19
Hardware VPN Connector gesucht
Hallo zusammen,
vielleicht kann mir jemand auf der Suche nach einem Produkt behilflich sein
Ein Kunde von mir muss täglich Daten von seinen Kassen in abgesetzten Filialen abrufen. Diese Kassen können TCP/IP sprechen, jedoch haben Sie ein Manko: Sie funktionieren nur im gleichen Subnetz. Bedeutet der Server und die Kasse muss sich im gleichen Subnetz befinden. Ich hatte zuerst die Idee gehabt, das Hauptbüro mit den Niederlassungen über einen Site-2-Site VPN zu verbinden. Jedoch habe ich hier unterschiedliche Subnetze und kann aus dem Büro nicht die Kasse in der Niederlassung ansprechen. Nun habe ich mir überlegt, dass die Kasse wie ein VPN Client agieren müsste und sich mit dem Büro VPN verbinden müsste, damit es funktioniert. Hier würde sie ja eine IP aus dem Büro Netz bekommen. Nur kann die Kasse keine VPN Verbindungen aufbauen
Nun meine Frage: Gibt es eine Hardware, die wie ein Software VPN Client agiert und eine Maschine (Kasse) per VPN an ein Netz anbinden kann?
Viele Grüße und danke vorab!
Infomatrixx
vielleicht kann mir jemand auf der Suche nach einem Produkt behilflich sein
Ein Kunde von mir muss täglich Daten von seinen Kassen in abgesetzten Filialen abrufen. Diese Kassen können TCP/IP sprechen, jedoch haben Sie ein Manko: Sie funktionieren nur im gleichen Subnetz. Bedeutet der Server und die Kasse muss sich im gleichen Subnetz befinden. Ich hatte zuerst die Idee gehabt, das Hauptbüro mit den Niederlassungen über einen Site-2-Site VPN zu verbinden. Jedoch habe ich hier unterschiedliche Subnetze und kann aus dem Büro nicht die Kasse in der Niederlassung ansprechen. Nun habe ich mir überlegt, dass die Kasse wie ein VPN Client agieren müsste und sich mit dem Büro VPN verbinden müsste, damit es funktioniert. Hier würde sie ja eine IP aus dem Büro Netz bekommen. Nur kann die Kasse keine VPN Verbindungen aufbauen
Nun meine Frage: Gibt es eine Hardware, die wie ein Software VPN Client agiert und eine Maschine (Kasse) per VPN an ein Netz anbinden kann?
Viele Grüße und danke vorab!
Infomatrixx
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 265649
Url: https://administrator.de/contentid/265649
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
19 Kommentare
Neuester Kommentar
Hallo,
Gruß
Dobby
Nun meine Frage: Gibt es eine Hardware, die wie ein Software VPN Client
agiert und eine Maschine (Kasse) per VPN an ein Netz anbinden kann?
Ein Router könnte diese Aufgabe doch übernehmen, oder?agiert und eine Maschine (Kasse) per VPN an ein Netz anbinden kann?
Gruß
Dobby
Moin,
glaub geht ihm mehr ums gleiche Subnetz. Kriegs grad nicht ganz zusammen: Aber pfsense, die als Virtual IP die des Servers hat, könnte gehen. Dannn wäre der Server im gleichen Subnetz. Daten via NAT weiterleiten....
Ist schon spät - nur mal als Denkansatz.
mfg Crusher
glaub geht ihm mehr ums gleiche Subnetz. Kriegs grad nicht ganz zusammen: Aber pfsense, die als Virtual IP die des Servers hat, könnte gehen. Dannn wäre der Server im gleichen Subnetz. Daten via NAT weiterleiten....
Ist schon spät - nur mal als Denkansatz.
mfg Crusher
Genau, es geht darum, dass das Gerät im gleichen Subnetz ist. PFsense mit Virtual IP ist ein Ansatz. Das muss ich mir mal anschauen.
Moin,
Soltle relativ einfach gehen, wenn der VPN-Client NAt macht. Die "ordentliche Variante wäre, den extenen Router als VPN-Client zu konfigurieren und ihn anzuweisen, NAt zur Zentrale hin zu machen. das funktioniert allerdings nur, wenn dei kasse der Initiator der verbindung ist. Ansonsten mußt du mit Portweiterleitungen kämpfen. oder das NAT andersherum machen.
Die andere Alternatiove wäre, einfach in jedes Netz einen rasPi zu stecken der VPN-Client mit NAT spielt. die Router müßten dann als Gateway für das Zentralnetz den RASPI eintragen.
Die ganz "dumme" Methode wäre, ein gemeinsames IP-Netz zu verwenden und ein Layer-2 VPN zu machen. (Ganz blöde Idee mit sehr vielen Fehlerquellen!).
lks
PS. Wer baut den eigentlich die verbindug zum datenabruf auf, die kasse oder der Steuerrechner? Und über welches Transportprotokoll sprechen die?
Soltle relativ einfach gehen, wenn der VPN-Client NAt macht. Die "ordentliche Variante wäre, den extenen Router als VPN-Client zu konfigurieren und ihn anzuweisen, NAt zur Zentrale hin zu machen. das funktioniert allerdings nur, wenn dei kasse der Initiator der verbindung ist. Ansonsten mußt du mit Portweiterleitungen kämpfen. oder das NAT andersherum machen.
Die andere Alternatiove wäre, einfach in jedes Netz einen rasPi zu stecken der VPN-Client mit NAT spielt. die Router müßten dann als Gateway für das Zentralnetz den RASPI eintragen.
Die ganz "dumme" Methode wäre, ein gemeinsames IP-Netz zu verwenden und ein Layer-2 VPN zu machen. (Ganz blöde Idee mit sehr vielen Fehlerquellen!).
lks
PS. Wer baut den eigentlich die verbindug zum datenabruf auf, die kasse oder der Steuerrechner? Und über welches Transportprotokoll sprechen die?
Kollege Crusher hat Recht. OpenVPN verwenden mit einer Bridging Kopplung. Ist zwar nicht das Gelbe vom Ei funktioniert aber und das gesamte Netz ist dann eine Layer 2 Domain. Damit ist eine schnelle, preiswerte und unkomplizierte Lösung machbar.
Man sollte aber wenn man sowas macht zwingend darauf achten das wirklich nur die Kassen und deren Server in diesem Subnetz sind und nichts anderes mehr um die Broad- und Multicast Last gering zu halten, denn das muss ja alles über das VPN wenn das eine einzige Layer 2 Domain ist:
http://www.heise.de/netze/artikel/Bridge-Modus-224072.html
https://openvpn.net/index.php/open-source/documentation/miscellaneous/76 ...
Das Gute daran ist das OpenVPN auf sehr unterschiedlicher HW rennt. Quasi alles was es so an (intelligenter) HW gibt.
pfSense ist eine davon aber auch alles was OpenWRT und DD-WRT spricht.
Interessant wäre ja nochmal zu erfahren WARUM die Kassen keine Routing können. Das ist sehr ungewöhnlich und eigentlich unglaublich, denn es würde bedeuten das man bei deren IP Konfiguration kein Gateway angeben kann und das sie wenn sie DHCP IP Adressen beziehen das Gateway ignorieren.
Technisch hört sich das nicht wirklich glaubhaft und eher laienhaft an ?!
Man sollte aber wenn man sowas macht zwingend darauf achten das wirklich nur die Kassen und deren Server in diesem Subnetz sind und nichts anderes mehr um die Broad- und Multicast Last gering zu halten, denn das muss ja alles über das VPN wenn das eine einzige Layer 2 Domain ist:
http://www.heise.de/netze/artikel/Bridge-Modus-224072.html
https://openvpn.net/index.php/open-source/documentation/miscellaneous/76 ...
Das Gute daran ist das OpenVPN auf sehr unterschiedlicher HW rennt. Quasi alles was es so an (intelligenter) HW gibt.
pfSense ist eine davon aber auch alles was OpenWRT und DD-WRT spricht.
Interessant wäre ja nochmal zu erfahren WARUM die Kassen keine Routing können. Das ist sehr ungewöhnlich und eigentlich unglaublich, denn es würde bedeuten das man bei deren IP Konfiguration kein Gateway angeben kann und das sie wenn sie DHCP IP Adressen beziehen das Gateway ignorieren.
Technisch hört sich das nicht wirklich glaubhaft und eher laienhaft an ?!
Hi,
mir fällt noch eine Sache ein: Kenne Euer Kassensystem nicht. Kann der Server wirklich nicht wonders liegen oder lässt nur die Eingabe-Maske nix anderes zu?
MItunter wird config ja in INI oder XML Dateien gespeichert. Wo wird denn der Server abgelegt? Kann vlt. an der Stelle noch händisch nach bessern? Ist nur so eine Idee.
mfg Crusher
mir fällt noch eine Sache ein: Kenne Euer Kassensystem nicht. Kann der Server wirklich nicht wonders liegen oder lässt nur die Eingabe-Maske nix anderes zu?
MItunter wird config ja in INI oder XML Dateien gespeichert. Wo wird denn der Server abgelegt? Kann vlt. an der Stelle noch händisch nach bessern? Ist nur so eine Idee.
mfg Crusher
Ein ganzes Netz zu einer L2-Domain zu koppeln halte ich für ein bisschen übertrieben. Wieso nicht ein normaler VPN-Tunnel und die IP des Servers Proxy-ARPen?
Zitat von @STRUBartacus:
Ein ganzes Netz zu einer L2-Domain zu koppeln halte ich für ein bisschen übertrieben. Wieso nicht ein normaler
VPN-Tunnel und die IP des Servers Proxy-ARPen?
Ein ganzes Netz zu einer L2-Domain zu koppeln halte ich für ein bisschen übertrieben. Wieso nicht ein normaler
VPN-Tunnel und die IP des Servers Proxy-ARPen?
Dann muß man halt 1:1-NAT machen.
lks
Wieso nicht ein normaler VPN-Tunnel und die IP des Servers Proxy-ARPen?
Stimmt, wäre auch eine Option aber ist die Frage ob OVPN Proxy ARP supportet.An der Fragestellung des TO kann man sehen das er was netzwerke anbetrifft leider nicht sehr bewandert ist. Deshalb ist 1:1 NAT wohl eher der falsche Weg, denn an der technischen Hürde wird er vermutlich wissensmässig scheitern, was jetzt nicht böse gemeint ist.
Deshalb gilt für ihn: Keep it simple stupid und nur ein VLAN mit ein paar Kassensystemen im L2 VPN sollte schon OK sein um das schnell, einfach und effizient zu lösen.
Ein klärendes Wort zu den Kassensytemen und ob die wirklich kein Gateway können wäre schon hilfreich hier....
Senden die Kassen denn eventuell die Daten selber schon
verschlüsselt an den Server?
Gruß
Dobby
verschlüsselt an den Server?
Gruß
Dobby
Hi Aqui,
das Thema Routing ist eine Aussage von mehreren Casio Händlern. Ein Gateway lässt sich eintragen, jedoch funktioniert das Subnetzübergreifende Routing nicht. Initiator des Abrufs ist immer der Server. Das TCP Paket von ihm wird an den Router 1 gesendet. Dieser addressiert es dann enkapsuliert über VPN an Router 2. Dieser packt es aus und leitet es an die Kasse weiter. die Kasse sieht nun als Absender den Server im anderen Subnetz und ignoriert das Paket vermutlich.
Vielleicht ist es dem Alter der Kasse geschuldet ?!?
Gruß,
Infomatrixx
das Thema Routing ist eine Aussage von mehreren Casio Händlern. Ein Gateway lässt sich eintragen, jedoch funktioniert das Subnetzübergreifende Routing nicht. Initiator des Abrufs ist immer der Server. Das TCP Paket von ihm wird an den Router 1 gesendet. Dieser addressiert es dann enkapsuliert über VPN an Router 2. Dieser packt es aus und leitet es an die Kasse weiter. die Kasse sieht nun als Absender den Server im anderen Subnetz und ignoriert das Paket vermutlich.
Vielleicht ist es dem Alter der Kasse geschuldet ?!?
Gruß,
Infomatrixx
Ist eine QT6000 von Casio. Nein leider liegt es nicht an der Eingabemaske oder an den Konfigurierbarkeit. Aus meiner Sicht liegt es an der Implementierung des TCP IP Stacks der Kasse
Nein, hier findet keine Verschlüsselung statt.
die Kasse sieht nun als Absender den Server im anderen Subnetz und ignoriert das Paket vermutlich.
Oha, das wäre dann aber ein gravierender Bug im TCP Stack der Kasse ! Ist das wirklich so ??Verglichen mit einem Auto wäre das so als ob dem beim Kauf alle 4 Reifen fehlen und der Hersteller sagt das wäre normal.
Sorry aber gerade im Einzelhandel wo Kassensystem an zig verschiedenen Lokationen verteilt sind wäre das ja ein Katastrophe !!
Gibt Casio als Hersteller diesen Bug auch so zu und sagen die wirklich das der Kassentraffic durch den Bug nicht routingfähig ist. Das wäre wirklich fatal.
Ignorieren kann die Kasse das ausschliesslich nur wenn sie KEIN Gateway eingetragen hat sonst müsste sie das Antwortpaket zum Server ans Gateway senden !
Wäre mal interessant das mit einem Wireshark Sniffer anzusehen ?!
Aus meiner Sicht liegt es an der Implementierung des TCP IP Stacks der Kasse
Wie gesagt, schlimm und ein ziemliches Armutszeignis für Casio.Gibts da ggf. ein Firmware Update ?
Ja, da bin ich aktuell dran. Mir fehlt nur aktuell die Zeit das detaillierter anzuschauen .. 
Die Aussage des Routingthemas kam aber bereits von 4 verschiedenen Casio Händlern. Alle sagen, dass die Kommunikation nur innerhalb des eigenen Subnetzes möglich sei.
Werde mich aber jetzt auch noch einmal an Casio zu diesem Thema wenden.
Die Aussage des Routingthemas kam aber bereits von 4 verschiedenen Casio Händlern. Alle sagen, dass die Kommunikation nur innerhalb des eigenen Subnetzes möglich sei.Werde mich aber jetzt auch noch einmal an Casio zu diesem Thema wenden.
OK, wenn dem wirklich so ist muss man ja auch nicht weiter forschen. Wäre zwar ein gravierender Nachteil der Casio Kassen und ein gewichtiges Argument von dem Produkt die Finger zu lassen...aber wenns nunmal so ist muss man damit ja leben.
Als Netzwerker ist das auch kein Problem, du setzt dann einfach über den VPN Tunnel ein Layer 2 Bridging auf und betreibst alle Kassen in einer gemeinsamen Layer 2 Domain.
Wie enfach das z.B. mit OpenVPN zu lösen ist kannst du unter anderem hier nachlesen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Aus Netzwerk Sicht also kein Ding.
Sehr wichtig ist aber das du wirklich nur die Kassen und den Server in diesem Subnetz betreibst und nicht noch das gesamte Büronetz. Der Grund sind die hohen Broad- und Multicast Belastungen die der VPN Tunnel ja in einem L2 Design übertragen muss und da gilt je weniger Emdgeräte desto besser ist das.
Trenne also das Kassensegment dann in den einzelnen Lokationen am besten mit einem VLAN oder leg sie in ein vollkommen separates Netz und schicke nur das über das VPN.
Damit wird das problemlos funktionieren.
Als Netzwerker ist das auch kein Problem, du setzt dann einfach über den VPN Tunnel ein Layer 2 Bridging auf und betreibst alle Kassen in einer gemeinsamen Layer 2 Domain.
Wie enfach das z.B. mit OpenVPN zu lösen ist kannst du unter anderem hier nachlesen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Aus Netzwerk Sicht also kein Ding.
Sehr wichtig ist aber das du wirklich nur die Kassen und den Server in diesem Subnetz betreibst und nicht noch das gesamte Büronetz. Der Grund sind die hohen Broad- und Multicast Belastungen die der VPN Tunnel ja in einem L2 Design übertragen muss und da gilt je weniger Emdgeräte desto besser ist das.
Trenne also das Kassensegment dann in den einzelnen Lokationen am besten mit einem VLAN oder leg sie in ein vollkommen separates Netz und schicke nur das über das VPN.
Damit wird das problemlos funktionieren.
Hi, so sehe ich das auch ..
Und noch einmal zu dem Thema, dass der TO anscheinend keine Ahnung von Netzen hat ... Hat er sehr wohl ... 5 Semester Netztechnik haben mir zumindest die Theorie bis ins kleinste Detail eingeprügelt, auch wenn die Praxis häufig fehlt ....
Und noch einmal zu dem Thema, dass der TO anscheinend keine Ahnung von Netzen hat ... Hat er sehr wohl ...
5 Semester Netztechnik haben mir zumindest die Theorie bis ins kleinste Detail eingeprügelt, auch wenn die Praxis häufig fehlt ....auch wenn die Praxis häufig fehlt ....
Nicht das man das merkt.... Wäre der Thread ja eigentlich überflüssig.Die Aussage des Routingthemas kam aber bereits von 4
verschiedenen Casio Händlern. Alle sagen, dass die
Kommunikation nur innerhalb des eigenen Subnetzes möglich sei.
Nicht das wir hier aneinander vorbei reden und eine der Kassenverschiedenen Casio Händlern. Alle sagen, dass die
Kommunikation nur innerhalb des eigenen Subnetzes möglich sei.
als Server lokal im vor Ort LAN fungiert, oder?
Werde mich aber jetzt auch noch einmal an Casio zu diesem
Thema wenden.
Das wäre wohl das beste an der Sache.Thema wenden.
Denn das Problem hast Du nicht nur alleine.
Nur wenn man einen Router hat der ein VPN aufbaut und hinter
dem VPN ist der Server in einem VLAN mit der Selben IP Range
dann sollte da auch etwas zu machen gehen, frag einfach nochmal
@aqui dazu.
Gruß
Dobby
