Was nimmt man denn heute als VPN-Server/Protokoll?

besterino

Legende
Thread Starter
Mitglied seit
31.05.2010
Beiträge
7.570
Ort
Wo mein Daddel-PC steht
Mein treuer OpenVPN-Server will aktuell nicht mehr, irgendein Zertifikat ist wohl abgelaufen. Hab vermutlich leichtsinnigerweise damals bei der Konfiguration nur 10 Jahre Gültigkeit genommen und jetzt hab' ich den Salat.

Bevor ich jetzt aber durch das Tal der Tränen wandele und auf Server (und vermutlich auch alle Clients) die Zertifikate ändere, ist das vielleicht mal die Gelegenheit, meine Lösung insgesamt zu überdenken. An OpenVPN nervt mich vor allem der Krampf mit iOS Clients, bei denen man immer die blöden Keys manuell noch in die Konfig fummeln muss und dann das Ganze noch irgendwie auf's Gerät packen.

Nun hatte ich kurz gehofft, dass meine Fritze mit WireGuard vielleicht eine Alternative wäre - zumal ich eh bereits eine feste IP hab. Aber Pustekuchen: WireGuard@Fritzbox erfordert zwingend entweder einen DynDNS-Dienst oder eine Registrierung bei dem Fritz!-Gedöns. Nein, will ich nicht. Mein Netz telefoniert gefälligst standardmäßig nirgendwo hin. Also muss ich wohl doch wieder manuell was frickeln.

Was nimmt man denn heutzutage? Anscheinend ist WireGuard ja "the hot shit" zurzeit, soll auch performanter als OpenVPN sein? Ist das auch komfortabel zu administrieren? Diese QR-Code Geschichte der Fritzbox klang jedenfalls verlockend. Aber das wird out of the box bestimmt nicht so ohne Weiteres mit einer WireGuard-auf-Linux-Server-Lösung funktionieren?

So richtig Lust jetzt eine komplette Firewall über open-/pfSense o.ä. zu bauen habe ich jetzt eigentlich nicht, mir reicht eine Schmalspur-VPN-Lösung "hinter" der Fritze, die dann halt den VPN-Port von der Fritze durchgereicht bekommt.

Bin für Anregungen dankbar - Fokus wie gesagt gerne auf "simpel für iOS und normale PCs einzurichten/nutzen".
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
WG oder irgendein Tunneltyp mit IPSec, mit letzterem hat man die größte Kompatibilität. Geht z.B. bei iOS mit Bordmitteln, ohne Zusatzapps.
 
Ich nutze einen Gl-Inet Router mit WireGuard (Port Weiterleitung von meinem Telekom Router). Sehr günstig (halt aus China), sehr komfortabel/ durchdacht und hat mir gleichzeitig neueres Wlan gebracht. Kostenlose DynDNS Auflösung ist optional dabei damit man den Router von außen erreicht., genau wie Einrichten von Clients per QR Code. Gl-Inet nutzt als Firmware Open-WRT, teils direkt unterstützt in der neuesten Version, https://openwrt.org/toh/start

Setup: https://docs.gl-inet.com/en/4/tutorials/wireguard_server/
WireGuard ist ein mehrfaches schneller als OpenVPN und genial einfach. Man muss nur einen Key auf dem Server generieren und beim Client eintragen.

z.B. https://www.gl-inet.com/products/gl-mt3000/
 
Zuletzt bearbeitet:
Was macht die Fritte, wenn kein DDNS hinterlegt ist. Weigert sie sich, das VPN anzulegen oder nimmt sie vielleicht doch die öffentliche IP (ggf. welche)?
 
GLinet Router und dort Wireguard einrichten, ist am wenigsten Aufwand. Weitere Router mit WG gibts von AVM, Draytek und Unifi Dream Machine.

Oder wenn Du fit mit Linux bist, installiere das selbst z.B. unter Debian.
Beitrag automatisch zusammengeführt:

Was macht die Fritte, wenn kein DDNS hinterlegt ist. Weigert sie sich, das VPN anzulegen oder nimmt sie vielleicht doch die öffentliche IP (ggf. welche)?
VPN + DDNS sind zwei grundverschiedene Dienste. Das VPN interessiert es nicht, WIE Du den Port am WAN erreichst. Du kannst die public IP verwenden oder per Dyndns.
 
Ich verwende für meine privaten Standorte Draytek, dort dann gerne auch mal den 3910.
Das ist SoHo Kram und daher auch entsprechend ausgelegt.

Mal ein paar Beispiele:
Ansonsten kann der auch Windows Apps und auch sonst jedes andere VPN Protokoll was man braucht, ja Wireguard.
Wer seinem Besuch einen professionelles WLAN-feeling geben möchte:

usw. usf.

Kaufen, auspacken, anschließen, booten, Updates machen und ab geht die Post. Die FB degradiert man dann direkt am besten zu dem, was sie am besten kann, Modem spielen.
Beitrag automatisch zusammengeführt:

WireGuard ist ein mehrfaches schneller als OpenVPN und genial einfach.
Hierbei ist grob der Faktor 2 bei WG anzusetzen, bei gleicher Hardware. Hängt aber auch vom Usecase ab.
Wer mit nem VPN den kompletten inbound traffic macht, hat mehr zu tun als jemand, der als remoteworker eh durch den Upload der jeweiligen Interlinks begrenzt ist. "Doof" wird es, wenn man ne symmetrische LWL Anbindung hat...
 
…bis auf die doofe Fritze, die halt irgendwie nicht mit einer festen IP klar kommt und ZWINGEND nen Service will, der mit VPN gar nicht verheiratet sein muss…
 
Hierbei ist grob der Faktor 2 bei WG anzusetzen, bei gleicher Hardware. Hängt aber auch vom Usecase ab.

Bei den kleineren leistungsschwächeren Travel-Routern gibt Gl-Inet sogar einen Faktor 5 an
Beitrag automatisch zusammengeführt:

…bis auf die doofe Fritze, die halt irgendwie nicht mit einer festen IP klar kommt und ZWINGEND nen Service will, der mit VPN gar nicht verheiratet sein muss…

Gibt halt nicht soviele Anwender mit fester ip. Zur Not halt einen Dyndns Service angeben damit die FB zufrieden ist. Stört ja nicht weiter wenn die ip sich nicht täglich ändert.
 
Ich glaub, ich versuche mein Glück mal mit dem Brume 2 - scheint doch genau zu sein, was ich suche, oder?

 
An OpenVPN nervt mich vor allem der Krampf mit iOS Clients, bei denen man immer die blöden Keys manuell noch in die Konfig fummeln muss und dann das Ganze noch irgendwie auf's Gerät packen.
Das liegt aber dann an der Implementierung bzw. Konfiguration deines OpenVPN Servers. OpenVPN ist ja durchaus auch in Enterpriselösungen z.B. von Sophos, Watchguard und vielen weitern als Unterbau vorhanden, wo sich User einfach ihr Profil direkt via Browser von der Appliance laden können, ohne dasss sie da noch selber dran frickeln müssen.
Das geht z.B bei Watchguard sogar soweit, dass sich dessen Desktop VPN Client jedes Mal beim Verbindungsaufbau eine frische Konfigurationsdatei von der Firewall holt. Tauschst du da das Zertifikat, muss der User nichts machen und bekommt es noch nicht mal mit.

…bis auf die doofe Fritze, die halt irgendwie nicht mit einer festen IP klar kommt und ZWINGEND nen Service will, der mit VPN gar nicht verheiratet sein muss…
Das scheint wohl an der Implementierung seitens AVM zu liegen. Wireguard selber ist das recht egal, ob eine IP oder ein DNS Name verwendet wird. Da die Fritze aber typischerweise keine statische IP hat, dürfte das vermutlich so implementiert sein, dass der unwissende 0815 User mit dynamischer IP sich da nicht was zusammenklickt, dass mit dem nächsten IP Wechsel nicht mehr funktioniert und letztendlich AVM sich mit zusätzlichen Supportanfragen dieser User rumschlagen muss.

900 Schleifen für den Draytrek 3910?
Ist bei solchen Geräten nicht unüblich. Wobei du hier aber scheinbar nur einmal zahlen musst. Bei vielen Herstellern musst du noch entsprechende Lizenzen und Subscriptions erwerben, damit du die Geräte überhaupt nutzen kannst bzw. überhaupt Softwareupdates bekommst. Hier sind die Privatuser halt nicht das Ziel.
 
@underclocker2k4 puh…. 900 Schleifen für den Draytrek 3910?
Nein natürlich nicht. Das war nur das, was ich aktuell verwende. Ich habe auch noch 2925 im Einsatz.
Es gibt das auch kleiner, mit den selben Features. Der 3910 ist top of the line und natürlich für den Normalo völlig drüber.
Davon ab habe ich auf garkeinen Fall nicht 900Taler für das bezahlt.

Schau dich doch mal im Bereich der Drayteks um da gibt es für alles ein entsprechendes Gerät.

Ich verwende Draytek seit run 20 Jahren da war noch ISDN Backups drin usw.
Die sind jetzt nicht über jeden Zweifel erhaben aber viel fehlt in der Geräteklasse nicht zum "perfekten" Gerät.

Btw. bringt Draytek seinen eigenen DynDNS Dienst mit.
 
VPN + DDNS sind zwei grundverschiedene Dienste. Das VPN interessiert es nicht, WIE Du den Port am WAN erreichst. Du kannst die public IP verwenden oder per Dyndns.
Als ob ich das nicht wüsste. :rolleyes2: Wenn es aber supa einfach sein soll, dann sollte das Scannen des QR-Code das Einzige sein, was man macht, um einen Client zu verbinden. Und dafür muss eine Adresse hinterlegt sein. Außerdem könnte es sein, dass der Assistent der Fritte beim einrichten des Servers nicht abschließt, wenn kein DDNS hinterlegt ist.
 
OpenVPN ist ja durchaus auch in Enterpriselösungen z.B. von Sophos
Sophos unterstützt kein SSL VPN mehr, man kann nur noch den IPsec Client aus dem Userportal ziehen. Bestehende Konfigurationen mit ovpn laufen aber weiterhin. Sophos stellt komplett auf IPsec um.
Das artet wieder in unnötiger Arbeit aus^^
 
Sophos unterstützt kein SSL VPN mehr
Woher hast du diese Info? Quelle?

man kann nur noch den IPsec Client aus dem Userportal ziehen.
Das kann bei den XG's durchaus der Fall sein, auf ner UTM 9 wurde er zumindest vor einiger Zeit noch angeboten.

Sophos stellt komplett auf IPsec um.
Nö, die haben lediglich den bisherigen SSL VPN Client, die Ampel, in Rente geschickt und den neuen Sophos Connect darfst du dir nun direkt bei Sophos laden.
Komplett auf IPsec umzustellen macht auch nicht viel Sinn, da dir dann einige Features flöten gingen, die mit der Grund waren, warum SSL VPN heute als Mobile VPN so verbreitet ist.

Bestehende Konfigurationen mit ovpn laufen aber weiterhin.
Klar, die Technik dahinter hat sich ja auch nicht verändert und letztendlich zwingt dich auch keiner, den Sophos Client zu verwenden.
 
Definitiv WG, schnell, absolut sicher ( Stand heute) und unkompliziert, so wie (ich) mir eine Lösung vorstelle:
Das passende Video dafür
Github Link

Da spart man sich den zusäzlichen Layer im Vergleich zu OpenVPN, schmaler geht es kaum.
Wobei OpenVPN auch eigentlich immer eine gute Alternative ist.
 
@Steggi
XG ist mittlerweile EOL (2025), nur noch XGS Support. Die UTMs liegen hinter mir im Regal :P
Wie gesagt, Sophos stellt mit den XGS komplett auf Sophos Connect um.
Komplett auf IPsec umzustellen macht auch nicht viel Sinn, da dir dann einige Features flöten gingen, die mit der Grund waren, warum SSL VPN heute als Mobile VPN so verbreitet ist.
Keine Lust auf Mischbetrieb, deshalb komplette Umstellung.

Dazu wurde noch der Sophos Authenticator aus dem Google Play Store genommen...
 
Ich glaub, ich versuche mein Glück mal mit dem Brume 2 - scheint doch genau zu sein, was ich suche, oder?


Ich sehe in der GLinet Produktpalette mehrere Optionen:

# Opal - GL-SFT1200
WG Speed - 65 Mbps
45 Euro

# Beryl - GL-MT1300
WG Speed - 91 Mbps
82 Euro

# Slate AX - GL-AXT1800
WG Speed - 550 Mbps
132 Euro


# Flint - GL-AX1800
WG Speed - 500 Mbps
108 Euro

Wenn Du einen Mini Router haben willst/musst - nehm einen von den ersten 3en.
Wenn Platz egal ist, wäre der Favorit der Flint - ein normaler Stand Router, Antennen anklappbar,
hat die gleiche Firmware und auch mehr LAN Buchsen, von denen man vermutlich auch eine auf WAN2 umkonfigurieren könnte,
wenn man dafür Bedarf hat.

Weiterhin beachten: die größeren Modelle haben mehr CPU Power + Speicher.
Das ist interesant wenn man z.B. das Adguard Home Modul und weitere OpenWRT Plugins laufen lassen möchte.
 
Wenn Du eh mehrere clients nutzt, wäre auch ein Blick auf ein "verteiltes" privates VPN lohnenswert:
- ZeroTier
- Tailscale (nutzt WireGuard)
- HeadScale (TailScale in komplett open source)
- tinc (?; jedenfalls komplexer als die anderen Lösungen)

Nur HeadScale und tinc laufen komplett ohne fremde relay/control-Server.

gibt wohl für beides auch iOS clients, kenne die aber nicht.
 
  • Danke
Reaktionen: you
Ich nutze Wireguard auf dem Pi bzw. einem lxc auf meinem pve - installiert mit pi vpn.
Nutze auch keinen dyn dns..da sich meine IP eh eher selten ändert.
Unter iOS mit der Wireguard app kann man dan den qr code bequem scannen und in der App selbst auch sowas wie vpn on demand konfigurieren.
Ich hab es abgesehen von meiner wlan ssid immer an - so als Beispiel.
 
Zuletzt bearbeitet:
Erstmal dickes Danke an alle! Da werde ich bestimmt irgendwie fündig!

@Supaman Ich brauch eigentlich keinen kompletten Router, für WLAN hab ich schon genug Krempel und für die Internet-Verbindung reicht mir die Fritte.
 
Sofern deine Fritte das Update auf 7.50 bekommt oder schon bekommen hat, go for Wireguard.
 
Ich möchte auch für Wireguard eine Lanze brechen.
Habe das hier seit Einführung in DD-WRT laufen, parallel dazu auch noch auf einem meiner VPS.
Mittlerweile haben wir die Homeoffice Anwendungen unserer Kollegen auch komplett von OpenVPN hin zu Wireguard migriert.

Herrlich unaufregend, läuft einfach.

Der Trick dabei ist, das Wireguard direkt ab Kernel unterstützt wird und alles nur stumpf in UDP Pakete packt, während hingegen OpenVPN im Userspace läuft und alles in TCP/IP verpackt.
Dazu kommt das WG aufs Nötige reduziert wurde, während OpenVPN für alles und jeden eine Einstellung mitbringt.

Ein alter Raspberry, DD-WRT fähiger Router oder ein GLI Travelrouter... die könnten das alle wunderbar schultern.
Neuere Speedports können das auch, was AVM angeht... die sind noch etwas eigen, haben ja auch bis vor wenige Monate gebraucht um das einzubauen.
 
@Supaman Ich brauch eigentlich keinen kompletten Router, für WLAN hab ich schon genug Krempel und für die Internet-Verbindung reicht mir die Fritte.
Das ist mir schon klar. Der Punkt ist, wenn man einen eigenen WG Server haben möchte muss man sich das mit einer Linux Instanz selber zusammen frickeln,
und die muss auch irgendwo laufen, entweder bareMetal, auf einem Rhaspberry oder als VM. Wenn man mit dem Linux Zeug nicht trittfest ist, ist das nicht mal so eben gemacht.

Die GLinet Router sind halt bequem GUI klickbar, und die Frage nach der HW Platform stellt sich nicht.
Und die Dinger kosten nicht mehrere hundert Euro wie eine aktuelle Fritzbox oder Router von Draytek.
 
Sophos unterstützt kein SSL VPN mehr, man kann nur noch den IPsec Client aus dem Userportal ziehen. Bestehende Konfigurationen mit ovpn laufen aber weiterhin. Sophos stellt komplett auf IPsec um.
Das artet wieder in unnötiger Arbeit aus^^

Das wäre mir aber neu - zumal der IPSec Client ganz schön zickt und nen Gefrickel ist.
Seit endlich SSL-VPN mit der Sophos gemacht wird, ist das bei den Usern viel stabiler.
 
Wie schon gesagt, im Userportal gibts den SSL client nicht mehr zum download.
SSL gabs ja schon länger, selbst als es noch Astaro war.

Alles für den Heimbereich etwas uninteressant.
 
So. Brume 2 ist heute angekommen, angestöpselt und was soll ich sagen: Lüppt.

Musste nur manuell in der Client-Config meine public-IP/Port eintragen und natürlich in der Fritte den entsprechenden UDP-Port auf den Brume leiten.

Bin recht begeistert!
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh