Egen VPN server på en virutuell server, eller bättre lösningar?

Det är ju aldrig att rekommendera att öppna något direkt ut emot internet, så tycker du resonerar rätt med att sätta upp en VPN Server, själv kör jag med en pfSense box och OpenVPN för att komma åt min enheter.

Jag har ett isolerat VLAN för IoT enheter som inte har åtkomst till något annat i mitt nät, jag kommer dock åt detta VLAN via Open VPN-VLANet.

@fluxor Jag kör linuxserver/openvpn-as den lösning jag kör tillåter mig att göra allt du är ute efter
så ja openvpn är en väldigt bra lösning.
https://hub.docker.com/r/linuxserver/openvpn-as/

Jag rekommendera att ta en titt på wireguard. Kör det själv hemma och till alla mobila enheter så jag kommer åt det jag vill/behöver. Samt att jag använder det när jag surfar på mobilen bl a då jag har 2st pi-holes hemma så jag slipper reklamen på mobben. Dottern har det på sin mobil också, hon trycker på allt när hon kollar på youtube så det är bra att kunna minska på skräpet mha adblocker. Det är dessutom resurssnålt.
Ger också bättre prestanda än ex openvpn.

Edit: jag kör wireguard på en ubuntuserver.

Har du uppgraderat din ER-x när du haft wireguard? Tänkte om man behöver hålla lite koll på så det inte skiter sig. Har väntat på att köra wg direkt i min ER4.

Jag hade börjat med routerns egen VPN. Snabbt att komma igång och du behöver inte exponera inre enheter i onödan.
Om den inte håller måttet börjat leta efter alternativ.

Eftersom du redan har möjlighet att slänga upp en virtuell server att köra din VPN på är det absolut en bra lösning. En Linux-server med WireGuard går snabbt att sätta upp. Vill du jämföra prestandan kan du ju sätta upp OpenVPN också på samma server, men det är lite krångligare.

@fluxor: Jag har för mig att lawrencesystems på tuben har en prestandatest mellan WG och ovpn. Men annars så är WG markant bättre än ovpn i prestanda och hastighet. Betydligt enklare att sätta upp också.

Edit: Enda nackdelen jag kommer på nu på rak arm med WG är att det inte finns dhcp-server så man måste manuellt konfa varje klient med ip, vill minnas att det är på G med en dhcp-server men tror inte det är klart ännu. Men tidsmässigt så tar det sekunder att skriva in det när man ändå är inne i .conf och pular så i praktiken är det ingen direkt skillnad.

Ja, det är rejäl prestandaskillnad. Den andra länken är från någon som mätte drygt 5 Gbit/s med WireGuard och 229 Mbit/s med OpenVPN. Detta var med en MTU på 8500, men även med en MTU på 1500 mätte han ca 3 Gbit/s.

https://www.wireguard.com/performance/

https://redd.it/9bnowo

Hastigheten beror ju givetvis på hårdvaran man har, men även med en väldigt begränsad hårdvara brukar man klara sig ganska bra.

WireGuard är snabbt, men testet på deras egna hemsida är lite felkalkylerat (referens)

Sedan är ju WireGuard inte lika "feature-rich" som t.ex. OpenVPN, så man får nog titta på mer än bara hastigheten när man gör sitt val.

Det må vara hänt, men det gör inte jättestor skillnad i praktiken då den relativa skillnaden fortfarande är väldigt stor. Du verkar också ha missat det andra testet jag länkade som ännu tydligare visade på prestandaskillnaden mellan dem. OpenVPN spelar helt enkelt inte ens i samma liga när det gäller prestanda.

Sedan är det inte säkert att den extra prestandan spelar roll för ens användningsområde, och att andra funktioner som OpenVPN erbjuder är viktigare. Den beskrivningen trådskaparen gav indikerade dock inte att mer funktioner än de WireGuard erbjuder skulle krävas. Då är det både lättare och snabbare att sätta upp WireGuard än OpenVPN. Själv har jag satt upp båda, men har i princip slutat använda den sistnämnda.

Nej då jag har inte missat det, WireGuard visar defenitivt sitt "rätta jag" vid högre hastigheter, men min slutsats baseras på att man ska väga de funtioner man behöver och WireGuard saknar det mesta OpenVPN har, finns förvisso tredje parts lösningar för endel av sakerna.

Men att välja WireGuard enbart för att det ger bättre prestanda vid högre hastigheter så som 10Gbit/s känns ju bara aktuellt för de som har 1Gbit/s eller mer och behöver hastighet framför funktionalitet.

Jag kör själv WireGuard server-to-server, t.ex. mellan två kontor där vi har 10Gbit/s, men kör OpenVPN för t.ex. anslutning ifrån telefoner och bärbara datorer.

Ingen har sagt att man väljer WireGuard enbart på grund av hastigheten (även om prestandaskillnaden blir märkbar redan vid 300 Mbit/s eller så med kraftig hårdvara, eller väldigt mycket tidigare om man kör det på en vanlig konsumentrouter). Saker som att det är mycket lättare att sätta upp, verkar ha lägre latens, enheter ansluter betydligt snabbare, snabbare/bättre hantering av växling mellan olika nät i många fall, etc. är också bra anledningar.

Av ren nyfikenhet, vad är det för funktioner från OpenVPN som du saknar i WireGuard? I detta fall är trådskaparen en hemanvändare som inte efterlyst någon avancerad funktionalitet alls, så "extra funktionlitet" är förmodligen av begränsat värde här. För företag är det en annan sak, men det är inte vad denna tråd handlar om.

Jag upplever att det första stora gapet uppstår ganska omedelbart när man är van att från VPN-servern ha möjlighet justera vilka rutter som ska läggas till på klienterna. Just rutthanteringen är en sån grej som jag inte upplever är en avancerad funktion utan bara grundläggande för att man inte ska bli galen vid löpande administration.
Det är väl där någonstans som problemet är, Wireguard är enkelt men enkelheten gör det samtidigt mer arbetsintensivt med större behov att löpande administrera individuella klienter osv.

Om jag helt missat något, så säg gärna till, annars upplever jag att Wireguard snarare får bli en byggsten i en större lösning än en lösning i sig för de flesta av mina VPN-behov.
Har en site-to-site-koppling som jag känner att det passar bra för, men mina övriga VPN-grejer får rulla vidare med OpenVPN för att bespara mig huvudvärk.

Men OM man har en enkel lösning som man kan räkna med förblir statisk så går det ju bra, eller åtminstone att det bara finns några få enheter inblandade och att du själv har direkt kontroll över samtliga, chansen för det är väl klart större i hemmiljö.

Ja, möjligheten att skjuta ut routes kan vara smidig. I detta fall lät det som en relativt enkel lösning dock, vilket passar WireGuard ypperligt. Guiderna för att sätta upp det är också mycket kortare, enklare och mer korrekta. För OpenVPN finns det alldeles för många dåliga guider tyvärr, helt enkelt för att de bygger på gammalt material.

TCP över TCP är ju egentligen ingen höjdare, men OpenVPN på port 443 vara smidigt ibland för att komma runt rudimentära filter, det kan jag väl hålla med om. Tycker dock att jag stött på sådant väldigt sällan i praktiken när jag rest runt.