VPN Merkwürdigkeiten

In diesem Forum dreht sich alles um die bei Vodafone Kabel Deutschland bzw. Vodafone West oder im Rahmen der O2-Tarife über Kabel verwendeten AVM-Produkte, insbesondere der WLAN-Router mit integriertem Kabelmodem, der als FRITZ!Box vertrieben wird. Speedprobleme bitten wir im entsprechenden Forum zu behandeln, wenn ihr Ursprung nicht auf AVM-Produkte zurückzuführen ist!
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“) oder von O2 über Kabel („[O2]“) bist.
Außerdem gib bitte an, ob es sich bei deiner FRITZ!Box um eine Leihbox von Vodafone („[Leihbox]“) oder eine Kaufbox („[Kaufbox]“) handelt.
Floppyk
Fortgeschrittener
Beiträge: 468
Registriert: 10.12.2011, 20:38

VPN Merkwürdigkeiten

Beitrag von Floppyk »

VPN wird nicht automatisch aufgebaut
Wir haben gestern VPN zwischen zwei Fritzboxen 6360 KDG und 7390 Telekom eingerichtet. VPN Tunnel wird auch aufgebaut und auf der Übersichtsseite der FB signalisiert.
Im LAN der jeweiligen Fritzboxen befinden sich auf jeder Seite ein NAS von QNAP. Auf diesen Servern ist ein Backup auf das jeweilige andere NAS eingerichtet.
Wenn wir nun manuell über das Internet den Server ansprechen, wird der VPN Tunnel aufgebaut. Wenn man das Backup startet, jedoch nicht!

Nun hatten wir Zweifel, ob das Backup überhaupt über den VPN Tunnel läuft, wenn wir diesen per Dauereinstellung halten. Also VPN auf Dauerhaltung gesetzt und Backup gestartet. Backup läuft nun. Wenn man den VPN Tunnel nun manuell abbricht, bleibt auch das Backup stehen. Wenn nun das Backup erneut gestartet wird, läuft es wieder, baut den Tunnel aber nicht auf.

Nun haben wir zur Verschleierung eines Standardports in der Portfreigabe beider FB eine Portumlenkung im Sinne Port xx auf xxxxx gemacht. eigentlich sollte es für VPN doch egal sein welcher Port benutzt wird.

Wo liegt der Fehler?

Hat es Nachteile, wenn man den VPN Tunnel einfach auf Dauerverbindung einrichtet?
Kabel 1000/50 MBit, Dual Stack, Homebox 4 (6591), ehem. Kabel Deutschland
dukabel
Fortgeschrittener
Beiträge: 381
Registriert: 16.08.2011, 17:25

Re: VPN Merkwürdigkeiten

Beitrag von dukabel »

IMHO sollte Normalerweise die VPN-Verbindung vom Q-Nap selber aufgebaut werden mit PPTP/Open-VPN, wäre dementsprechend auch an diesen gesondert zu konfigurieren, je nach dem, was die Q-Nap alles kann oder nicht, muss an den Fritz-Boxen entweder nur die Portweiterleitung eingerichtet werden oder es wird über PnP o.ä. mit den Fritz-Kisten so konfiguriert, das die Q-Nap die Fritz-Box jeweils zum aufbau auch veranlassen kann.

Ich schreib es mal nur so knapp hier als Orientirungsrichtung um selber weiter nachzuforschen, weil es gibt zu viele Konfigurations-Szenarien für sowas und ohne all dein Geräte selber zu besitzen, kann ich aus dem Kopf heraus es nicht genauer eingrenzen, ohne eine längere Abhandlung dazu zu schreiben ;) Darüber hinaus noch der Tip: Du bist ggf. mit solchen Problemen in einem Forum, das sich direkt auf Fritz/Qnap bzw. Netzwerkzeugs bezieht, evtl. noch etwas besser aufgehoben, als hier (ist nur son aktueller Eindruck von mir, kann mich auch irren, und es springt gleich ein Spezialist aus dem Hut und kann dein Problem sofort exakt beheben).

Dukat.
Floppyk
Fortgeschrittener
Beiträge: 468
Registriert: 10.12.2011, 20:38

Re: VPN Merkwürdigkeiten

Beitrag von Floppyk »

Danke, wir haben den (Gedanken-)Fehler gefunden. In den vormals definierten Backupjobs stand als Zieladresse noch die DynDNS Adresse. Das muss man in die IP Adresse des anderen Netzes ändern. Nun läuft das wunschgemäß.
Aber anscheinend kommt die FritzBox an die Grenzen ihrer Rechenleistung. Ich könnte mit 12 MBit/s senden, was auch früher ohne VPN bei. Ziel als Downstream ankam. Über VPN bricht das Ganze auf knapp 5 MBit/s zusammen. Offenbar hat die FB alle CPUs voll mit der Verschlüsselung zu tun, schade.

Nun stellt sich die Frage, ob mein Sendedatenstrom von der Sendeleistung des Zieles abhängig ist, weil sich ja beide FB wegen der Verschlüsselung des Tunnels permanent "verständigen" müssen. Das Ziel ist ein 16/1 MBit DSL der Telekom. Ich habe ein KDG Anschluss mit 100/12 MBit.
Erst Anfang nächstes Jahres wird das Ziel zu einem anderen Provider wechseln, der dann 50/10 MBit VDSL bereitstellen kann. KDG ist dort nicht erreichbar.

Eine zweite Frage wäre, kann man bei unserer Konstellation die interne VPN der QNAP Server selbst benutzen, so dass die Fritzboxen ohne VPN laufen können. Die QNAP haben deutlich mehr Rechenleistung, als die FritzBoxen. Eine dort eingeschaltete Verschlüsselung beim Backup NAS to NAS über das Internet hat keinerlei Einfluss auf Geschwindigkeiten.

Noch was. Die Datensicherung benutzt standardmäßig den Port 873. Wir haben mit Erstaunen festgestellt, dass man diesen Port in der FB nicht explizit freigeben muss. Offenbar gehört er zu den in den Routern immer offenen Standardports, wie auch z.B. die Ports 80 und 8080. Die müssen auch nicht freigegeben werden.
Ist das ein Sicherheitsrisiko, wenn ein Server mit aktiven Dienst auf diesem Port wartet? Oder anders herum - kann der Backupdienst über den Port 873 missbraucht werden?
FTP oder Webserverdienste laufen nicht und andere Ports sind in der FritzBox nicht geöffnet.

Beide Server sind QNAP 459 pro+ mit 4 x 2 TB im Raid 5.
Kabel 1000/50 MBit, Dual Stack, Homebox 4 (6591), ehem. Kabel Deutschland
dukabel
Fortgeschrittener
Beiträge: 381
Registriert: 16.08.2011, 17:25

Re: VPN Merkwürdigkeiten

Beitrag von dukabel »

Floppyk hat geschrieben:Eine zweite Frage wäre, kann man bei unserer Konstellation die interne VPN der QNAP Server selbst benutzen, so dass die Fritzboxen ohne VPN laufen können.
Wie ich oben schon schrieb, wäre das sowieso die Soll-Konfiguration, wenn nicht alle Client's/Traffic generell durch den Tunnel laufen sollen bei nem SOHO-Router, das dann der VPN-Tunnel von Client zu Client aufgebaut wird und zwischen den Routern nur dann, wenn es gar nicht anders geht oder dies explizit genauso so gewollt ist. Ansonsten kann man schnell ungewollt eine Konfiguration erreichen, in der auch anderer Traffic über den Tunnel zur anderen Box geschickt wird und erst von dieser ins WAN=Internet und wieder zurück geleitet wird, wenn man nicht genau aufpasst/das nicht genau genug einstellen kann etc.

Würd ich also in jedem Falle so einrichten, nicht nur, aber auch, weil es den Router entlastet ;)
Nebenbei lässt sich das ganze natürlich auch mit DynDNS so einrichten, das es damit funktioniert.
Floppyk
Fortgeschrittener
Beiträge: 468
Registriert: 10.12.2011, 20:38

Re: VPN Merkwürdigkeiten

Beitrag von Floppyk »

Danke, wir werden das mal überprüfen, ob wir das mit den QNAP Servern und deren VPN Dienst hinbekommen. Um die VPN Sache zum Laufen zu bringen, haben wir schon einige Tage gefummelt. Verwirrend war dabei, dass bei Aktivierung des VPN in der FB jedesmal die Telefonverbindung zusammenbrach und die FB eine neue IP bekam. So dachten wir lange Zeit, dass da was nicht stimmt.

Einen DynDNS Dienst haben wir schon eingerichtet. Der wird ja unabhängig des VPN benötigt, damit das Ziel unabhängig der IP Adressen der Provider ansprechbar bleibt. Schließlich soll unsere gegenseitige Datensicherung vollkommen selbsttätig und automatisch laufen.
Wir sind dem Ziel nahe und im Prinzip läuft es ja auch schon.

PS: Die reine Überprüfung der Synchronisation von Verzeichnisbäumen in Terrabytegröße ist bei gleichem Inhalt in wenigen Minuten geschehen. Da nun immer nur die Änderungen bzw. Löschungen geschrieben werden, ist das gesamte Backup in wenigen Stunden synchronisiert. Ich bin immer wieder überrascht, dass das so schnell geht und man derartig große Datenmengen auch über das Internet sinnvoll sichern kann. Einzig der Erstlauf lief insgesamt über mehrere Wochen im Dauerbetrieb. Ein vorzeitiges manuelles Kopieren hat nichts genutzt.
Kabel 1000/50 MBit, Dual Stack, Homebox 4 (6591), ehem. Kabel Deutschland
dukabel
Fortgeschrittener
Beiträge: 381
Registriert: 16.08.2011, 17:25

Re: VPN Merkwürdigkeiten

Beitrag von dukabel »

Ja, was du da beschreibst, deutet auf ein Problem mit der Konfiguration hin, in der Art, oder ähnlich, wie eben angesprochen (oft müssen halt auch noch die routen genau deklariert werden, wenn man VPN selektiv benutzen will). Du kannst ja mal gucken, ob du wirklich die KDG-IP bzw. Telekom-IP an den lokalen Clients der jeweiligen Anschlüsse nach extern benutzt, wenn der VPN aufgebaut ist, z.B. mit ip-lookup.net, im CMD kannst auch mal tracert nach google.com von beiden Anschlüßen probieren, um irgendwelche Kreisverkehre in deinen routen zu identifizieren etc. ;)

Sorry das ich selber nicht noch näher darauf hier eingehen kann, aber ohne eure Geräte selber zu sehen, müsste ich zu weit ausholen, deshalb ist es besser wenn sich dann einer meldet, der die Geräte hat, bzw. IMHO eben da nachzufragen, wo auch ganz bestimmt jemand die Geräte hat, also etwa Hersteller-Foren, und/oder sich auf das Thema Netzwerk richtig spezialisiert wurde ;)
Floppyk
Fortgeschrittener
Beiträge: 468
Registriert: 10.12.2011, 20:38

Re: VPN Merkwürdigkeiten

Beitrag von Floppyk »

Danke, es läuft ja nun. Einzig der Geschwindigkeitsabfall ist noch zu klären. Ich habe diesbezüglich mal eine Supportanfrage an AVM gestellt. Sollen die mal Antworten, ob der Geschwindigkeitsverlust mit der Auslastung der FB zu erklären ist.
Kabel 1000/50 MBit, Dual Stack, Homebox 4 (6591), ehem. Kabel Deutschland
dukabel
Fortgeschrittener
Beiträge: 381
Registriert: 16.08.2011, 17:25

Re: VPN Merkwürdigkeiten

Beitrag von dukabel »

Es ging vielleicht nicht ganz klar hervor gerade, daher präzisiere ich es noch mal: Ich meinte AUCH, das dein Geschwindigkeitsabfall (auch das mit dem Telefonabbruch und neuer IP), daher rühren könnten, das ungewollt auch anderer Traffic, als nur der von den QNaps, über die entfernte Box geroutet wird. Also z.B. auch Aufrufe von Internetseiten/Speedtests mittels einem PC an der lokalen Box, über den VPN an die entfernte Box geleitet und erst von dort ins Internet gesendet werden, die Antworten aus dem Internet dann zunächst dort empfangen werden und über den VPN zurück an die lokale Box und den lokalen PC kommen. Es kann sogar so weit gehen, das der Traffic zwischen 2 lokalen PCs erst noch über die entfernte Box umgeroutet wird oder auch nur das switching dort erfolgt.

Das (und P.S. auch noch andere Probleme wie network collisions o.ä., die sich auf den Durchsatz auswirken) kann halt passieren, wenn das ganze zwischen den Fritz-Boxen nicht richtig/nicht vollständig für eine selektive Nutzung des VPN-Tunnels konfiguriert wurde (in einigen Routern/Firmwares kann das ganze auch gar nicht/nicht ohne weiteres zur selektiven Nutzung konfiguriert werden, weil manche Einstellungen für den User nicht/nicht offen zugänglich sind). Von daher die beiden Tips, mit denen du, rudimentär aber dafür ohne uni-abschluss, prüfen kannst, ob dein Traffic nicht vielleicht nur ne unbeabsichtigte rundreise zwischen deinen Boxen macht und es deswegen langsamer wurde, nicht weil die Fritz perse damit überlastet wäre ;)

So weit noch kurz im Detail dazu. Diese ganze Problematik lässt sich mit VPN direkt zwischen den Qnaps besser umschiffen, als mit VPN zwischen den Fritzen, wenn nur bestimmter Traffic (=selektiv) über das VPN gehen soll. Damit jetzt viel Glück noch beim rumfummeln, ich überlass dich jetzt deinen Autodidaktischen fähigkeiten oder anderen helfenden Händen, die diekt auf deine Geräte die passenden Schritt-für-Schritt Anweisungen parat haben. ;)