15
Ca. 10 HomeOffices per VPN verbinden
Hallo liebe Kollegen,
ich habe einen Fall hier vor mir liegen:
Zentral im Büro eine Fritzbox 4040 an einem Glasfaser-Anschluss der Telekom (50/50 Mbit), im Büro bis zu 10 User.
Dann gibt es zusätzlich ca. 10 Home Offices mit jeweils deren privaten Fritzboxen, sehr heterogen mit Kabel, DSL, VDSL... die jeweils mit Site-to-Site-VPN mit der zentralen FB 4040 verbunden sind.
Außerdem sind VoIP-Telefone von Yealink im Einsatz, die an einer Starface in der Zentrale hängen.
Ziel ist es, die zentrale FB abzulösen, trotzdem die VPNs weiter zu betreiben. Die FB 4040 ist nämlich dem stetigen Datenverkehr inkl. VoiP nicht gewachsen und unterstützt zu wenige VPN-Tunnel.
Außerdem ist es natürlich ein No-Go, dass die VPNs ohne ordentliche Firewall-Regeln in die privaten Bereiche der User und natürlich umgekehrt reichen.
Mein aktueller Gedanke:
Zentral einen größeren LANCOM-Router, dann in den HomeOffices hinter die Fritzboxen ebenfalls einen kleineren LANCOM-Router, darüber dann das VPN realiseren und damit auch privates und geschäftliches in den HomeOffices zu trennen.
Was denkt ihr? Gibt es günstigere, bessere, sinnvollere Ideen?
Danke für eure Gedankenanstöße und liebe Grüße
puerto
(Edit: Info zu Telefonen ergänzt)
ich habe einen Fall hier vor mir liegen:
Zentral im Büro eine Fritzbox 4040 an einem Glasfaser-Anschluss der Telekom (50/50 Mbit), im Büro bis zu 10 User.
Dann gibt es zusätzlich ca. 10 Home Offices mit jeweils deren privaten Fritzboxen, sehr heterogen mit Kabel, DSL, VDSL... die jeweils mit Site-to-Site-VPN mit der zentralen FB 4040 verbunden sind.
Außerdem sind VoIP-Telefone von Yealink im Einsatz, die an einer Starface in der Zentrale hängen.
Ziel ist es, die zentrale FB abzulösen, trotzdem die VPNs weiter zu betreiben. Die FB 4040 ist nämlich dem stetigen Datenverkehr inkl. VoiP nicht gewachsen und unterstützt zu wenige VPN-Tunnel.
Außerdem ist es natürlich ein No-Go, dass die VPNs ohne ordentliche Firewall-Regeln in die privaten Bereiche der User und natürlich umgekehrt reichen.
Mein aktueller Gedanke:
Zentral einen größeren LANCOM-Router, dann in den HomeOffices hinter die Fritzboxen ebenfalls einen kleineren LANCOM-Router, darüber dann das VPN realiseren und damit auch privates und geschäftliches in den HomeOffices zu trennen.
Was denkt ihr? Gibt es günstigere, bessere, sinnvollere Ideen?
Danke für eure Gedankenanstöße und liebe Grüße
puerto
(Edit: Info zu Telefonen ergänzt)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 449905
Url: https://administrator.de/contentid/449905
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
15 Kommentare
Neuester Kommentar
Zitat von @puerto:
[...] ca. 10 Home Offices mit jeweils deren privaten Fritzboxen, sehr heterogen mit Kabel, DSL, VDSL... die jeweils mit Site-to-Site-VPN mit der zentralen FB 4040 verbunden sind.
puerto
[...] ca. 10 Home Offices mit jeweils deren privaten Fritzboxen, sehr heterogen mit Kabel, DSL, VDSL... die jeweils mit Site-to-Site-VPN mit der zentralen FB 4040 verbunden sind.
puerto
DAS würde ich nicht machen, weil so der gesamte Datenverkehr der Hausarbeiter (und deren Familienangehöriger) über das Büro läuft.
Die Fritzbox als Telefonanlage zu nutzen ist OK, wenn die Anforderungen erfüllt werden und die Anlage für die genutzten Anwendungen gebrauchstauglich ist.
Für die Firmenseite besteht die Möglichkeit, hinter die Fritzbox eine Hardware-Firewall / UTM anzuschließen und diese als Gateway / DHCP-Server für das interne Netz zu nutzen, z.B. auf Basis pfsense/opensense, oder was kommerzielles von secupoint, sophos, o.ä.
Dazu wird ein Port der Fritzbox als Exposed Host konfiguriert und das daran angeschlossene Gerät (UTM) stellt dann die Schutzfunktionen und dient als VPN-Server. Der VPN- Durchsatz wir dann von der Leistungsfähigkeit der UTM abhängig sein.
Auf der Home-Office-Seite würde ich dann mit einem Software-VPN-Clients arbeiten, so dass nur das Home-Office-Gerät per VPN verbunden ist und nicht das gesamte Heimnetz des Users.
Gruß
Haben die zuhause auch ein VoIP-Telefon (oder Drucker / Scanner) was über das VPN in die Firma geroutet werden soll oder ist das nur der eine Arbeitsplatz?
Moin,
gibt es einen besonderen Grund, warum ihr alle per Site-to-Site angebunden habt? Denkbar wäre auch Client-to-Site.
Damit spart man sich die Hardware in den Homeoffices.
Als Firewall würde ich, wenn es kostengünstig sein soll, OPNSense oder pfSense empfehlen.
Die VPN-Tunnel dann per OpenVPN vom Client bei Bedarf aufbauen.
Schönes Wochenende.
Gruß
Looser
gibt es einen besonderen Grund, warum ihr alle per Site-to-Site angebunden habt? Denkbar wäre auch Client-to-Site.
Damit spart man sich die Hardware in den Homeoffices.
Als Firewall würde ich, wenn es kostengünstig sein soll, OPNSense oder pfSense empfehlen.
Die VPN-Tunnel dann per OpenVPN vom Client bei Bedarf aufbauen.
Schönes Wochenende.
Gruß
Looser
Es sind in der Regel neben einem Notebook ( macOS) noch VoIP-Telefone von Yealink im Einsatz. Die unterstützen lediglich OpenVPN und können daher nicht mit den Lancoms (da bin ich "zuhause"), andere Router/Firewalls würde mich aber auch einarbeiten.
Mahlzeit
Im Normalfall wird nur der Traffic über das VPN zum Büro übertragen, der explizit dafür vorgesehen ist. Split-DNS
Außer natürlich, wenn auf der Seite der Homeoffices bei allen Clients als DNS-Server der des Büros angegeben wurde. Dann geht sämtlicher Traffic über den Tunnel.
Was ein Site-to-Site VPN ohne Einschränkungen natürlich zur Folge hat, ist, dass jeder im Homeoffice auf die Ressourcen des VPN zugreifen kann.
Schlecht gesicherte Freigaben könnte auch der Freund der Tochter des Mitarbeiters einsehen, muss ja nur das Passwort vom "Schwiegerpapa" rausbekommen.
Mein Vorschlag:
Lancom 1906VA in die Firma und dann entsprechende Client-VPN-Tunnel angelegt.
Hierfür kann wahlweise der kostenfreie Shrew-client, der Lancom VPN-Client oder jeder andere IPSEC-VPN-Client genommen werden.
Edit:
Wenn die Telefone kein IPSEC können und du dich mit Lancom auskennst, dann musst du auch nicht zwingend anderes nehmen.
Möglichkeit 1:
Fritzboxen in den Homeoffices behalten und Tunnel zum zentralen Lancom Router einrichten. Dort die Firewall konfigurieren, dass nur die Geräte (Macbooks und VOIP-Telefone mit ihren IPs) auf das LAN zugreifen dürfen. Bei den Telefonen kann man es gar auf die TK-Anlage beschränken.
Möglichkeit 2:
Nimm an Stelle der Fritzboxen Lancom 883 oder ähnliches und richte es so ein.
Zitat von @Dilbert-MD:
DAS würde ich nicht machen, weil so der gesamte Datenverkehr der Hausarbeiter (und deren Familienangehöriger) über das Büro läuft.
Da irrst du aber.Zitat von @puerto:
[...] ca. 10 Home Offices mit jeweils deren privaten Fritzboxen, sehr heterogen mit Kabel, DSL, VDSL... die jeweils mit Site-to-Site-VPN mit der zentralen FB 4040 verbunden sind.
puerto
[...] ca. 10 Home Offices mit jeweils deren privaten Fritzboxen, sehr heterogen mit Kabel, DSL, VDSL... die jeweils mit Site-to-Site-VPN mit der zentralen FB 4040 verbunden sind.
puerto
DAS würde ich nicht machen, weil so der gesamte Datenverkehr der Hausarbeiter (und deren Familienangehöriger) über das Büro läuft.
Im Normalfall wird nur der Traffic über das VPN zum Büro übertragen, der explizit dafür vorgesehen ist. Split-DNS
Außer natürlich, wenn auf der Seite der Homeoffices bei allen Clients als DNS-Server der des Büros angegeben wurde. Dann geht sämtlicher Traffic über den Tunnel.
Was ein Site-to-Site VPN ohne Einschränkungen natürlich zur Folge hat, ist, dass jeder im Homeoffice auf die Ressourcen des VPN zugreifen kann.
Schlecht gesicherte Freigaben könnte auch der Freund der Tochter des Mitarbeiters einsehen, muss ja nur das Passwort vom "Schwiegerpapa" rausbekommen.
Auf der Home-Office-Seite würde ich dann mit einem Software-VPN-Clients arbeiten, so dass nur das Home-Office-Gerät per VPN verbunden ist und nicht das gesamte Heimnetz des Users.
Das ist der richtige Weg.Mein Vorschlag:
Lancom 1906VA in die Firma und dann entsprechende Client-VPN-Tunnel angelegt.
Hierfür kann wahlweise der kostenfreie Shrew-client, der Lancom VPN-Client oder jeder andere IPSEC-VPN-Client genommen werden.
Edit:
Zitat von @puerto:
Es sind in der Regel neben einem Notebook ( macOS) noch VoIP-Telefone von Yealink im Einsatz. Die unterstützen lediglich OpenVPN und können daher nicht mit den Lancoms (da bin ich "zuhause"), andere Router/Firewalls würde mich aber auch einarbeiten.
Die Macbooks könntest du mit dem nativen VPN-Clienten verbinden.Es sind in der Regel neben einem Notebook ( macOS) noch VoIP-Telefone von Yealink im Einsatz. Die unterstützen lediglich OpenVPN und können daher nicht mit den Lancoms (da bin ich "zuhause"), andere Router/Firewalls würde mich aber auch einarbeiten.
Wenn die Telefone kein IPSEC können und du dich mit Lancom auskennst, dann musst du auch nicht zwingend anderes nehmen.
Möglichkeit 1:
Fritzboxen in den Homeoffices behalten und Tunnel zum zentralen Lancom Router einrichten. Dort die Firewall konfigurieren, dass nur die Geräte (Macbooks und VOIP-Telefone mit ihren IPs) auf das LAN zugreifen dürfen. Bei den Telefonen kann man es gar auf die TK-Anlage beschränken.
Möglichkeit 2:
Nimm an Stelle der Fritzboxen Lancom 883 oder ähnliches und richte es so ein.
Hi,
Das ist doch quark, die kleinen Firewalls beziehen WAN-seitig doch wie jedes andere private Endgerät daheim eine IP-Adresse vom ISP-Router. Das Einzige, was dann LAN-seitig an der Firewall hängt, ist das Homeoffice, mehr nicht. Der Rest bleibt ja direkt am ISP-Router.
Sobald das HomeOffice aus mehr, als nur einem Laptop/PC besteht, z.B. noch ein Netzwerkdrucker dabei ist, ist C2S "gestorben". Aber dafür hat der TE sicherlich einen Anforderungskatalog erstellt
Zitat von @Dilbert-MD:
DAS würde ich nicht machen, weil so der gesamte Datenverkehr der Hausarbeiter (und deren Familienangehöriger) über das Büro läuft.
Zitat von @puerto:
[...] ca. 10 Home Offices mit jeweils deren privaten Fritzboxen, sehr heterogen mit Kabel, DSL, VDSL... die jeweils mit Site-to-Site-VPN mit der zentralen FB 4040 verbunden sind.
puerto
[...] ca. 10 Home Offices mit jeweils deren privaten Fritzboxen, sehr heterogen mit Kabel, DSL, VDSL... die jeweils mit Site-to-Site-VPN mit der zentralen FB 4040 verbunden sind.
puerto
DAS würde ich nicht machen, weil so der gesamte Datenverkehr der Hausarbeiter (und deren Familienangehöriger) über das Büro läuft.
Das ist doch quark, die kleinen Firewalls beziehen WAN-seitig doch wie jedes andere private Endgerät daheim eine IP-Adresse vom ISP-Router. Das Einzige, was dann LAN-seitig an der Firewall hängt, ist das Homeoffice, mehr nicht. Der Rest bleibt ja direkt am ISP-Router.
gibt es einen besonderen Grund, warum ihr alle per Site-to-Site angebunden habt? Denkbar wäre auch Client-to-Site.
Sobald das HomeOffice aus mehr, als nur einem Laptop/PC besteht, z.B. noch ein Netzwerkdrucker dabei ist, ist C2S "gestorben". Aber dafür hat der TE sicherlich einen Anforderungskatalog erstellt
Es sind in der Regel neben einem Notebook ( macOS) noch VoIP-Telefone von Yealink im Einsatz.
Damit hast Du mehrere Möglichkeiten: Bau VPN-Tunnel auf OpenVPN-Basis auf oder ersetze die Yealinks durch PC-Telefonie.
Sobald das HomeOffice aus mehr, als nur einem Laptop/PC besteht, z.B. noch ein Netzwerkdrucker dabei ist, ist C2S "gestorben". Aber dafür hat der TE sicherlich einen Anforderungskatalog erstellt
Wenn dem so wäre, halte ich das für einen Design-Fehler.
DAS würde ich nicht machen, weil so der gesamte Datenverkehr der Hausarbeiter (und deren Familienangehöriger) über das Büro läuft.
Wenn du meinen Post weiter liest, ist bereits klar, dass der aktuelle Status ein No-Go ist. Die Sache mit dem "gesamten" Datenverkehr haben ja andere schon erläutert.
Die Fritzbox als Telefonanlage zu nutzen ist OK, wenn die Anforderungen erfüllt werden und die Anlage für die genutzten Anwendungen gebrauchstauglich ist.
FB dient hier nicht als Tel-Anlage. Ich habe lediglich erwähnt, dass u.a. VoIP-Verkehr über die VPN-Tunnel läuft.
Hallo
Mit einer PfSense/Opensense kannst du einen Tunnel via OpenVPN realisieren.
Laptop/PC + Yeahlinks unterstützen OpenVPN. So müsstest du nicht zwingend S2S VPN machen...
Gruss
adminst
Mit einer PfSense/Opensense kannst du einen Tunnel via OpenVPN realisieren.
Laptop/PC + Yeahlinks unterstützen OpenVPN. So müsstest du nicht zwingend S2S VPN machen...
Gruss
adminst
Zitat von @Looser27:
Wenn dem so wäre, halte ich das für einen Design-Fehler.
Sobald das HomeOffice aus mehr, als nur einem Laptop/PC besteht, z.B. noch ein Netzwerkdrucker dabei ist, ist C2S "gestorben". Aber dafür hat der TE sicherlich einen Anforderungskatalog erstellt
Wenn dem so wäre, halte ich das für einen Design-Fehler.
Heißt du würdest im HomeOffice einen Local Breakout konfigurieren, damit der per VPN-Client verbundene HO-Platz auf dem Drucker im heimischen Netz drucken kann? Sehr fragwürdig...
Nein. Lokal angeschlossener Drucker und Terminalserver.
Mehr braucht es meist nicht.
Mehr braucht es meist nicht.
Die FB 4040 ist nämlich dem stetigen Datenverkehr inkl. VoiP nicht gewachsen
Kein Wunder, denn deren schwachbrüstiger SoC schaft max. 2 Mbit VPN Durchsatz bei einem VPN Tunnel. Bei 4 hast du dann nur noch 500kb. Das zeigt wie skalierbar die FritzBox ist bei VPNs. Du darfst nie vergessen das das ein billiger Consumer Router ist der für sowas gar nicht gemacht ist. Vergiss das also bei deinen Anforderungen.Nimm als VPN Dialin Router den die 10 Clients connecten einen Lancom, Cisco, Mikrotik oder eine Firewall wie z.B. die pfSense. Hier im Forum findest du genug Anregungen zu dem Thema VPN Standort Vernetzung:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Usw. usw.
Bei 10 remoten Locations wäre die Mikrotik Variante mit dynamischen Routing die Königsklasse.
Zitat von @puerto:
Es sind in der Regel neben einem Notebook ( macOS) noch VoIP-Telefone von Yealink im Einsatz. Die unterstützen lediglich OpenVPN und können daher nicht mit den Lancoms (da bin ich "zuhause"), andere Router/Firewalls würde mich aber auch einarbeiten.
Es sind in der Regel neben einem Notebook ( macOS) noch VoIP-Telefone von Yealink im Einsatz. Die unterstützen lediglich OpenVPN und können daher nicht mit den Lancoms (da bin ich "zuhause"), andere Router/Firewalls würde mich aber auch einarbeiten.
Die Fritzbox im Büro ist dem eh nicht gewachsen. Dann stell dort doch erstmal eine ausreichend dimensionierte pfSense auf. Die kann OpenVPN für die Telefone und IPsec für die MacBooks und natürlich das Firewalling dazu. Wenn sich das nicht bewährt, kannst du immer noch jedem eine APU2D4 geben, ebenfalls mit pfSense drauf, und hast eine einheitliche Lösung.
Grüße
Richard
Hallo,
deinen Ansatz zu der Problematik (gesamte Hardware ersetzen) finde ich gut, ich persönlich würde da jedoch Mikrotik Hardware verwenden (weil ich die mehr mag, nicht weil sie zwangsweise besser wären ;))
Mein Vorschlag da wäre:
RB4011 in der Zentrale (reicht auch wenn mal mehr Speed gebraucht wird)
hEX (kein Wifi)/hAP ac in den Home Offices
VPN via SSTP (Tik zu Tik braucht kein Zertifikat)
Wenn sich an den Netzen nichts bis wenig ändert: statische Routen, ansonsten OSPF
Firewall für Zugriffsrechte konfigurieren
Lg
deinen Ansatz zu der Problematik (gesamte Hardware ersetzen) finde ich gut, ich persönlich würde da jedoch Mikrotik Hardware verwenden (weil ich die mehr mag, nicht weil sie zwangsweise besser wären ;))
Mein Vorschlag da wäre:
RB4011 in der Zentrale (reicht auch wenn mal mehr Speed gebraucht wird)
hEX (kein Wifi)/hAP ac in den Home Offices
VPN via SSTP (Tik zu Tik braucht kein Zertifikat)
Wenn sich an den Netzen nichts bis wenig ändert: statische Routen, ansonsten OSPF
Firewall für Zugriffsrechte konfigurieren
Lg
ich persönlich würde da jedoch Mikrotik Hardware verwenden
Ist ja richtig und eine gute Wahl ! Damit machst du ja auch nichts falsch !Mein Vorschlag da wäre:
Alles richtig....!Wenn sich an den Netzen nichts bis wenig ändert: statische Routen, ansonsten OSPF
Oder gleich alles mit RIPv2. Das reicht für einfache Netze und ist etwas weniger aufwendig als OSPF.
Besser dann IPsec mit GRE Tunnel verwenden, denn so bekommst du zusätzlich zum dynamischen Routing auch Multicasting usw. durch das VPN.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
