angeal
Goto Top

Multi-WAN Router und Modems für KMU

Hallo Zusammen,
wir stehen vor der Umstellung unseres Anlagenanschlusses auf VoIP. Im Zuge dessen möchten wir unser Netzwerk ein wenig optimieren.

Kurze Daten zum Unternehmen:
- KMU mit ca. 15 Mitarbeitern (davon 3-4 im Homeoffice / OpenVPN)
- ca. 10-12 PC und ne Hand voll Netzwerkdrucker
- 2 Standorte (Site-to-Side VPN, aktuell mit Fritzboxen)
- 500Mbit (bald 1.000 Mbit) Vodafone Kabel am Hauptstandort (2. Standort hat 50Mbit VDSL)
- Server stehen Inhouse am Hauptstandort, ebenso die Telefonanlage (Unify)

Durch die Umstellung auf VoIP bekommen wir (auch zwecks Redundanz) zwei VDSL Anschlüssen neben der Kabelleitung am Hauptstandort.
Wir haben dann also drei WAN zur Verfügung. Zusätzlich hätten wir noch die Option per LTE-Modem. Also insgesamt vier WANs

Nun bin ich auf der Suche nach einem Multi-WAN Router. Die VDSL Leitungen am Hauptstandort sollen in erster Linie für VoIP und VPN genutzt werden. Für den Notfall als Fallback Failover.

Damit die VPN-Verbindungen alle reibungslos funktionieren (speziell das Side-to-Side VPN), sollte am zweiten Standort eventuell ein Gerät des gleichen Herstellers eingesetzt werden (korrigiert mich wenn ich hier falsch liege, aber Fritten haben nicht das beste VPN). In den Homeoffices sind wir nicht auf OpenVPN festgelegt. Diese Verbindungen werden aktuell von einem Synology Gerät am Hauptstandort verwaltet.

Falls hier pfSense empfohlen wird, dann gern auch mit passender Hardware.
Ich hatte alternativ schon einmal bei Ubiquiti geschaut. Die Dream Machine Pro sieht ganz gut aus, jedoch weiß ich nicht ob ich dort mehr als zwei WANs konfigurieren kann. Das geht aus den Unterlagen leider nicht hervor (dort steht nur Dual-WAN).

Abschließend zum Thema Modems. Für die beiden neu dazu kommenden VDSL Leitungen benötige ich noch zwei Modems. Auf der Seite von Vodafone habe ich theoretisch als Ersatz schon ein alternatives Modem, wir arbeiten hier jedoch mit einer Fritzbox 6490 (mit Vodafone FW), da bei Störungen immer wieder das Vodafone-eigene Gerät vom Support verlangt wird. Das ständige umstecken und erneute freischalten war uns irgendwann zu nervig.

Ich bin für aufschlussreiche Tipps und Empfehlungen sehr dankbar face-smile

Content-Key: 623422

Url: https://administrator.de/contentid/623422

Printed on: June 19, 2024 at 01:06 o'clock

Member: aqui
aqui Nov 18, 2020 updated at 11:01:09 (UTC)
Goto Top
Falls hier pfSense empfohlen wird, dann gern auch mit passender Hardware.
Wäre ein brauchbarer Ansatz:
https://www.heise.de/select/ct/2016/24/1479992026108405
Hardware:
https://www.ipu-system.de
443 oder 445 sollten bei der sehr geringen Userzahl reichen.
Modems die Klassiker Vigor 165 oder Zyxel VMG3006
Hätte den Vorteil das du alle VPN Optionen auf die Firewall verlagern kannst statt wie derzeit ungeschützten Internet Traffic aufs lokale LAN und dann noch auf ein sicherheitskritisches NAS zu lassen.
Alternative auf der Router Seite Cisco 926-4P oder 1112-8P oder die anderen üblichen Business Verdächtigen (Lancom etc.)
Member: Angeal
Angeal Nov 18, 2020 at 08:49:24 (UTC)
Goto Top
Vielen Dank für den Ansatz. Wo wir schon bei Draytek sind. Kann der auch was? https://www.draytek.de/vigor3910.html
Member: aqui
aqui Nov 18, 2020 updated at 09:38:01 (UTC)
Goto Top
Ja, wäre auch eine Alternative. Kann aber kein OpenVPN, da müsstest du dann vom VPN Protokoll umstellen.
Die Firewall supportet (fast) alles an VPN Protokollen:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Bessere Router Alternative die es auch kann: Mikrotik mit einem RB4011 z.B. Aber etwas steilere Lernkurve bei der Konfig.
Nachteil: Keine integrierten xDSL Modems. Die o.a. Ciscos (und andere) haben zumindestens jeweils ein integriertes xDSL Modem.
Member: Angeal
Angeal Nov 18, 2020 at 09:15:06 (UTC)
Goto Top
Also laut Datenblatt kann der 3910 OpenVPN. Aber wie eingangs schon erwähnt. Wir sind nicht mit OpenVPN verheiratet. Die paar Homeoffice Clients ließen sich schnell umstellen.
Member: aqui
aqui Nov 18, 2020 at 09:37:40 (UTC)
Goto Top
Stimmt, du hast Recht. Sorry für die Verwirrung.
Member: gilligan
gilligan Nov 18, 2020 updated at 10:13:27 (UTC)
Goto Top
Ich werfe Lancom in den Ring, Modell je nach gewünschter Ausbaustufe..
Als Modem nehm ich aktuell die ZTE H186 weil die ohne sync die eth Schnittstelle ausschalten.
Member: tikayevent
tikayevent Nov 18, 2020 at 16:13:34 (UTC)
Goto Top
Ich würde auch LANCOM sagen, hier gibt es sogar Geräte mit zwei VDSL-Modems und noch zwei WAN-Schnittstellen integriert (der 1906VA), auch als Version mit LTE (wäre dann der 1906VA-4G).

Beherrscht bis zu 25 VPN-Verbindungen im Auslieferzustand, kann auf 50 aufgebohrt werden per Lizenz.

Ich hab hier privat einen 1906VA-4G stehen, aber mit einem TechniColor TC4400 als Kabelmodem davor an einem ex-Unitymedia VF Cablemax 1000.
Member: em-pie
em-pie Nov 18, 2020 at 19:23:17 (UTC)
Goto Top
Moin,

Ich schmeiße mal Sophos' UTM in den Ring.
Bei euch könnte die 125 oder 135 ausreichend sein.

Neben Themen wie VPN, Firewall und Packetfilter hättet ihr auch noch nen Mail-Protection am Board und könntet sogar später die Sophos AccessPoints einsetzen und darüber zentral managen.

An den anderen Standorten jeweils 'ne RED und gut ist’s.

Preislich ist das aber eine andere Region, wenn man das einmal mit einer pfSense vergleicht...

Gruß
em-pie
Member: Angeal
Angeal Nov 20, 2020 at 14:01:18 (UTC)
Goto Top
Das Lancom Gerät hatte ich auch schon gesehen. Das ist durchaus interessant.
Also wäre es mit dem Gerät 1906VA-4G ohne weiters möglich 2 x VDSL, 1 x Kabel und 1 x LTE mit Failover / Fallback zu betreiben?
Am 2. Standort befindet sich aktuell eine Fritzbox (absolut ausreichend). Ein Site-to-Site VPN sollte hier auch keine Probleme machen, oder?
Member: tikayevent
tikayevent Nov 20, 2020 updated at 19:44:38 (UTC)
Goto Top
Ja, das wäre problemlos möglich. Im Maximalausbau wäre es sogar möglich, mit 2x VDSL, 5x Kabel (bzw. irgendwas ethernetbasiertes, egal ob Kabel, Leased Line, DSL mit externem Modem, ...) und LTE am Netz zu hängen. Aber das ist ein theoretisches Maximum, hier sollte man eher einen weiteren Router nehmen, als alles auf eine Karte zu setzen.

Site-to-Site mit einer Fritzbox geht, aber ist grundsätzlich nicht schön. Kann am Ende etwas Bastelaufwand erzeugen, um die nötigen IPSec-Parameter in Erfahrung zu bringen. Zumindest geht es nicht, wie zwischen zwei LANCOM-Geräten, mit dem 1-Click-VPN.

Den 1906VA(-4G) hab ich nur genannt, weil er zwei Modems integriert hat. Selbst mit einem einfachen 1790EW wäre es möglich, da selbst dieser bereits bis zu vier WAN-Verbindungen beherrscht, dann müsste VDSL aber über ein externes Modem laufen.