Hardwareempfehlung für Plug-and-Play Site-to-site VPN

Mitglied: Androxin

Androxin (Level 2) - Jetzt verbinden

28.11.2017, aktualisiert 16:37 Uhr, 1543 Aufrufe, 9 Kommentare

Moin, moin.

Ich bin gerade auf der Suche nach einer DAU-tauglichen Lösung, mit der die Anwender (nach einer initialen Konfiguration der Geräte) auch ohne technisches Hintergrundwissen ein Site-To-Site VPN Netz aufspannen können.


Das ganze soll, abgesehen von Standard-Internetanschlüssen, ohne externe Provider (MPLS...) ablaufen.
Außerdem sollte die "Router-Box" sowohl über Kabel-Netzwerk (z. B. über einen bereits vorhandenen DSL Anschluss), als auch über eine LTE/UMTS Verbindung (eingebautes Modem oder USB Stick) kommunizieren können.


Grundsätzlich ist das Ziel, 1 - 200, zum Teil mobile, Standorte mit dem Büro zu verbinden.

Der Datendurchsatz ist auf der externen Seite vernachlässigbar gering. Auf den Tag verteilt, gehen maximal 25 MB je Richtung und Standort durch die Leitung.

Welches VPN Protokoll für die Verbindung genutzt wird, ist egal. Hauptsache sicher. Kann auch etwas proprietäres abseits von OpenVPN oder IPSec sein.

Hauptaugenmerk sollte auf der einfachen Handhabung und ggf. Erweiterbarkeit des Systems liegen.

Ein genaues Budget habe ich derzeit nicht. Ich peile rund 1.000 € je Standort an.


Gibt's da was von der Stange?

Google hat mir bereits Geräte von OneAccess (https://www.oneaccess-net.com/pcpe/multi-service-routers/item/69-one540) oder viprinet (https://www.viprinet.com/de/produkte/multichannel-vpn-router-mobil/tough ...). Wobei die Produkte von Viprinet (gefühlt) ein bisschen oversized sind.

Mitglied: SeaStorm
28.11.2017 um 16:54 Uhr
Hi habt ihr eine NextGen Firewall am Zentralen Standort im Einsatz? Die haben sowas doch alle mittlerweile.
Sophos z,.B hat dafür die RED Devices. 1x im Netzwerk anstöpseln, provisionieren und dem Mitarbeiter dann zuschicken. Danach macht das Ding eine VPN auf, sobald man es an einen Netzwerkanschluss steckt und alles hinter dem RED bekommt dann erst mal Zugriff auf das Firmennetz.
Bitte warten ..
Mitglied: aqui
28.11.2017 um 16:57 Uhr
Jein !
Begründung: Deine Annahme ist relativ naiv und berücksichtigt die multiplen Fallen einer möglichen Infrastruktur nicht als da wären:
  • Dynamische IP Adressen
  • Carrier Grade NAT in verbindung mit RFC 1918 IP Adressen
  • Anschlusstechniken Kabel, Funk Draht und ggf. Zwangsrouter davor
  • Troubleshooting und Management. VPN sollte einheitlich sein
usw. usw.
All das sind so viel Fallstricke und Optionen die man nicht fest vorplanen kann und schon gar nicht per Plug and Play vorgeben kann.
Einfacher kann die Sache mit einem zentralisierten Design werden. Also keine any zu any Kommunikation und alle wählen sich zentral irgendwo ein.
Dann hast du leichtes Spiel. Hier sollte man immer ein SSL fähiges VPN Protokoll bevorzugen was nicht aus mehreren Protkollkomponenten besteht wie z.B. OpenVPN.
Das hat mit NAT und Carrier Grade NAT wenig Probleme und funktioniert auch an Anschlüssen mit dynamischen IPs oder CGN und RFC 1918 Adressierung. Insgesamt also wenig Problematiken.
Bitte warten ..
Mitglied: Androxin
28.11.2017 um 17:40 Uhr
Vielen Dank für die Antworten.

Derzeit handelt es sich um ein theoretisches Konstrukt, dass in sich stimmig sein soll. Insbesondere die Hard-/Software am zentralen Standort muss dann eben entsprechend angepasst werden.
Ich werde mir die Sophos RED Serie mal anschauen. Sind auch preislich äußerst attraktiv.

Bzgl. der Any to Any Thematik:
Das umzusetzen dürfte tatsächlich schwer sein.
Eine sternförmige Verbindung mit dem Hauptstandort in der Mitte reicht auch locker aus.
Bitte warten ..
Mitglied: SeaStorm
28.11.2017 um 19:14 Uhr
die REDs sind nur eine Komponente der Sophos UTM/XG Firewall. Die kostet nicht grad wenig Aber wenn man eh eine NextGen FW hat bietet sich das ja an
Bitte warten ..
Mitglied: gilligan
28.11.2017 um 23:17 Uhr
Sophos RED funktioniert tadellos. Ich werfe aber auch mal Lancom in der Raum, wenn die Zentrale auch ein Lancom ist zieht man im LANConfig einfach den Lancom der Aussenstelle auf das Zentralgerät per Drag n Drop und ein Site2Site VPN entsteht. Alternativ Lancom Management Cloud.
Bitte warten ..
Mitglied: aqui
29.11.2017 um 08:47 Uhr
Die Frage ist nur ob Sophos, Lancom und Co ein SSL basierendes VPN zustandebringen. In der Regel machen die VPNs auf IPsec Basis was dann in puncto "DAU Freundlichkeit" eher kontraproduktiv ist.
OpenVPN wäre da der bessere Weg.
Bitte warten ..
Mitglied: em-pie
29.11.2017 um 08:59 Uhr
Moin,

die Sophos kann Site2Site via SSL:
utm_ssl_s2s - Klicke auf das Bild, um es zu vergrößern

Wie/ mit welchem Protokoll die RED allerdings den Tunnel aufbaut, dat wees isch ned.


Gruß
em-pie
Bitte warten ..
Mitglied: aqui
29.11.2017 um 09:01 Uhr
Wireshark ist der Schlüssel dazu (Für den der es wissen will !)
Bitte warten ..
Mitglied: gilligan
29.11.2017 um 10:46 Uhr
RED ist kein IPSec S2S, benutzt Port 3400 oder 3500 TCP/UDP, vermutlich irgendwas SSL mäßiges. Genauere Funktion beschreibt https://community.sophos.com/kb/en-us/116573

Absolut DAU tauglich, in der Aussenstelle irgendeinen Router installieren der DHCP macht und dahinter die RED anstecken, fertig. Provisionierung etc. läuft über Sophos Server von der Zentralen UTM / XG aus.
Bitte warten ..
Heiß diskutierte Inhalte
Hardware
Schwarmwissen gefragt: Rätselstunde am Samstag Abend - LWL Verkabelung
gelöst Xaero1982FrageHardware32 Kommentare

Nabend Zusammen, heute Abend gibt es ein kleines Rätsel für euch was es zu lösen gilt. Die Lösung werde ...

Backup
Veeam Backup-Server aus der Domäne nehmen
redhorseFrageBackup26 Kommentare

Guten Morgen, da in unserer Backupumgebung ein Hardwaretausch ansteht, konzipiere ich gerade Möglichkeiten die Sicherheit zu erhöhen. Konkret geht ...

Vmware
ESXi für Raspberry Pi
sabinesInformationVmware18 Kommentare

VMware hat den ESXi für den Raspberry Pi (zu Testzwecken) vorgestellt, läuft 180 Tage auf dem Pi 4 mit ...

Windows Server
Server mit AMD EPYC 7F52 (1Socket) wird als 2 Socket Server angezeigt
LordXearoFrageWindows Server11 Kommentare

Hallo Zusammen, ich komme mit meinem Problem nicht so recht weiter und hoffe aufjemanden der noch weitere Ideen hat. ...

Notebook & Zubehör
Surface pro 3 oder aktueller
devazubiFrageNotebook & Zubehör11 Kommentare

Moin moin zusammen, ich möchte eine kurze Umfrage/Feedbackrunde starten. Ich habe gerade angefangen Wirtschaftsinformatik berufsbegleitend zu studieren. Ich würde ...

Outlook & Mail
Mails Farblich kennzeichnen für mehrer PCs ohne Exchange
gelöst luzifermbFrageOutlook & Mail10 Kommentare

Guten Tag, ich brauche Hilfe zu MS Outlook! Ich habe eine kleines Firmennetzwerk und möchte gerne mit 3 PCs ...

Ähnliche Inhalte
Peripheriegeräte

(Registry) Bedeutung von COL von Plug und Play Geräten

lord-iconFragePeripheriegeräte2 Kommentare

Hi, ich habe ein Problem, was ich nicht direkt zuordnen kann. Auf meinen Rechner meldet sich urplötzlich meine Tastatur ...

Windows Server

Flash im Firefox standardmäßig blockieren (click-to-play) - Einstellung ausrollen

gelöst Mun-deeFrageWindows Server2 Kommentare

Hallo, Immer, wenn man etws für Firefox und Chrome umsetzen will, merkt man, wie einfach es bei Chrome (GPO) ...

Server-Hardware

Bitte Hardwareempfehlung für Workstation

MaBa01FrageServer-Hardware15 Kommentare

Hallo, ich würde mir gerne eine Workstation zulegen und bräuchte eine Hardwareempfehlung von Euch. Auf der Workstation möchte ich ...

Netzwerke

Hardwareempfehlung TKom VDSL 50

TheSvenFrageNetzwerke10 Kommentare

Hallo Leute Dies ist mein erster Beitrag bei euch und ich bräuchte leider gleich ein paar Empfehlungen für hardware. ...

Server-Hardware

Server Hardwareempfehlung für Projekt

gelöst heax22FrageServer-Hardware12 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer geeigneten Server Plattform um unter Hyper-V einen virtuellen Server 2016 ...

Server-Hardware

Hardwareempfehlung für KVM+Div. Anwendungen

gelöst CaptainDuskyFrageServer-Hardware2 Kommentare

Guten Tag, ich möchte mir hier einen Server hinstellen und bin über dessen Hardwareanforderungen etwas unsicher. Aufsetzen möchte ich ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud