VPN-Gateway ins Heimnetzwerk einbinden

[cimex]

Hallo zusammen,

wie der Titel sagt versuche ich gerade mich über die Einbindung eines VPN-Gateways in mein Heimnetzwerk zu informieren. Bisher hatte ich leider nur mäßigen Erfolg, was unter anderem an den falschen Suchbegriffen liegen kann, daher versuche ich hier erstmal mein Vorhaben kurz zu umschreiben.

Das Ziel soll die "Tunnelung" des gesamten Internetverkehrs meines Heinnetzwerkes sein. Ich möchte weg von einer clientspezifischen VPN-Verbindung, hin zu einer allgemeinen Lösung für alle Netzwerkgeräte. Am einfachsten wäre es die Verbindung zum VPN-Anbiter über den Router herzustellen, aber meine Fritzbox 7360 scheint dies nicht zu unterstützen(?).

Soweit ich mich bisher einlesen konnte ist hierzu ein VPN-Server notwendig, auf dem beispielsweise Open-VPN läuft. Open-VPN wird dann mit den Einwahldaten meines VPN-Anbieters gefüttert. Alternativ gibt es anscheinend Router zu kaufen, die als VPN-Gateway dienen können.


Vorhandene Komponenten des Netzwerks:

Fritzbox 7360
Netgear GS108E-300PES
Qnap TS-121
3 Windows PC´s
3 Android Geräte

Meine Fragen:
1) Ist es möglich mit der Fritzbox die Verbindung um VPN-Anbiter herzustellen und den Netzwerverkehr zu tunneln?
2) Wie muss ein VPN-Server aussehen?
2.a) Welche Hardware benötige ich zum selber bauen? (Raspi Gen.1 ist noch verfügbar)
2.b) Gibt es eine Kauflösung (VPN-Gateway) für kleine Heimnetzwerke?
3) Wie würde das Schema des Netzwerkes aussehen? (PC -> VPN-Gateway -> Router)

 

[Rylaz]

Verständnishalber: von wo willst du wohin tunneln ? von aussen in das Heimnetzwerk oder von dort in ein bestimmtest Netzwerk ? Ich verstehe den Text gerade so das du aus dem Heimnetzwerk per VPN nur ins Internet willst...oder willst du wirklich die Strecke PC > Router über einen Tunnel laufen lassen ?

 

[cimex]

Ich möchte durch den Tunnel eine Verbindung zum Internet herstellen.
Kauft man eine VPN-Verbindung, z.B. bei HideMyAss, kann man auf seinem PC eine Software installieren, die diese Verbindung herstellt. Allerdings ist dann nur der Internetverkehr dieses einen PC´s getunnelt.
Ich möchte das unabhängig von den einzelnen Clients ein konstanter Tunnel aufgebaut wird den alle Geräte nutzen können.

 

[eXTA]

ich denke am einfachsten ist es sich einen geeigneten router zu kaufen. einfach schauen, dass dd-wrt/open-wrt/tomato unterstützt wird. bin mit tomato und meinem netgear r7000 sehr zufrieden.
da lassen sich dann direkt die zugangsdaten hinterlegen und alle clients surfen über den tunnel.

als suchbegriff brauchst du im endeffekt "vpn client", da sich das gerät ja zum vpn server verbindet. dafür reicht eine beliebige kleine linuxbüchse, wo openvpn drauf läuft (sofern dein vpn anbieter das supportet)

 

[fdsonne]

1) Normalerweise ja, die FBs bieten doch die Möglichkeit eines Site-to-Site VPN. Am Ende wird es wohl eher auf die Gegenseite ankommen, ob du dort so freie Hand hast mit der Konfiguration, dass sich sowohl FB als auch Gegenstelle zusammenfinden. Ob man das Routing allerdings komplett durch den Tunnel schicken kann mit der FB, weis ich aus dem Hut nicht. Denke aber schon? Angeblich können die FBs ja statische Routen. Damit kann man dann auch arbeiten, wenn man die default Route nicht durch den Tunnel schicken kann!
2) ?? Was meinst du mit aussehen? Die Optik des Gerätes spielt keine Rolle. Wenn es um Funktionen geht, auch hier spielt es weniger eine Rolle und hängt eher von deinen Anforderungen ab. Technisch gesehen kann jedes Gerät mit einem lauffähigen Linux und entsprechenden Paketen dein Problem erstmal abdecken. Ob dir der Speed reicht? Ob die Features reichen oder du den Aufwand betreiben willst, steht auf nem anderen Blatt.
2.a) Wie gesagt, Bastellösung via Linux... Was es dann ist, ist fast wurscht.
2.b) Sicher, Preise sind abhängig deines Bedarfs. Möglicherweise wäre/ist aber auch eine Sophos UTM was für dich? Es ist quasi ein Allrounder und kann noch weit mehr. Dafür wäre kompatible x86 Hardware allerdings notwendig. Alternativ als VM auf einer Hardware deiner Wahl, mit einer Virtualisierungslösung deiner Wahl, sofern es eben x86 kompatibel bleibt. Ne "echte" Hardwareappliance gibts von Sophos ebenso... Die ist allerdings möglicherweise teuer.
3) Genau so wie du beschreibst... Es stellt sich allerdings noch die Frage, wie du eine Trennung zwischen VPN-Gateway und Router hinbekommst. Denn geht der Client PC nicht zum VPN-Gateway sondern zum Router direkt, würde er am Tunnel vorbei agieren können. Denn der Router MUSS zwangsweise weiterhin den Endpunkt zum INet einnehmen in einem derartigen Konstrukt (deswegen sprach ich oben die Sophos UTM an), die könnte in deinem Netz der zentrale Router sein und deine Fritzbox degradierst du zum Modem (+ ggf. Telefonie). Dann würde alles über die UTM laufen. Oder eben, dem VPN-Gerät zusätzlich die zentrale Routerrolle überhelfen und dann mit zwei Netzwerkinterfaces ausstatten, wo ein Bein das interne Interface ist und das andere direkt 1:1 an die FB geklemmt wird.



Was mir noch dazu einfällt, du sprachst explizit das QNAP NAS an -> soll das von public erreichbar sein? Wenn ja, müsstest du dir noch mehr Gedanken machen. Denn schickst du bedingungslos ALLES durch den Tunnel, dann wäre das NAS davon mit betroffen. Das heist aber auch, dass du damit ein Port-Forwarding auf der FB vergessen kannst. Einfach weil die Rückpakete nicht den gleichen Weg gehen und damit gar nicht ankommen und irgendwo in den Weiten des INets verworfen werden. (Asynchrones Routing) Das heist, diese Sache müsste dann wiederum ebenso durch den Tunnel kommen, nur eben aus der anderen Richtung. Damit muss der VPN Anbieter das natürlich auch supporten! Ob es sowas gibt? Kein Plan...
Ich persönlich halte von so einem Vorhaben generell erstmal nix. Warum MEINE Daten an einer zentralen Stelle zum Abgreifen bereit stellen? Möglicherweise sogar noch ein Anbieter nutzen, der die Schlüssel für die VPN Tunnel verschludert (gewollt oder ungewollt hat) und damit alles im Klartext öffnen? Ich weis ja nicht... Aber das ist dann eher die Aluhut Schiene

 

[cimex]

Vielen Dank für die schnellen und umfangreichen Antworten.

Zuerst werde ich versuchen die Verbindung mit der Firtzbox zu realisieren, wie von fdsonne angesprochen. Sollte ich damit keinen Erfolg haben werde ich mich wohl um einen anderen Router kümmern. Die angesprochene Sophos UTM scheint genau das zu sein was ich suche, allerdings kommt mir die Lösung etwas überdimensioniert vor.

Um nachmals kurz auf die Gegenfragen einzugehen:

?? Was meinst du mit aussehen? Die Optik des Gerätes spielt keine Rolle

Ja, die Optik spielt keine Rolle. Meine Ausdrucksweise ist missverständlich. Mir ging es um die notwendigen Komponenten. Beispielsweise müssen ja mindestens zwei LAN-Ports zur verfügungstehen, also vom Switch der das Heimnetzwerk vereint ins Gateway und dann vom Gateway in den Router.

Was mir noch dazu einfällt, du sprachst explizit das QNAP NAS an -> soll das von public erreichbar sein?

Nein, eine Erreichbarkeit von Außen ist nicht notwendig.

Warum MEINE Daten an einer zentralen Stelle zum Abgreifen bereit stellen?

Meine Daten werden doch schon von meinem Inet-Anbieter zentral gespeichert. Der Unterschied besteht darin, dass ich gutgläubig bin und davon ausgehe, dass es VPN-Anbieter gibt die keine Logs speichern. Der Status wechslet also von "Ja, die speichern" zu "Glauben wir mal, dass nichts gespeichert wird".

 

[eXTA]

Welche Datenraten willst du eigentlich damit erreichen?
Mein R7000 zB schafft nur ca. 15-20mbps Durchsatz. Für 100 Mbit bräuchtest du dann schon ein relativ potentes VPN Gateway. Die angesprochene Sophos hat sicherlich mehr Dampf unter der Haube

 

[AliManali]

Schau Dir vielleicht auch mal die Enigmabox an. Ich habe die bei mir auf dem ESXi virtualisiert.