androxin
Goto Top

Hardwareempfehlung für Plug-and-Play Site-to-site VPN

Moin, moin.

Ich bin gerade auf der Suche nach einer DAU-tauglichen Lösung, mit der die Anwender (nach einer initialen Konfiguration der Geräte) auch ohne technisches Hintergrundwissen ein Site-To-Site VPN Netz aufspannen können.


Das ganze soll, abgesehen von Standard-Internetanschlüssen, ohne externe Provider (MPLS...) ablaufen.
Außerdem sollte die "Router-Box" sowohl über Kabel-Netzwerk (z. B. über einen bereits vorhandenen DSL Anschluss), als auch über eine LTE/UMTS Verbindung (eingebautes Modem oder USB Stick) kommunizieren können.


Grundsätzlich ist das Ziel, 1 - 200, zum Teil mobile, Standorte mit dem Büro zu verbinden.

Der Datendurchsatz ist auf der externen Seite vernachlässigbar gering. Auf den Tag verteilt, gehen maximal 25 MB je Richtung und Standort durch die Leitung.

Welches VPN Protokoll für die Verbindung genutzt wird, ist egal. Hauptsache sicher. Kann auch etwas proprietäres abseits von OpenVPN oder IPSec sein.

Hauptaugenmerk sollte auf der einfachen Handhabung und ggf. Erweiterbarkeit des Systems liegen.

Ein genaues Budget habe ich derzeit nicht. Ich peile rund 1.000 € je Standort an.


Gibt's da was von der Stange?

Google hat mir bereits Geräte von OneAccess (https://www.oneaccess-net.com/pcpe/multi-service-routers/item/69-one540) oder viprinet (https://www.viprinet.com/de/produkte/multichannel-vpn-router-mobil/tough ..). Wobei die Produkte von Viprinet (gefühlt) ein bisschen oversized sind.

Content-ID: 356372

Url: https://administrator.de/forum/hardwareempfehlung-fuer-plug-and-play-site-to-site-vpn-356372.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

SeaStorm
SeaStorm 28.11.2017 um 16:54:15 Uhr
Goto Top
Hi habt ihr eine NextGen Firewall am Zentralen Standort im Einsatz? Die haben sowas doch alle mittlerweile.
Sophos z,.B hat dafür die RED Devices. 1x im Netzwerk anstöpseln, provisionieren und dem Mitarbeiter dann zuschicken. Danach macht das Ding eine VPN auf, sobald man es an einen Netzwerkanschluss steckt und alles hinter dem RED bekommt dann erst mal Zugriff auf das Firmennetz.
aqui
aqui 28.11.2017 um 16:57:35 Uhr
Goto Top
Jein !
Begründung: Deine Annahme ist relativ naiv und berücksichtigt die multiplen Fallen einer möglichen Infrastruktur nicht als da wären:
  • Dynamische IP Adressen
  • Carrier Grade NAT in verbindung mit RFC 1918 IP Adressen
  • Anschlusstechniken Kabel, Funk Draht und ggf. Zwangsrouter davor
  • Troubleshooting und Management. VPN sollte einheitlich sein
usw. usw.
All das sind so viel Fallstricke und Optionen die man nicht fest vorplanen kann und schon gar nicht per Plug and Play vorgeben kann.
Einfacher kann die Sache mit einem zentralisierten Design werden. Also keine any zu any Kommunikation und alle wählen sich zentral irgendwo ein.
Dann hast du leichtes Spiel. Hier sollte man immer ein SSL fähiges VPN Protokoll bevorzugen was nicht aus mehreren Protkollkomponenten besteht wie z.B. OpenVPN.
Das hat mit NAT und Carrier Grade NAT wenig Probleme und funktioniert auch an Anschlüssen mit dynamischen IPs oder CGN und RFC 1918 Adressierung. Insgesamt also wenig Problematiken.
Androxin
Androxin 28.11.2017 um 17:40:04 Uhr
Goto Top
Vielen Dank für die Antworten.

Derzeit handelt es sich um ein theoretisches Konstrukt, dass in sich stimmig sein soll. Insbesondere die Hard-/Software am zentralen Standort muss dann eben entsprechend angepasst werden.
Ich werde mir die Sophos RED Serie mal anschauen. Sind auch preislich äußerst attraktiv.

Bzgl. der Any to Any Thematik:
Das umzusetzen dürfte tatsächlich schwer sein.
Eine sternförmige Verbindung mit dem Hauptstandort in der Mitte reicht auch locker aus.
SeaStorm
SeaStorm 28.11.2017 um 19:14:59 Uhr
Goto Top
die REDs sind nur eine Komponente der Sophos UTM/XG Firewall. Die kostet nicht grad wenig face-smile Aber wenn man eh eine NextGen FW hat bietet sich das ja an
gilligan
gilligan 28.11.2017 um 23:17:12 Uhr
Goto Top
Sophos RED funktioniert tadellos. Ich werfe aber auch mal Lancom in der Raum, wenn die Zentrale auch ein Lancom ist zieht man im LANConfig einfach den Lancom der Aussenstelle auf das Zentralgerät per Drag n Drop und ein Site2Site VPN entsteht. Alternativ Lancom Management Cloud.
aqui
aqui 29.11.2017 um 08:47:49 Uhr
Goto Top
Die Frage ist nur ob Sophos, Lancom und Co ein SSL basierendes VPN zustandebringen. In der Regel machen die VPNs auf IPsec Basis was dann in puncto "DAU Freundlichkeit" eher kontraproduktiv ist.
OpenVPN wäre da der bessere Weg.
em-pie
em-pie 29.11.2017 um 08:59:58 Uhr
Goto Top
Moin,

die Sophos kann Site2Site via SSL:
utm_ssl_s2s

Wie/ mit welchem Protokoll die RED allerdings den Tunnel aufbaut, dat wees isch ned.


Gruß
em-pie
aqui
aqui 29.11.2017 um 09:01:35 Uhr
Goto Top
Wireshark ist der Schlüssel dazu face-wink (Für den der es wissen will !)
gilligan
gilligan 29.11.2017 um 10:46:25 Uhr
Goto Top
RED ist kein IPSec S2S, benutzt Port 3400 oder 3500 TCP/UDP, vermutlich irgendwas SSL mäßiges. Genauere Funktion beschreibt https://community.sophos.com/kb/en-us/116573

Absolut DAU tauglich, in der Aussenstelle irgendeinen Router installieren der DHCP macht und dahinter die RED anstecken, fertig. Provisionierung etc. läuft über Sophos Server von der Zentralen UTM / XG aus.