da-rob
Goto Top

Hardware-Lösungen (Gateway, Firewall, Router) für VPN Tunnel gleichzeitig über mehrere DSL oder Kabel Anschlüsse gesucht (VPN-Trunking)

Hallo liebe Administrator.de Gemeinde,

nachdem ich schon viele Jahre sehr dankbarer Leser des Forums hier bin, habe ich mich nun hier angemeldet. Ich hoffe hier vielleicht eine Antwort auf folgende Frage zu bekommen:

Gibt es eine Hardware Lösung zur Vernetzung zweier Standorte in einem Klein(-st)-Unternehmen über einen VPN Tunnel, der dabei mehrere DSL oder Kabelanschlüsse nutzt?

Ich habe jetzt einige Stunden recherchiert und auch viele Beiträge hier gelesen, diese Frage in der Form aber nicht gefunden oder beantwortet gesehen. Ebenso erscheint die Lage bei der Google-Suche.

Zum Hintergrund: Ich bin kein Netzwerk-Spezialist und wünsche mir daher eine Lösung, die ich bis jetzt so nur bei Draytek gefunden habe. Bei deren Lösung bin ich aber auf Grund einiger negativer Rezensionen zum jetzigen Firmwarestand (1.0.8.2 31.8.2014) der betreffenden Geräte (z.B. Vigor 2960 bzw. Vigor 3900) verunsichert. Die Firma preist eine Funktion namens "VPN-Trunking" an, welche das verspricht, was ich mir vorstelle:

Beispielszenario:

Hauptstandort: 1x ADSL 16000 von Vodafone (vormals Arcor) und 1x ADSL 6000 der Telekom (T-Com)
hier steht ein Windows 2003 Server, auf dem z.B. ein ERP System und ein Tobit David Server läuft.

Nebenstandort: 1x ADSL 16000 von Vodafone, optionale Ausbauidee z.B. NetCologne Internetanschluss über Kabel.

Die Rechner am Nebenstandort sollen so mit dem Netzwerk des Hauptstandortes verbunden sein, dass Sie das ERP System und das David benutzen können.

Zur Steigerung der Bandbreite und der Ausfallsicherheit möchte ich gerne den VPN Tunnel nicht nur auf jeweils einer der Standortanbindungen sondern parallel benutzen. Gegenwärtig ist dies nicht möglich, da ich in den jetzt eingesetzten Firewall Routern nur eine IPSec VPN Policy in das Zielnetzwerk gleichzeitig aktiv schalten kann.

Welche Hersteller beziehungsweise Geräte bieten eine vergleichbare Funktionalität (s.o. Draytek)?

Vielen Dank schon einmal für die Ratschläge, ich bin sehr gespannt face-smile

Lieben Gruß

Rob

PS: Die Grundidee der Firma Viprinet mit einer Anbindung in ein Rechenzentrum ist aus Kostengründen leider ungünstig.
Bei einem sehr kleinen Unternehmen <5 MA sind Betriebskosten von einigen Hundert Euro pro Monat nicht wirklich durchsetzbar. Daher auch der Ansatz quasi "Consumer" Internet im Sinne von ADSL, VDSL oder Kabel zu benutzen und eben keine SDSL / Standleitung o.Ä..

Content-ID: 247919

Url: https://administrator.de/contentid/247919

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

griddi
griddi 31.08.2014 um 16:47:57 Uhr
Goto Top
Hallo Rob,

Ich würde immer Lancom Router empfehlen. Die unterstützen mehrere Gateways fur VPN. Nachteil ganz klar der Preis!
Mit ein wenig Recherche bekommt du die Einrichtung relativ schnell hin.

Gruß griddi
aqui
aqui 31.08.2014 aktualisiert um 17:24:53 Uhr
Goto Top
Oder einen Cisco 886va
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
mit dem das ebenso möglich ist.
Generell können alle VPN fähigen Dual WAN Balancing Router das leisten. Bekannte Beispiele außer den oben bereits genannten sind Draytek Vigor 29xx und Linksys LRT-224 z.B u.a.
Falls du selbst Hand anlegen will supportet eine pfSense Firewall solch ein Konstrukt ebenso:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Aufgrund deiner nicht ganz trivialen Anforderung solltest du aber renomierten Router Herstellern wie Cisco oder Lancom klar den Vorzug geben wenn es dir auf Verlässlichkeit und Zuverlässigkeit in der Firmen Kommunikation ankommt und du nicht nur auf den Preis schielst. Sich wegen 50 Euro jede Woche zu ärgern um dann am Ende doch was anderes zu kaufen sollte ja nicht das Ziel sein....
da-Rob
da-Rob 31.08.2014 um 17:30:36 Uhr
Goto Top
Bei den LANCOM Geräten verstehe ich noch nicht ganz, wie viele "WAN" Ports die können, weil da ein ADSL Anschluss und ein Switch drin ist. Kann man die ETHs separat als WAN Port nutzen?
da-Rob
da-Rob 31.08.2014 um 17:32:19 Uhr
Goto Top
Bei der Anschaffung eines guten Gerätes sind 50 Euro nicht das Problem. Aber ebenso wenig wie ich 250€+ in den monatlichen Kosten rechtfertigen kann, kann ich auch schwerlich Geräte mit einem Preis >500€ Pro Standort durchsetzen. face-smile
griddi
griddi 31.08.2014 aktualisiert um 17:38:00 Uhr
Goto Top
Ja du kannst eth ports zu wan ports unkonfigurieren. Das ist grindlegend 1 klick.

Das problem mit dem preis bei deinen anforderungen ist mit "gut und günstig" aber auch schwer realisierbar!

Geuß griddi
aqui
aqui 31.08.2014 aktualisiert um 17:50:53 Uhr
Goto Top
Aller Geräte kosten je unter 300 Euro wenn man sie weise einkauft !
Du musst für dich und die Firma entscheiden wo die Schwerpunkte liegen bzw. was wirklich für die Firma und deren Umsätze wichtig ist. Danach entscheidet man doch das Budget.
Was kostet es wenn die Firma einen Tag stillsteht weil der presiwerte Taiwan Plasterouter schlapp macht oder einen Firmware Bug hat ?! Wiegt das die Mehrkosten auf, Ja oder Nein ? Diese Fragen kannst nur DU beantworten.
So oder so ist das alles in deinem gesteckten Rahmen mit der genannten HW zu realisieren !
108012
108012 31.08.2014 um 17:45:29 Uhr
Goto Top
Zitat von @da-Rob:

Bei der Anschaffung eines guten Gerätes sind 50 Euro nicht das Problem.
Ne klar aber verstehe bitte auch auf der anderen Seite, dass es eben für
kleines Geld nicht alle Leistungen und/oder Funktionen aus dem Enterprisesegment
gibt, ergo entweder Du musst Geld für den ISP wie Viprinet lassen oder aber Geld
ausgeben und Dir einen gescheiten Router kaufen der auch das umsetzen kann
was Du benötigst bzw. was Du hier beschreibst.

Aber ebenso wenig wie ich 250€+ in den monatlichen Kosten rechtfertigen kann,
Ok rechne mal 4 Monate zu 250 € sind auch tausend Euronen, und da gibt man
dann eben schon lieber 500 € pro Standort aus und hat Ruhe, aber wenn man auch
die nicht rausrücken möchte kommen eben zwar noch OpenSource alternativen
mit ins Spiel nur auch dafür muss Hardware angeschafft werden und wenn das
alles zu viel ist wird es eben auch nichts und das sollte auch mal einer dazu sagen
dürfen.

Alix APU mit pfSense vorinstalliert sind dann aber auch ca. 200 € (je nach Ausstattung)
von Nöten oder aber man nimmt einen 30 € Router mit DD-WRT und beschwert sich
nachher immer mal wieder über den lausigen VPN Durchsatz.

kann ich auch schwerlich Geräte mit einem Preis >500€ Pro Standort
durchsetzen. face-smile
Ne aber deren einfache Handhabung und Funktionsvielfalt lassen die sich
eben auch genau so bezahlen wie die ISPs die solche Funktionen anbieten,
klar warum auch nicht.


Gruß
Dobby
da-Rob
da-Rob 31.08.2014 um 18:12:19 Uhr
Goto Top
Ich hoffe, ich war jetzt nicht total missverständlich: Ich mag eher einmalig je (2x) 450€ ausgeben für eine Hardware, die dann mindestens 2 WAN Ports auf jeder Seite anbindet und beide Standorte über VPN darüber vernetzt. Auch die Kosten von insgesamt 4 ADSL Leitungen sind okay. Was eben nicht geht sind geräte der Kategorie 1500€+ und das zwei mal. Leider bin ich eben nicht versiert genug, um jetzt selbst mit OpenSource Lösungen und Hardware rum zu experimentieren, da ich dafür schlicht nicht die Zeit habe. Es soll also auch keine Lösung sein, die "billig um jeden Preis" sein muss.
Ich schaue mir gerade die vorgeschlagenen Sachen von LANCOM und Cisco an. Bei LANCOM scheint die Kategorie 1781 das richtige Gerät zu sein, oder? Der 831 macht kein VPN. Wäre der 1631 eine Alternative?

Die Cisco geräte habe ich in der Bucht neu für unter 200€ gesehen, das ist natürlich auch eine gute Idee. Wenn die integrierte Modems haben, sind die heutzutage automatisch VDSL und ADSL kompatibel? Was wäre, wenn ich einen Kabelanbieter wählen würde und da ein externes Modem anschließen wollen würde?
griddi
griddi 31.08.2014 um 18:48:07 Uhr
Goto Top
Ok. Habe ich dann falsch verstanden ...
Ja der 1781 ist der etwas performantere und die richte wahl.
Bei den ciscos kann ich dir leider nicht helfen.

Gruß griddi
sk
sk 01.09.2014 aktualisiert um 02:28:48 Uhr
Goto Top
Hallo Rob,

die Viprinet-Lösung sollte sich auch bei Deinem Szenario einsetzen lassen. Substituiere einfach das Rechenzentrum durch Deinen Hauptstandort. face-wink

Ansonten kann ich Dir als Alternative zu DrayDreck noch zu einer aktuellen ZyWALL oder ZyWALL USG raten. Auch hier ist es möglich, GRE-Tunnel über die IPSec-Tunnel zu legen und hierauf ein Loadbalancing zu fahren. Siehe ftp://ftp.zyxel.com/USG210/application_note/USG210_1.pdf
Wie gut das funktioniert, kann ich allerdings mangels eigener praktischer Erfahrungen (noch) nicht sagen.

Gruß
Steffen
hertli
hertli 01.09.2014 aktualisiert um 11:44:22 Uhr
Goto Top
Wir arbeiten mit Netgear-Geräten.

Der FVS336G unterstützt 2 WAN-Leitungen (100 MBit), der SRX5308 unterstützt 4 WAN-Leitungen (1 GBit).

Eine Übersicht der Netgear-Geräte findest Du hier: http://www.netgear.de/business/products/security/vpn-firewalls.aspx#tab ...

Mit Deinen Leitungen kommst Du aktuell mit dem 2-Port-WAN-Modell aus. Sobald Du planst auf eine Leitung mit mehr wie 100 MBit umzusteigen, müsstest Du das 4-Port-WAN-Modell favorisieren.

Wir setzen das selbe Szenario ein wie Du.
Am Hauptstandort 1x Fibre 150 MBit und 1x SDSL 2 MBit über SRX 5308 im Loadbalancing-Mode.
Am Nebenstandort 2x ADSL 16 MBit über FVS336G im Loadbalancing-Mode.

Als Alternative bietet sich noch die Sophos UTM (ehemals Astaro) als virtuelle Maschine an, von der es eine kostenlose Version gibt.
http://www.sophos.com/de-de/products/unified-threat-management.aspx
Digi-Quick
Digi-Quick 01.09.2014 um 12:20:02 Uhr
Goto Top
von den kleinen Ciscos kann ich in deinem Szenario nur abraten
VPN geht nur, wenn mindestens 1 Standort eine statische IP Adresse hat.
VPN hinter einem NAT-Router geht gar nicht, Die Cisco-Router müssen für VPN direkt am Internet hängen!

z.B. Bei KD bekommt man aktuell meist eine Fritzbox, die keinen Bridge/Modem Betrieb zulässt (von KD nicht freigeschaltet obwohl die Fritzbox selber es könnte).

Inwieweit man 2 VPN Verbindungen über getrennte Internetleitungen trunken kann, entzieht sich meiner Kenntnis.
So wie ich das sehe wird da genauso wie beim Port-Trunking die einzelne Anwendung/Verbindung keine höhere Geschwindigkeit erreichen.
16MBit+6Mbit =!22Mbit
Das Load Balancing Vetreilt nur die einzelnen Datenverbindungen - wie gut oder schlecht das Klappt, habe ich noch nicht ausprobiert, da ich kein loadbalancing verwende.
Ich habe mehrere Netgear FVS336G im Einsatz mit dynamischen IP-Adressen (mit DynDNS) und zum Teil hinter NAT-Routern der Provider (KD und Vodafone). Die beiden WAN Zugänge laufen im Autofailover, die IPSec-VPNs werden jeweils auf die andere WAN-Schnittstelle "mitgenommen"
Dani
Dani 01.09.2014 um 20:49:24 Uhr
Goto Top
Hallo aqui,
Zur Steigerung der Bandbreite und der Ausfallsicherheit möchte ich gerne den VPN Tunnel nicht nur auf jeweils einer der Standortanbindungen sondern parallel benutzen.
Dual WAN Balancing ist doch die eine Seite. Aber wie bauen die z.B. Draytek parallel zwei VPN-Tunnel auf und wie wird der VPN-Traffic (IP Hash, MAC-Hash?) auf beide Leitungen verteilt. Grundvorraussetzung ist doch in jedem Fall an allen Anschlüssen statische IP-Adressen bzw. evtl. reicht es an der Zentrale. Erleuchte mich mal bitte...


Gruß,
Dani
da-Rob
da-Rob 01.09.2014 um 22:39:00 Uhr
Goto Top
Hallo und danke an alle erst einmal.

@ ..sk.. Viprinet ist leider die kleine Serie schon wirklich arg teuer, daher war die, obwohl schon vor 1-2 Jahren ins Auge gefallen, genauso wieder raus gefallen.

@ hertli: Könntest Du mir das genauer erklären, wie der VPN im Minium als Failover konfiguriert werden muss? Ist dafür der SRX nötig? Ich habe hier einige Netgear Gurken rumfliegen *duck*: FVX538, FVS336G, FVS338, FVS318 etc. Ich würde es dann einmal ausprobieren. Bis jetzt bin ich daran gescheitert (oder habe halt durch längere Abstinenz an dem Thema die passende Firmware verschlafen).

@ Digi-Quick ähnliche Frage an Dich: Wie konfiguriert man dieses "Mitnehmen". Es wäre zumindest eine minimale Erfüllung meiner Idee: Der VPN Tunnel soll im Fall das eine von idealer Weise vier Leitungen sich verabschiedet irgendwie und automatisch aufrecht werden.

Allgemein hatte ich "Load Balancing" immer so verstanden, dass der Traffic ins Internet aufgeteilt wird. Dass die VPN Tunnel das automatisch auch können ist mir neu. Wie konfiguriert man die, so dass sie zumindest erkennen das der Tunnel auf Grund einer fehlerhaften Verbindung nicht funktioniert und dann gemäß eines "Backup-Plans" eine andere VPN Verbindung aufbauen?+

Schönen Gruß

Robert
108012
108012 01.09.2014 um 22:46:50 Uhr
Goto Top
Ich habe hier einige Netgear Gurken rumfliegen *duck*: FVX538, FVS336G, FVS338, FVS318 etc.
Alles außer der SRX5308 und der FVS336Gv2 oder v3 bzw. der UTMN Serie kannst Du gleich
in die Tonne kloppen.

Gruß
Dobby
Digi-Quick
Digi-Quick 01.09.2014 um 23:13:24 Uhr
Goto Top
FVS336G:
Wan Mode = Auto-Rollover using WAN port: WAN1 oder WAN2, (der jeweils andere ist die Backupleitungface-smile
Nehmen wir also an , daß WAN 1 die Hauptleitung ist.

man erstellt mit dem Assi (wizzard) eine Site zu Site Verbindung für WAN 1 (gateway).
man editiere danach die VPN-Policys und setzen den Haken bei "enable Rollover", damit wird die IPSec-/VPN-Policy auch für WAN2 gültig

Bei mir gibt es eine kleine Downtime (2-3 Minuten) der VPN Verbindung, weil erst die DNS Namen aktualisiert werden müssen (dynamische IPs) dies wird von DynDNS Updatern hinter den VPN Gateways erledigt.

Man kann dusseligerweise nur für eine WAN Schnittstelle den DynDNSClient im Netgear aktivieren, intellenter wäre es, wenn im Failoverbrtrieb der DynDNSClient für beide WAN-Schnittstellen aktiv wäre - mit dem gleichen Datensatz.
goscho
goscho 02.09.2014 um 08:41:25 Uhr
Goto Top
Zitat von @Digi-Quick:
Man kann dusseligerweise nur für eine WAN Schnittstelle den DynDNSClient im Netgear aktivieren, intellenter wäre es,
wenn im Failoverbrtrieb der DynDNSClient für beide WAN-Schnittstellen aktiv wäre - mit dem gleichen Datensatz.
Kann es sein, dass bei WAN-Mode "Auto-Rollover" auch nur der DynDNS-Client des jeweilig aktiven WAN-Ports aktiv ist?
Beim anderen macht das ja keinen Sinn, da dort keine Verbindung zum Internet besteht.
Digi-Quick
Digi-Quick 02.09.2014 um 10:47:56 Uhr
Goto Top
Ja, man kann nur für den gerade aktiven Wan Port Dyndns konfigurieren und einschalten.
Der Dyndnsclient für den jeweils anderen WAN-Port ist deaktiviert und bleibt auch im Failover-Fall deaktiviert!

Ein DynDNS-Client ohne Verbindung zum Internet hat nichts zu tun, so lange bis Verbindung da ist.
Ein deaktivierter DynDNS-Client kann nichts tun!