ich bin auf der Suche nach einer sicheren Lösung von außen auf meine Daten auf meinem Qnap-NAS zu zugreifen.
Die von QNAP angebotene Lösung myQnapCloud wird von allen als unsicher eingestuft und hat mir leider wiederholt Malware auf dem Qnap eingehandelt.

Mir wurde empfohlen nur über ein VPN auf mein NAS zuzugreifen. Das hab ich versucht und mit dem VPN Server auf dem NAS nur sehr geringe Datenraten erzielt (ca 3-10 mbit bei ner 100/50Mbit Leitung).
Leider scheint das ein allgemeines Problem auch mit neueren NAS zu sein.
Deshalb hatte ich überlegt ein Unify Security Gate einzusetzen, aber damit erreicht man scheinbar auch nur 10-12 Mbit.

Also meine Frage: kann mir jemand eine Lösung für ein bezahlbares Gerät empfehlen das einen sicheren , leicht zu konfigurierenden , schnellen VPN-Server bereitstellt?

Der erste Ansatz wäre das über den Router zu machen (vorausgesetzt, der kann das und ist ausreichend leistungsfähig). Welches Modell ist da im Einsatz?

Ja genau das war mein Gedanke! Ich hab hier n Telekom Speedport im Einsatz. Der kann kein VPN Server.
Ich hab gelesen das ein Fritzbox sowas kann. Konnte aber reicht herausfinden wie schnell as läuft und welche Methoden unterstützt werden (IPsec oder IKEV2 wären wohl ganz gut)

Die Fritzboxen sind zwar feine Teile, aber für ein vernünftiges VPN nur bedingt leistungsfähig genug. Hättest du bereits eine rumstehen, dann wäre es einen Versuch wert gewesen, um zu sehen, ob die dir reicht. Wenn aber sowieso was neues angeschafft werden muss, dann würde ich gleich drauf achten, das der Prozessor dafür auch ausreichend ist. Aus eigener Erfahrung muss ich passen, aber von DrayTek die Vigors sollen diesbezüglich besser aufgestellt sein.

Da der Qnap aber nicht nur einen VPN Server zur Verfügung stellt sondern Aktuell 4 verschiedenen ist die Frage welchen du getestet hast. Wobei man PPTP definitiv nicht mehr nutzen sollte.

Ich selbst setze persönlich OpenVPN in verschiedenen Szenarien ein und bin mit den Durchsätzen sehr zufrieden. Musst du dich aber etwas beschäftigen damit, entspricht also eventuell nicht deinem einfach Ansatz.

Gruß Mike

ein Vigor 2133 wäre wohl was.. der ersetzt dann den Speedport Router?

ich hatte nur PPTP oder openVPN (hab ein altes Ts-439 mit 4.2.6 Firmware) .. hatte leider mit beiden sehr schlechte Datenraten.
Welche Model verwendest du und welche Datenraten erzielst du etwa?

Ich denke aus verschiedenen Gründen über ein TS-963X nach, das wohl AES-NI Verschlüsselungsbeschleunigung bietet , würde das zu besseren Datenraten führen?

Bitte keine weiteren "du musst dich damit beschäftigen" . Das mache ich schon Tagen und komme nicht weiter.
Daher frage ich hier und suche nach ganz konkreten Tips und Empfehlungen.

Die Vigors (oder andere, die vielleicht demnächst noch genannt werden) bringen gern mal viele Funktionen mit, wie Router, Modem... Eine Möglichkeit wäre, wenn dann schon zwei Router im Haus sind damit gleich noch eine kleine Routerkaskade zu bauen. Der Vigor dient dabei als Modem und VPN-Server, an dessen interner Seite wird dann einerseits das NAS und andererseits der Speedport angeschlossen. Damit ist das NAS von deinem internen Netzwerk erreichbar (aber das interne nicht vom NAS aus), und sollte es jemand schaffen, sich doch irgendwie Zugriff aufs NAS zu verschaffen, dann ist er "nur" da drauf (was schon schlimm genug ist) aber nicht gleich komplett im internen. Von daher würde ich nicht sagen, entweder Vigor oder Speedport, sondern und.

sehr interessanter Ansatz! Denke ich mal drüber nach!

Ist ein komplexes Thema, grundsätzlich wäre da erst einmal die Frage, wie genau Du denn die Datenraten gemessen hast bei aktiver VPN-Verbindung?

Denn damit fängt es schon an – die normalen Online-Speedtester sind für so etwas ungeeignet. Man prüft die nackte Verbindunggeschwindigkeit besser erst einmal nur mittels iperf.

iperf kannst Du Dir am einfachsten per Homebrew installieren, ansonsten gibt es auch schon fertig kompilierte Binaries, die dann auch ohne extra Homebrew funktionieren. Aber per Homebrew wäre es am einfachsten (und auch die jeweils aktuelle Version).

Grundprinzip ist dann, iperf auf einem Rechner im internen Netz im Server-Modus laufen zu lassen und auf dem externen Rechner (der per VPN mit Deinem Netz verbunden ist) im Client-Modus.

Für den Server-Modus im Terminal ausführen:
Auf dem Client im Terminal ausführen:
(wobei xxx.xxx.xxx.xxx dann die interne IP des Rechners ist, auf dem iperf im Server-Modus läuft)

Bei Bedarf kannst du natürlich auch in beide Richtungen messen (einfach den internen als iperf-Client und den externen im Server-Modus von iperf).

In einem GBit-Netz hast du z.B. einen Durchsatz von ca. 940 MBit, also netto in etwa 94% der 1.000 MBit.

Im Idealfall schafft man bei 10 MBit Up mit einem User also ca. 1,175 MB/s (94% von 1,25 MB/s), bei Deinen 50 MBit Up sollten also [theoretisch] bis zu 5,875 MB/s drin sein (sprich, 94% der bei 50 MBit möglichen 6,25 MB/s).

Per iperf kannst Du halt erst einmal alle möglichen Seiteneffekte ausschließen und misst den reinen Datendurchsatz auf der "Leitung", ohne SMB-, AFP- oder was auch immer für "Bremsen".

Und wie schon oben angemerkt: AES-NI muss die Hardware des Gerätes, dass als VPN-Server fungiert, definitiv unterstützen, sonst wird das nichts mit einem vernünftigen Datendurchsatz bei gleichzeitig sicherer Verschlüsselung mit VPN. Was für ein QNAP-NAS genau hast Du denn? Was für eine CPU ist da drin? Falls diese AES-NI kann, wäre das schon mal eine gute Grundvoraussetzung.

ja komplexes Thema, hab ich schon gemerkt.

gemessen hab ich sie im Alltags-Test - einfach Dateien synchronisiert mit Syncovery.
Das zeigt am Ende ein Log an.
Bei Verbindung ohne VPN habe ich ca 4-5 mbyte/s erreicht...
Mit VPN vielleicht maximal 1mbyte/s

iperf kann ich aber in Zukunft gern mal hernehmen für genauere Tests.

Ich besitze derzeit ein TS-439 (ca von 2011) mit irgendeiner Uralt CPU - das wundert mich also nicht besonders.
Aber ein Thread im Qnap-Forum wo jemand mit einem TS-851 (2.4 GHz Dual-Core Celeron) nur 2,3 mbit erreicht
hat mich schon verunsichert ob mein eigentlich geplantes TS-963 überhaupt helfen würde.

Das QNAP TS-439 Pro hat einen intel Atom D410 mit nur einem Core bei 1.6 GHz und keine AES-NI Unterstützung. Da wundert mich das nicht …



Die TS-963 hat einen AMD Embedded G-Series GX-420MC quad-core 2.0 GHz als CPU, und der kann auch AES-NI – von daher wäre dies schon mal eine gute Voraussetzung:

Da mein OPNsense-Router ebenfalls eine embedded AMD-CPU hat (sogar den schlechteren AMD GX-416RA) und ich beim VPN-Durchsatz wirklich keinerlei Probleme habe, gehe ich mal davon aus, dass die TS-963 eine durchaus sinnvolle Anschaffung für dich wäre.

das klingt schonmal gut!

ich warte mal auf Cracymike s Antwort

Hallo. Ich lasse in Firmen- und Privatnetzwerken ein APU2C4 Board mit pfSense als Firewall tlw. sogar an beiden Enden laufen. Nach der Firewall (vom WAN aus gesehen) kommen die (WLAN-)Router und Switches. Die OpenVPN Klienten bekommen je nach Anwendungen/Priotitaeten und/oder Länderbeschraenkungen verschiedenen VPN Kanaele in der APU2C4 zugeordnet, egal ob WLAN oder Wired LAN. Der Durchsatz liegt bei ca. 110MBit/s max bei den NordVPN Settings, denn als VPN Provider nahm ich NordVPN wenn ich auch extern gehe. Die Box kannst du nat. auch als VPN Server nutzen. pfSense als Firewall/VPN Server Software kann ich nur empfehlen. Hard- und Software unterstuetzen nativ AES-NI.
Bsp.:
https://www.klehr.de/michael/apu2c4-bausatz-mit-pfsense-inst allieren/

Wenn ich das alles nicht haette wuerde ich mir den RPi3B oder 4 holen und alles mit WireGuard probieren und bei Erfolg machen. Den RPi als VPN Server mit PiHole und Owncloud bundeln.

sehr interessant... auch wenn ich mir wohl eher kein APU Computer zusammenschustern will .
Gibts vielleicht auch fertig.

Ja ueber die Bucht bsp.weise. Aber ehrlich und gut gemeint, bewerte das nicht ueber. Der Bausatz kommt und nach 20min ist alles fertig. Neu zu kaufen (zusammengebaut mit neuester pfSense Software) gibt es das natuerlich auch. Der einzige "Holperstein" beim Selbstbau ist das serielle Kabel vom Mac zur Box wenn du die Box fuer pfSense vorbereitest, aber auch das gibt es als fertige Loesung zu kaufen. Bei mir laeuft das seit drei/vier Jahren ununterbrochen sogar Laender uebergreifend zuverlaessig, stromsparend und lautlos. Das tolle an pfSense ist, mit pfBlockerNG und SQUID hat man hochklassige Proxys und Add/HomeIp Blocker als PlugIns etc. inklusive.

Wenn du von vorne anfaengst, nimm dir die Zeit wenn dich das Thema interessiert und baue die VPN Server mit Raspberry Pis und WireGuard. Kostet ca. 100EUR bei zwei Boxen auf zwei Seiten (versch. Bueros oder Buero < zu Hause) und die Performance ist hoeher als auf den APU Boards. Es lohnt sich. Die gehen sogar bei Stromausfall an PowerBanks. Da die Pis damit nicht staendig ausgelastet sind, ist deren Zusatzaufgabe als Internetradio-Hoster mit HifiBerrys, AddBlocker (PiHole) und Owncloud so toll erweiterbar mit geringem Stromverbrauch, kaum zu sehen, lautlos und mit den Faehigkeiten vom Pi4 sogar H265 UHD hardware encoding von der NAS als UHD Mediacenter nutzbar. Die Smart Home Loesungen sind auch immer besser. Diese Community sucht meines Erachtens ihresgleichen in deren Anwendungsvielfalt und -qualität mit freien und kostenlosem Zugang. Ich schweifte ab...;)

Das war nicht auf das Thema gemünzt sondern eher auf OpenVPN.

Bei mir sind ein TS-880U Rackmount und ein TS-563 im Einsatz.
Die Raten müsse ich messen meine Beurteilung ist hier eher Subjektiv, ich arbeitete Praktisch fast nur aus dem HO über VPN oder von unterwegs. Der eine Standort ist dabei nur mit 10 Mbit Standleitung angebunden und der andere mit einer 500/50 Kabelleitung. Und da ich vernünftig arbeiten kann bin ich zufrieden.

ich glaube ich hab n Plan:
n neues NAS muss so oder so her. Also besagtes TS-963X kaufen und schauen wie's VPN läuft.
Wenns nicht taugt kann ich ja immer noch so eine kleine Box mit pfSense oder
diesen Draytek Router kaufen.
Von netgate gibts ne fertige Box mit pfSense

Ich bin damit auch erst seit einem halben Jahr "auf Sendung".
Bevor du die den Provider aussuchst, solltest du klären, was für dein Netz die beste Lösung ist.
+Eine Lösung mit dem Router hat zwar den Vorteil, dass das VPN auf alles wirkt, das kann aber schon der große Fehler sein, wenn du z.B. smartHome Geräte am Start hast, die das Netz benötigen und dadurch ausgebremst werden.
+Wählst du VPN für die einzelnen Geräte, ist der Einrichtungs-Aufwand höher, aber es fällt eben einfacher, Ladeprobleme besser zu kanalisieren.

Ich bin zur Zeit dabei, die 2. Variante einzurichten.
Da ich vorher (mit dem eBlocker) schon Kunde bei
https://www.perfect-privacy.com
war, habe ich bisher schon ein wenig damit verbracht, bin aber kein Profi.
Gerade deshalb empfehle ich dieses Schweizer VPN, gerade weil sie es sehr ausführlich und verständlich beschrieben haben.
Es kostet zwar, bietet aber dafür auch gute Geschwindigkeiten.
Ich habe es bisher auf dem macOS und iOS (iPad und iPhone) installiert und kann es bisher empfehlen...

danke - das wäre vermutlich die beste und gleichzeitig günstigste Lösung, aber um ehrlich zu sein traue ich mir das nicht zu ... zumindest nicht ohne viele Stunden rumprobieren

verstaerker: Dann schau Dir aber auf alle Fälle auch vorher den pfsense-Fork "OPNsense" an:



Zwischen den beiden Projekten herrscht etwas frostige Stimmung – warum, ist eine lange Geschichte, aber für Dich sicher uninteressant.

OPNsense unterstützt neben OpenVPN auch das modernere WireGuard.

pfsense wie auch opnsense haben aus meiner Sicht beide Ihre Vor- und Nachteile – ich persönlich bin halt seit 2-3 Jahren OPNsense gewöhnt, von daher kann ich das aus eigener Erfahrung sehr empfehlen.

U.a. Thomas Krenn bietet auch fertige Hardware für OPNsense:



Wenn Du aber auch Wert auf OpenSource-BIOS etc. legen solltest (ich für meinen Teil tue das), dann würde ich eher Geräte von Deciso empfehlen:



(Deciso ist der offizielle Hauptsponsor von OPNsense, so unterstützt Du auf gewisse Art und Weise auch das Projekt selbst)

Aber wenn Du Glück hast, performt auch die TS-963X schon ausreichend, so dass Du Dir diese zusätzliche Anschaffung sparen kannst.

deine Antwort irritiert mich total - möglicherweise verstehe ich aber auch grundsätzlich was falsch.
Warum sollte ich meine Geräte in einen VPN-Server einwählen?
Ich möchte eine sichere Verbindung zu meinem Heimserver herstellen ... was habe ich davon mich in einen anderen VPN server einzuwählen?

@verstaerker
Nix, der Text von ulti ist für dich nicht relevant. Da hat er wohl die Ausgangsfrage mißverstanden.

Wenn der VPN-Server "hinter" dem Router liegt, dann mußt du die "Strecke" dorthin aber auch besonders absichern.
Besser ist es, wenn der VPN-Server vor oder im Router steckt. Und wer großes Kino braucht / will, der schafft sich dafür dann extra Geräte / PCs an. Was dann auch ein Raspberry sein kann wenn der genügend Leistung für den Verwendungszweck mitbringt.
Wen du also schon "was neues" anschaffst, dann am Brückenkopf vorne. Aber bedenke: der lokale Server ist immer nur so gut und schnell zu erreichen wie dein Upload ins Internet ist. Das ist eigentlich immer langsamer als bei einer "echten" Cloudlösung wo der Server in einem Rechenzentrum mit "dicker Leitung" steht. Das ein VPN auch etwas auf den Durchsatz geht, ist normal, kommt aber auf beiden Seiten auf die Hard und Software an.

Hi Verstaerker, siehe:

https://www.bachmann-lan.de/raspberry-pi-mit-wireguard-als-v pn-server-mit-wireguard/

Das dauert nicht lange.

Ich war immer unabhaengig von Investitionen/Kosten - der Kunde zahlte das. Aber ich wollte auch nie mit Kanonen auf Spatzen schiessen, bin eh Pazifist. Die Loesung von Marcel_75 is auch prima mit OPNsense. Ich wuerde mich immer dahingehend orientieren die VPN Loesung inkl. Firewall (wenn gewollt) unabhaengig vom Rest laufen zu lassen. Kein VPN an einem Geraet wie den WAN Accesss Point oder WLAN Router bzw. dem Endgeraet. Die VPN Loesung sollte kein Traffic zulassen, wenn VPN ausfaellt bzw. einen alternativen Kanal nutzen/oeffnen. Am Pi is so prima, den habe ich sogar im Gepaeck wenn ich unterwegs bin.

oh ja,
hatte ich falsch gelesen,
sorry

das mit dem OPNsense hat mich schon wieder abgeschreckt... speziell die firewall... da hab ich Angst was falsch zu machen.
Habt bitte Verständnis dafür - ich bin kein ITler und will es auch nicht werden.

Bzgl des Raspberrys:
ich kaufe also sowas

da installier ich dann irgendwie die Software ... der Punkt ist mir nicht ganz klar. Wo kommt die her?
ich seh da n paar Befehle , wenn ich den Raspberry einschalt kommt also ne command line ? oder muss da noch was installiert werden?

verstaerker Schon gesehen (bzw. gemacht), schließlich läuft bei dir ein QNAP-NAS? Malware "QSnatch" attackiert QNAP-Netzwerkspeicher – auch in Deutschand
Ok, hat nur am Rand mit der Frage zu tun, aber wichtig für alle mit fraglichem NAS.

Danke. Bekomme seit Tagen Malware Meldungen, obwohl das NAS komplett vom Netz ist.
Bin gerade dabei es komplett platt zu machen.

Ein neues kommt trotzdem.

So neues NAS (QNAP TS-963-X) am start :
VPN schafft R/W 4-5 mbyte/s

write könnte zwar theoretisch schneller sein, aber damit kann ich gut leben.