Kleine VPN Lösung. Günstige Realisierung?
Ich habe vor mehrere kleine Standorte per VPN zu verbinden. Zusätzlich sollen auch mobile Rechner (per UMTS) ins das VPN kommen.
In allen Fällen handelt es sich um normale DSL-Zugänge bei denen Router die Rechner online bringen. Keiner der Router beherrscht VPN Funktionalitäten es können aber Ports weitergeleitet werden.
Die VPNs sollen nicht durch normale Rechner sondern durch "Fertiggeräte" die VPN beherrschen aufgebaut werden. Also irgendwelche "Boxen" mit Netzwerkanschluss die das können und wenig Strom verbrauchen und wenig (bis 100,-€/Stück) kosten.
1.) Geht das überhaut?
2.) Kann dieser NSLU2 das mit der Debianinstallation?
In allen Fällen handelt es sich um normale DSL-Zugänge bei denen Router die Rechner online bringen. Keiner der Router beherrscht VPN Funktionalitäten es können aber Ports weitergeleitet werden.
Die VPNs sollen nicht durch normale Rechner sondern durch "Fertiggeräte" die VPN beherrschen aufgebaut werden. Also irgendwelche "Boxen" mit Netzwerkanschluss die das können und wenig Strom verbrauchen und wenig (bis 100,-€/Stück) kosten.
1.) Geht das überhaut?
2.) Kann dieser NSLU2 das mit der Debianinstallation?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81835
Url: https://administrator.de/forum/kleine-vpn-loesung-guenstige-realisierung-81835.html
Ausgedruckt am: 08.04.2025 um 01:04 Uhr
15 Kommentare
Neuester Kommentar
Was ist daran so schlecht? Wenn man sich die Router spart bzw. die 100 Euro auf einen Consumerrouterpreis drauflegt, dann passt doch alles. Man kann ja zum Beispiel auch ne WRAP-Box oder vergleichbar nehmen.
Ich habe dich ja richtig verstanden, dass die Rechner selbst die Verbindung nicht herstellen sollen müssen, oder? Denn an sich wäre das ja das einfachste und billigste. Einfach auf jedem Rechner OpenVPN installieren, die GUI mit dazu packen, bei allen die selbe Konfig-Datei und die selben Zertifikate, und alles automatisch starten lassen, dann sind das genau zwei Klicks, die man machen muss, um zum VPN- Server zu connecten... Aber das willst du ja nicht.
Und ehrlich gesagt kenne ich keine andere Lösung, als die einer integrierten VPN- Funktionalität im Router, die mit derart geringen Kosten verbunden ist - eigentlich kenne ich gar keine Box, die das tut, was du willst, ohne Router zu sein...Wenn du sowas doch noch findest wäre eine Rückmeldung nett.
Grüße,
kingkong
Ich habe dich ja richtig verstanden, dass die Rechner selbst die Verbindung nicht herstellen sollen müssen, oder? Denn an sich wäre das ja das einfachste und billigste. Einfach auf jedem Rechner OpenVPN installieren, die GUI mit dazu packen, bei allen die selbe Konfig-Datei und die selben Zertifikate, und alles automatisch starten lassen, dann sind das genau zwei Klicks, die man machen muss, um zum VPN- Server zu connecten... Aber das willst du ja nicht.
Und ehrlich gesagt kenne ich keine andere Lösung, als die einer integrierten VPN- Funktionalität im Router, die mit derart geringen Kosten verbunden ist - eigentlich kenne ich gar keine Box, die das tut, was du willst, ohne Router zu sein...Wenn du sowas doch noch findest wäre eine Rückmeldung nett.
Grüße,
kingkong
Klar, man könnte die WRAP- Boxen natürlich so einrichten, dass da auch ein OpenVPN- Client drauf läuft. Oder meintest du, dass du die OpenVPN- Verbindung durch diese kleine Box akzeptieren lassen kannst, also den OVPN- Server auf die Kiste tust? Aber wo liegt denn für dich das Problem, dass du den OVPN- Client nicht direkt auf dem Rechner ausführen willst? Sollen über einen einzigen Router mehrere Rechner in das VPN? Dann müsste man es tatsächlich so ausführen, dass ein Router auch das Gateway aufbaut.
Übrigens ist ja auch jeder Router ein kleiner Rechner. Die o.g. WRAP- Box hat sogar 233 MHz und 128 MB RAM...
kingkong
Übrigens ist ja auch jeder Router ein kleiner Rechner. Die o.g. WRAP- Box hat sogar 233 MHz und 128 MB RAM...
kingkong
Also ist es so wie in meiner Frage. Es sollen über einen (Client-)Router mehrere Geräte in das VPN. Dann bleiben zwei Möglichkeiten: einen VPN- fähigen Router zu nehmen oder auf einen Embedded-PC wie eben die genannte WRAP- Box oder auch Geräte von Soekris ein MiniLinux mit OpenVPN zu installieren. Dieses fungiert dann quasi als Switch ins VPN.
Und die Geräte, die unterwegs sind - dann ja wohl nur Notebooks bzw. PCs - müssen dann die Software selbst installiert haben.
Eine Alternative zu einer Kauflösung wäre, in eine FritzBox 7170 (soweit ich weiß geht auch die 7140/41) einen OpenVPN- Server zu inegrieren, das heißt, die Firmware zu flashen. Allerdings geht hierbei dann die Garantie verloren!
Die Serverseite scheint ja egal zu sein - wie gesagt hat man hier dann die Wahl zwischen ebenfalls einer solchen Box oder einem richtigen Server.
kingkong
Und die Geräte, die unterwegs sind - dann ja wohl nur Notebooks bzw. PCs - müssen dann die Software selbst installiert haben.
Eine Alternative zu einer Kauflösung wäre, in eine FritzBox 7170 (soweit ich weiß geht auch die 7140/41) einen OpenVPN- Server zu inegrieren, das heißt, die Firmware zu flashen. Allerdings geht hierbei dann die Garantie verloren!
Die Serverseite scheint ja egal zu sein - wie gesagt hat man hier dann die Wahl zwischen ebenfalls einer solchen Box oder einem richtigen Server.
kingkong
Server muss nur ein zentraler Rechner (wie auch immer der aussieht) sein. Über den läuft dann sämtlicher Netzwerkverkehr (deshalb eine ordentliche Internetanbindung auswählen). Das ist dann quasi eine Sterntopologie. Je nach Zahl der unterstützten VPNs kann man natürlich auch jeden Standort mit jedem anderen vernetzen und dann würde auch auf mehreren Boxen Serverfunktionalität gebraucht. Das alles ist eigentlich sowieso kein Problem, wenn man eine MiniLinux verwendet - hier gibt es keine Beschränkungen in der Zahl der VPNs. Der Aufwand ist aber natürlich ungleich höher. Wenn man den Stern machen will, muss aber natürlich eine zentrale Annahmestelle dauerhaft an sein, sonst funktioniert das natürlich nicht. Wenn das nicht gegeben ist bleibt eigentlich wirklich nur die Lösung mit der Vernetzung untereinander.
Und eine blöde Frage noch zum Schluss: Warum können die Router nicht (zumindest zeitweise) ausgetauscht werden?
Und eine blöde Frage noch zum Schluss: Warum können die Router nicht (zumindest zeitweise) ausgetauscht werden?
Das wäre so oder so bei der Anforderung ja der einzig gangbare und vernünftige Weg, denn wie sollte sonst ein allways on VPN zwischen den Stanorten realisiert werden ??
Alternative wäre dann in jeden Standort einen PC zu stellen, der per OpenVPN oder was auch immer die Standortvernetzung realisiert.
In anbetracht der Strom und Anschaffungskosten ist das natürlich Unsinn !
Fazit: 6 einfache Draytek Router mit einem IPsec VPN und gut ist.... Damit hast du dann die Standortvernetzung und zudem können sich remote User von wo auch immer problemlos einwählen !
Die blöde Frage von oben bzw. die Antwort von Arch ist berechtigt (auch ohne "rolleyes", denn wenn diese Anforderung schon bestand warum hat man denn unsinnigerweise die falschen Router angeschafft die nur passives VPN Forwarding können, mit denen aber keine VPN Standortvernetzung möglich ist ? Spätestens da ist schon Geld zum Fenster rausgeschmissen worden oder einer hat ohne Nachdenken (...und vermutlich auch Wissen ?!) einfach gekauft...
Alternative wäre dann in jeden Standort einen PC zu stellen, der per OpenVPN oder was auch immer die Standortvernetzung realisiert.
In anbetracht der Strom und Anschaffungskosten ist das natürlich Unsinn !
Fazit: 6 einfache Draytek Router mit einem IPsec VPN und gut ist.... Damit hast du dann die Standortvernetzung und zudem können sich remote User von wo auch immer problemlos einwählen !
Die blöde Frage von oben bzw. die Antwort von Arch ist berechtigt (auch ohne "rolleyes", denn wenn diese Anforderung schon bestand warum hat man denn unsinnigerweise die falschen Router angeschafft die nur passives VPN Forwarding können, mit denen aber keine VPN Standortvernetzung möglich ist ? Spätestens da ist schon Geld zum Fenster rausgeschmissen worden oder einer hat ohne Nachdenken (...und vermutlich auch Wissen ?!) einfach gekauft...
Es muss ein VPN- Server beziehungsweise Client bereitgestellt werden können, wenn die Standorte direkt vernetzt werden sollen. Aber das muss ja nicht zwingend ein PC (im herkömmlichen Sinne) sein.
@aqui: Ich gehe schon richtig in der Annahme, dass du die 2. Möglichkeit (die "Vermaschung") meinst, oder? Es hätte ja auch sein können, dass eine zentrale Stelle dauerhaft an ist. Und soweit ich weiß, ist bei den Draytek-Routern bei ca. 30 VPN- Tunnel Schluss (die Vigor2800er zum Beispiel 32). Insofern also mehr als diese 30 bzw. 32 Tunnel hergestellt werden müssen braucht es die Zentrale zwingend.
Grüße, kingkong
@aqui: Ich gehe schon richtig in der Annahme, dass du die 2. Möglichkeit (die "Vermaschung") meinst, oder? Es hätte ja auch sein können, dass eine zentrale Stelle dauerhaft an ist. Und soweit ich weiß, ist bei den Draytek-Routern bei ca. 30 VPN- Tunnel Schluss (die Vigor2800er zum Beispiel 32). Insofern also mehr als diese 30 bzw. 32 Tunnel hergestellt werden müssen braucht es die Zentrale zwingend.
Grüße, kingkong
Ich habe ja oben auch schon geschrieben, dass man mit einem abgespeckten Linux unbegrenzt "tunneln" kann. Und hier sind wir ja dann auch wieder bei der "Zentrale" 
Und bevor ich mir dann nen Draytek hole packe ich das lieber auf bereits erwähnten EmbeddedPC (wrap, soekris)...Kostet deutlich weniger, und kann mehr.
Ich denke, damit hat sich das Thema jetzt, oder? Dann bitte auf gelöst setzen.
Und bevor ich mir dann nen Draytek hole packe ich das lieber auf bereits erwähnten EmbeddedPC (wrap, soekris)...Kostet deutlich weniger, und kann mehr.
Ich denke, damit hat sich das Thema jetzt, oder? Dann bitte auf gelöst setzen.
@kingkong
Das ist richtig, da sowieso so gut wie alle Mittelklasse Firewall/VPN Appliances auf einem Embedded Linux basieren...
Das ist richtig, da sowieso so gut wie alle Mittelklasse Firewall/VPN Appliances auf einem Embedded Linux basieren...