q16marvin
Goto Top

Anbindung einer filiale über vpn als "langes netzwerkkabel"

hallo,

ich habe eine Verständnisfrage

wir sollen eine Filiale mit ca. 10 Arbeitsplätzen und unsere "Zentrale" anschließen.
Ist es möglich diese Filiale via VPN anzuschliessen und das „selbe“ Netz zu nutzen? Wir wollen kein neuen DHCP / Active Directory etc in der Filiale aufbauen.

Ist das irgendwie möglich?`

Content-ID: 336858

Url: https://administrator.de/forum/anbindung-einer-filiale-ueber-vpn-als-langes-netzwerkkabel-336858.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

ArnoNymous
ArnoNymous 04.05.2017 aktualisiert um 15:57:35 Uhr
Goto Top
Moin,

was du suchst nennt sich Site-to-Site VPN.
Was für eine Firewall habt ihr im Einsatz?

Gruß
Kraemer
Kraemer 04.05.2017 um 15:58:22 Uhr
Goto Top
Zitat von @ArnoNymous:
was du suchst nennt sich Site-to-Site VPN.
Das ist richtig. Für dich noch als Suchbegriff: Standortvernetzung
q16marvin
q16marvin 04.05.2017 um 16:17:14 Uhr
Goto Top
ja site-to-site ist mir bekannt und nutzen wir auch in anderen fällen. dort sind es ja dann aber unterschiedliche netze,bsp: zentrale hat 192.168.1.0/24 und filiale hat 192.168.2.0/24...

mein ziel ist aber das die rechner in der filiale das selbe netz wie in der zentrale nutzen, also so als ob es ein sehr langes netzwerkkabel und ein switch in dem standort... mehr nicht face-smile
Kraemer
Kraemer 04.05.2017 um 16:18:56 Uhr
Goto Top
Zitat von @q16marvin:

ja site-to-site ist mir bekannt und nutzen wir auch in anderen fällen. dort sind es ja dann aber unterschiedliche netze,bsp: zentrale hat 192.168.1.0/24 und filiale hat 192.168.2.0/24...

mein ziel ist aber das die rechner in der filiale das selbe netz wie in der zentrale nutzen, also so als ob es ein sehr langes netzwerkkabel und ein switch in dem standort... mehr nicht face-smile
keine Chance! Damit die Daten geroutet werden können, müssen diese in verschiedenen Netzen liegen
q16marvin
q16marvin 04.05.2017 um 16:27:28 Uhr
Goto Top
okay ich dachte es gibt da irgendeine möglichkeit... wenn ich einzelne arbeitsplätze mit openvpn anbinde gehts ja auch...
aqui
aqui 04.05.2017 aktualisiert um 16:40:04 Uhr
Goto Top
Ist es möglich diese Filiale via VPN anzuschliessen und das „selbe“ Netz zu nutzen?
Theoretisch ja, sollte man aber als verantwortungsvoller Netzwerker niemals machen weil dann beide gekoppelten Netze mit ihrer gesamten Broad- und Multicast Last den VPN Tunnel erheblich belasten und in der Performance massiv einschränken.
Immer ein NoGo in einer VPN WAN Vernetzung.
Stichwort ist hier also in jedem Falle immer Routing.
Wir wollen kein neuen DHCP / Active Directory etc in der Filiale aufbauen.
Das ist auch Blödsinn und muss man nicht, denn der ist natürlich auch über ein geroutetes IP Netzwerk aus dem Standort problemlos zu erreichen.
Diese Aussage lässt eher die Befürchtung aufkommen das du nicht wirklich weisst worum es geht.
Aber egal. Wie solche VPN Designs in der Praxis aussehen zeigt die wie immer dieses Forums Tutorial:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder natürlich auch mit OpenVPN:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router

P.S.: Deine Shift Taste ist defekt.
Lochkartenstanzer
Lochkartenstanzer 04.05.2017, aktualisiert am 06.05.2017 um 14:20:04 Uhr
Goto Top
Zitat von @Kraemer:

Zitat von @q16marvin:

mein ziel ist aber das die rechner in der filiale das selbe netz wie in der zentrale nutzen, also so als ob es ein sehr langes netzwerkkabel und ein switch in dem standort... mehr nicht face-smile
keine Chance! Damit die Daten geroutet werden können, müssen diese in verschiedenen Netzen liegen

Da muß ich widersprechen. Mit einem Level 2 Tunneling Protocol sollte das kein Thema sein. Allerdings muß man dann in Kauf nehmen, daß Broadcasts und anderer "Schmutz" über das VPN gepustet wird.

Eine andere Alternative ist es mit 1.1 NAT mit Zwischennetzen auf beiden Seiten zu arbeiten, wenn man auf Level 3 arbeiten will. Ist aber deutlich aufwendiger und fehleranfälliger.

Am besten vergebt Ihr den Auftrag an jemanden, der sich damit auskennt.

lks

Edit: Typos
Looser27
Looser27 04.05.2017 um 16:46:51 Uhr
Goto Top
Bei 10 Arbeitsplätzen würde ich eh einen RODC hinstellen, der dann in einem DNS und DHCP macht. Damit erübrigen sich dann auch manche "wilden" Konstrukte.

Gruß Looser
Kraemer
Kraemer 04.05.2017 um 16:51:28 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Da muß ich wiedersprechen. Mit einem Level 2 Tunneling Protocol sollte das kein Thema sein. Allerdings muß man dnn in lauf nehmen, daß Broadcasts und anderer "Schmutz" über das VPN gepustet wird.
das kannte ich noch nicht. Wieder was dazu gelernt. Danke dir. (erklärt aber auch ein wenig, warum ich kein Netzwerker geworden bin face-wink )

Eine andere Alternative ist es mit 1.1 NAT mit zwoschennetzen auf beiden Seiten zu arbeiten, wenn man auf Level 3 arbeiten will. Iist aber deutlich aufwendiger und Fehleranfälliger.
klar mit nem Transfernetzt ist das machbar - damit hat man aber streng genommen wieder verschiedene Netzte.
108012
108012 04.05.2017 um 18:26:19 Uhr
Goto Top
bsp: zentrale hat 192.168.1.0/24 und filiale hat 192.168.2.0/24...
Bitte nicht vergessen, das man das zwar hinbekommen kann, aber dann immer mit einer Mittellösung oder einem WorkAround
leben muss und wenn noch einmal etwas anderes aufgebaut werden soll, kann das dann immer wieder in einer Speziallösung
enden und dann "geht" bzw. funktioniert irgend wann gar nichts mehr wie es soll!


Gruß
Dobby
Pjordorf
Pjordorf 04.05.2017 um 22:52:59 Uhr
Goto Top
Hallo,

Zitat von @q16marvin:
Ist es möglich diese Filiale via VPN anzuschliessen und das „selbe“ Netz zu nutzen?
Unüblich, aber möglich. Bridge anstelle von Routing. z.B. die Sophos RED kann das https://community.sophos.com/kb/zh-cn/116573

Wir wollen kein neuen DHCP / Active Directory etc in der Filiale aufbauen.
Ein AD ist dort nicht nötig und auch ein DHCP nicht, obwohl DHCP ja schon jeder Router kann. Das AD vom Hauptstandort kann selbstverständlich mitgenutzt werden, auch wenn keine Standorte definiert sind im AD bzw. in eurem L2 IP Netz (haben ja alle das gleiche)

Sophos RED macht es euch leicht.....RED = Remote Ethernet Device = langes Kabel face-smile

Gruß,
Peter
Dani
Dani 06.05.2017 um 14:09:00 Uhr
Goto Top
@Looser27
Damit erübrigen sich dann auch manche "wilden" Konstrukte.
Dafür braucht man keine wilde Konstrukte. Bei einer L2 Verbindung zwischen den beiden Standorten stellst du einfach einen L3 Switch an die Außenstelle. So kannst du ein Transfernetz zwischen Außenstelle und Hauptstelle aufbauen - kein Multi/Broadcastproblem, oder?


Gruß,
Dani
aqui
aqui 06.05.2017 um 15:30:51 Uhr
Goto Top
So kannst du ein Transfernetz zwischen Außenstelle und Hauptstelle aufbauen
Das wäre natürlich die Ideallösung. Bekäme man aber auch mit 2 VPN Routern hin. Es gibt eben viele Wege das sauber und schnell zu realisieren. Leider lässt aber die Fragestellung des TOs vermuten das er damit vermutlich überfordert ist.
Enygma
Enygma 09.05.2017 um 13:05:52 Uhr
Goto Top
Hallo Marvin,

mal abgesehen von den Vorschlägen meiner Vorredner, gäbe es noch die Möglichkeit einen
Ethernet Connect von der Telekom schalten zu lassen (falls an den Standorten verfügbar).

Allerdings ist der sehr teuer, da ist die Frage ob man das viele Geld für 10 Arbeitsplätze ausgeben möchte...
Dann hättest du aber alles in einem Netzwerk.

Trotz der hohen Kosten, dachte ich ich werf das mal in den Raum.

Grüsse
aqui
aqui 09.05.2017 um 13:50:26 Uhr
Goto Top
Routen muss bzw. sollte er aber auch immer bei Ethernet Connect, da das ja auch nur eine Layer 2 Kopplung ist.