Fritz 7170 Kernel? SSH vs. VPN?

[chanzui]

Hallo,

1) welchen Kernel hat den die FritzBox 7170 mit Firmware-Version 29.04.39 (ich könnte auch auf .40 updaten)?

2) Kann der Kernel (so wie bei Ubuntu) problemlos geupdatet werden? Wenn ja wie?

3) Auf der Suche nach eine Remote Desktop Verbindung zu einem PC zu Hause über Internet, ist es sinnvoller dies mit einem SSH-Tunnel oder per VPN zu machen?


Freue mich über alle hilfreichen Antworten. Danke.

 

[kriegaex]

1. Bereits seit .29 haben die 7170-FWs Kernel 2.6.13.1.

2. Nein, wir verwenden immer dieselbe Version wie AVM, weil deren Module davon abhängig sind - auch die, deren Quellcodes nicht veröffentlicht werden.

3. SSH-Tunnel ist tendenziell schmalbandiger, verbraucht weniger Platz in der FW, ist leicht einzurichten und daher mein Favorit.

 

[chanzui]

Vielen Dank für deine Hilfe.

Was verstehst du unter "SSH-Tunnel ist tendenziell schmalbandiger"?
Ist das Spürbar, im Vergleich zu VPN, wenn ich bei beidem PCs nen 6000 Anschluss hab?

 

[kriegaex]

Ich verwende VPN kaum, aber allein die Tatsache, daß durch ein echtes VPN eine komplette Netzwerkanbindung zustande kommt, erhöht potentiell den Traffic. Beispiel: Mach mal in einem VPN den Windows-Explorer am "Client" auf und browse ein bißchen im Netzwerk bzw. auf dem "Server", sofern die Rollen so verteilt sind, und das dann noch über ISDN. Nicht vergessen, daß auch bei ADSL der Upstream nicht gerade breitbandig ist, also weit eintfernt von 6000 kbit/s. Ich denke, Du würdest es spüren, außerdem ist die Fritz!Box möglicherweise ein begrenzender Faktor, denn sie muß ja viel rechnen (Krypto-Protokolle). Eine UltraVNC-Verbindung durch SSH zu tunneln, ist super-einfach und flott, man braucht kein RDP einzurichten (obwohl das auch geht). Mir taugt es jedenfalls, aber letztlich hängt es vom Anwendungsfall ab.

P.S.: UltraVNC bietet auch einen integrierten Dateitransfer (bidirektional), dafür braucht man keine komplette Netzwerk-Anbindung des Clients an den Server.

 

[hermann72pb]

Ich würde mal hier mit einem typischen "es kommt darauf an" antworten. Ich benutze SSH-Tunnel um auf die Box zu kommen und OpenVPN, um an die Rechner hinter der Box zu gelangen. Es ist einfach bequemer und einfacher. Die Methode von Alexander hat mit Sicherheit was an sich, braucht aber etwas mehr "Pflegeaufwand". Du musst also alle notwendigen Ports dann zum jeweiligen Rechner routen. Und wenn du mehrere Rechner dahinter hast, oder die Adresse sich warum auch immer ändert, wird es etwas unangenehm.
Mit der Geschwindigkeit hat es was in sich, obwohl OpenVPN genau so wie SSH auf SSL baut. Das Problem ist nur, die MTU-Werte von OpenVPN sollen am besten noch etwas an die jeweilige Verbindung "getuned" werden. Das könnte eventuell etwas bringen, vor allem für VNC und RDP mit großen datenpaketen. Mit der aktuellen GUI von OpenVPN ginge es aber nicht so einfach, mit MTU-Werten zu spielen. Und nach dem alten Prinzip "never change a running system" belasse ich es bei mir mit default-Einstellungen.

MfG

 

[udosw]

Übertragungsgeschwindigkeit pptp (langsam) vs. ssh (schnell)

7050 zu Hause ('Heimnetz' / Kabeldeutschland), Zugriff aus der Firma ('remote' / QSC-SDSL):

Wenn ich von remote eine Verbindung über die 7050 per pptp zum Heimnetz aufbaue, ist diese deutlich langsamer, als wenn ich den selben Dienst über ssh tunnele.

Beispiel:
VNC-Verbindung zu meinem Desktop zu Hause über FB und pptp: Kaum nutzbar, Mauszeiger nicht synchron, Fenster verschieben sich erst nachträglich (ca. 10 Sek verzögert).

SSH-Verbindung und Port 5900 geforwarded: Flüssiges Arbeiten mit VNC.

Frage: Ist das 'normal' ? Ist die pptp-Verbindung grundsätzlich langsamer oder ist die Box 'zu schwach' ? Kann man an pptp was 'drehen' ?

(PPTP nach der Anleitung im Wiki gebaut).

Udo

 

[RalfFriedl]

Ist die ssh Verbindung auch auf die Box, oder nur über die Box auf den Rechner dahinter?
Mit anderen Worten, wird bei SSH die Verschlüsselung von der Box übernommen oder vom PC?

Wie ist in beiden Fällen die CPU-Auslastung der Box?

 

[kriegaex]

Ich kann nur für mich sprechen: Der Pflegeaufwand für meine Lösung beträgt null, nachdem einmal Port-Weiterleitungen eingerichtet sind. Gesamtaufwand: zwei Minuten. Gesparter Platz in der Firmware: enorm.

 

[MaxMuster]

Ich würde es noch etwas allgemeiner sehen: Für alles was per TCP laufen kann ist SSH die zumindest deutlich Platz sparendere und effizientere Lösung. Für UDP oder gar nicht routbare Protokolle ist ein VPN (gegebenenfalls sogar ein gebrücktes) nötig.

Jörg

 

[kriegaex]

Richtig, Max, äh, Jörg. Gut, kurz und präzise ausgedrückt.

Da es ja hier um Remote Desktop geht, habe ich SSH vorgeschlagen, da haben wir TCP und ein routing-fähiges Protokoll.

Moderatoren-Hinweis: Da es zufällig gerade zwei sehr ähnliche Anfragen gibt, habe ich die Frage von Udo (#6) und Ralfs Antwort (#7) hierher verschoben, denn die von Udo beschriebenen Symptome erläutern sehr schön, was ich vorher zum Thema erklärt habe.

 

[udosw]

@RalfFriedel: Ich gehe in beiden Fällen auf die Box.
Last SSH:
load average: 0.85, 0.69, 0.50
Last PPTP:
load average: 0.65, 0.66, 0.49

@kriegaex: Danke für's verschieben, das passt ja gut.

Ich denke, es muss dann schon an der FB liegen. Ich gehe umgekehrt von zu Hause per PPTP ins Firmennetz, das flutscht recht gut, da läuft der PPTPD auf einem Linux-Server.

Ich werde dann wohl auch den PPTP wieder von der Box nehmen, spart Platz und richtig nutzen kann man es kaum.

Udo

 

[hermann72pb]

@Udo: Du darfst natürlich nicht Äpfel mit Birnen vergleichen
Für VNC und RDP
1. Zuhause -> Arbeit:

Zuhause -> (Tastatur+Mausbefehle) -> [1000kbits] -> Arbeit
Arbeit -> (Grafische Ausgaben) -> [26000kbits] -> Zuhause

2. Arbeit -> Zuhause:

Arbeit -> (Tastatur+Mausbefehle) -> [26000kbits] -> Zuhause
Zuhause -> (Grafische Ausgaben) -> [1000kbits] -> Arbeit

Das wird man schon spüren. Wenn man die Prozessorauslastung anschaut, wird man feststellen, dass es anscheinend nicht daran liegt. Ich kenne mich zwar mit pptp nicht aus, tippe aber auch hier auf eine ungünstige Konfiguration, (ähnlich wie bei OpenVPN). Sodass die vor allem große TCP-Pakete (sprich grafik) ungünstig aufgesplittet werden und womöglich wiederholt gesendet werden.
Man könnte es mit einem erweiterten ping testen. Ich persönlich habe aber momentan keine Zeit dazu.

MfG

 

[RalfFriedl]

Load average sagt hierzu nicht viel aus. Interessanter wäre die Anzeige von top mit dem CPU-Verbrauch von dropbear bzw. pptpd. Bei pptp knnte aber auch noch ein Teil der Verarbeitung im Kernel stattfinden und dann nirgends auftauchen.

Mit tcpdump könnte man evtl. genaueres feststellen, wenn man die Zeiten zwischen den Paketen vergleicht.

Wenn aber ssh bei Dir funktioniert, ist das vermutlich unnötig.

 

[udosw]

@Udo: Du darfst natürlich nicht Äpfel mit Birnen vergleichen

schon klar ... nein, aber daran liegt es nicht.
1. Hatte ich früher eine deutlich langsamere Verbindung
2. Habe ich auch von der Arbeit -> Zuhause schon mit pptp gearbeitet, als ich den pptp-Server zu Hause auch auf einer Linux-Büchse hatte. Der hatte zwar auch nur 100 MHz, aber auch da konnte ich flüssig arbeiten.

Das mit der Paket-Fragmentierung ist aber ein Ansatz, den ich mal prüfen werde.

Udo

 

[hermann72pb]

Poste mal bitte deine Ergebnisse nachher hier und wie du vorgegangen bist (Befehle, Tools, etc.). Ich werde dann dasselbe nach Möglichkeit mit OpenVPN testen. Ich weiß aber nicht, ob man beim pptp auch so viele Spielmöglichkeiten mit mtu und Fragmentierungswerten hat wie beim OpenVPN.

MfG