matsushita
Goto Top

Kaufempfehlung: VPN-Router für kleine Unternehmen

Hallo liebe Kollegen und frohe Ostern,

da ich zunehmend mit kleinen Unternehmen in meinem Kundenkreis zu tun habe, suche ich einen recht preiswerten VPN-Router. Bestimmt habt Ihr da reichlich Erfahrungen und könnt mir einen Tipp geben.

Die meisten meiner kleinen Kunden nutzen reguläre (V)DSL-Anschlüsse, nicht alle haben eine statische IP-Adresse. Ich suche also einen Router, der möglichst ein VDSL-Modem an Board hat, über eine konfigurierbare Firewall verfügt und VPN-Verbindungen zulässt. Häufig wird ein Site--2-Site VPN nach Microsoft Azure benötigt, einige Kunden brauchen aber auch ein Client-2-Site VPN on demand. Der Router sollte also min. 5 parallele VPN-Verbindungen erlauben. Besonders toll wäre es, wemnn der Router einfach konfigurierbare wäre, damit jeder Kollege dort eingreifen kann, ohne zuvor umfangreiche Anleitungen etc. gelesen haben zu müssen.

Was meint Ihr, welchen Router sollte ich mir mal ansehen?

Viele Grüße!
Matsu

Content-ID: 369816

Url: https://administrator.de/contentid/369816

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

Vision2015
Vision2015 31.03.2018 um 10:51:45 Uhr
Goto Top
Moin..
das mit dem preiswert ist so eine sache...

je günstiger die kisten, desto weniger VPN Datendurchsatz!
in XDSL zeiten von 100 MBit und mehr würde ich zu lancom greifen oder mit entsprechenden unterbau auch pfsense.
auch ein Draytek Vigor 3220 Router rennt ganz ordentlich face-smile

Frank
117471
117471 31.03.2018 um 10:52:25 Uhr
Goto Top
Hallo,

„einfach“ und VPN schließt sich aus. Ohne Fachwissen bekommst Du so etwas nicht betrieben.

Wir nutzen i.d.R. pfSense und die bereits vorhandene Hardware als Modem (PPPoE Passthrough).

Gruß,
Jörg
StefanKittel
StefanKittel 31.03.2018, aktualisiert am 01.04.2018 um 00:25:17 Uhr
Goto Top
Moin,

wenn es "nur" um VPN geht rate ich zu einem APU-2C4 mit pfSense zusammen mit einem Vigor 130 A/V-DSL-Modem.
Dammit kann man eigentlich alles machen.

Wenn auch auch um UTM geht, dann lieber eine "richtige" Firewall.
Da hat jeder so seinen Geschmack. Ich mag Gateprotect, Securepoint und Erdbeereis.

Stefan

Links
https://www.amazon.de/gp/product/B071KXBVNN
https://www.amazon.de/gp/product/B01GEIBC12
https://www.amazon.de/gp/product/B00F9E5LQA
aqui
aqui 31.03.2018 aktualisiert um 12:20:51 Uhr
Goto Top
pfSense Firewall wie Kollege Kittel oben schon betont hat:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
oder Cisco 886va
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Oder die anderen üblichen Verdächtigen, Lancom, Bintec und Co.
orcape
orcape 31.03.2018 um 12:35:21 Uhr
Goto Top
Hi Matsushita,
ich würde da auch eine APU2C4 oder ähnlich mit einer pfSense bevorzugen. Reines Modem oder von mir aus auch den Router des Providers davor und gegessen ist der Spass. Mit Kosten von ca. 200 €uro dürfte das für ein kleines Unternehmen auch kein Problem werden.
Besonders toll wäre es, wemnn der Router einfach konfigurierbare wäre, damit jeder Kollege dort eingreifen kann, ohne zuvor umfangreiche Anleitungen etc. gelesen haben zu müssen.
Nun hier wird es wohl einige Einschränkungen geben müssen, denn jeden Dau sollte man an so was wohl doch eher nicht ran lassen.
So lange Du selbst damit kein Problem hast, denn mit ein wenig Einarbeitungszeit musst Du schon rechen. Im Zeitalter von Virtuellen Tunneln und DynDNS ist das aber kein Thema, von remote auf das alles zuzugreifen, ohne die "Oma" bemühen zu müssen.
Gruss orcape
Lochkartenstanzer
Lochkartenstanzer 31.03.2018 aktualisiert um 12:48:51 Uhr
Goto Top
Moin,

und wenn es billich sein muß, tut es auch ein raspi oder tp-link mit ddwrt, der hinter den Speedport oder die Fritzbüx geklemmt wird. face-smile

lks
erikro
erikro 31.03.2018 aktualisiert um 12:52:51 Uhr
Goto Top
Moin,

Zitat von @Matsushita:

Hallo liebe Kollegen und frohe Ostern,

da ich zunehmend mit kleinen Unternehmen in meinem Kundenkreis zu tun habe, suche ich einen recht preiswerten VPN-Router. Bestimmt habt Ihr da reichlich Erfahrungen und könnt mir einen Tipp geben.

Was heißt preiswert? Unter ca. 500 € wird das m. E. bei den genannten Anforderungen nichts. Das wäre dann preiswert.

Die meisten meiner kleinen Kunden nutzen reguläre (V)DSL-Anschlüsse, nicht alle haben eine statische IP-Adresse. Ich suche also einen Router, der möglichst ein VDSL-Modem an Board hat, über eine konfigurierbare Firewall verfügt und VPN-Verbindungen zulässt. Häufig wird ein Site--2-Site VPN nach Microsoft Azure benötigt, einige Kunden brauchen aber auch ein Client-2-Site VPN on demand. Der Router sollte also min. 5 parallele VPN-Verbindungen erlauben.

Lancom hat diverse Router im Angebot, die das leisten.

Besonders toll wäre es, wemnn der Router einfach konfigurierbare wäre, damit jeder Kollege dort eingreifen kann, ohne zuvor umfangreiche Anleitungen etc. gelesen haben zu müssen.

Was denn jetzt? VPN und richtige Firewall oder einfach konfigurierbar? ;)

Liebe Grüße

Erik
lcer00
lcer00 31.03.2018 um 13:03:42 Uhr
Goto Top
Hallo,

als Alternative: bintec z.B. RS353 oder all.ip

Wobei ich das Azure-VPN noch nicht getestet habe.

Grüße

lcer
aqui
aqui 31.03.2018 aktualisiert um 17:11:51 Uhr
Goto Top
da läuft es mir schon wieder eiskalt den Rücken runter ... ärgerlich für den wehrlosen Kunden, sich von solchen Spezialisten fremdbetreuen lassen zu müssen.
Stimmt absolut !
Das klingt ziemlich gruselig besonders für den Kunden. Aber die pfSense hat ja glücklicherweise ein auch für halbwissende Laien recht einfaches Klicki Bunti Interface was auch halbwissende "Kollegen" bedienen können....
Cisco, Lancom und Mikrotik entfallen da da schon, da die eine deutlich steilere Lernkurve für die Konfig erfordern. Je nach Wissensniveau der "Kollegen" natürlich.
Matsushita
Matsushita 31.03.2018 um 17:11:40 Uhr
Goto Top
Dir muss nichts eiskalt den Rücken herunterlaufen. Wir haben hier z.B. ein Netzwerk.Team, welches IOS (Cisco, nicht Apple) rauf- und runter konfigurieren kann, wir haben jemanden mit sehr guten Bintec-Kenntnissen usw. Ich möchte auch keinen billigen VPN Router haben (sondern einen preiswerten) und hier wird niemand Router konfigurieren, der es nicht kann.

Es gibt allerdings herbe Unterschiede bei den verschiedenen Herstellern, was die Zugänglichkeit betrifft. Und hier hätte ich gerne etwas, wo die Einarbeitungszeit nicht unnötig srapaziert wird.
aqui
aqui 31.03.2018 aktualisiert um 17:15:22 Uhr
Goto Top
Dann ist Cisco natürlich wieder im Boot ! face-smile
Fragt man sich dann nur das dieser dann eigentlich überflüssige Fragethread dann hier sollte. Damit liegt die Antwort ja schon auf der Hand !
Dann solltest du logischerweise immer bei Cisco bleiben wenn man so ein Top IOS Team hat !
Zur Not können die nicht ganz so sattelfesten IOS Kollegen dann im o.a. Cisco Tutorial spicken.
Matsushita
Matsushita 31.03.2018 um 17:15:15 Uhr
Goto Top
Preiswert bedeutet, dass ein Gerät seinen Preis wert ist. Ob das jetzt 200, 500 oder 1.000 Euro sind ist mir egal. Persönlich konfiguriere ich gerne Cisco ASA. Als CCNA mache ich viel mit Cisco und habe keinen Marktüberblick mehr, gerade wenn es um das KMU-Umfeld geht. Daher einfach mal die Frage, was es empfehlenswert sonst noch gibt.

Warum einige von Euch deshalb auf "unwissende Laien" kommen, ist mir nicht ganz klar.
aqui
aqui 31.03.2018 aktualisiert um 17:18:06 Uhr
Goto Top
Warum einige von Euch deshalb auf "unwissende Laien" kommen, ist mir nicht ganz klar.
Weil du keinerlei Aussagen zu dem Wissens- und Ausbildungsstand der "Kollegen" gemacht hast. Auch mit starken Drogen aus dem Sicherheitsschrank des Kollegen @keine-ahnung könnten wir das ja nicht erraten oder dir von den Augen ablesen.... Ein großer Nachteil eines Forums wie diesem.
Cisco im KMU Umfeld ist 880er und 890er.
Matsushita
Matsushita 31.03.2018 um 17:18:37 Uhr
Goto Top
Weil ich keinen Marktüberblick mehr habe, da ich nur Cisco mache (neben meiner Haupttätigkeit als Senior Consultant im Microsoft Umfeld). Die Kollegen im Help Desk sollten ebenfalls in der Lage sein mal Einstellungen zu prüfen bzw. zu setzen, auch ohne umfangreiche IOS Kenntnisse. Daher die Frage nach etwas einfachem, wobei das immer verhältnismäßig gemeint ist. Die Leute sind hier schon alles min. ausgebildete FiSi. Klick bunti oder für Deppen braucht hier keiner.
Matsushita
Matsushita 31.03.2018 um 17:19:17 Uhr
Goto Top
Ja Sorry, ich dachte wir sind hier alle Admins und arbeiten alle mit guten Leuten und Geräten.
aqui
aqui 31.03.2018 aktualisiert um 17:25:14 Uhr
Goto Top
Weil ich keinen Marktüberblick mehr habe, da ich nur Cisco mache
Mmmhhh diesen konträren Widerspruch muss man erstmal verstehen. Du machst hauptsächlich Cisco, bist CCNA hast aber keinerlei Marktüberblick von dem Hersteller. Sorry, aber das klingt schon sehr strange...
Na ja egal...die Antworten welche HW steht ja oben schon explizit. Sind ja immer die selben einschlägig Verdächtigen..
Cisco, Lancom, pfSense, Mikrotik, Bintec, Ubiquity UniFi.
und arbeiten alle mit guten Leuten und Geräten.
Das ist zweifelsohne richtig ! Aber wenn du schon ein top ausgebildetes Cisco Team hast und damit alles wuppst warum willst du dir dann zwangsweise das Leben schwermachen durch Mischmasch ? Keep ist simple and stupid. face-wink
erikro
erikro 31.03.2018 um 17:34:32 Uhr
Goto Top
Dann sage ich nochmal Lancom. Gute Geräte, die ihren Preis wert sind. Der Konfigurator ist m. E. sehr übersichtlich und logisch aufgebaut. Mit ihm kannst Du Konfigurationen vorfertigen und dann auf das entsprechende Gerät hochladen. Außerdem sieht man vor dem Kauf, was die Geräte können. Einfach im Konfigurator das entsprechende Gerät auswählen. Du bekommst ihn auf der Lancomseite im Downloadbereich, indem Du nach Software für einen beliebigen Router suchst und Lanconfig auswählst.

hth
Dani
Dani 31.03.2018 um 18:28:17 Uhr
Goto Top
@StefanKittel
Bitte ersetze die Affiliate Links durch normale Produktlinks von Amazon.


Gruß,
Dani
lcer00
lcer00 31.03.2018 um 19:56:37 Uhr
Goto Top
Hallo nochmal,

nebenbei - Frohe Ostern gibt's erst ab morgen, für ganz hartgesottene vielleicht schon heute Nacht ....

Ich werde aus Frage und Thread nicht richtig schlau

Willst Du wissen:

- welche Produkte anderer Firmen es alternativ zu Cisco gibt

ODER

- welche Cisco-VPN-Router für Deinen Einsatz zu empfehlen sind?

Grüße

lcer
117471
117471 31.03.2018 um 20:16:02 Uhr
Goto Top
Hallo,

Zitat von @erikro:

Dann sage ich nochmal Lancom.

Das ist eigentlich der Einzige vor dem ich abrate.

In meinen Augen sind das eierlegende Wollmilchsäue mit verworrener Oberfläche, an die gefühlt 10 unterschiedliche Teams ihren Kram angeflanscht haben.

Von diversen Einschränkungen wie z.B. kein OpenVPN mal ganz abgesehen. Ein guter Router lässt sich auf alle Protokolle erweitern.

Vom letzten Umbau der Supportressourcen, die ich als "vor den Kunden verstecken" empfinde und Aussagen wie "Wir wissen leider auch nicht, was man da eintragen muss" mal ganz abgesehen.

Merke: Wenn es der grottenschlechte Assistent nicht hinbekommt, dann stehst Du sehr warscheinlich im Regen.

Nimm pfSense oder etwas anderes quelloffenes.

Gruß,
Jörg
aqui
aqui 31.03.2018 aktualisiert um 22:07:24 Uhr
Goto Top
mit verworrener Oberfläche, an die gefühlt 10 unterschiedliche Teams ihren Kram angeflanscht haben.
Dem kann man nur zustimmen. Sehr unübersichtlich wirr und dein Cisco Team wird dich dafür garantiert vierteilen oder mit dem Lieblings_Admin_Tool vom Kollegen @Lochkartenstanzer wirst du blutig gepeitscht bis du ihn gegen einen 886 tauschst ! Oder...
pfSense oder etwas anderes quelloffenes.
Pedant
Pedant 01.04.2018, aktualisiert am 02.04.2018 um 11:54:20 Uhr
Goto Top
Hallo,

damit jeder Kollege dort eingreifen kann, ohne zuvor umfangreiche Anleitungen etc. gelesen haben zu müssen.
da läuft es mir schon wieder eiskalt den Rücken runter ... ärgerlich für den wehrlosen Kunden, sich von solchen Spezialisten fremdbetreuen lassen zu müssen.
mir läuft da Nichts den Rücken runter.
Nicht jeder Kollege im Team eines IT-Dienstleisters ist Spezialist für VPN und für den Router, der hier ausgewählt werden soll.
Ich freue mich für den wehrlosen Kunden, dass Matsushita darauf achtet, dass seinen Kunden jederzeit geholfen werden kann und nicht nur, wenn der Einzige, der sich mit eventuell unnötig kompliziertem Kram auskennt, gerade erreichbar ist und Zeit dafür hat.

Zum Thema:

Sehe ich das richtig, dass Verbindungen zu VPN-Router/Server von Cisco clientseitig ausschließlich mit "Cisco AnyConnect" hergestellt werden können?
Für Matsushitas Vorhaben mag das irrelevant sein, aber ich, für mich, würde eine Lösung bevorzugen, die kompatibler ist, also auch Verbindungen mit z.B. OpenVPN-Clients zulässt.

Frohe Ostern
Frank

EDIT: Kommentar durch PN ersetzt
aqui
aqui 01.04.2018 aktualisiert um 12:25:29 Uhr
Goto Top
Na ja...bei solchen Kunden ist das immer ein Balanceakt zwischen Sicherheit und Fahrlässigkeit bzw. Dummheit. Die heulen dann immer am lautesten wenn das Kind in den Brunnen gefallen ist.
Letztlich kann man aber sowas über ein Forum niemals beurteilen, geschweige denn bewerten, weil man weder Kunden noch Techniker noch den Wissenstand beider kennt. Wobei auch hier "Wissen" wieder mal wie immer relativ ist.
Es ist also sinnfrei solche Themen hier zu diskutieren, da zuviele Unbekannte...

Sehe ich das richtig, dass Verbindungen zu VPN-Router/Server von Cisco clientseitig ausschließlich mit "Cisco AnyConnect" hergestellt werden können?
Nein !
Das siehst du vollkommen FALSCH. Jeder beliebige Client kann dazu verwendet werden. Egal ob Onboard im Betriebssystem oder extern.
Außerdem ist diese Frage sehr laienhaft und oberflächlich gestellt weil du nicht einmal das zu verwendenden VPN Protokoll spezifiziert hast. Davon gibt es ja ne Menge zur Auswahl.
Cisco supportet mehrere und das mit allen verfügbaren Clients.
OpenVPN ist allerdings die einzige Ausnahme. Jedenfalls bei den IOS basierten Systemen von Cisco. Ob das bei der RV Billigschiene con Cisco anders ist entzieht sich meiner Kenntniss. Kollege @Matsushita wird das aber als Cisco Profi sicher wissen.
Pedant
Pedant 01.04.2018 um 13:11:09 Uhr
Goto Top
Hallo aqui,

Zitat von @aqui:
Sehe ich das richtig, dass Verbindungen zu VPN-Router/Server von Cisco clientseitig ausschließlich mit "Cisco AnyConnect" hergestellt werden können?
Nein !
Das siehst du vollkommen FALSCH. Jeder beliebige Client kann dazu verwendet werden...
Außerdem ist diese Frage sehr laienhaft und oberflächlich gestellt ...
...
OpenVPN ist allerdings die einzige Ausnahme. Jedenfalls bei den IOS basierten Systemen von Cisco...
Gut, danke für die Info.
Die Frage kam bei mir auf, als ich nach dem vorgeschlagenen Cisco 886va gesucht hatte und mehrere Erwähnungen von "Cisco AnyConnect" fand, daher hatte ich hier spontan nachgefragt, statt mich in die Gerätespezifikationen einzulesen.
Dass OpenVPN clientseitig nicht unterstützt wird, finde ich allerdings schade.

Frohe Ostern
Frank

PS: So, jetzt gehe ich das schöne Aprilwetter genießen.
aqui
aqui 01.04.2018 um 21:23:08 Uhr
Goto Top
als ich nach dem vorgeschlagenen Cisco 886va gesucht hatte
Guckst du auch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Dass OpenVPN clientseitig nicht unterstützt wird, finde ich allerdings schade.
Stimmt, aber mit IPsec hat man ja eine ebenbürtige Alternative. Sogar noch mit dem Vorteil das damit dann auch so gut wie jeder onboard Client supportet ist wie z.B. hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Frohe Ostern !
Pedant
Pedant 02.04.2018 um 13:01:11 Uhr
Goto Top
Hallo aqui,

Zitat von @aqui:
...aber mit IPsec hat man ja eine ebenbürtige Alternative. Sogar noch mit dem Vorteil das damit dann auch so gut wie jeder onboard Client supportet ist
Danke für die Links und deren Inhalt.
Den Ersten hatte ich schon überflogen.

"onboard Client" statt OpenVPN-Client klingt gut, wäre aber in meinem Fall nicht ganz ebenbürtig.

Im Büro betreibe ich einen Netgear R8000 mit DD-WRT als OpenVPN-Server. Er hängt mit eigener, öffentlicher IP an unserer 100-MBit-Standleitung (symetrisch). Der eigentliche Internet-Traffic des Büros läuft über dieselbe Leitung, aber über ein anderes Gateway mit anderer IP. Der Netgear ist also aussschließlich für VPN zuständig und läuft erstaunlich stabil.

Zuhause tunnel ich mich mit meinen PC oft (aber nur bei Bedarf) ins Büro, mittels OpenVPN-Client-Software.
Zusätzlich zu meinem Internetrouter habe ich zuhause einen DD-WRT-Router, der über ein separates Subnetz eine permanente Verbindung als OpenVPN-Client zum Büro-VPN unterhält.
Über diese Verbindung habe ich meine Telefonanlage als SIP-Client an die Büro-TK angebunden, um meine Büroduchwahl auch an einem Tischapparat zuhause zu nutzen.
Für Letzteres bin ich auf OpenVPN-Kompatibilität angewiesen oder müsste auch zuhause den Tunnel-Router durch andere Hardware ersetzen.
Den permanenten Tunnel nutze ich nur für meine TK. Das restliche Heim-Lan ist davon separiert und die Verbindung vom Heim-PC zum Büro-Netzwerk möchte ich nicht 24/7 betreiben, sondern nach Belieben aufbauen und trennen können.

Frohe Ostern
Frank
aqui
aqui 02.04.2018 aktualisiert um 19:04:07 Uhr
Goto Top
aber in meinem Fall nicht ganz ebenbürtig.
"ebenbürtig" war rein auf die Security und das Handling bezogen. Wenn du natürlich in einer reinrassigen OVPN Umgebung "lebst" nützt dir IPsec natürlich nicht wirklich was, das ist verständlich.
Nur es entbindet einen dann von der Installation von 3rd Party VPN Clients und man kann alles mit onboard Clients des Betriebssystems selber lösen. Was bei dir verständlicherweise kein Thema ist.
Es gibt eben viele Wege... face-wink