laster
Goto Top

China und VPN

Hallo,

einer unserer Kunden hat eine kleine Niederlassung in China mit ca. 5 PC.
Die PCs haben einen SSL-VPN-Client (NetExtender von SonicWALL) und greifen per vpn auf Ressourcen im Hauptsitz in DE zu.
Die Verbindung ist weder schnell noch stabil.
IPSec geht eigentlich garnicht (Tunnel steht, aber kein Datentransport...).

Was ist zu empfehlen?
VPN Deutschland dedizierte MPLS-Verbindungen (vpn.de)?
Hätte ich mit OpenVPN mehr Glück?

vG
LS

Content-ID: 332341

Url: https://administrator.de/contentid/332341

Ausgedruckt am: 23.11.2024 um 02:11 Uhr

Chonta
Chonta 16.03.2017 um 17:07:56 Uhr
Goto Top
Hallo,

Die Verbindung ist weder schnell noch stabil.
Wenn die normale Verbindung nicht stabiel ist, dann wird ein VPN gleich welcher Art auch nicht stabiel sein.

Hätte ich mit OpenVPN mehr Glück?
Schon möglich, testen und vergleichen.

Gruß

Chonta
Vision2015
Lösung Vision2015 16.03.2017 um 17:39:03 Uhr
Goto Top
Zitat von @laster:

Hallo,

einer unserer Kunden hat eine kleine Niederlassung in China mit ca. 5 PC.
Die PCs haben einen SSL-VPN-Client (NetExtender von SonicWALL) und greifen per vpn auf Ressourcen im Hauptsitz in DE zu.
Die Verbindung ist weder schnell noch stabil.
hm... das wird der China Filter sein face-smile sozusagen der gelbe bruder face-smile
IPSec geht eigentlich garnicht (Tunnel steht, aber kein Datentransport...).
was nu. eigentlich oder gar nicht ?
wenn IPSec nicht geht, ist das ein einrichtungs fehler, und hat nix mit China zu tun.
an beiden endpunkten eine feste ip v4.....2x SRX5308.. dazu die passenden Modems.. kein problem.
die config rennt zwischen hamburg und shanghai!

Was ist zu empfehlen?
einen IPSec tunel bauen... der geht face-smile
VPN Deutschland dedizierte MPLS-Verbindungen (vpn.de)?
Hätte ich mit OpenVPN mehr Glück?
nö... die chinesen arbeiten fast immer mit einem Proxy- also aufpassen.

vG


LS
Frank
GrueneSosseMitSpeck
GrueneSosseMitSpeck 16.03.2017 um 21:42:12 Uhr
Goto Top
seid froh daß es überhaupt geht... wenn ich in China bin dann bau ich mir privat nen VPN Tunnel mit OpenVPN auf, damit z.B. Facebook geht etc. Gibt aber keine Garantie daß das ewig so nutzbar bleibt, aber das typische 5-User-Office ist auch nicht groß genug, um z.B. bei der Regierung sich die Leutung freischalten zu lassen...

Und MPLS ist meist nicht die beste Wahl. Ist nur billiger und hat keine Latenzzeitgarantie, QOS gibts auf MPLS nur sehr eingeschränkt.

Großundernehmen haben natürlich irgendwelche Deals so daß deren VPN Verbindungen nach draußen auch problemlos funktionieren.
Wir haben z.B. Juniper dort als Software registrieren lassen, und deshalb geht unser Unternehmensnetz da ohne Probleme.

Aber die Kunden sind teilweise garnicht zufrieden... die einen können nen RDP in Deutschland oder in der Schweiz ohne Probleme nutzten, dem anderen (Firmengelände direkt nebenan) versauen stark schwankende Latenzen die Usability. Das liegt aber erfahrungsgemäß eher mal am lokalen Netzwerkprovider, weil der die Datenpakte erstmal durch die Wüste routet ...
108012
Lösung 108012 16.03.2017 um 22:11:57 Uhr
Goto Top
Hallo,

man muss in der (Eurer) Region nach einem ISP suchen der sich auf so etwas spezialisiert hat und dann
kann man sich dort auch anmelden und legt halt vor dass man aus dem Ausland ist und in China nur eine
Niederlassung hat, dann bekommt man einen Internetzugang an seinem Standort ohne Proxy und allem
Pipapo, der soll ja nur dafür sorgen dass die einheimischen nicht alle auf Twitter und Facebook posten!

Also Möglichkeiten gibt es da dicke auch in China, das muss man nur erst einmal wissen und nicht zu dem
nächst besten ISP oder Verwandten desjenigen den man gerade gefragt hat! Da geht einiges mehr als wir
alle denken nur eben nicht für jeden und man muss es eben auch erst einmal wissen!

IPSec geht eigentlich garnicht (Tunnel steht, aber kein Datentransport...).
Auf beiden Seitens des Tunnels eventuell das selbe Netz?
(192.168.1.0/24 und 192.168.1.0/24)

Gruß
Dobby
brammer
brammer 17.03.2017 um 10:28:03 Uhr
Goto Top
Hallo,

wir haben diverse VPN Verbindungen nach China.
IPSec oder Cisco EzVPN .... funktionieren im allgemeinen aber Problemlos.

Wenn euer IP Sec Tunnel funktioniert, ihr aber keinen Traffic durchbekommt ist das ein Konfigurationsproblem.... kein Problem der großen chinesischen Mauer....

brammer
laster
laster 17.03.2017 um 20:42:12 Uhr
Goto Top
Hallo Frank,

was nu. eigentlich oder gar nicht ?
also, der Tunnel steht, aber ping auf Ziel bringt keine Antwort.

wenn IPSec nicht geht, ist das ein einrichtungs fehler, und hat nix mit China zu tun.
an beiden endpunkten eine feste ip v4.....2x SRX5308.. dazu die passenden Modems.. kein problem.
nun ja, die identische Konfig funktioniert in DE.

die config rennt zwischen hamburg und shanghai!
Erfahrung oder gut gemeinte Vermutung?

vG
LS
laster
laster 17.03.2017 um 20:54:17 Uhr
Goto Top
Hallo brammer, hallo Frank,

von brammer:
Wenn euer IP Sec Tunnel funktioniert, ihr aber keinen Traffic durchbekommt ist das ein Konfigurationsproblem....
kein Problem der großen chinesischen Mauer....

von Frank:
wenn IPSec nicht geht, ist das ein einrichtungs fehler, und hat nix mit China zu tun.

dann habt ihr wahrscheinlich recht, bzw. mich überzeugt.

VPN-Seite in China sind einzelne Notebooks. Da ist es wohl besser, eine Box hinzustellen und die NB per WLAN anzubinden. Da hab ich dann wenigstens die Kontrolle, oder besser den Zugriff auf das Tunnelende hinter der Mauer face-smile

vG
LS
laster
laster 17.03.2017 um 20:57:52 Uhr
Goto Top
Und was haltet ihr von http://www.vpn.de/produkte/vpn-loesungen-corporate-network/spezialloesu ... ?
Geldschneiderei oder Lösung?
Die wollen sich am Montag bei mir telefonisch melden - mal sehen was deren Lösung kostet...

vG
LS
Vision2015
Vision2015 17.03.2017 um 21:09:31 Uhr
Goto Top
Zitat von @laster:

Hallo Frank,

was nu. eigentlich oder gar nicht ?
also, der Tunnel steht, aber ping auf Ziel bringt keine Antwort.
ich tippe auf 100% konfig fehler face-smile

wenn IPSec nicht geht, ist das ein einrichtungs fehler, und hat nix mit China zu tun.
an beiden endpunkten eine feste ip v4.....2x SRX5308.. dazu die passenden Modems.. kein problem.
nun ja, die identische Konfig funktioniert in DE.

die config rennt zwischen hamburg und shanghai!
Erfahrung oder gut gemeinte Vermutung?
keine Vermutung, sondern täglicher Betrieb eines Kunden...

vG
LS
Frank
laster
laster 17.03.2017 um 21:15:19 Uhr
Goto Top
keine Vermutung, sondern täglicher Betrieb eines Kunden...
OK, das macht mir Mut face-smile
brammer
brammer 20.03.2017 um 12:01:08 Uhr
Goto Top
Hallo,

bei deinem VPN Anbieter sehe ich nicht wie er Datensicherheit gewährleistet.... was macht er in seiner Infrastruktur mit den Daten?

Du kannst in Shanghai bequem einen Cisco Router setzen und über den ein VPN aufbauen....

brammer
laster
laster 20.03.2017 aktualisiert um 12:12:15 Uhr
Goto Top
Hallo brammer,

der Anbieter (vpn.de) hat sich heute gemeldet.
Geht bei 1000,- EU pro Monat los und bietet eine MPLS Verbindung.
Bei diesem Preis ist das natürlich für mich uninteressant.
Eine Idee war noch: Verbindung über Handy Hotspot (und dann VPN) - das wäre wohl besser (Verbindungsqualität) als China-DSL.

Wird wohl mit Router die beste Lösung (da kann ich dann wiederum Client-MAC-Adressen zulassen/verbieten - nicht viel, aber besser als nix)

vG
LS
brammer
Lösung brammer 20.03.2017 um 12:44:27 Uhr
Goto Top
Hallo,

Wird wohl mit Router die beste Lösung (da kann ich dann wiederum Client-MAC-Adressen zulassen/verbieten - nicht viel, aber besser als nix)

wieso so skeptisch?

Eine kleine LDAP / AD vor Ort und du kannst reglementieren wie du es willst...

brammer
Vision2015
Vision2015 20.03.2017 um 12:47:42 Uhr
Goto Top
Zitat von @laster:

Hallo brammer,

der Anbieter (vpn.de) hat sich heute gemeldet.
Geht bei 1000,- EU pro Monat los und bietet eine MPLS Verbindung.
nun, je nach verbindungssicherheit ist das vom preis ok....
Bei diesem Preis ist das natürlich für mich uninteressant.
Eine Idee war noch: Verbindung über Handy Hotspot (und dann VPN) - das wäre wohl besser (Verbindungsqualität) als China-DSL.
das wirst du vergessen können..

Wird wohl mit Router die beste Lösung (da kann ich dann wiederum Client-MAC-Adressen zulassen/verbieten - nicht viel, aber jup...besser als nix...
aber....was die große gelbe brandmauer lesen will, liest sie auch face-smile

vG
LS
Frank...
laster
laster 20.03.2017 um 12:50:16 Uhr
Goto Top
Hallo Frank,

aber....was die große gelbe brandmauer lesen will, liest sie auch

so isses (ist es) ...