VPN zum FritzBox Server

[Peter_Lehmann]

Hallo Peter,

ja, wenn wir beide uns zoffen, macht das wie immer richtig Spaß! (Wobei wir beide erfahrungsgemäß letztendlich immer eine annähernd gemeinsame Meinung hatten.)

Ich gebe dir voll recht, dass der gegenwärtige Zustand mit der LABOR oder Beta keinesfalls alles das ermöglicht, was mit einem externen Wireguard-Server möglich ist. Und ich bin mir noch nicht einmal sicher, ob letztendlich die erwartete 7.50 auch nur annähernd das bringen wird, was ich seit etwa 2,5 Jahren (Mitte 2019) errichtet habe und sehr intensiv nutze.

Noch einmal:
Gegenwärtig acht in drei EU-Ländern bei guten Freunden und Verwandten verteilte, mit OpenWrt umgeflashte F-B 4040 und 7412. Alles als ein VPN-Stern und an jedem der 8 Server sind alle außerhäusig betriebenen Geräte (Smartphones, Notebooks usw.) der jeweiligen Nutzer angeschlossen. Als Internetverbindungen dienen FTTH (in Dänemark allgemein üblich), sonst DSL. Einige der Nutzer haben Dualstack, aber einige "nur" DS-Lite. Letztendlich spielt die bei DS vorhandene routingfähige IPv4 hinsichtlich Funktion überhaupt keine Rolle mehr! Das Setup ist voll auf Dualstack eingerichtet. Jeder Endpunkt "kann" IPv4 und IPv6. Und in meinen Logs sehe ich, dass mancher Tunnel heute dieses Protokoll nutzt und morgen das andere. Und ich kann auch alle dauerhaft betriebenen Geräte (NAS, pi-hole usw.) immer mit beiden Protokollen ansprechen - unabhängig davon, unter welchem Protokoll der Tunnel selbst läuft.
Wir nutzen das System zur vollautomatischen gegenseitigen täglichen Datensicherung (mit Duplicati) auf die im System vorhandenen NAS. Und einer der Nutzer darf "ab und an" mal als "Privatadmin" sich diverser Probleme auf den Rechnern der Gemeinschaft annehmen. Und selbstverständlich nutzen wir unser WG-VPN auch intensiv zum ungestörten Telefonieren über die AVM Fon-App.
Wenn wir gerade beim Telefonieren sind: Mein Smartphone ist dauerhaft (also auch zu Hause!) per WG-VPN mit meiner 7590 verbunden. Wenn zufällig beim Verlassen des Hauses jemand auf einer meiner Festnetznummern anruft, steht die Verbindung wie immer in HD-Qualität. Steige ich ins Auto und fahre weg, schaltet das WG-VPN blitzschnell und ohne Trennung der Gesprächsverbindung auf Mobilfunk um. (So mancher fragt mich dann, was das für Geräusche sind - sitzt du etwa im Auto?) Steige ich im Städtchen aus dem Auto, übernimmt sofort das dort sehr gut ausgebaute Freifunk-WLAN die Internetversorgung. Auch hier erfolgt kein Abbruch des Gespräches. Und auf dem Heimweg funktioniert es ebenso. (Hat das mal jemand mit dem AVM-IPsec probiert?)

Und - das war ja auch unser "Aufhänger" - spielt bei der ganzen Übung überhaupt keine Rolle, über welches Protokoll der Tunnel aufgebaut wird. Meinetwegen könnte IPv4 demnächst deaktiviert werden. Ich brauche es nicht (mehr)! Und damit sind wir wieder bei den "toten Pferden".

So, genug gelabert. Und bevor mir jemand von der Administration die OT-Keule zeigt, bin ich weg. Und ich entschuldige mich bei dem TO, dass ich seinen Thread gekapert habe.

vy 73 de Peter

 

[PeterPawn]

Mir geht's hier ja auch nur darum, was man mit dem VORHANDENEN Equipment und (geringem) Mehraufwand als Lösung finden könnte ... ich stelle mich ja auch nicht hin und empfehle die Anschaffung von Schneeketten oder eines größeren Autos, wenn ich im Winter auf der Straße an einem liegengebliebenen Kleinwagen anhalte. Vielleicht ist das ja tatsächlich "die Kunst", sich mit dem eigentlichen Problem eines Fragestellers zu befassen und nicht immer nur die eigenen (Wert-)Vorstellungen "durchdrücken" zu wollen.

Es gibt IMMER (OK, meist) eine bessere Alternative ... nur wird die i.d.R. auch teurer oder mit zusätzlichem Aufwand verbunden sein (und auch Deine WG-Clients sind ja nicht auf einen Schlag vom Himmel gefallen, sondern das mußte sich über eine Zeit erst mal "entwickeln") und ich weiß nicht so genau, was der Fragesteller da nun tatsächlich mit seiner VPN-Verbindung macht.

Die 7390 als "Server" wird auch mit dem AVM-IPSec keine Bäume ausreißen ... aber wenn das tatsächlich nur für eine VNC-Sitzung (bei nicht zu großer Bildschirmauflösung) sein soll, dann wird es ihm herzlich egal sein, ob die Verbindung "seamless" umschaltet, wenn er sich mit seinem Windows-Tablet irgendwo bewegt. Solange er das nicht um den Hals hängen hat, wird es vermutlich ohnehin darauf hinauslaufen, daß er sich ENTWEDER bewegt oder auf das Gerät schaut und ggf. ein paar Eingaben macht.

Eine alte (IT-ler-)Weisheit lautet ja auch "the best tool for the job" und dieses "best" muß eben mehr als einen Aspekt berücksichtigen. Durchsatz und Verläßlichkeit (throughput and reliability) sind sicherlich ein Aspekt - aber wenn dafür dann zusätzliche Kosten entstehen (und selbst Deine 7412 kriegst Du heute nur noch sehr selten bis nie für 10 EUR (brutto, inkl. P+P) und auch die ist als VPN-Gateway (auch mit OpenWRT) nicht wirklich leistungsfähig), dann muß man die auch gegen den damit erzielbaren (Zusatz-)Nutzen abwägen.

Ich habe auch gar nichts gegen WireGuard - es bleibt dennoch "Fakt", daß die bisher in den Chipsets für "embedded devices" verfügbaren "Spezialprozessoren" (bei Lantiq als "Data Encryption Unit" (DEU), bei Broadcom als "Secure Processing Unit" (SPU)) bei ChaCha20-Poly1305 NICHT unterstützen können und damit dieses Protokoll (wenn es "nebenbei" erledigt werden soll und nicht der eigentliche Grund für die Existenz so eines Gateways wäre) den Prozessor mehr belastet, als wenn die Hardware-Unterstützung genutzt werden kann mit anderen VPN-Implementierungen.

Wieviel das letztlich ausmacht (als Unterschied!) und ob es einen (negativen) Einfluß auf den "Rest" des Systems hat, in dem dieser WG-Endpoint dann arbeitet, hängt eben auch davon ab, was das für ein Gerät ist und was es ansonsten noch zu tun hat bzw. wie hoch dessen "durchschnittliche" Auslastung ist (und die Anforderungen an die "Reaktionszeit" anderer Funktionen).

Letztlich profitiert WireGuard aber auch von der Integration (in den Linux-Kernel) überdurchschnittlich (nur das verhindert am Ende, daß es gegen hardware-gestützte Verschlüsselung "abstinkt"), denn damit entfällt der gesamte Overhead, der bei anderen VPN-Lösungen (konkret OpenVPN) durch die ständigen Kontextwechsel und Umschaltungen zwischen Kernel und Userland entsteht. Wobei das für kernel-gestütztes IPSec dann auch wieder wegfällt - die Transformationen erfolgen dann ja auch "im Kernel", jedenfalls bei den meisten Geräten. Nur AVM brauchte da auch wieder eine "Extra-Wurst" - dafür war das IPSec (auch bei Chipsets mit HW-Crypto) ja auch verschrien für seine "Geschwindigkeit".

Aber das hat sich (bei passender Hardware und jetzt ziehen wohl auch die neueren Broadcom-SoC bei AVM nach) doch deutlich verbessert ... und so sollte man (meiner Ansicht nach) nicht einfach die "alte" VPN-Implementierung von AVM mit der aktuellen vergleichen - da HAT sich vieles geändert und für eine IPSec-Implementierung (die ja generell als "schwer zu konfigurieren" angesehen werden), ist das bei AVM schon erstaunlich "handlich" - da kommt dann noch der auf vielen Plattformen bereits vorhandene Support für "CISCO-VPN" hinzu (wenn man Windows mal außen vor läßt), der zusätzliche Apps überflüssig macht.

Ich weiß tatsächlich nicht genau, ob der (Linux-)Kernel im Android auch bereits den WG-Support enthält und die App nur noch der Konfiguration dient oder ob die auch noch den WG-Support generell nachrüstet ... bzw. ich habe dann doch gerade mal danach gesucht: https://git.zx2c4.com/wireguard-android/about/:

This is an Android GUI for WireGuard. It opportunistically uses the kernel implementation, and falls back to using the non-root userspace implementation.

Da ist dann das WG offenbar auch nicht FÜR JEDES Smartphone die optimale Lösung ... erst recht nicht als "always on"-VPN. Wenn das tatsächlich auf den "userspace" zurückfallen muß, dann zehrt das auch deutlich mehr am Akku ... und auch da muß man dann eben wieder Vor- und Nachteile gegeneinander abwägen. Wenn ich das nur "mal" brauche, um daheim eine Lampe ein- oder auszuschalten, dann ist es mir auch egal, ob ich damit permanent meine Festnetz-Nummer mit mir herumschleppen KÖNNTE.

Da reicht es mir dann auch, wenn meine VPN-Lösung die Verbindung nur "on demand" aufbaut (ja, das kann WG auch bzw. braucht es gar nicht, weil es ja keinen "klassischen Handshake" gibt) und es juckt mich auch nicht, wenn sie dafür mal eine Sekunde länger braucht (und noch länger sollte auch eine korrekt konfigurierte IPSec-Verbindung nicht brauchen). Wenn ich dafür auf die Anschaffung und den Betrieb (Stromkosten) eines weiteren Gerätes verzichten kann, dann braucht es schon SEHR GUTE Argumente, um mich davon zu überzeugen, daß sich diese zusätzlichen Kosten auch tatsächlich rechnen.

Erschwerend kommt hinzu, daß nur so alte Knochen wie wir überhaupt noch mit einer Festnetz-Nummer arbeiten ... die meisten nutzen heute - so sie überhaupt telefonieren, was bei kleinem Wortschatz (Und? ... Selbst?) ja auch nicht wirklich sinnvoll ist - ohnehin nur noch ihr Smartphone und auch da meist irgendeinen Messenger. Das macht den "allgemeinen Nutzen" solcher Szenarien, die Dich bei Deinem Smartphone so ins Schwärmen bringen, dann doch schon "etwas kleiner" und solange DAS auch nicht das Ziel einer VPN-Verbindung ist, ist es auch nicht automatisch ein Vorteil, was damit noch so alles geht.

Wenn ich nur 100 m bis zum Bäcker will, nehme ich (als "vernünftiger" Mensch) ja auch nicht unbedingt den H1 - wobei ich bereit bin, einen Zusammenhang zwischen "H1" und "Vernunft" per se auszuschließen. Aber der wäre auch in diesem Beispiel nicht wirklich "the best tool for the job", wenn man doch stattdessen den MB GLS nehmen könnte - der hat vermutlich auch den größeren Kofferraum für die Brötchen.

Was will ich damit sagen? Die Vorteile einer bestimmten Lösung nutzen mir auch nur dann etwas, wenn ich Verwendung für sie habe und wenn sich der "Mehrwert" auch dann noch rechnet, wenn man zusätzlichen Aufwand in die Kalkulation mit einbezogen hat.

 

[HabNeFritzbox]

Mein Ziel ist es auch nicht hier teure Hardware anzudrehen, es würde ganze aber wohl einfacher machen wenn 7390 gegen neueres Modell zu tauschen. Kann ja auch ggf. ein gebrauchtes Modell sein.

Mit Wireguard braucht man sich weniger sorgen machen wegen IPv4 und IPv6. Evt. lässt sich ja am Anschluss wo 7390 ist auch IPv6 aktivieren.

Am Anschluss mit der 7590 wo DS Lite läuft, geht IPv4 über ein Gateway, und ich gehe davon aus dieses macht Probleme. Wenn ich z.B. auf dem Handy mit IPv6 only Anwendungen verwende welche IPv4 sind wie z.B. Teamspeak Server klappt die Verbindung nicht wirklich, sobald ich APN ändere wo zumindest private IPv4 IP ist geht es. Wenn beides IPv6 nutzt, sollte es Problem ggf. eindämpfen.