18 Standorte via IPSEC VPN verbinden
Hallo Mitstreiter,
es geht um einen Kunden, der eine zentrale Niederlassung mit 18 kleinen Außenstellen hat, in denen jeweils eine Fritzbox 7490 steht .
Nun müssen alle Außenstellen per VPN mit der "Zentrale" verbunden werden.
Der zu erwartende Datendurchsatz ist gering (Zeiterffassung und Lieferscheine drucken).
Bei den Fritzboxen ist so ein VPN schnell eingerichtet - ich frage mich nur, welchen Router ich in der Zentrale verwenden muss.
Die FB7490 erlaubt maximal 12 VPN Verbindungen.
Das heißt dann doch, dass ich in der Zentrale keine FB7490 verwenden kann, oder?
Welchen Router sollte ich dann dort einsetzen? Ich habe die Erfahrung gemacht, dass VPN zwischen unterschiedlichen Routern oft "wacklig" sind.
Gibt es von Euch eine Empfehlung für dieses spezielle Szenario?
Viele Grüße von der Ostsee!
Jens
es geht um einen Kunden, der eine zentrale Niederlassung mit 18 kleinen Außenstellen hat, in denen jeweils eine Fritzbox 7490 steht .
Nun müssen alle Außenstellen per VPN mit der "Zentrale" verbunden werden.
Der zu erwartende Datendurchsatz ist gering (Zeiterffassung und Lieferscheine drucken).
Bei den Fritzboxen ist so ein VPN schnell eingerichtet - ich frage mich nur, welchen Router ich in der Zentrale verwenden muss.
Die FB7490 erlaubt maximal 12 VPN Verbindungen.
Das heißt dann doch, dass ich in der Zentrale keine FB7490 verwenden kann, oder?
Welchen Router sollte ich dann dort einsetzen? Ich habe die Erfahrung gemacht, dass VPN zwischen unterschiedlichen Routern oft "wacklig" sind.
Gibt es von Euch eine Empfehlung für dieses spezielle Szenario?
Viele Grüße von der Ostsee!
Jens
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 318150
Url: https://administrator.de/contentid/318150
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
26 Kommentare
Neuester Kommentar
Einen Cisco 880 oder 890:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder eben die üblichen anderen Verdächtigen von Lancom oder Bintec.
Oder auch eine pfSense Firewall mit APU2 Hardware die entsprechede Crypto Hardware an Bord hat:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Andere FWs sind ebenso denkbar.
Eine FB in der Zentrale wird die Anforderung nicht packen.
Das ist ein billiger Consumer DSL Router für Oma Grete aber nichts für deine Anforderungen in der Zentrale, das solltest du nicht vergessen !
Du fährst ja auch nicht mit einem Dacia Logan in der Formel 1 mit, oder ?
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
bzw.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder eben die üblichen anderen Verdächtigen von Lancom oder Bintec.
Oder auch eine pfSense Firewall mit APU2 Hardware die entsprechede Crypto Hardware an Bord hat:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Andere FWs sind ebenso denkbar.
Eine FB in der Zentrale wird die Anforderung nicht packen.
Das ist ein billiger Consumer DSL Router für Oma Grete aber nichts für deine Anforderungen in der Zentrale, das solltest du nicht vergessen !
Du fährst ja auch nicht mit einem Dacia Logan in der Formel 1 mit, oder ?
Zitat von @Nichtsnutz:
Ich habe die Erfahrung gemacht, dass VPN zwischen unterschiedlichen Routern oft "wacklig" sind.
Die Erfahrung teile ich. Was ich nicht verstehe ist, warum du daraus nicht die richtigen Schlüsse ziehst. Ich würde sämtliche Fritzboxen in Rente schicken.Ich habe die Erfahrung gemacht, dass VPN zwischen unterschiedlichen Routern oft "wacklig" sind.
Gruß Krämer
Die Fritzbüchsen sind ja in den Niederlassungen vermutlich gesetzt also ist der TO dann auf IPsec als VPN Protokoll verhaftet ! Es sei denn er tauscht einmal durch...?!
Der Cisco oder die pfSense sprechen aber IPsec natürlich....auch mit der FB.
Das Praxisturorial oben zeigt ja das es klappt.
Ums nochmal klar zu sagen: Mit einer mickrigen FB die 15 VPN Tunnel bedienen soll in der Zentrale wirst du garantierten Schiffbruch erleiden. Auch wenn es gemischt wäre. Die HW ist einfach viel zu schwach...so einfach ist das.
Der Cisco oder die pfSense sprechen aber IPsec natürlich....auch mit der FB.
Ich habe die Erfahrung gemacht, dass VPN zwischen unterschiedlichen Routern oft "wacklig" sind.
Eigentlich Unsinn, denn IPsec ist ein weltweiter Standard. Ist das der Fall ist zu 98% die Konfiguration "wackelig" bzw. fehlerbehaftet.Das Praxisturorial oben zeigt ja das es klappt.
Ums nochmal klar zu sagen: Mit einer mickrigen FB die 15 VPN Tunnel bedienen soll in der Zentrale wirst du garantierten Schiffbruch erleiden. Auch wenn es gemischt wäre. Die HW ist einfach viel zu schwach...so einfach ist das.
Hallo,
na der entsprechende Cisco Router ist ja schon genannt...
Und die Fritzboxen an den Standorten darüber sollte man reden...
Wenn die FB bleiben müssen/sollen dann kann man hinter die FB einen Cisco 881 / 891 setzen und mit Cisco EzVPN oder Cisco Flex VPN arbeiten.
Das schöne daran ist dann das man IPSec hat ohne eine public IP zu brauchen ....
@aqui,
vollkommen richtig IPSEC ist ein weltweiter Standard... aber die Hersteller haben bei der Implentierung eine gewissen "Interpretationsspielraum"
Und das führt immmer wieder mal zu wackeligen oder garnicht funktionerenden Tunneln.... das muss ich leider bestätigen
brammer
na der entsprechende Cisco Router ist ja schon genannt...
Und die Fritzboxen an den Standorten darüber sollte man reden...
Wenn die FB bleiben müssen/sollen dann kann man hinter die FB einen Cisco 881 / 891 setzen und mit Cisco EzVPN oder Cisco Flex VPN arbeiten.
Das schöne daran ist dann das man IPSec hat ohne eine public IP zu brauchen ....
@aqui,
vollkommen richtig IPSEC ist ein weltweiter Standard... aber die Hersteller haben bei der Implentierung eine gewissen "Interpretationsspielraum"
Und das führt immmer wieder mal zu wackeligen oder garnicht funktionerenden Tunneln.... das muss ich leider bestätigen
brammer
Kann ich auch nur brammer und Kollegen beipflichten, IPsec ist eben nicht IPsec und je einfacher das IPsec implementiert ist, desto abenteuerlicher. Nebenbei muss man sagen, jeder Normierung wohnen Ausschläge in der Implementierung inne. Sonst müsste ein Dev-Team bei allen Herstellern die jew. Funktion implementieren.
Die Fritzboxen an den Ausstenstellen würde ich in Frage stellen.
a) Consumer
b) Management
c) Sicherheit/Compliance.
hab dir dazu allerdings eine PN geschrieben, da das über das Thema hinaus geht.
Die Fritzboxen an den Ausstenstellen würde ich in Frage stellen.
a) Consumer
b) Management
c) Sicherheit/Compliance.
hab dir dazu allerdings eine PN geschrieben, da das über das Thema hinaus geht.
Moin!
Die Fritten sind doch schon konfiguriert.
Alles, was bliebe, wäre jeweils eine vorbereitete vpn.cfg einzuspielen. Das ist nicht so unkomfortabel.
Und sooo unübersichtlich wie vor ein paar Jahren sind die nun auch nicht mehr.
Eigentlich sind aber die Cisco 880er für die Standorte konzipiert.
Ausserdem habe ich grade nochmal nachgelesen, dass die 880er bis zu 20 Verbindungen supporten. Da darf die Fa. nicht mehr viel wachsen...
Eine PfSense mit entsprechend starker Hardware sollte mehr Tunnel supporten, allerdings gibt es bei oberflächlicher Suche nur die Info, dass der StrongSwan einen Test mit 100 Connections in einem Testsetting wohl bestanden hat. Weiss jemand, wo das Limit liegt?
ist ja von allg. Interesse.
Einschränkung aus meiner Erfahrung:
Habe eine FB6490 Cable, die immer wieder zickt beim Reconnect des VPN nach Zwangstrennung. Fehler nicht zu beheben, mal gehts wie gewünscht, dann gehts wieder nur nach Reboot der Fritte.
Sonst PfSense---FB immer stabil und an sich empfehlenswert für kleine Standorte.
Buc
Die Fritten sind doch schon konfiguriert.
Alles, was bliebe, wäre jeweils eine vorbereitete vpn.cfg einzuspielen. Das ist nicht so unkomfortabel.
Und sooo unübersichtlich wie vor ein paar Jahren sind die nun auch nicht mehr.
Eigentlich sind aber die Cisco 880er für die Standorte konzipiert.
Ausserdem habe ich grade nochmal nachgelesen, dass die 880er bis zu 20 Verbindungen supporten. Da darf die Fa. nicht mehr viel wachsen...
Eine PfSense mit entsprechend starker Hardware sollte mehr Tunnel supporten, allerdings gibt es bei oberflächlicher Suche nur die Info, dass der StrongSwan einen Test mit 100 Connections in einem Testsetting wohl bestanden hat. Weiss jemand, wo das Limit liegt?
ist ja von allg. Interesse.
Einschränkung aus meiner Erfahrung:
Habe eine FB6490 Cable, die immer wieder zickt beim Reconnect des VPN nach Zwangstrennung. Fehler nicht zu beheben, mal gehts wie gewünscht, dann gehts wieder nur nach Reboot der Fritte.
Sonst PfSense---FB immer stabil und an sich empfehlenswert für kleine Standorte.
Buc
Hallo,
@the-buccaneer,
die 881 waren ja auch für die Niederlassungen gedacht
für die Zentrale kann es ein 891 sein... der kann 50 Tunnel
Für die Zentrale darf es beider Größe auch ein 4000 sein....
IT und Sicherheit kosten nun mal Geld....
brammer
@the-buccaneer,
Ausserdem habe ich grade nochmal nachgelesen, dass die 880er bis zu 20 Verbindungen supporten. Da darf die Fa. nicht mehr viel wachsen...
die 881 waren ja auch für die Niederlassungen gedacht
für die Zentrale kann es ein 891 sein... der kann 50 Tunnel
Für die Zentrale darf es beider Größe auch ein 4000 sein....
IT und Sicherheit kosten nun mal Geld....
brammer
@to
Ich bin ein großer Freund von FritzBoxen im privaten Umfeld und in kleinen Firmen. Die tun was sie sollen und das auch recht stabil.
Das was du da aber vor hast ist nichts für die Fritten! Die von dir geschilderten Anforderungen erfordern eine Bidirektionale Verbindung - das heißt beide Seiten sollten dazu in der Lage sein einen VPN-Tunnel aufzubauen. Das wirst du mit den Fritten nicht zuverlässig hinbekommen. Für VoIP brauchst du QoS - und zwar ordentliches. Und das ganze mit dynamischen IP's aufzubauen ist der Anfang von stundenlangem Fehlersuchen!
Keine Frage - hier im Forum findest du überwiegend Leute die auf gute Hardware setzen. Das liegt aber nicht daran, dass diese in Firmen arbeiten, in denen Geld keine Rolle spielt. Das liegt schlicht daran, dass die die Verantwortung dafür haben, dass eine Lösung stabil läuft.
Klar - auch ich kenne endlos Lösungen, die auf Fritten aufsetzen. Viele sog. Systemhäuser nutzen halt die vorhandenen Kisten um Kohlemäßig unten zu bleiben. Ich kenne deswegen auch die Probleme, die damit einhergehen. Und spätestens bei VoIP fliegst du auf die Nase.
Beantrage ein Budget für eine ordentliche Lösung. Wenn das abgelehnt wird, kannst du wenigstens hinter sagen, das du auf die Probleme hingewiesen hast. Machst du das nicht wirst du in Erklärungsnot geraten.
Gruß
Ich bin ein großer Freund von FritzBoxen im privaten Umfeld und in kleinen Firmen. Die tun was sie sollen und das auch recht stabil.
Das was du da aber vor hast ist nichts für die Fritten! Die von dir geschilderten Anforderungen erfordern eine Bidirektionale Verbindung - das heißt beide Seiten sollten dazu in der Lage sein einen VPN-Tunnel aufzubauen. Das wirst du mit den Fritten nicht zuverlässig hinbekommen. Für VoIP brauchst du QoS - und zwar ordentliches. Und das ganze mit dynamischen IP's aufzubauen ist der Anfang von stundenlangem Fehlersuchen!
Keine Frage - hier im Forum findest du überwiegend Leute die auf gute Hardware setzen. Das liegt aber nicht daran, dass diese in Firmen arbeiten, in denen Geld keine Rolle spielt. Das liegt schlicht daran, dass die die Verantwortung dafür haben, dass eine Lösung stabil läuft.
Klar - auch ich kenne endlos Lösungen, die auf Fritten aufsetzen. Viele sog. Systemhäuser nutzen halt die vorhandenen Kisten um Kohlemäßig unten zu bleiben. Ich kenne deswegen auch die Probleme, die damit einhergehen. Und spätestens bei VoIP fliegst du auf die Nase.
Beantrage ein Budget für eine ordentliche Lösung. Wenn das abgelehnt wird, kannst du wenigstens hinter sagen, das du auf die Probleme hingewiesen hast. Machst du das nicht wirst du in Erklärungsnot geraten.
Gruß
Wenn du einen mit Modem benötigst (hattest du vorher nicht erwähnt), kommt nur ein Cisco C896VA in Frage. Mit WLAN gibt es die 89x-Serie leider nicht, nur die 88x-Serie, allerdings sind da meiner Meinung nach die Ressourcen bei deinen Anforderungen zu schnell aufgebraucht. Einen IPsec-Client benötigst du bei Windows nicht, der ist bereits mit an Bord, genauso wie unter macOS, iOS, Android, Linux.. Allerdings greife ich bei Windows lieber zu diesem Klickibunti-Client:
https://www.shrew.net
https://www.shrew.net
Hi certified!
Wieso Master-Slave? Die Fritten machen Site2Site VPN.
Und das größtenteils seit Jahren völlig wartungsfrei nach Einrichten der Verbindung.
Nur mein Sorgenkind, die 6490...
@Nichtsnutz: Eine vpn.cfg erstellst du mit dem Tool "Fritz! Fernzugang einrichten" (Toller Name.
Man kann aber auch eine Vorlage aus dem Forum oder dem Netz verwenden.
Diese öffnest du in einem Editor deiner Wahl und passt den Code entsprechend deinen Bedürfnissen an. (Identifier etc.)
Das erfordert etwas Einarbeitung in die AVM IPSec Syntax ist aber dokumentiert und kein Hexenwerk.
Dabei ist das aufwärtskompatibel, d.h. eine für die olle 2170 erstellte cfg kann noch in eine aktuelle Fritte eingespielt werden und rennt.
Nicht zu unterschätzen, wenn verschiedene FB's im Einsatz sind.
Da du dich ja nach eigener Aussage bereits mit IPSec Parametern herumgeschlagen hast, sollte das für dich machbar sein.
3x Klick und dann gehts, gilt wohl nur für FB zu FB. Oder allgemein hinter herstellerspezifischen Standardinterpretationen...
PfSense <---> FB ist im verlinkten Tutorial von Aqui erwähnt. Auch Cisco <---> FB sollte aber machbar sein (?) da ich davon ausgehe, dass die Cisco an die AVM-Beschränkungen anpassbar ist.
Und das ist eben auch der Nachteil der FB-Lösung: Das VPN ist an die eingeschränkte IPSec Implementierung von AVM gebunden. Immerhin haben die aber etwas aufgerüstet.
LG
Buc
Wieso Master-Slave? Die Fritten machen Site2Site VPN.
Und das größtenteils seit Jahren völlig wartungsfrei nach Einrichten der Verbindung.
Nur mein Sorgenkind, die 6490...
@Nichtsnutz: Eine vpn.cfg erstellst du mit dem Tool "Fritz! Fernzugang einrichten" (Toller Name.
Man kann aber auch eine Vorlage aus dem Forum oder dem Netz verwenden.
Diese öffnest du in einem Editor deiner Wahl und passt den Code entsprechend deinen Bedürfnissen an. (Identifier etc.)
Das erfordert etwas Einarbeitung in die AVM IPSec Syntax ist aber dokumentiert und kein Hexenwerk.
Dabei ist das aufwärtskompatibel, d.h. eine für die olle 2170 erstellte cfg kann noch in eine aktuelle Fritte eingespielt werden und rennt.
Nicht zu unterschätzen, wenn verschiedene FB's im Einsatz sind.
Da du dich ja nach eigener Aussage bereits mit IPSec Parametern herumgeschlagen hast, sollte das für dich machbar sein.
3x Klick und dann gehts, gilt wohl nur für FB zu FB. Oder allgemein hinter herstellerspezifischen Standardinterpretationen...
PfSense <---> FB ist im verlinkten Tutorial von Aqui erwähnt. Auch Cisco <---> FB sollte aber machbar sein (?) da ich davon ausgehe, dass die Cisco an die AVM-Beschränkungen anpassbar ist.
Und das ist eben auch der Nachteil der FB-Lösung: Das VPN ist an die eingeschränkte IPSec Implementierung von AVM gebunden. Immerhin haben die aber etwas aufgerüstet.
LG
Buc
Wie oben bereits schon mehrfach genannt !!!
Cisco 880, 890 oder die üblichen Verdächtigen von Lancom oder Bintec.
Alternative eine pfSense Firewall auf einer potenten Hardware. Mintestens APU2 Board von Pcengines:
http://varia-store.com/Hardware/PC-Engines-Bundles/APU-2C2-Bundles/APU2 ...
oder der oben bereits genannte SG Systeme: https://store.pfsense.org/systems/
Mit dem Cisco bist du am besten bedient, denn in heterogenen Umgebungen hast du dort die besten Troubleshooting Optionen und Service.
Zur Performance muss man wohl nix mehr sagen !
Die oben bereits zitierten Tutorials sagen dir alles dazu !
Einfach nur mal lesen !!! Dann musst du alle deine Fragen nicht doppelt stellen
Cisco 880, 890 oder die üblichen Verdächtigen von Lancom oder Bintec.
Alternative eine pfSense Firewall auf einer potenten Hardware. Mintestens APU2 Board von Pcengines:
http://varia-store.com/Hardware/PC-Engines-Bundles/APU-2C2-Bundles/APU2 ...
oder der oben bereits genannte SG Systeme: https://store.pfsense.org/systems/
Mit dem Cisco bist du am besten bedient, denn in heterogenen Umgebungen hast du dort die besten Troubleshooting Optionen und Service.
Zur Performance muss man wohl nix mehr sagen !
Die oben bereits zitierten Tutorials sagen dir alles dazu !
Einfach nur mal lesen !!! Dann musst du alle deine Fragen nicht doppelt stellen
Wir ?? DU kannst das nur allein als Threadowner !!
Bitte nicht nur gewissenhaft die Threads lesen sondern auch die Forums FAQs
Wie kann ich einen Beitrag als gelöst markieren?
Bitte nicht nur gewissenhaft die Threads lesen sondern auch die Forums FAQs
Wie kann ich einen Beitrag als gelöst markieren?