere Geschwindigkeiten erreichen. Falls nicht, sollte sie aber immer noch schneller sein als das ARM Geraffel in dem ASUS Router.

1 „Gefällt mir“

…jenaustens…

die qnap-platinenlayouts bringen zum verschlüsseln u.a. einen chipsatz für verschlüsselung mit !! ansonsten wäre der punkt „backup-verschlüsselung“ on the fly (ausserhalb der backup-software) gar nicht möglich :wink:

natürlich wird der celeron aus der nas der schnellere kandidat sein ! das ist nämlich in dem router drinne : BCM4906 (1.8 GHz, 2 cores) (Broadcom)
natürlich ist broadcom ein netzwerkspezi, aber:

  • der chip ist so schlecht, dass du ihn nicht auf orig. dedizierten netzwerkkarten findest
  • du findest ihn aber auch nicht in anderer arm-hardware (z.b. tv-boxen) wegen diverser mankos
  • ist asus mitlerweile bestimmt auch peinlich bei seinen „high-end“ produkten!
  • das beste an dem router ist nur seine flächenabdeckung im wlan (und für die sendeleistung ist ein anderer zuständig)

Ok, dann muss ich es über den QNAP hinbekommen.

Melde mich dazu später nochmal !

Danke soweit :slight_smile:

Gruß

als tip nebenbei…

nach erfolgtem netzwerkaufbau , alles zum routing im allgemeinen von der pfsense machen lassen, also z.b. dhcp und dns.
heisst aber auch die versch. services auf der fritzbox zu deaktivieren !! die fritzbox ist am schluss nur noch ein gateway!
doppelte services ziehen nämlich auch an der performance im allgemeinen…

:radioactive:

Das wäre auch mein Wunschziel ! Über die Fritzbox soll dann nur noch Telefonie laufen.

Also alles was an LAN/WLAN Geräten im Haus vorhanden ist soll per VPN ins Inet

pfSense kann man (wenn alles läuft) dann auch sagen das bestimmte Geräte (per IP) direkten Zugriff auf Internet haben ?
Als Beispiel soll meine PS4 nicht über VPN ins Inet

Zum Thema LAN-Anschlüsse kommen wir dann später.
Nur vorweggenommen:
direkt neben meinem QNAP ist ein Switch schon vorhanden, ein „Netgear GS116E-200PES“

An dem sind alle Geräte aus dem Haus angeschlossen. (Unter anderem auch 2x weitere 8Port Switche von Netgear)

Gruß

Wenn die Fritze nur noch Telefonie übernehmen soll, dann schalte sie aber auch in den bridge-mode. Du kannst zwar auch die pfSense in der Fritzbox als Exposed Host setzen, aber wenn, dann mach es richtig und vermeite doppeltes NAT. Dann und nur dann wird NAT und die Firewall richtig funktionieren.
Keine Angst, die Telefonie funktioniert weiter. Die pfSense erhält bei Vodafone dann eine zweite öffentliche IP.

Der Port an der pfSense, der dann direkt mit der Fritzbox verbunden ist, muss in diesem Szenario als WAN eingerichtet werden, IPv4 conf. auf DHCP. IPv6 würde ich vorerst die Finger von lassen, das bedarf etwas mehr Einarbeitungszeit.

Oh Gott , es wird ja immer komplizierter.
Funktioniert dann meine no-ip.org Adresse noch?

Ich wollte doch „nur“ per VPN ins Internet !
Bin mit meinen wichtigen Geräten zwar über NordVPN im Internet, aber man liest das die Fritzbox viel an Bandbreite „frisst“ weil sie für VPN zu schwachbrüstig ist
:disappointed_relieved:

Wenn du „nur“ einige Geräte über VPN ins Internet lassen willst, dann lass die Fritze als deinen Primärrouter und alle Geräte die da dran hängen gehen über die „normale“ IP ins Inet, alle anderen gehen über die pfSense und über VPN ins Internet.
Wenn du aber sagst, dass die Fritze nur noch Telefonie machen soll und gleichzeitig über die pfSense mit einigen Geräten via VPN und mit anderen Geräten ohne VPN ins Internet willst, dann ist da Konfigurationsarbeit notwendig. Exposed Host (pfSense hinter Fritze, ohne bridgemode, mit doppelten NAT) ist mMn gefrickel - kann man machen - würde ich nicht. Spätestens wenn du die pfSense von außen nicht erreichst geht das große Grübeln und Suchen und noch mehr gefrickel los.

Ein gut konfiguriertes Netzwerk mit den gewünschten Funktionen und am Besten 100% anonym ist aufwändig, muss auch gewartet, oder mal nachkonfiguriert werden. Das ist kein brainless-to-use-system wie eine Fritzbox.
Wenn du die Maximallösung willst, wirst du dich damit richtig auseinandersetzen müssen, Das ist zeitintensiv. Wenn du das nicht willst, oder dir die Zeit dafür fehlt, dann häng die pfSense einfach an einen LAN-Port und häng dort nur die paar Geräte dran die über VPN laufen sollen. Trotzdem wirst du dich mit dem Thema VPN auf der pfSense beschäftigen müssen, wenn du damit wirklich anonym ins Inet willst.

1 „Gefällt mir“

Hallo,

also ich denke die erste Lösung von dir macht für mich am meisten Sinn !
Fritzbox bleibt primär Router ohne VPN

Aber wie muss dann die LAN-Verkabelung sein.

Bisher ist es so:

In Stube ein 4‘er Switch

Im Gästezimmer ein 4‘er Switch
Gästezimmer hängt am Switch „Stube“

Von der Stube geht ein lan-Kabel auf den Boden. Dort steht ein 16‘er Netgear-Switch

An dem hängt unter anderem der QNAP (und paar VU+ Receiver)

Von Boden ein lan-Kabel ins Büro im OG in einen 8‘er Netgear-Switch und von dem in die Fritzbox

Das alles ist so verkabelt weil ich gelesen habe das an der Fritzbox nur ein Switch hängen soll und alle folgenden Geräte/Switch in dem Switch münden sollen und dadurch nur 1x LAN Kabel in der Fritzbox steckt

Wo muss der QNAP dann stehen? Direkt vor Fritzbox ? Ein Adatpter in die Fritzbox und das andere in den ersten Switch ?

Gruß

Ist das der derzeitige Zustand?

Ist-Zustand

Wieviele Geräte sollen denn über VPN kommunizieren? Und an welchen Switches hängen diese?

Ja, die Grafik entspricht genau der Verkabelung hier zu Hause .

Der ideale Fall von „VPN“ und „ohne VPN“ (wird wahrscheinlich nicht umsetzbar sein) wäre so:

Stube-Switch:
1x VU+ Receiver (VPN)
1x PS4 (ohne)
1x NVIDIA Shield Pro (ohne)
1x Denon AVR X2200 (ohne)

Gästezimmer-Switch:
1x VU+ Receiver (VPN)
1x Smart TV (ohne)

Schlafzimmer oben (Eltern und Kind)
jeweils 1x VU+ Receiver (VPN) beide an Switch-Dachboden

Büro:-Switch:
1x PC (VPN)
1x BananaPI als Server (ohne)
2x UniFi AP AC Lite AP‘s (ohne)

Dachboden:
1x QNAP (ob mit oder ohne VPN weiß ich nicht)

Vergiss was ich hier gestern Abend geschrieben habe. Ich habe nocheinmal über die Situation nachgedacht und es gibt eine Lösung. In der pfSense kann man über die Outbound Regeln einzelne interne IP-Adressen (oder ganze Netzsegmente) über ein virtuelles Interface ausgehend routen.
Ich würde dir hierzu empfehlen bei allen Geräten, die über VPN rausgehen sollen, IPv6 zu deaktivieren und eine statische IPv4 zu vergeben. Am Besten deaktivierst du auch IPv6 (vorerst ganz) auf der pfSense. Das macht es nur unnötig kompliziert.
Wenn dann der Tunnel steht, gib hier wieder bescheid.

…da kann ich mich dem post zuvor nur anschliessen! das ist bei der grundkonfiguration event. ein wenig mehr arbeit, aber im nachhinein bei der zukünftigen verwaltung weitaus einfacher. eine gruppe mit vpn-regeln und eine zweite gruppe ohne vpn, die dann jeweils einem virt. interface zugeordnet sind, wäre dabei so meine idee im hinterkopf…

Das ipv6 der ausgewählten Geräte kann ich vorher in der Fritzbox schonmal deaktivieren, oder ?

Und der Aufbau:
QNAP zwischen Fritzbox und erstem Switch im Haus ? Und dann 1x Adapter an Fritzbox (Gast-LAN 4) und der andere Adapter vom QNAP in den ersten Switch.

Stimmt das so ?

Ja genau das kannst du

So sollte das dann aussehen.