8
OpenVPN sowohl für LAN wie auch für WAN
Hallo,
ich müsste 4 Windows-Clients in ein Netzwerk integrieren. Aus den 4 Clients gibt es 2 Desk-Top-PCs und 2 Notebooks. Da die Notebook von Draussen Zugriff eh per OpenVPN hätten habe ich daran gedacht, dass ich dann auch das LAN auf OpenVPN und nicht auf Workgroup-Basis einrichte.
Würde es eurer Meinung nach - was Sicherheit und Performance betriff - Sinn ergeben?
Offene Fragen:
- Ist es möglich auf einem Client gleichzeitig 2 aktiven OpenVPN-Verbindungen zu haben (d. H. mit zwei Netzwerken gleichzeitig in Verbindung zu stehen)? Wohl ja...
- Ist es möglich einen Netzwerk-Drucker (Scan und Print) in einem OpenVPN-Netzwerk zu betreiben. (Auf dem Drucker habe ich ja keine Möglichkeit OpenVPN-Software zu installieren) Wohl nein... --> bleibt also die "Workgroup"...
Unser Router ist nicht wirklich VPN-fähig (höchstens 1 Verbindung ). Würde es - im Fall von OpenVPN - da es doch ein SSL-Verbindung ist ein echtes Hindernis bedeuten?
Danke für die Infos.
Gr. I.
ich müsste 4 Windows-Clients in ein Netzwerk integrieren. Aus den 4 Clients gibt es 2 Desk-Top-PCs und 2 Notebooks. Da die Notebook von Draussen Zugriff eh per OpenVPN hätten habe ich daran gedacht, dass ich dann auch das LAN auf OpenVPN und nicht auf Workgroup-Basis einrichte.
Würde es eurer Meinung nach - was Sicherheit und Performance betriff - Sinn ergeben?
Offene Fragen:
- Ist es möglich auf einem Client gleichzeitig 2 aktiven OpenVPN-Verbindungen zu haben (d. H. mit zwei Netzwerken gleichzeitig in Verbindung zu stehen)? Wohl ja...
- Ist es möglich einen Netzwerk-Drucker (Scan und Print) in einem OpenVPN-Netzwerk zu betreiben. (Auf dem Drucker habe ich ja keine Möglichkeit OpenVPN-Software zu installieren) Wohl nein... --> bleibt also die "Workgroup"...
Unser Router ist nicht wirklich VPN-fähig (höchstens 1 Verbindung ). Würde es - im Fall von OpenVPN - da es doch ein SSL-Verbindung ist ein echtes Hindernis bedeuten?
Danke für die Infos.
Gr. I.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 160400
Url: https://administrator.de/contentid/160400
Printed on: April 20, 2024 at 12:04 o'clock
8 Comments
Latest comment
Offen gestanden weiß ich nicht so ganz, was Du nun mit "auf Workgroup-Basis" meinst.
Zur ersten Frage: Ja, mehrere Verbindungen sind möglich - dann sollten sie aber in unterschiedlichen Netzen liegen
Zur zweiten Frage: Man könnte direkt vor den Drucker einen OpenVPN-Client z.B. in einem eigenen Router hängen - aber was bringt Dir das? Per LAN-Kabel verbunden ist doch auch abhörsicher...
Und grundsätzlich: Wenn die Clients unter sich die Verbindungen aufbauen, dann braucht man keinen OpenVPN-fähigen Router. Soll er aber als zentraler Punkt agieren, dann muss er diese Verbindungen natürlich managen können.
Zur ersten Frage: Ja, mehrere Verbindungen sind möglich - dann sollten sie aber in unterschiedlichen Netzen liegen
Zur zweiten Frage: Man könnte direkt vor den Drucker einen OpenVPN-Client z.B. in einem eigenen Router hängen - aber was bringt Dir das? Per LAN-Kabel verbunden ist doch auch abhörsicher...
Und grundsätzlich: Wenn die Clients unter sich die Verbindungen aufbauen, dann braucht man keinen OpenVPN-fähigen Router. Soll er aber als zentraler Punkt agieren, dann muss er diese Verbindungen natürlich managen können.
Danke für die Antwort.
1. Workgroup: Da es keinen zentralen Server gibt, muss die Verbindung irgendwie erstellt werden. Ich meine damit die klassiche Windows-Workgroup / Freigabe-Funktionen.
2. Ok!
3. Ja, klar. Die Notebooks sind aber sehr oft unterwegs. Sie müssten auf Netzwerkressourcen wie Fileserver und Co. zugreifen. Irgendwelche sichere Verbindung musste also auch in diesem Fall zur Verfügung stehen. Direkte Verkabelung ist ja nicht möglich.
Eine Möglichkeit wäre noch den Drucker auf eine kleinen PC oder NAS-Laufwerk per USB anzuschließen. Der PC oder das QNAP könnte sowohl als OpenVPN oder Hamachi-Verdbindung (zum Drucker) wie auch Printserver ins Netz integriert werden.
Dies wäre auch möglich, oder?
Gr. I.
1. Workgroup: Da es keinen zentralen Server gibt, muss die Verbindung irgendwie erstellt werden. Ich meine damit die klassiche Windows-Workgroup / Freigabe-Funktionen.
2. Ok!
3. Ja, klar. Die Notebooks sind aber sehr oft unterwegs. Sie müssten auf Netzwerkressourcen wie Fileserver und Co. zugreifen. Irgendwelche sichere Verbindung musste also auch in diesem Fall zur Verfügung stehen. Direkte Verkabelung ist ja nicht möglich.
Eine Möglichkeit wäre noch den Drucker auf eine kleinen PC oder NAS-Laufwerk per USB anzuschließen. Der PC oder das QNAP könnte sowohl als OpenVPN oder Hamachi-Verdbindung (zum Drucker) wie auch Printserver ins Netz integriert werden.
Dies wäre auch möglich, oder?
Gr. I.
1. Ok, ich hatte vermutet, Du willst irgendwas einrichten - aber die Workgroup-Einstellung ist ja der Standard. Nur die Arbeitsgruppe sollte angepasst werden (aber nichtmal das ist wirklich nötig).
Ich dachte, weil Du schon zwei Desktops hast, hast Du auch ein LAN. Grundsätzlich kannst Du natürlich alle Clients in ein OpenVPN-Netz stecken, so hast Du dann auch ohne das Bridging die Funktionalität der Netzwerkumgebung und ein Rechner findet die anderen. Denn wenn das OpenVPN-Netz ein anderes Netz als das LAN ist muss man das OVPN-Interface mit dem LAN-Interface brücken, dass alle Broadcast-Anfragen auch wirklich an jeden Rechner gehen. Allerdings ist auch das nicht wirklich schwer, wenn z.B. das Webinterface des Routers es unterstützt, wie es beispielsweise bei pfSense der Fall ist oder wenn man einen dedizierten Rechner zur Verfügung hat, wo man per Shell-Kommandos arbeiten kann (oder sogar eine grafische Oberfläche hat à la Windows, wo Brücken dann wirklich schnell geht; das müsste man dann aber wirklich merklich bearbeiten und sehr viele abschalten, sonst ist das ein relativ großes Einfallstor)
Den Drucker per USB und über einen "Printserver" zur Verfügung zu stellen funktioniert übrigens.
Generell aber die Frage: Hast Du einen guten Upload? Denn sonst wird das Zugreifen auf Dateien ja zur Geduldsprobe und Du solltest Dir überlegen, ob Du nicht einen FTP-Server als Interface auf die Freigaben einsetzen möchtest. FTP ist nämlich deutlich schneller (weil sparsamer mit Overhead) als SMB.
Ich dachte, weil Du schon zwei Desktops hast, hast Du auch ein LAN. Grundsätzlich kannst Du natürlich alle Clients in ein OpenVPN-Netz stecken, so hast Du dann auch ohne das Bridging die Funktionalität der Netzwerkumgebung und ein Rechner findet die anderen. Denn wenn das OpenVPN-Netz ein anderes Netz als das LAN ist muss man das OVPN-Interface mit dem LAN-Interface brücken, dass alle Broadcast-Anfragen auch wirklich an jeden Rechner gehen. Allerdings ist auch das nicht wirklich schwer, wenn z.B. das Webinterface des Routers es unterstützt, wie es beispielsweise bei pfSense der Fall ist oder wenn man einen dedizierten Rechner zur Verfügung hat, wo man per Shell-Kommandos arbeiten kann (oder sogar eine grafische Oberfläche hat à la Windows, wo Brücken dann wirklich schnell geht; das müsste man dann aber wirklich merklich bearbeiten und sehr viele abschalten, sonst ist das ein relativ großes Einfallstor)
Den Drucker per USB und über einen "Printserver" zur Verfügung zu stellen funktioniert übrigens.
Generell aber die Frage: Hast Du einen guten Upload? Denn sonst wird das Zugreifen auf Dateien ja zur Geduldsprobe und Du solltest Dir überlegen, ob Du nicht einen FTP-Server als Interface auf die Freigaben einsetzen möchtest. FTP ist nämlich deutlich schneller (weil sparsamer mit Overhead) als SMB.
1. ich würde gerne ein einheitliches Netz ausbauen unabhängig davon ob die Clients sich im LAN oder irgendwo im Internet befinden. Fixe IP hätten die LANs durch Dyndns.
Alles hängt davon ab wie wir die vorhandenen Ressourcen wie Netzwerk-Drucker oder Fileserver integrieren können. Wenn diese Beiden möglich sind würde ich schon generell OVPN einsetzen. Einheitlichkeitshalber.
meine Fragen zu OVPN:
1. auch hier handelt es sich um eine Server / Client Verbindung. In meinem Fall gibt es aber keinen Server. Kann man auf OVPN Basis irgendwelche P2P Verbindungen einrichten.
Oder könnte vielleicht der OVPN-Server aufs QNAP-NAS installiert werden?
EDIT: ja es geht: http://wiki.nas-portal.org/index.php/OpenVPN_auf_QNAP_installieren als 2. Alternative kann OVPN auch in unserer FritzBox installiert werden http://www.cswpro.de/Howto/FritzBox_OpenVPN.aspx
So könnte ich es dann praktisch trennen:
LAN 1: OVPN-Server ist die QNAP-NAS
LAN 2: OVPN-Server ist die Fritzbox 7270
2. Wie regelt man die Rechte? Ist es so, dass OVPN bloß das Chanel erstellt und die Userrechte dann in dem NAS bzw. auf den einzelnen PCs geregelt werden müssen?
Das heiß, wenn die User A, B und C auf ein Verzeichnis Rechte haben möchten, dann mud man auf dem jeweiligen PC, NAS diese User erstellen und die Rechte vergeben?
3. Wie gut nützt OVPN die physische Bandbreite aus? Wird es bei 1Mbit Upload tatsächlich 1Mbit sein... Wegen der Verschlüsselung wohl weniger, oder?
4. Welche Clients werden empfohlen? Ich würde momentan auf W7 Basis "Securepoint VPS" benutzen und auf Ubuntu so http://wiki.ubuntuusers.de/Network-Manager/VPN_Plugins
Danke für die Hilfe.
Gr. I.
Alles hängt davon ab wie wir die vorhandenen Ressourcen wie Netzwerk-Drucker oder Fileserver integrieren können. Wenn diese Beiden möglich sind würde ich schon generell OVPN einsetzen. Einheitlichkeitshalber.
meine Fragen zu OVPN:
1. auch hier handelt es sich um eine Server / Client Verbindung. In meinem Fall gibt es aber keinen Server. Kann man auf OVPN Basis irgendwelche P2P Verbindungen einrichten.
Oder könnte vielleicht der OVPN-Server aufs QNAP-NAS installiert werden?
EDIT: ja es geht: http://wiki.nas-portal.org/index.php/OpenVPN_auf_QNAP_installieren als 2. Alternative kann OVPN auch in unserer FritzBox installiert werden http://www.cswpro.de/Howto/FritzBox_OpenVPN.aspx
So könnte ich es dann praktisch trennen:
LAN 1: OVPN-Server ist die QNAP-NAS
LAN 2: OVPN-Server ist die Fritzbox 7270
2. Wie regelt man die Rechte? Ist es so, dass OVPN bloß das Chanel erstellt und die Userrechte dann in dem NAS bzw. auf den einzelnen PCs geregelt werden müssen?
Das heiß, wenn die User A, B und C auf ein Verzeichnis Rechte haben möchten, dann mud man auf dem jeweiligen PC, NAS diese User erstellen und die Rechte vergeben?
3. Wie gut nützt OVPN die physische Bandbreite aus? Wird es bei 1Mbit Upload tatsächlich 1Mbit sein... Wegen der Verschlüsselung wohl weniger, oder?
4. Welche Clients werden empfohlen? Ich würde momentan auf W7 Basis "Securepoint VPS" benutzen und auf Ubuntu so http://wiki.ubuntuusers.de/Network-Manager/VPN_Plugins
Danke für die Hilfe.
Gr. I.
Was meinst Du mit "LANs"? Hast Du mehrere lokale Netze? Oder meinst Du einfach, dass das Gateway, welches die Pakete dann zu den entsprechenden OpenVPN-Rechnern (also z.B. Fileservern) weiterleitet, über eine DynDNS-Adresse erreichbar ist? Jedenfalls: Das einheitliche Netz hättest Du auch, wenn Du einfach den OpenVPN-Adapter mit dem LAN-Adapter brückst. Dann erweitert das VPN das LAN quasi einfach. Auch die IP-Adressen für die OpenVPN-Clients gibts dann vom LAN-DHCP, sofern gewünscht (oder man konfiguriert sie statisch im OpenVPN-DHCP - mittels Konfigurationsdatei im Verzeichnis, das als \"client-config-dir\" angegeben ist)
Fileserver kann man grundsätzlich in beide Varianten integrieren; entweder, das LAN und das OVPN-Netz sind gebrückt, dann braucht es auf den Fileservern keine zusätzliche Software oder man installiert eben auf jedem Fileserver noch das OpenVPN-Paket, sodass sie dann auch zu einem zentralen Punkt eine Verbindung aufbauen. Denn ich denke, um diesen zentralen Punkt wirst Du nicht drumherum kommen, wenn Du mehrere Server hast und nicht zu jedem Server immer eine eigene Verbindung in einem neuen Netz aufbauen möchtest.
Netzwerkdrucker lassen sich natürlich auch integrieren - im Bridge-Modus (und zusätzlich auch im Routing-Modus) kannst Du auf die Drucker zugreifen, als ob Du im lokalen Netz wärst, ohne Verbindung ins gesamte Netz bräuchtest Du vor jedem Drucker entweder eine OpenVPN-Kiste, oder Du sprichst die Drucker dann eben über eine Direktverbindung auf einen Print-Server an, der alle Drucker verwaltet.
1. Generell ist jede OpenVPN-Verbindung erstmal p2p. Eine Seite spielt Server (das ist nicht unbedingt ein "Server"-Rechner im Sinne von "Rechenknecht, vielleicht Rackserver"), die andere Client. Das heißt, der eine Rechner wartet auf eine Verbindung, der andere initiiert sie. Wenn sich eben noch ein zweiter Rechner an dem Rechner, der auf Verbindungen wartet, anmeldet, dann wird daraus eben eine klassische Client-Server-Struktur (mit Stern-Aufbau)
2. Die Rechte haben mit OpenVPN grundsätzlich nichts zu tun. OpenVPN-Verbindungen sind quasi einfach eine Verbindung zwischen zwei Netzwerkkarten über irgendeine andere Art der Verbindung. Das normale LAN benutzt LAN-Karten auf beiden Seiten und Kabel dazwischen, das OpenVPN-Netzwerk benutzt auf beiden Seiten (virtuelle, also nicht wirklich existierende) OpenVPN-Netzwerkkarten und dazwischen eben z.B. das Internet oder eine andere bereits bestehende Trägerverbindung. Die Adapter tauchen dann auch in der Adapter-Übersicht auf als TAP V8/9-Adapter. Also ist es entweder Layer2 (wenn gebrückt) oder Layer3 (wenn geroutet) im OSI-Modell. Die Rechte liegen eher auf Schicht 7 (Anwendungsschicht).
3. Wenn Du einen Prozessor hast, der die Verschlüsselung in Quasi-Echtzeit schafft, dann kannst Du die Bandbreite relativ gut ausnutzen. Klar, je kleiner die einzelnen Dateien, die Du übertragen möchtest, sind, desto ineffizienter wird die ganze Geschichte, aber das ist nicht nur bei OpenVPN so. Unter [1] am Ende dieses Texts findest Du eine Angabe, die ziemlich genau hinkommen dürfte.
4. Securepoint VPS sagt mir gar nichts. Aber man braucht auch kein externes Programm. Mit der entsprechenden Konfigurationsdatei (die man auch mit externen Tools braucht ! ) startet man die Verbindung einfach und der Tunnel wird aufgebaut. In den aktuellen Versionen (aktuell ist 2.1.4, Stand 08.02.2011) ist die OpenVPN-GUI 1.03 mit dabei. Das kleine Programm funktioniert ausgezeichnet und reicht für alle Aufgaben, die es am Client zu erledigen gilt.
Übrigens noch ein Hinweis: Um OpenVPN korrekt nutzen zu können braucht man in diesem Fall das Recht, am Rechner Routen zu ändern und hinzuzufügen bzw. zu löschen. Unter Windows muss man deshalb entweder Administrator oder Mitglied in der Gruppe "Netzwerkoperatoren" sein.
[1] http://m2m-blog.de/2008/10/30/m2m-mit-openvpn-betrachtung-von-overhead- ...
Fileserver kann man grundsätzlich in beide Varianten integrieren; entweder, das LAN und das OVPN-Netz sind gebrückt, dann braucht es auf den Fileservern keine zusätzliche Software oder man installiert eben auf jedem Fileserver noch das OpenVPN-Paket, sodass sie dann auch zu einem zentralen Punkt eine Verbindung aufbauen. Denn ich denke, um diesen zentralen Punkt wirst Du nicht drumherum kommen, wenn Du mehrere Server hast und nicht zu jedem Server immer eine eigene Verbindung in einem neuen Netz aufbauen möchtest.
Netzwerkdrucker lassen sich natürlich auch integrieren - im Bridge-Modus (und zusätzlich auch im Routing-Modus) kannst Du auf die Drucker zugreifen, als ob Du im lokalen Netz wärst, ohne Verbindung ins gesamte Netz bräuchtest Du vor jedem Drucker entweder eine OpenVPN-Kiste, oder Du sprichst die Drucker dann eben über eine Direktverbindung auf einen Print-Server an, der alle Drucker verwaltet.
1. Generell ist jede OpenVPN-Verbindung erstmal p2p. Eine Seite spielt Server (das ist nicht unbedingt ein "Server"-Rechner im Sinne von "Rechenknecht, vielleicht Rackserver"), die andere Client. Das heißt, der eine Rechner wartet auf eine Verbindung, der andere initiiert sie. Wenn sich eben noch ein zweiter Rechner an dem Rechner, der auf Verbindungen wartet, anmeldet, dann wird daraus eben eine klassische Client-Server-Struktur (mit Stern-Aufbau)
2. Die Rechte haben mit OpenVPN grundsätzlich nichts zu tun. OpenVPN-Verbindungen sind quasi einfach eine Verbindung zwischen zwei Netzwerkkarten über irgendeine andere Art der Verbindung. Das normale LAN benutzt LAN-Karten auf beiden Seiten und Kabel dazwischen, das OpenVPN-Netzwerk benutzt auf beiden Seiten (virtuelle, also nicht wirklich existierende) OpenVPN-Netzwerkkarten und dazwischen eben z.B. das Internet oder eine andere bereits bestehende Trägerverbindung. Die Adapter tauchen dann auch in der Adapter-Übersicht auf als TAP V8/9-Adapter. Also ist es entweder Layer2 (wenn gebrückt) oder Layer3 (wenn geroutet) im OSI-Modell. Die Rechte liegen eher auf Schicht 7 (Anwendungsschicht).
3. Wenn Du einen Prozessor hast, der die Verschlüsselung in Quasi-Echtzeit schafft, dann kannst Du die Bandbreite relativ gut ausnutzen. Klar, je kleiner die einzelnen Dateien, die Du übertragen möchtest, sind, desto ineffizienter wird die ganze Geschichte, aber das ist nicht nur bei OpenVPN so. Unter [1] am Ende dieses Texts findest Du eine Angabe, die ziemlich genau hinkommen dürfte.
4. Securepoint VPS sagt mir gar nichts. Aber man braucht auch kein externes Programm. Mit der entsprechenden Konfigurationsdatei (die man auch mit externen Tools braucht ! ) startet man die Verbindung einfach und der Tunnel wird aufgebaut. In den aktuellen Versionen (aktuell ist 2.1.4, Stand 08.02.2011) ist die OpenVPN-GUI 1.03 mit dabei. Das kleine Programm funktioniert ausgezeichnet und reicht für alle Aufgaben, die es am Client zu erledigen gilt.
Übrigens noch ein Hinweis: Um OpenVPN korrekt nutzen zu können braucht man in diesem Fall das Recht, am Rechner Routen zu ändern und hinzuzufügen bzw. zu löschen. Unter Windows muss man deshalb entweder Administrator oder Mitglied in der Gruppe "Netzwerkoperatoren" sein.
[1] http://m2m-blog.de/2008/10/30/m2m-mit-openvpn-betrachtung-von-overhead- ...
Hallo,
danke.
"LANs": ja ich hätte eigentlich zwei Netzwerke (jeweils mit 4 Clients)... In beiden Netzwerken gebe es Clients die auf beide Netzwerke zugreifen müssten.
Wie läuft es? Sollen dann unterschiedlichen Netzwerke über unterschiedlichen Ports aufgebaut werden? können mehrere Clients - hinter einer Fritzbox - auf dasselbe Netz, durch dieselbe DSL-Leitung, durch dasselbe Port zugreifen?
"Fileserver": In einem Netzwerk wäre es praktisch eine Fritzbox wo ich eine USB-Laufwerk anschließen, in dem 2. Netzwerk wäre es das QNAP-NAS. wo die Daten gespeichert sind bzw. die Rechte dann geregelt wären. Auf diesen beiden Geräten würde ich dann auch den OVPN-Server installieren.
"OVPN-Client": OK. Ich weiß dann Bescheid. ich werde es dann vor Allem versuchen mit der eigener GUI klarzukommen.
Gr. I.
danke.
"LANs": ja ich hätte eigentlich zwei Netzwerke (jeweils mit 4 Clients)... In beiden Netzwerken gebe es Clients die auf beide Netzwerke zugreifen müssten.
Wie läuft es? Sollen dann unterschiedlichen Netzwerke über unterschiedlichen Ports aufgebaut werden? können mehrere Clients - hinter einer Fritzbox - auf dasselbe Netz, durch dieselbe DSL-Leitung, durch dasselbe Port zugreifen?
"Fileserver": In einem Netzwerk wäre es praktisch eine Fritzbox wo ich eine USB-Laufwerk anschließen, in dem 2. Netzwerk wäre es das QNAP-NAS. wo die Daten gespeichert sind bzw. die Rechte dann geregelt wären. Auf diesen beiden Geräten würde ich dann auch den OVPN-Server installieren.
"OVPN-Client": OK. Ich weiß dann Bescheid. ich werde es dann vor Allem versuchen mit der eigener GUI klarzukommen.
Gr. I.
Wenn der QNAP einen OpenVPN-Server bereitstellt, dann ist es kein Problem, auch mehrere Clients über ein und denselben Port den Server ansprechen zu lassen. Die Clients, die sich dann hinter der FritzBox befinden, können jeder eine eigene Verbindung zum QNAP aufbauen und sind dann auch alle im selben Netz.
Mit dem USB-Speicher an der FritzBox selbst hast Du dann allerdings einen deutlich erhöhten Aufwand. Da die FritzBox nicht im VPN-Netzwerk hängt, kannst Du nicht direkt auf diesen Speicher zugreifen.
Hier gibt es deshalb zwei Optionen:
1.) Einer der Clients im FritzBox-Netzwerk agiert als Router, das heißt, er leitet Paket, die über das VPN kommen, an die FritzBox weiter, und die FritzBox schickt ihre Antworten mit den Daten vom USB-Speicher an diesen Client zurück, der sie wieder in verschlüsselter Form ins VPN einspeist.
2.) Besser wäre es aber, wenn die FritzBox selbst einen OpenVPN-Client/Server bereitstellen würde. Das geht mittels einer Modifikation (freetz). Welche FritzBox ist das denn? Wenn die FB die OpenVPN-Funktion jedenfalls dann bekommen hat, dann braucht man nur noch eine einzige VPN-Verbindung zwischen dem QNAP und der FritzBox, da die FritzBox alle Anfragen der Clients hinter ihr durch ihren eigenen Tunnel schicken kann. Somit braucht man auch nur einmal den zusätzlichen OpenVPN-Overhead.
Eine Alternative wäre, dass Du Dir eine Kiste wie die Alix2c3 (ca. 100 Euro) oder einen alten Rechner besorgst und da z.B. pfSense aufspielst, das einen OpenVPN-Server mit an Bord hat und selbst Router sein kann (ich habe weil ich ca. 8 Clients hatte und außerdem Intrusion Detection wollte, einen Lex Neo gekauft - läuft sehr schön, ist schnell, einigermaßen sparsam, nur mit ca. 350 Euro verhältnismäßig teuer). Wenn Du die FritzBox für Telefonie und ähnliches brauchst, dann ist aber die Freetz-Lösung, sofern bei Dir möglich, die beste Lösung.
Mit dem USB-Speicher an der FritzBox selbst hast Du dann allerdings einen deutlich erhöhten Aufwand. Da die FritzBox nicht im VPN-Netzwerk hängt, kannst Du nicht direkt auf diesen Speicher zugreifen.
Hier gibt es deshalb zwei Optionen:
1.) Einer der Clients im FritzBox-Netzwerk agiert als Router, das heißt, er leitet Paket, die über das VPN kommen, an die FritzBox weiter, und die FritzBox schickt ihre Antworten mit den Daten vom USB-Speicher an diesen Client zurück, der sie wieder in verschlüsselter Form ins VPN einspeist.
2.) Besser wäre es aber, wenn die FritzBox selbst einen OpenVPN-Client/Server bereitstellen würde. Das geht mittels einer Modifikation (freetz). Welche FritzBox ist das denn? Wenn die FB die OpenVPN-Funktion jedenfalls dann bekommen hat, dann braucht man nur noch eine einzige VPN-Verbindung zwischen dem QNAP und der FritzBox, da die FritzBox alle Anfragen der Clients hinter ihr durch ihren eigenen Tunnel schicken kann. Somit braucht man auch nur einmal den zusätzlichen OpenVPN-Overhead.
Eine Alternative wäre, dass Du Dir eine Kiste wie die Alix2c3 (ca. 100 Euro) oder einen alten Rechner besorgst und da z.B. pfSense aufspielst, das einen OpenVPN-Server mit an Bord hat und selbst Router sein kann (ich habe weil ich ca. 8 Clients hatte und außerdem Intrusion Detection wollte, einen Lex Neo gekauft - läuft sehr schön, ist schnell, einigermaßen sparsam, nur mit ca. 350 Euro verhältnismäßig teuer). Wenn Du die FritzBox für Telefonie und ähnliches brauchst, dann ist aber die Freetz-Lösung, sofern bei Dir möglich, die beste Lösung.
Dafür gibts sogar ne Anleitung hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die behandelt auch die Segmentierung in 2 oder mehr IP Netze
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Die behandelt auch die Segmentierung in 2 oder mehr IP Netze
