Hardware-Lösungen (Gateway, Firewall, Router) für VPN Tunnel gleichzeitig über mehrere DSL oder Kabel Anschlüsse gesucht (VPN-Trunking)
Hallo liebe Administrator.de Gemeinde,
nachdem ich schon viele Jahre sehr dankbarer Leser des Forums hier bin, habe ich mich nun hier angemeldet. Ich hoffe hier vielleicht eine Antwort auf folgende Frage zu bekommen:
Gibt es eine Hardware Lösung zur Vernetzung zweier Standorte in einem Klein(-st)-Unternehmen über einen VPN Tunnel, der dabei mehrere DSL oder Kabelanschlüsse nutzt?
Ich habe jetzt einige Stunden recherchiert und auch viele Beiträge hier gelesen, diese Frage in der Form aber nicht gefunden oder beantwortet gesehen. Ebenso erscheint die Lage bei der Google-Suche.
Zum Hintergrund: Ich bin kein Netzwerk-Spezialist und wünsche mir daher eine Lösung, die ich bis jetzt so nur bei Draytek gefunden habe. Bei deren Lösung bin ich aber auf Grund einiger negativer Rezensionen zum jetzigen Firmwarestand (1.0.8.2 31.8.2014) der betreffenden Geräte (z.B. Vigor 2960 bzw. Vigor 3900) verunsichert. Die Firma preist eine Funktion namens "VPN-Trunking" an, welche das verspricht, was ich mir vorstelle:
Beispielszenario:
Hauptstandort: 1x ADSL 16000 von Vodafone (vormals Arcor) und 1x ADSL 6000 der Telekom (T-Com)
hier steht ein Windows 2003 Server, auf dem z.B. ein ERP System und ein Tobit David Server läuft.
Nebenstandort: 1x ADSL 16000 von Vodafone, optionale Ausbauidee z.B. NetCologne Internetanschluss über Kabel.
Die Rechner am Nebenstandort sollen so mit dem Netzwerk des Hauptstandortes verbunden sein, dass Sie das ERP System und das David benutzen können.
Zur Steigerung der Bandbreite und der Ausfallsicherheit möchte ich gerne den VPN Tunnel nicht nur auf jeweils einer der Standortanbindungen sondern parallel benutzen. Gegenwärtig ist dies nicht möglich, da ich in den jetzt eingesetzten Firewall Routern nur eine IPSec VPN Policy in das Zielnetzwerk gleichzeitig aktiv schalten kann.
Welche Hersteller beziehungsweise Geräte bieten eine vergleichbare Funktionalität (s.o. Draytek)?
Vielen Dank schon einmal für die Ratschläge, ich bin sehr gespannt
Lieben Gruß
Rob
PS: Die Grundidee der Firma Viprinet mit einer Anbindung in ein Rechenzentrum ist aus Kostengründen leider ungünstig.
Bei einem sehr kleinen Unternehmen <5 MA sind Betriebskosten von einigen Hundert Euro pro Monat nicht wirklich durchsetzbar. Daher auch der Ansatz quasi "Consumer" Internet im Sinne von ADSL, VDSL oder Kabel zu benutzen und eben keine SDSL / Standleitung o.Ä..
nachdem ich schon viele Jahre sehr dankbarer Leser des Forums hier bin, habe ich mich nun hier angemeldet. Ich hoffe hier vielleicht eine Antwort auf folgende Frage zu bekommen:
Gibt es eine Hardware Lösung zur Vernetzung zweier Standorte in einem Klein(-st)-Unternehmen über einen VPN Tunnel, der dabei mehrere DSL oder Kabelanschlüsse nutzt?
Ich habe jetzt einige Stunden recherchiert und auch viele Beiträge hier gelesen, diese Frage in der Form aber nicht gefunden oder beantwortet gesehen. Ebenso erscheint die Lage bei der Google-Suche.
Zum Hintergrund: Ich bin kein Netzwerk-Spezialist und wünsche mir daher eine Lösung, die ich bis jetzt so nur bei Draytek gefunden habe. Bei deren Lösung bin ich aber auf Grund einiger negativer Rezensionen zum jetzigen Firmwarestand (1.0.8.2 31.8.2014) der betreffenden Geräte (z.B. Vigor 2960 bzw. Vigor 3900) verunsichert. Die Firma preist eine Funktion namens "VPN-Trunking" an, welche das verspricht, was ich mir vorstelle:
Beispielszenario:
Hauptstandort: 1x ADSL 16000 von Vodafone (vormals Arcor) und 1x ADSL 6000 der Telekom (T-Com)
hier steht ein Windows 2003 Server, auf dem z.B. ein ERP System und ein Tobit David Server läuft.
Nebenstandort: 1x ADSL 16000 von Vodafone, optionale Ausbauidee z.B. NetCologne Internetanschluss über Kabel.
Die Rechner am Nebenstandort sollen so mit dem Netzwerk des Hauptstandortes verbunden sein, dass Sie das ERP System und das David benutzen können.
Zur Steigerung der Bandbreite und der Ausfallsicherheit möchte ich gerne den VPN Tunnel nicht nur auf jeweils einer der Standortanbindungen sondern parallel benutzen. Gegenwärtig ist dies nicht möglich, da ich in den jetzt eingesetzten Firewall Routern nur eine IPSec VPN Policy in das Zielnetzwerk gleichzeitig aktiv schalten kann.
Welche Hersteller beziehungsweise Geräte bieten eine vergleichbare Funktionalität (s.o. Draytek)?
Vielen Dank schon einmal für die Ratschläge, ich bin sehr gespannt
Lieben Gruß
Rob
PS: Die Grundidee der Firma Viprinet mit einer Anbindung in ein Rechenzentrum ist aus Kostengründen leider ungünstig.
Bei einem sehr kleinen Unternehmen <5 MA sind Betriebskosten von einigen Hundert Euro pro Monat nicht wirklich durchsetzbar. Daher auch der Ansatz quasi "Consumer" Internet im Sinne von ADSL, VDSL oder Kabel zu benutzen und eben keine SDSL / Standleitung o.Ä..
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 247919
Url: https://administrator.de/contentid/247919
Ausgedruckt am: 05.11.2024 um 14:11 Uhr
18 Kommentare
Neuester Kommentar
Oder einen Cisco 886va
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
mit dem das ebenso möglich ist.
Generell können alle VPN fähigen Dual WAN Balancing Router das leisten. Bekannte Beispiele außer den oben bereits genannten sind Draytek Vigor 29xx und Linksys LRT-224 z.B u.a.
Falls du selbst Hand anlegen will supportet eine pfSense Firewall solch ein Konstrukt ebenso:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Aufgrund deiner nicht ganz trivialen Anforderung solltest du aber renomierten Router Herstellern wie Cisco oder Lancom klar den Vorzug geben wenn es dir auf Verlässlichkeit und Zuverlässigkeit in der Firmen Kommunikation ankommt und du nicht nur auf den Preis schielst. Sich wegen 50 Euro jede Woche zu ärgern um dann am Ende doch was anderes zu kaufen sollte ja nicht das Ziel sein....
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
mit dem das ebenso möglich ist.
Generell können alle VPN fähigen Dual WAN Balancing Router das leisten. Bekannte Beispiele außer den oben bereits genannten sind Draytek Vigor 29xx und Linksys LRT-224 z.B u.a.
Falls du selbst Hand anlegen will supportet eine pfSense Firewall solch ein Konstrukt ebenso:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Aufgrund deiner nicht ganz trivialen Anforderung solltest du aber renomierten Router Herstellern wie Cisco oder Lancom klar den Vorzug geben wenn es dir auf Verlässlichkeit und Zuverlässigkeit in der Firmen Kommunikation ankommt und du nicht nur auf den Preis schielst. Sich wegen 50 Euro jede Woche zu ärgern um dann am Ende doch was anderes zu kaufen sollte ja nicht das Ziel sein....
Aller Geräte kosten je unter 300 Euro wenn man sie weise einkauft !
Du musst für dich und die Firma entscheiden wo die Schwerpunkte liegen bzw. was wirklich für die Firma und deren Umsätze wichtig ist. Danach entscheidet man doch das Budget.
Was kostet es wenn die Firma einen Tag stillsteht weil der presiwerte Taiwan Plasterouter schlapp macht oder einen Firmware Bug hat ?! Wiegt das die Mehrkosten auf, Ja oder Nein ? Diese Fragen kannst nur DU beantworten.
So oder so ist das alles in deinem gesteckten Rahmen mit der genannten HW zu realisieren !
Du musst für dich und die Firma entscheiden wo die Schwerpunkte liegen bzw. was wirklich für die Firma und deren Umsätze wichtig ist. Danach entscheidet man doch das Budget.
Was kostet es wenn die Firma einen Tag stillsteht weil der presiwerte Taiwan Plasterouter schlapp macht oder einen Firmware Bug hat ?! Wiegt das die Mehrkosten auf, Ja oder Nein ? Diese Fragen kannst nur DU beantworten.
So oder so ist das alles in deinem gesteckten Rahmen mit der genannten HW zu realisieren !
Ne klar aber verstehe bitte auch auf der anderen Seite, dass es eben für
kleines Geld nicht alle Leistungen und/oder Funktionen aus dem Enterprisesegment
gibt, ergo entweder Du musst Geld für den ISP wie Viprinet lassen oder aber Geld
ausgeben und Dir einen gescheiten Router kaufen der auch das umsetzen kann
was Du benötigst bzw. was Du hier beschreibst.
dann eben schon lieber 500 € pro Standort aus und hat Ruhe, aber wenn man auch
die nicht rausrücken möchte kommen eben zwar noch OpenSource alternativen
mit ins Spiel nur auch dafür muss Hardware angeschafft werden und wenn das
alles zu viel ist wird es eben auch nichts und das sollte auch mal einer dazu sagen
dürfen.
Alix APU mit pfSense vorinstalliert sind dann aber auch ca. 200 € (je nach Ausstattung)
von Nöten oder aber man nimmt einen 30 € Router mit DD-WRT und beschwert sich
nachher immer mal wieder über den lausigen VPN Durchsatz.
eben auch genau so bezahlen wie die ISPs die solche Funktionen anbieten,
klar warum auch nicht.
Gruß
Dobby
kleines Geld nicht alle Leistungen und/oder Funktionen aus dem Enterprisesegment
gibt, ergo entweder Du musst Geld für den ISP wie Viprinet lassen oder aber Geld
ausgeben und Dir einen gescheiten Router kaufen der auch das umsetzen kann
was Du benötigst bzw. was Du hier beschreibst.
Aber ebenso wenig wie ich 250€+ in den monatlichen Kosten rechtfertigen kann,
Ok rechne mal 4 Monate zu 250 € sind auch tausend Euronen, und da gibt mandann eben schon lieber 500 € pro Standort aus und hat Ruhe, aber wenn man auch
die nicht rausrücken möchte kommen eben zwar noch OpenSource alternativen
mit ins Spiel nur auch dafür muss Hardware angeschafft werden und wenn das
alles zu viel ist wird es eben auch nichts und das sollte auch mal einer dazu sagen
dürfen.
Alix APU mit pfSense vorinstalliert sind dann aber auch ca. 200 € (je nach Ausstattung)
von Nöten oder aber man nimmt einen 30 € Router mit DD-WRT und beschwert sich
nachher immer mal wieder über den lausigen VPN Durchsatz.
kann ich auch schwerlich Geräte mit einem Preis >500€ Pro Standort
durchsetzen.
Ne aber deren einfache Handhabung und Funktionsvielfalt lassen die sichdurchsetzen.
eben auch genau so bezahlen wie die ISPs die solche Funktionen anbieten,
klar warum auch nicht.
Gruß
Dobby
Hallo Rob,
die Viprinet-Lösung sollte sich auch bei Deinem Szenario einsetzen lassen. Substituiere einfach das Rechenzentrum durch Deinen Hauptstandort.
Ansonten kann ich Dir als Alternative zu DrayDreck noch zu einer aktuellen ZyWALL oder ZyWALL USG raten. Auch hier ist es möglich, GRE-Tunnel über die IPSec-Tunnel zu legen und hierauf ein Loadbalancing zu fahren. Siehe ftp://ftp.zyxel.com/USG210/application_note/USG210_1.pdf
Wie gut das funktioniert, kann ich allerdings mangels eigener praktischer Erfahrungen (noch) nicht sagen.
Gruß
Steffen
die Viprinet-Lösung sollte sich auch bei Deinem Szenario einsetzen lassen. Substituiere einfach das Rechenzentrum durch Deinen Hauptstandort.
Ansonten kann ich Dir als Alternative zu DrayDreck noch zu einer aktuellen ZyWALL oder ZyWALL USG raten. Auch hier ist es möglich, GRE-Tunnel über die IPSec-Tunnel zu legen und hierauf ein Loadbalancing zu fahren. Siehe ftp://ftp.zyxel.com/USG210/application_note/USG210_1.pdf
Wie gut das funktioniert, kann ich allerdings mangels eigener praktischer Erfahrungen (noch) nicht sagen.
Gruß
Steffen
Wir arbeiten mit Netgear-Geräten.
Der FVS336G unterstützt 2 WAN-Leitungen (100 MBit), der SRX5308 unterstützt 4 WAN-Leitungen (1 GBit).
Eine Übersicht der Netgear-Geräte findest Du hier: http://www.netgear.de/business/products/security/vpn-firewalls.aspx#tab ...
Mit Deinen Leitungen kommst Du aktuell mit dem 2-Port-WAN-Modell aus. Sobald Du planst auf eine Leitung mit mehr wie 100 MBit umzusteigen, müsstest Du das 4-Port-WAN-Modell favorisieren.
Wir setzen das selbe Szenario ein wie Du.
Am Hauptstandort 1x Fibre 150 MBit und 1x SDSL 2 MBit über SRX 5308 im Loadbalancing-Mode.
Am Nebenstandort 2x ADSL 16 MBit über FVS336G im Loadbalancing-Mode.
Als Alternative bietet sich noch die Sophos UTM (ehemals Astaro) als virtuelle Maschine an, von der es eine kostenlose Version gibt.
http://www.sophos.com/de-de/products/unified-threat-management.aspx
Der FVS336G unterstützt 2 WAN-Leitungen (100 MBit), der SRX5308 unterstützt 4 WAN-Leitungen (1 GBit).
Eine Übersicht der Netgear-Geräte findest Du hier: http://www.netgear.de/business/products/security/vpn-firewalls.aspx#tab ...
Mit Deinen Leitungen kommst Du aktuell mit dem 2-Port-WAN-Modell aus. Sobald Du planst auf eine Leitung mit mehr wie 100 MBit umzusteigen, müsstest Du das 4-Port-WAN-Modell favorisieren.
Wir setzen das selbe Szenario ein wie Du.
Am Hauptstandort 1x Fibre 150 MBit und 1x SDSL 2 MBit über SRX 5308 im Loadbalancing-Mode.
Am Nebenstandort 2x ADSL 16 MBit über FVS336G im Loadbalancing-Mode.
Als Alternative bietet sich noch die Sophos UTM (ehemals Astaro) als virtuelle Maschine an, von der es eine kostenlose Version gibt.
http://www.sophos.com/de-de/products/unified-threat-management.aspx
von den kleinen Ciscos kann ich in deinem Szenario nur abraten
VPN geht nur, wenn mindestens 1 Standort eine statische IP Adresse hat.
VPN hinter einem NAT-Router geht gar nicht, Die Cisco-Router müssen für VPN direkt am Internet hängen!
z.B. Bei KD bekommt man aktuell meist eine Fritzbox, die keinen Bridge/Modem Betrieb zulässt (von KD nicht freigeschaltet obwohl die Fritzbox selber es könnte).
Inwieweit man 2 VPN Verbindungen über getrennte Internetleitungen trunken kann, entzieht sich meiner Kenntnis.
So wie ich das sehe wird da genauso wie beim Port-Trunking die einzelne Anwendung/Verbindung keine höhere Geschwindigkeit erreichen.
16MBit+6Mbit =!22Mbit
Das Load Balancing Vetreilt nur die einzelnen Datenverbindungen - wie gut oder schlecht das Klappt, habe ich noch nicht ausprobiert, da ich kein loadbalancing verwende.
Ich habe mehrere Netgear FVS336G im Einsatz mit dynamischen IP-Adressen (mit DynDNS) und zum Teil hinter NAT-Routern der Provider (KD und Vodafone). Die beiden WAN Zugänge laufen im Autofailover, die IPSec-VPNs werden jeweils auf die andere WAN-Schnittstelle "mitgenommen"
VPN geht nur, wenn mindestens 1 Standort eine statische IP Adresse hat.
VPN hinter einem NAT-Router geht gar nicht, Die Cisco-Router müssen für VPN direkt am Internet hängen!
z.B. Bei KD bekommt man aktuell meist eine Fritzbox, die keinen Bridge/Modem Betrieb zulässt (von KD nicht freigeschaltet obwohl die Fritzbox selber es könnte).
Inwieweit man 2 VPN Verbindungen über getrennte Internetleitungen trunken kann, entzieht sich meiner Kenntnis.
So wie ich das sehe wird da genauso wie beim Port-Trunking die einzelne Anwendung/Verbindung keine höhere Geschwindigkeit erreichen.
16MBit+6Mbit =!22Mbit
Das Load Balancing Vetreilt nur die einzelnen Datenverbindungen - wie gut oder schlecht das Klappt, habe ich noch nicht ausprobiert, da ich kein loadbalancing verwende.
Ich habe mehrere Netgear FVS336G im Einsatz mit dynamischen IP-Adressen (mit DynDNS) und zum Teil hinter NAT-Routern der Provider (KD und Vodafone). Die beiden WAN Zugänge laufen im Autofailover, die IPSec-VPNs werden jeweils auf die andere WAN-Schnittstelle "mitgenommen"
Hallo aqui,
Gruß,
Dani
Zur Steigerung der Bandbreite und der Ausfallsicherheit möchte ich gerne den VPN Tunnel nicht nur auf jeweils einer der Standortanbindungen sondern parallel benutzen.
Dual WAN Balancing ist doch die eine Seite. Aber wie bauen die z.B. Draytek parallel zwei VPN-Tunnel auf und wie wird der VPN-Traffic (IP Hash, MAC-Hash?) auf beide Leitungen verteilt. Grundvorraussetzung ist doch in jedem Fall an allen Anschlüssen statische IP-Adressen bzw. evtl. reicht es an der Zentrale. Erleuchte mich mal bitte...Gruß,
Dani
Ich habe hier einige Netgear Gurken rumfliegen *duck*: FVX538, FVS336G, FVS338, FVS318 etc.
Alles außer der SRX5308 und der FVS336Gv2 oder v3 bzw. der UTMN Serie kannst Du gleichin die Tonne kloppen.
Gruß
Dobby
FVS336G:
Wan Mode = Auto-Rollover using WAN port: WAN1 oder WAN2, (der jeweils andere ist die Backupleitung
Nehmen wir also an , daß WAN 1 die Hauptleitung ist.
man erstellt mit dem Assi (wizzard) eine Site zu Site Verbindung für WAN 1 (gateway).
man editiere danach die VPN-Policys und setzen den Haken bei "enable Rollover", damit wird die IPSec-/VPN-Policy auch für WAN2 gültig
Bei mir gibt es eine kleine Downtime (2-3 Minuten) der VPN Verbindung, weil erst die DNS Namen aktualisiert werden müssen (dynamische IPs) dies wird von DynDNS Updatern hinter den VPN Gateways erledigt.
Man kann dusseligerweise nur für eine WAN Schnittstelle den DynDNSClient im Netgear aktivieren, intellenter wäre es, wenn im Failoverbrtrieb der DynDNSClient für beide WAN-Schnittstellen aktiv wäre - mit dem gleichen Datensatz.
Wan Mode = Auto-Rollover using WAN port: WAN1 oder WAN2, (der jeweils andere ist die Backupleitung
Nehmen wir also an , daß WAN 1 die Hauptleitung ist.
man erstellt mit dem Assi (wizzard) eine Site zu Site Verbindung für WAN 1 (gateway).
man editiere danach die VPN-Policys und setzen den Haken bei "enable Rollover", damit wird die IPSec-/VPN-Policy auch für WAN2 gültig
Bei mir gibt es eine kleine Downtime (2-3 Minuten) der VPN Verbindung, weil erst die DNS Namen aktualisiert werden müssen (dynamische IPs) dies wird von DynDNS Updatern hinter den VPN Gateways erledigt.
Man kann dusseligerweise nur für eine WAN Schnittstelle den DynDNSClient im Netgear aktivieren, intellenter wäre es, wenn im Failoverbrtrieb der DynDNSClient für beide WAN-Schnittstellen aktiv wäre - mit dem gleichen Datensatz.
Zitat von @Digi-Quick:
Man kann dusseligerweise nur für eine WAN Schnittstelle den DynDNSClient im Netgear aktivieren, intellenter wäre es,
wenn im Failoverbrtrieb der DynDNSClient für beide WAN-Schnittstellen aktiv wäre - mit dem gleichen Datensatz.
Kann es sein, dass bei WAN-Mode "Auto-Rollover" auch nur der DynDNS-Client des jeweilig aktiven WAN-Ports aktiv ist?Man kann dusseligerweise nur für eine WAN Schnittstelle den DynDNSClient im Netgear aktivieren, intellenter wäre es,
wenn im Failoverbrtrieb der DynDNSClient für beide WAN-Schnittstellen aktiv wäre - mit dem gleichen Datensatz.
Beim anderen macht das ja keinen Sinn, da dort keine Verbindung zum Internet besteht.
Ja, man kann nur für den gerade aktiven Wan Port Dyndns konfigurieren und einschalten.
Der Dyndnsclient für den jeweils anderen WAN-Port ist deaktiviert und bleibt auch im Failover-Fall deaktiviert!
Ein DynDNS-Client ohne Verbindung zum Internet hat nichts zu tun, so lange bis Verbindung da ist.
Ein deaktivierter DynDNS-Client kann nichts tun!
Der Dyndnsclient für den jeweils anderen WAN-Port ist deaktiviert und bleibt auch im Failover-Fall deaktiviert!
Ein DynDNS-Client ohne Verbindung zum Internet hat nichts zu tun, so lange bis Verbindung da ist.
Ein deaktivierter DynDNS-Client kann nichts tun!