Neue Hardware für eine schlaue Lösung

[MarkusAT]

Mal eine prinzipielle andere Frage. ich sehe es immer mehr kommen, dass ich fast an beiden Seiten einen Router anschließen muss, bzw HW brauche.
Die VPN Verbindung von QNAP zu QNAP scheint nicht so trivial zu sein wie ich denke, vor allem aber nicht stabil. Will nicht jeden Tag in AT anrufen müssen, dass ich Zugriff brauche um die VPN Verbindung im QNAP zu deaktiveren und wieder aktivieren.

Jetzt wäre meine Idee:
Den Modem/Router in AT so lassen wie er ist und auch das Telefon daran zu lassen. Es soll also kein reines Modem werden.
ABER dahinter würde ich dann einen weiteren Router (was auch immer das sein wird, der muss einen einfachen (Open?) VPN Client können und im besten Fall noch super WLAN haben) per LAN zu verbinden.
Geht das einfach so ohne Probleme.
Um es mal übersichtlich zu haben:

• LTE Modem/Router
  • Telefon (muss irgendsoein VOIP ding sein)
  • LAN Kabel zu weiteren Router
    • Router mit VPN Client und WLAN
      • NAS per LAN Kabel (nur der soll über den VPN laufen, der Rest soll ja normal ins Internet)
      • andere Geräte (TV, Handys, Laptops etc.) per WLAN

Ist sicher nicht schön, aber funktionell (hoffentlich).

Oder wäre es besser so:

• LTE Moden/Router
  • Telefon
  • andere WLAN/LAN Geräte (TV, Handys, Laptop, etc.)
  • LAN Kabel zu Rasp
    • OVPN auf dem RASP und daran das QNAP (wobei, was ich so gelesen hatte, vermute ich hier Performance einbusen)

Danke und LG,
Markus

 

[blurrrr]

Also bevor Du noch einen Router kaufst (und noch einen... und noch einen... und noch einen... )... Wäre es nicht evtl. eine Überlegung, dass Du Dir irgendwo günstig einen vServer holst, zu welchen sich beide Standorte verbinden und die VPN-Routen einfach darüber laufen? Dann hast Du auch kein Geraffel mit irgendwelchem DDNS-Kram, hast einen statischen Ansprechpunkt und falls mal ein dritter Standort dazu kommen sollte, dürfte das auch recht problemfrei von statten gehen.... 2x Router (je nachdem) vermutlich irgendwo bei 400-500€, kleiner vServer ab 5€ (z.B. bei Strato "Linux V10" (4 vCore, 8GB RAM, 300GB SSD), Anbindung ist "nur" 100Mbit, aber reicht "dicke" für sowas - wirst an den Standorten wohl auch eher keinen grösseren Upload haben). Alternativ geht es NOCH billiger mit der "Entry"-Series... Nimmste da v7, wären das 3€/Monat... Wenn wir einfach mal sagen 2 Router = 450€, wären das 150 (!) Monate Strato vServer, was wiederum 12,5 Jahre wären... vermutlich hättest Du die Router schon wieder früher ersetzt...

"Jetzt" einen Raspi zu kaufen... ich sag Dir: Uiuiuiuiui.... "Billig" sind die bei weitem nicht mehr (Chipmangel und so). Angenommen Du kriegst 2 Stück für je 80€, wären das in ~53 Monate vServer, dazu kommt aber auch noch der Stromverbrauch der Raspis (wenn auch minimal, vorhanden ist vorhanden).

Aber so unter'm Strich würde ich lieber schauen, wo genau das Problem liegt und daran ggf. arbeiten (ob jetzt QNAP oder nicht, sei erstmal dahin gestellt). Weiss nicht, ob Deine QNAP-Geräte auch virtualisieren können, aber ggf. kannste das ganze auch erstmal in virtuellen Maschinen testen (bevor irgendwas gekauft wird). So würde ich das jedenfalls angehen (und es kostet auch erstmal nichts)

 

[MarkusAT]

Wäre es nicht evtl. eine Überlegung, dass Du Dir irgendwo günstig einen vServer holst, zu welchen sich beide Standorte verbinden und die VPN-Routen einfach darüber laufen?

Das müsste ich relativ kompliziert abklären, da ich Daten über den VPN laufen lasse, die nicht über fremde Server laufen dürfen (über meinen eigenen dürfen Sie das ist geklärt).
Das NAS ist zwar privat, aber da ich auch Daten für meine Diss drauf parke (da steckt schon viel Arbeit drinnen) muss ich gerade bei den heiklen Daten natürlich was die Daten betrifft konform mit den Regeln meiner Industriepartner sein.
Das ist ja auch der Grund, warum jedigliche Cloud Lösung für meine Datensicherheit keinen Sinn macht bei mir ^^.

Aber so unter'm Strich würde ich lieber schauen, wo genau das Problem liegt und daran ggf. arbeiten (ob jetzt QNAP oder nicht, sei erstmal dahin gestellt).

Die Methode gefällt mir selbst auch am besten:

• Ich liebe Probleme (und noch mehr die Lösung davon )
• es ist günstig
• ich lerne dabei deutlich mehr, als einen Online Server zu kaufen

Weiss nicht, ob Deine QNAP-Geräte auch virtualisieren können, aber ggf. kannste das ganze auch erstmal in virtuellen Maschinen testen (bevor irgendwas gekauft wird).

Ob die das können, weiß ich auch (noch) nicht, glaube aber ja. Doch nehmen wir mal an es liegt an der FW, dann würde mir das auch nichts bringen, oder?
Oder meinst du an jedem QNAP eine VM laufen lassen, auf der VM einen "normalen", keinen QNAP, VPN Server und Client laufen lassen und dann sehen, ob diese Verbindung zwischen den 2 VM's funktioniert?
Wobei ich glaube der Gedanke geht ja eh nicht, da, dass diese 2 VM's laufen, vermutlich auch wieder die QNAP's per VPN verbunden sein müssten.

So würde ich das jedenfalls angehen (und es kostet auch erstmal nichts)

Ich bleib dran

 

[blurrrr]

muss ich gerade bei den heiklen Daten natürlich was die Daten betrifft konform mit den Regeln meiner Industriepartner sein.

Das ist ja auch der Grund, warum jedigliche Cloud Lösung für meine Datensicherheit keinen Sinn macht bei mir ^^.

Da hätte ich ja Lösungen parat, aber das passt dann wieder nicht zu:

es ist günstig

Dagegen steht allerdings:

Industriepartner

Datensicherheit

Es ist kompliziert...

Doch nehmen wir mal an es liegt an der FW, dann würde mir das auch nichts bringen, oder?

Korrekt.

Oder meinst du an jedem QNAP eine VM laufen lassen, auf der VM einen "normalen", keinen QNAP, VPN Server und Client laufen lassen und dann sehen, ob diese Verbindung zwischen den 2 VM's funktioniert?

Geeeeenau

Wobei ich glaube der Gedanke geht ja eh nicht, da, dass diese 2 VM's laufen, vermutlich auch wieder die QNAP's per VPN verbunden sein müssten.

Je nach Konfiguration, sicherlich (nimmste einfach andere Ports und "fake"-Netze, welche es in deinem aktuellen Setup nicht gibt). Alternativ kannste auch einfach "umschalten", heisst am "Server"-Standort machste noch ne VM, welche auf einem anderen Port lauscht und dort den OpenVPN-Dienst bereitstellt. Portweiterleitung ist dann auch kein Ding (ist ja ein anderer Port). Nun kann die Gegenstelle die Verbindung mal auf die Server-VM umstellen und dann schaut man wie es so läuft (Haken dabei ist allerdings, dass man sich auf jeden Fall vergewissern sollte, dass man noch irgendeinen anderen Zugriff auf das Client-Gerät hat, denn wenn das mit dem VPN nicht funktioniert, hat man sich somit quasi selbst ausgesperrt).

 

[MarkusAT]

Es ist kompliziert...

Das ist es in der Tat.
Da es nur eine Sicherheit für mich ist (zwingt mich ja keine meine Daten zu sichern, bin ja froh, dass ich das überhaupt darf ) und ich alles auch selber bezahlen, warten etc. muss, scheiden Industrielösungen so gut wie möglich aus xD
Und damit die ganze Familie was davon hat (und sich beteiligt ^^) war eben das FamilienNAS geboren. ^^

Und bis auf den VPN läuft ja auch schon alles (und der ja auch meist ganz okay). Bin im Großen und Ganzem eh schon happy

Je nach Konfiguration, sicherlich (nimmste einfach andere Ports und "fake"-Netze, welche es in deinem aktuellen Setup nicht gibt). Alternativ kannste auch einfach "umschalten", heisst am "Server"-Standort machste noch ne VM, welche auf einem anderen Port lauscht und dort den OpenVPN-Dienst bereitstellt. Portweiterleitung ist dann auch kein Ding (ist ja ein anderer Port). Nun kann die Gegenstelle die Verbindung mal auf die Server-VM umstellen und dann schaut man wie es so läuft (Haken dabei ist allerdings, dass man sich auf jeden Fall vergewissern sollte, dass man noch irgendeinen anderen Zugriff auf das Client-Gerät hat, denn wenn das mit dem VPN nicht funktioniert, hat man sich somit quasi selbst ausgesperrt).

Bevor ich jetzt mal sage "easy, mach ich": ich lese mich mit VM's und QNAP mal ein

 

[Stationary]

Und wenn wir jetzt noch mal auf die einfachste Lösung zurückkehren? LAN-LAN-Kopplung zwischen zwei Fritzboxen, hinter jeder Fritzbox ein NAS, dann hast Du einen stehenden VPN-Tunnel mit dem beide Netzwerke verbunden sind und durch den die beiden NAS miteineinander kommunizieren und ein Backup machen können.

 

[MarkusAT]

Und wenn wir jetzt noch mal auf die einfachste Lösung zurückkehren? LAN-LAN-Kopplung zwischen zwei Fritzboxen, hinter jeder Fritzbox ein NAS, dann hast Du einen stehenden VPN-Tunnel mit dem beide Netzwerke verbunden sind und durch den die beiden NAS miteineinander kommunizieren und ein Backup machen können.

Würde ja mit fast jeden Gerät gehen, wenn ich die Fritte eben einfach per LAN an den bestehenden Router in AT stecken kann?

Jetzt wäre meine Idee:
Den Modem/Router in AT so lassen wie er ist und auch das Telefon daran zu lassen. Es soll also kein reines Modem werden.
ABER dahinter würde ich dann einen weiteren Router (was auch immer das sein wird, der muss einen einfachen (Open?) VPN Client können und im besten Fall noch super WLAN haben) per LAN zu verbinden.

 

[blurrrr]

wenn ich die Fritte eben einfach per LAN an den bestehenden Router in AT stecken kann?

Mhhh..... IP-Sec, 2x hinter NAT mit dynamischen IPs... Erspar Dir den Frust lieber

 

[MarkusAT]

Okay, dann fällt @Stationary 's Lösung auch wieder weg

 

[blurrrr]

Das liegt aber eher am IPSec-VPN... Schau mal hier: https://avm.de/service/wissensdaten...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/, dort steht auch ganz klar beschrieben:

Voraussetzungen / Einschränkungen​

• Mindestens eine der beiden FRITZ!Boxen muss vom Internetanbieter eine öffentliche IPv4-Adresse erhalten.

Das hat schon seinen Grund, weswegen es da steht OpenVPN ist in der Hinsicht schon "wesentlich" pflegeleichter.

 

[MarkusAT]

Das liegt aber eher am IPSec-VPN... Schau mal hier: https://avm.de/service/wissensdaten...wischen-zwei-FRITZ-Box-Netzwerken-einrichten/, dort steht auch ganz klar beschrieben:

Das verstehe ich nicht ganz ^^
Öffentliche IP v4 habe ich in AT und DE. Alles schon vor dem NAS kauf abgeklärt (auch wenn ich es ja nur Server seitig bräuchte).

Nur kann eben der Router in AT nicht so einfach getauscht werden, daher fällt die Lösunf FB to FB weg

Eine FB hinter dem Router in AT wäre möglich.

 

[blurrrr]

Es steht ja auch nur, dass "ein" Standort eine öffentliche v4 braucht (wobei davon ausgegangen wird, dass eine "Fritzbox" diese öffentliche v4 hat. Kurzum: 1x Fritzbox "direkt" am Netz und ggf. 1x hinter NAT. Irgendwas mit IPSec hinter NAT macht man eher nicht... (Clients mal aussen vor gelassen)... das zu erklären, würde jetzt hier aber auch den Rahmen sprengen und - löst auch eher Dein Problem nicht. Die sporadischen Verbindungsabbrüche werden wohl auch eher weniger was mit der Art des VPNs als eher mit der Infrastruktur (intern/extern) zu tun haben. Das die Verbindung dann nach Abbruch ggf. nicht wieder aufgebaut wird, ist dann noch ein ganz anderes Ding.

 

[MarkusAT]

Ich vermute die Abbrüche (das dürften ms sein), wenn das nicht am NAS liegt (werde ich durch weitere Tests rausfinden) werde ich kaum wegbekommen... LTE Internet halt in AT.
Meine Hoffnung wäre, wenn ich eine andere Verbindung hätte (nicht NAS to NAS), dass der Aufbau dann auch wieder sofort funktioniert.

Aber zum Thema: Geht dass dann doch:
Fritz DE hänge ich direkt ans NAS mit einer public v4 (die ich ja habe). Diese macht den Server. Fritz 2 (hinter dem LTE Router/NAT in AT) verbindet sich einfach mit Fritz DE.
Wenn das ginge, wäre nur mehr die Frage, ob Fritz das kann, dass er nur das NAS (sagen wir mal LAN1) über den VPN routet, alle anderen Geräte im Netz nicht

 

[Stationary]

Darf ich noch mal kurz fragen, warum es geht, eine Fritzbox für AT zu kaufen und die hinter einen anderen Router/Modem zu hängen, es aber keine Option ist, diesen Router/Modem ganz gegen eine Fritzbox auszutauschen? (Ich bin nun mal ein Freund von keep it simple…)

 

[MarkusAT]

Darf ich noch mal kurz fragen, warum es geht, eine Fritzbox für AT zu kaufen und die hinter einen anderen Router/Modem zu hängen, es aber keine Option ist, diesen Router/Modem ganz gegen eine Fritzbox auszutauschen? (Ich bin nun mal ein Freund von keep it simple…)

Klar, ich bin auch ein Fan es einfach zu halten, genau das ist hier ein bisschen auch der Grund, ich zitiere mich mal selbst:

Da fängts schon an, ich darf nur auf VPN Server Seite ändern, auf Clientseite "muss alles bleiben wie es ist". Das ist bei meinen Eltern und dort stellt alles immer der Provider ein. Da ich einige 100km entfernt wohne, will ich mir die Maintenance von dem System nicht an den Schuh binden. Die Konfiguration dort ist auch seltsam:

Internet kommt über LTE (Kabelanschluss gibt's in der Gegend nicht und die maximale DSL Leitung hat dort weniger als 10 MBit). Telefon läuft über den Internetanbieter, aber die Nummer wird (ist anscheinend so in AT) trotzdem von der Post vergeben. Heißt es gibt neben der LTE Box noch eine zweite Box, die ein Kabel zum Telefon, ein Kabel zum Telefonanschluss der Post und ein Kabel zum LTE Router hat, damit das Telefon läuft wie es soll.

Es ist einfach die konfig meiner Eltern, wenn mal was nicht läuft, rufen die den Provider (der alles gestellt und eingestellt hat), der macht das und fertig.
Ich komme (leider) selten öfter als 3-4 mal im Jahr nach Hause, 2021 sogar nur einmal. Daher will ich mir den "Hut", dort alles einzustellen und vor allem zu warten nicht aufbinden. Vor allem da es so (wie auch immer) funktioniert.

Sprich die Verbindung von der weiten Welt zum lokalen Netzwerk und dem Telefon selbst soll der Provider machen. Die bieten aber (auch nicht gegen Aufpreis, wie es z.B. bei Vodafone in DE geht) eine Fritzbox an.

 

[Stationary]

Ich mache - dank LAN-LAN-Kopplung - Fernwartung der Fritzbox meiner Eltern, da komme ich dann ja jederzeit drauf. Wir haben isgesamt vier Fritzboxen zusammenhängen. Verstehe aber, wenn Du darauf keine Lust hast. Wäre nur einfach die vermutlich schnellste Lösung für Dein Problem.

 

[MarkusAT]

Das Ding ist, ich weiß (auf die schnelle) eben gar nicht, wie das Zusammenspiel zu Hause funktioniert.
Vielleicht weiß hier ja jemand, was das für eine Kombi ist (ich hab aber erhlich gesagt auch noch nicht danach gesucht):

• Verbindung 1: Telefondose - extra Box
• Verbindung 2: Telefon - extra Box
• Verbindung 3: Telefon - Telefondose
• Verbindung 4: extra Box - LTE Router

Ist eine der 4 Verbindungen getrennt, geht das Telefon nicht mehr. Hat die Post eine Störung, geht das Telefon nicht mehr. Hat das Internet eine Störung, geht das Telefon nicht mehr.

Abgesehen davon, dass ich erst in ein paar Monaten vermutlich wieder in AT bin ^^
Wenns läuft, ist es sicher geil (hab schon vor dem NAS meinen Eltern ein paar mal geraten, auf eine Fritzbox umzusteigen, da es für den normalen Verbraucher ein relativ einfaches und starkes Gerät ist). Auch der Tipp, das gesamte Konstrukt (wie auch immer, von einem Fachmann) zu vereinfachen lassen, wurde bis jetzt auf "ja, machen wir dann mal" geschoben. Der erste Versuch meinerseits erfolgte vor über 2 Jahren ^^

Daher kam eben die Idee, Fritz hinter diesen Router zu stellen, dann haben die weiterhin ihr Konstrukt und ich was einfaches mit Fritz ^^

 

[underwood]

Ich hab jetzt nur das erste Posting gelesen, also falls das hier noch nicht erwähnt hat, solltest Du Dir mal ZeroTier ansehen. Ist so eine Art SDN (SoftwareDefinedNetwork). Größter Vorteil davon ist, das es einfach ist und auch funktioniert. Gibt auch noch was ähnliches von einer anderen Firma, mir fällt aber gerade der Name nicht ein.

 

[MarkusAT]

Ich hab jetzt nur das erste Posting gelesen, also falls das hier noch nicht erwähnt hat, solltest Du Dir mal ZeroTier ansehen. Ist so eine Art SDN (SoftwareDefinedNetwork). Größter Vorteil davon ist, das es einfach ist und auch funktioniert. Gibt auch noch was ähnliches von einer anderen Firma, mir fällt aber gerade der Name nicht ein.

Danke Dir, muss ich mir mal genauer ansehen, auf den ersten Blick ist es aber eher nicht das was ich suche, aber nachdem Wochenende bin ich schlauer
Aber das ist ja eine Softwarelösung (oder?)

 

[underwood]

Jein, wenn Du Zerotier auf einen Router packst, hast Du eine Hardwarelösung. Da gibts so kleine billig China Router wo OpenWRT drauf geht oder einfach einen Raspberry Pi.

Wenn Du eine Bridge machst, wie mit VPN oder so, verlierst Du aber die Möglichkeit der Filterung und Management einzelner Geräte über das Zerotier Interface.