OpenVPN - HybridMount

Das was ich vom VPN Server auf dem QNAP kennengelernt habe ist leider ein Trauerspiel, da geht nicht viel wenn sich da nichts geändert hat. Grundsätzlich ist es aber auch der falsche Weg den server auf dem QNAP einzurichten, sofern das VPN über das Internet geht.

Statische IP können bei OVPN mit client-config-dir vergeben werden, da könntest du mal nach googlen.

Das Problem wird sein, dass die damit angepasste konfig (samt zusätzlich erforderlicher Dateien) nach jedem Neustart des Servers überschrieben wird, hier wäre also wieder ein Script erforderlich, welches die "richtige" konfig nach einem Neustart wiederherstellt.

Wie viele clients hat das vpn denn? Wenn der zweite QNAP der einzige Client ist kann man eventuell den adressbereich derart einschränken, sodass nur noch eine IP vergeben werden kann.

So viel zu dem was ich vom OVPN des QNAP kennengelernt habe... Keine chance das VPN über einen Router aufzuziehen, der da mehr Spielraum für Konfigurationen lässt?

Die Fritte soll mittlerweile ganz angenehm dafür sein, aber immer noch keine gute Lösung, nicht nur wegen Geschwindigkeit.

Für ein ordentliches VPN empfiehlt sich opnsense/ pfsense. Bezüglich Hardware ist Crazyhorse fit und hat sicherlich ein paar Tipps eventuell auch für schon fertige pfsense...

Ich habe mir bislang immer Geräte von securepoint/ terra günstig geschossen und opnsense darauf installiert.

Deine Lösung den QNAP für das VPN erreichbar zu machen ist einfach fahrlässig... Und Spaß macht es auch nicht wie du feststellst

Günstig und schnell ist ein Mikrotik HEX, mir war der aber ein wenig Suspekt zu konfigurieren und ich wollte halt ein Modulares System und daher ist es eine pfSense geworden.

Als FAN von Hardware Appliances bin ich dann auch beim original von Netgate gelandet.

Die rennen einfach ruhig vor sich hin und man administriert hier einfach nur und kümmert sich mal um ein Update aber Stress machen die keinen.

Bei eine pfSense hast du IPSec, L2TP & OpenVPN gleich drin, erstes ist am schnellsten und wird von mir eingesetzt.

Hast direkt native Unterstützung von Win 10 und iOS Clients. Sprich Profil exportieren, importieren, Daten Eingeben rennt.

Für einen Side 2 Side Tunnel bauchst dann aber auf beiden Seiten was gescheit AES in Hardware kann. Die neuen AVM Boxen 75er usw. können das zwar auch, aber hier läuft ein uralter IKEv1 Schrott drauf.

Mein pfSense meckert mich dann im Report per Mail immer an wenn ich mal wieder einen Fritz Tunnel aufbaue.

Eine pfSense schiebt dir mit der richtigen Hardware auch mehr als 1Gbit durch den Tunnel, was kann denn deine Leitung?

Ich habe hier Kabel und sichere über den Tunnel zum NAS bei meinen Eltern, das läuft mit Limiter (Codel) und ohne für mich spürbare Einflüsse mit vollem Leitungsspeed im Hintergrund, sprich 50Mbit.

Da macht ein Offside Backup Spaß!

Schon das kleine SG-1100 kann fast 50k Verbindungen, da ist also für weit mehr als 10 Clients noch ausreichend.

Es geht hier aber eher um den Durchsatz und den Speicher für weitere Anwendungen.

Ich habe das SG-1100 gegen das SG-3100 (100k Verbindungen default, auf 1,8Mil kann es hoch) getauscht, weil ich hier GBit bekommen habe, das kann die kleine Kiste nicht.

Dafür reicht das bei meinen Eltern vollkommen aus und idel wieder vor sich hin, filtert aber den ganzen Schrott aus dem Internet, danke pfBlockerNG.

Danke DNS Resolver ist jede bereits vorhandene Anfrage in weniger als 1ms erledigt, das merkt man zusammen mit der fehlenden Werbung mega beim Seitenaufbau.

Was die aktiven Verbindungen angeht, da kann eine Fritz 3-4k und das kleinste SG-1100 fängt default bei fast 50k an. Da fliegt dir fast jeder Provider default Router auseinander wo die Kiste alles easy managed.

SG-2100 ist gerade neu raus, das Teil sollte rennen und mehr also genug Reserven haben was Bandbreitenupgrades angeht.

Es sei denn du willst gleich auf das GBit gehen was Vodafone gerade wieder vermarktet, dann ist das SG-3100 das richtigere Device.

Im VPN kann aber das SG-2100 schon 118Mbit und damit deinen Vollen Upload auslasten, jedoch gehen hier nur 881Mbit durch die Firewall.

Würde aber auch für Gbit Kabel reichen, denn das hat im Betrieb mega Probleme mit Latzen und Verlusten wenn man in den Bereich kommt.

Der OFDM ist leider meist noch nicht sauber ohne Fehler nutzbar.

So brauchst du auch hier wieder einen Limiter, also gleich Codel mit einrichten und Spaß haben das du nicht mehr merkst wann die Leitung voll am Anschlag ist.

Wenn dir das fürs VPN nicht reicht, dann SG-3100 oder SG-5100 (4Mil Verbindungen), bei letztem kannst du dann auch mehr als 1GBit Symmetrisch mit dem VPN Auslasten.

Letzte haben auch gleich 2 WAN Ports, wenn du mal Redundanz aufbauen willst, ggf. eine Überlegung.

Bei den Messwerten bei Netgate kannst du ja sehr schön sehen was die Kisten können.

IMIX ist schon eine krasser Test und hier fliegen sehr viele auch klein Pakete rum.

Bei Speetest hast du dann aber die reine IPERF Leistung.

Wichtig für den VPN Durchsatz ist aber die Latzen!

Wenn die scheiße ist, dann wirst du nur mit Protokollen die WAN optimiert sind wirklich auf Durchsatz kommen.

Sprich RTRR kann das, SMB hingegen gar nicht.

Hier kann es dann notwendig sein, per FTP mit mehreren Streams zu ziehen/schieben.

Im Urlaub konnte ich nur noch so meinen schnellen Tunnel wirklich ausnutze, erst ab 10 Streams war der voll ausgelastet.

P.S.: Aber Vorsicht mit bösen Hacken die dich warnen dass dann ggf. was nicht mehr funktioniert, da hatte ich mir hier ein Ei gelegt und das jetzt seit einer ganzen Weile gesucht und heute zum Glück gefunden.

Im Internet gibt es leider noch ganz viele Schrott DNS Server, wenn man also dann den Fallback verweigert ist das für die DNS Auflösung nicht so ganz förderlich.

Segen, du kannst alles bis ins letzte Detail einstellen Fluch, du kannst alles bis ins letzte Detail einstellen

Ich habe das bei einem deutschen Reseller getan, die findest du über die Netgate Seite.

Das letzte konnte ich einfach über den Webshop ordern und es war ein paar Tage später hier.