ztommy

Router mit VPN Tunnel und Nutzerverwaltung

Ein schönes Hallo in die Runde,

ich habe eine Frage an Euch.

Situation:
Kleines Unternehmen mit bis zu 25 Mitarbeiter.
Es existiert quasi nur ein privates Netzwerk.
Es gibt keine Microsoft Server, DNS etc.

Es wird jetzt ein Router mit VPN Tunnel benötigt, der idealerweise es erlaubt, Benutzer zu konfigurieren.
Also mit Anmeldung.
Aktuell ist kein Microsoftserver mit AD, DNS, Mailserver etc. vorgesehen.

Daher muss eine kleine Lösung her.
Aktuell bin ich halt auf der Suche nach einem Router mit VPN Tunnel und Benutzerverwaltung (Anlegen von Nutzern).

Hat da jemand schon Erfahrung bzw. kennt bestenfalls deutsche Hersteller?
Im Internet finde ich Lancom und weitere.
Aber keine Infos bzgl. der Möglichkeit, Nutzer anzulegen.

Danke und Grüße face-smile
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 672031

Url: https://administrator.de/forum/router-mit-vpn-tunnel-und-nutzerverwaltung-672031.html

Ausgedruckt am: 29.04.2025 um 21:04 Uhr

Platypus
Platypus 18.03.2025 um 18:17:12 Uhr
Goto Top
Frage: was sollen denn die Nutzer auf dem Router ?

Grüße
DivideByZero
DivideByZero 18.03.2025 aktualisiert um 18:23:36 Uhr
Goto Top
Moin,

das kann eigentlich jeder Router, der VPN ermöglicht (Clients anlegen). Da stellt sich eher die Frage, wie sind Deine/Eure Kenntnisse? Ohne Kenntnis ist die Fritz!Box ok, da gibt es viele Tutorials, und Wireguard ist dann schnell eingerichtet. Allerdings nicht geeignet für 25 parallele Tunnel mit Volldampf.

Wenn Du mehr Leistung benötigst oder bessere Firewall dazwischen, dann ist Lancom eine Möglichkeit, oder Unifi, oder Mikrotik (steile Lernkurve), eigentlich alles, was eben als Router auch VPN hat. Oder OpnSense. Hängt von Budget + Kompetenz ab. Zu billig würde ich nicht nehmen, da gibt es eigentlich de facto kaum Support, und Sicherheitslücken an dieser kritischen Stelle werden nicht gefixt.

Gruß

DivideByZero
Globetrotter
Globetrotter 18.03.2025 um 18:57:51 Uhr
Goto Top
Hi..
Kaufe eine kleine SOPHOS/Fortinet/ oder OPNSense/PFSense und hänge die dann ans AD.. fertisch!
Über Gruppenmitgliedschaften kannst Du dann regeln wer VPN darf oder nicht.

Gruss Globe!
ZTommy
ZTommy 18.03.2025 um 19:10:59 Uhr
Goto Top
Danke für deine Nachricht.
Es gibt keine AD.
Es gibt noch nichts.
Es steht alles am Anfang...
ZTommy
ZTommy 18.03.2025 um 19:16:51 Uhr
Goto Top
Huhu. Auch danke für deine Mühe.

Ich bin ehrlich, ich bin da lange raus. Deswegen habe ich mich hierhin gewendet. Ich bin seit 10-11 Jahren raus aus dem Thema. Bin seitdem ehr in der Mainframe Welt unterwegs.
Aktuell versuche ich langsam da reinzukommen bzw ein passenden Router zu finden.

Von lancom habe ich schon gehört bzw kurz gelesen.
ZTommy
ZTommy 18.03.2025 um 19:24:44 Uhr
Goto Top
Danke für die Rückfrage

Die sollen nicht auf den Router.

Situation:

Ein normales Netzwerk, wo ein Access Point dazwischen hängt. Darüber gehen die 3 Mitarbeiter ins Netzwerk. Jetzt wurde ein Nas System hingestellt, wo eine Access Datenbank gesichert ist bzw läuft.
Diese muss jeden Tag gepflegt werden. Wenn man sich im Netzwerk befindet, hat man natürlich Zugriff.
Jetzt geht es darum, dass die 3 Mitarbeiter auch von außerhalb Zugriff haben, wenn sie sich nicht im selben Netzwerk befinden. Der Zugriff sollte natürlich sicher sein.
Da habe ich jetzt von Router mit VPN Tunnel erfahren, gelesen. Natürlich sollten diese für aktuell kleine Unternehmen sein. Auch sollten damit zukünftig weitere Standorte eingerichtet werden können. Natürlich braucht man bei dem Router auch die Möglichkeit, Nutzer einzurichten. Klingt erstmal einfach, aber wird komplex sein.
ZTommy
ZTommy 18.03.2025 um 19:27:57 Uhr
Goto Top
Budget ist da.
Zu billig will ich das nicht machen.
Hatte jetzt auch explizit nach deutsche Hersteller geschaut. Aber meist hängt da auch eine Lizenz für Wartung, Software etc mit dran.
em-pie
em-pie 18.03.2025 aktualisiert um 19:41:58 Uhr
Goto Top
Moin,

Bei deiner Anforderung (Zugriff auf internes NAS) würde ich zwei Varianten wählen:
  1. FRITZ!Box und dort den VPN einrichten. Das geht mit deren Assistenten ganz gut
  2. gebrauchte Sophos XG125 oder etwas in der Größe kaufen und dort pfSense drauf packen. Hier bedarf es, wenn man noch nicht viel Plan hat, etwas Einarbeitung. Kollege @aqui hat zu pfSense aber hier einige Tutorials etabliert. Als VPN dann ggf. SSLVPN nutzen. Ist auch recht easy face-smile
DivideByZero
DivideByZero 18.03.2025 um 20:43:11 Uhr
Goto Top
Moin,

dann ggf. auch Lancom, die haben einen ganz guten Hilfebereich und sonst ggf. den Support. Aber die quick-and-dirty-Lösung, um das für lediglich 3 Anwender zum Laufen zu bringen, ist eine Fritz!Box + Wireguard.

Etwas mehr Sorgen würde mir die Access-Datenbank machen. Die ist für ein Arbeiten über ein - vor allem langsameres - VPN nicht gut geeignet, und je nachdem, wie sie programmiert ist, sogar ganz besonders schlecht geeignet. Das müsstet Ihr ausprobieren.

Wenn es gar nicht geht und Stromkosten nicht so das Thema sind: die Arbeitsplätze der 3 Betroffenen durchlaufen lassen, von außen über VPN per RDP (Remotedesktopverbindung) auf die Arbeitsplätze aufschalten (da werden vergleichsweise geringe Datenmengen übertragen) und dann von da aus die Access-Datenbank bearbeiten.

Gruß

DivideByZero
Globetrotter
Globetrotter 18.03.2025 um 20:44:21 Uhr
Goto Top
Aktuell ist kein Microsoftserver mit AD, DNS, Mailserver etc. vorgesehen
OK.. Sorry,, andere werden helfen - habe mich "verlesen".. sorry!

Gruss Globe!
Uwe-Kernchen
Uwe-Kernchen 18.03.2025 um 21:07:56 Uhr
Goto Top
Lancom, Fritzbox und Co. können keine Userverwaltung, das war ja die Ausgangsfrage.
Die Lancom/Rhode&Schwarz Firewall könnte das, wäre aber nicht meine Empfehlung.

Ich empfehle eine OPNsense (o.ä.).
Neben der Anbindung an ein AD kannst du hier auch lokal deine User anlegen.
OpenVPN kannst du damit wahlweise mit Nutzername und Passwort, Zertifikat und TOTP Zweifaktor-Authentisierung auf Nutzerbasis realisieren.

Uwe
DivideByZero
DivideByZero 18.03.2025 um 22:25:46 Uhr
Goto Top
Hmm, die Fritz!Box hat sehr wohl die Möglichkeit, VPN-Benutzer anzulegen, um die es ja geht, und gerade ohne AD-Anbindung, da nicht vorhanden. Und Lancom kann ebenso Clients anlegen, die man für die einzelnen User nimmt.

OpenVPN würde ich wegen des Geschwindigkeitsverlustes gegenüber Wiregard oder Ipsec, auch und gerade im Hinblick auf die Access-Datenbank, nicht empfehlen.
Uwe-Kernchen
Uwe-Kernchen 19.03.2025 um 08:14:56 Uhr
Goto Top
Der Fragesteller möchte eine VPN-Verbindung mit Nutzer-Anmeldung.

Nach meinem Verständnis sind da sowohl Wireguard wie auch IPSec (ohne Tricks) erst mal raus,
weil die sich einfach per One-Klick verbinden.
Oder wie würdest du das lösen?
aqui
aqui 19.03.2025 aktualisiert um 08:40:19 Uhr
Goto Top
der idealerweise es erlaubt, Benutzer zu konfigurieren.
Einfach mal die hiesige Suchfunktion benutzen!
Cisco 800, 900, ISR1100 Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
L2TP VPN Server mit Mikrotik Router
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Oder die üblichen Klassiker mit Wireguard und OpenVPN
Merkzettel: VPN Installation mit Wireguard
Merkzettel: VPN Installation mit OpenVPN
So ein einfaches Client VPN aufzusetzen ist ja nun kein Hexenwerk und im Handumdrehen zu erledigen!

Wireguard wie auch IPSec (ohne Tricks) erst mal raus,
Wireguard schon aber IPsec als etabliertes VPN natürlich nicht, das ist Unsinn!
Siehe obige L2TP und IKEv2 Tutorials!!
Das klappt entweder mit den lokalen User Datenbanken (für den TO oben sicher ausreichend) oder auch problemlos mit einer zentralen Userverwaltung über Radius Server wie Freeradius oder Microsoft NPS.
IPsec biete schon seit Anbegin diese Option und sollte man als Admin eigentlich auch wissen!
DivideByZero
DivideByZero 19.03.2025 um 12:51:53 Uhr
Goto Top
Zitat von @Uwe-Kernchen:
Der Fragesteller möchte eine VPN-Verbindung mit Nutzer-Anmeldung.

Das verstehe ich etwas anders, hier so, dass der TO eine Zuordnung eines Tunnels zu einem Nutzer haben möchte, und da reicht ein individualisierter Tunnel dann ja aus, egal, wie man das nennt.
Uwe-Kernchen
Uwe-Kernchen 19.03.2025 um 15:27:27 Uhr
Goto Top
Du machst eine Zuordnung zu einem Gerät, nicht zu einem Benutzer.
Oder nicht?
aqui
aqui 19.03.2025 aktualisiert um 15:29:28 Uhr
Goto Top
...zu einem Gerät, nicht zu einem Benutzer.
Zu mindestens bei Wireguard, ja. Eins der bekannten Schwachpunkte bei WG das es keine sichere Benutzer Authentisierung supportet.
ZTommy
ZTommy 19.03.2025 um 15:47:09 Uhr
Goto Top
Hallo,

erst einmal vielen LIEBEN DANK für Eure Mühe.
Bin da echt froh darüber!

Wie weiter oben erwähnt, möchte ich aus einem fremden Netzwerk , sicher auf das NAS System zugreifen können.
Sprich, wenn man unterwegs ist.
Ich hatte gelesen, dass man dies über ein VPN Tunnel realisieren kann.
Hier wäre es Sinnvoll, wenn ich dabei noch die Nutzer anlegen kann, die sich über die VPN Verbindung einwählen können und dürfen. Nicht jeder soll dies bei der aktuell noch kleinen Firma tun können.
Ein Microsoft-Server mit AD oder DNS Server etc. ist wie bereits erwähnt, noch nicht vorhanden.
Hinzu kommt, dass mit hoher Wahrscheinlichkeit dieses Jahr noch weitere Standorte eröffnet werden, wo der Zugriff auch möglich sein soll.
Kurz und knapp: sicherer Zugriff von außerhalb incl. Nutzeranlegung für die, die letztendlich Zugriff haben dürfen.

Danke für die Hilfe und auch Links, die schon gepostet wurden.
Merci !!!!
ZTommy
ZTommy 19.03.2025 um 15:49:47 Uhr
Goto Top
ja, zu einem Gerät und nicht zu einem Nutzer. Anlegen, wer auf das Gerät darf bzw. ehr Regeln, wer sich mit dem Netzwerk verbinden darf.
ZTommy
ZTommy 19.03.2025 um 15:54:52 Uhr
Goto Top
von Lancom habe ich schon gelesen bzw. war auf deren Seite.
hier werden Lizenzen fällig
soweit ich das gelesen habe, für Hard- und Software
aqui
aqui 19.03.2025 um 17:09:52 Uhr
Goto Top
Die o.g. Links nutzen allesamt die so oder so auf allen Endgeräten vorhandenen VPN Client ohne das du mit zusätzlicher Software rumfrickeln musst. Dadurch sind sie auch optimal in deren Userverwaltung intergriert.
Das ist ein klassisches und simples Client VPN was man mit der entsprechenden Hardware im Handumdrehen aufgesetzt hat. Alles kein Hexenwerk und in vielen Firmen üblicher Standard.
DivideByZero
DivideByZero 19.03.2025 um 18:18:13 Uhr
Goto Top
Wenn Du da so unsicher bist, dürfte es gut investiertes Geld sein, einen IT-Dienstleister vor Ort anzusprechen. Muss kein teures Systemhaus sein, denn wie @aqui ja richtig sagt, ist es üblicher Standard und nix Besonderes, das müsste wirklich jeder aus der Branche schnell einrichten könnten.
commodity
commodity 20.03.2025 aktualisiert um 23:36:24 Uhr
Goto Top
Hat da jemand schon Erfahrung bzw. kennt bestenfalls deutsche Hersteller?
ich bin gerne deutsch, aber Geräte mit angeblich deutscher Software auf deutsch umgelabelter fernöstlicher Hardware hängen IMO technisch so hinterher, wie der Rest des Landes in der IT. Dafür ist man im Lizenzgeraffel ganz vorn dabei. Ein junges Unternehmen kann sein IT-Budget sinnvoller einsetzen.

Wenn wir uns auf "europäisch" verständigen können:

  • OPNsense (Niederlande) wurde ja schon genannt. Tolle Leistung, gut dokumentiert, aktives Forum, OpenSource, verständliches Interface. Kann (auch) alle gängigen VPN-Typen. Kann fast jeder bedienen (lernen).

  • Mikrotik(Lettland) ist (nicht nur) mein persönlicher Router-Favorit, macht solide, feine Hardware mit entsprechender Software auf Grundlage etablierter OpenSource-Standards zu sehr moderaten Preisen und ohne Lizenzfolgekosten. Hervorragende Leistung, umfassend dokumentiert, featurreiches Interface, das kaum Wünsche offen lässt. Kann (auch) alle gängigen VPN-Typen. Kann alles, von der Frittenbude bis zum Rechenzentrum. Braucht aber Menschen, die das bedienen können (oder es lernen wollen).
Einmal so ein Gerät grob verstanden und man schüttelt nur noch den Kopf über das, was etliche Mitbewerber ihren Kunden so zumuten. Sowohl an Technik als auch an Kosten.

  • Raspberry Pi (Großbritannien) kann die oben genannten Anforderungen sehr gut als VPN-Gateway erfüllen und noch viel mehr im Netzwerk sinnvoll erledigen. Ist aber kein Router, sondern ein PC, der hinter einem Router eingesetzt wird.

Viele Grüße, commodity
ZTommy
ZTommy 23.03.2025 um 18:15:11 Uhr
Goto Top
Hallo
Unsicher ja, aber natürlich Lernbereitschaft vorhanden. Fange nur bei 0 an, da ich seit 10 Jahren in der Mainframe Umgebung tätig bin. Jetzt will ich wieder zurück, zu meiner eigentlichen Tätigkeit. Also auch selbst machen und die IT dort mit aufbauen.
Daher suche ich natürlich hier Hilfe.
Wofür ich natürlich mehr als dankbar bin!
ZTommy
ZTommy 23.03.2025 um 18:19:00 Uhr
Goto Top
Hallöchen
Danke auch für deine Rückmeldung.
Mikrotik habe ich auch schon gelesen bzw. im Internet paar Produkte mir angeschaut.
Aktuell bin ich bei lancom hängen geblieben.
Auch wenn es aktuell "nur" 3 Mitarbeiter sind, wird's definitiv mehr werden und es werden mehrere Standorte in Deutschland dazu kommen.
Ist nicht so einfach aktuell für mich.
Muss mich da im Geiste neu sammeln.

Dankeschön für deine Antwort!
commodity
commodity 23.03.2025 um 22:55:28 Uhr
Goto Top
Aktuell bin ich bei lancom hängen geblieben.
Wenn Geld keine Rolle spielt und es für Dich einfacher ist, ist das der Weg. face-smile

Viele Grüße, commodity
DivideByZero
DivideByZero 23.03.2025 um 23:01:46 Uhr
Goto Top
Lancom funktioniert ganz ohne Frage. Ist etwas eigen in der Konfiguration, und Du lernst dann sehr spezifisch einen bestimmten Hersteller. Also viel Erfolg!

Die Art, wie z.B. Mikrotik konfiguriert wird, ist universeller.
Globetrotter
Globetrotter 24.03.2025 um 19:58:01 Uhr
Goto Top
.. wer mit der Config zurecht kommt... na dann,, denke aber bei Deinem Teil auch an EOL von Lancom.. die machen da Ernst ;)

Gruss Globe!
commodity
commodity 27.03.2025 um 11:26:30 Uhr
Goto Top
wer mit der Config zurecht kommt...
was für jeden ausgebildeten ITler ein Kinderspiel ist und dem anspruchsvollen Laien absolut zu empfehlen.
Wem es aber an der Bereitschaft oder Gelegenheit mangelt, sich (soweit fehlend) ein paar Netzwerkbasics raufzuschaufeln, nehme definitiv lieber was weniger potentes.

Viele Grüße, commodity
Globetrotter
Globetrotter 28.03.2025 um 17:25:21 Uhr
Goto Top
was für jeden ausgebildeten ITler ein Kinderspiel ist

Mahlzeit!
Das LCOS ist in einer eigenen Welt zu Hause. Ich habe nicht gesagt, daß es schlecht ist!
Daher kam meine Aussage... Wenn Du Dich mit denen Dingern nicht regelmäßig beschäftigst, biste einfach raus... so war es bei mir. Zu ISDN-Zeiten hatte ich sehr viel solche Teile.. seit 6-7 Jahren halt nicht mehr.

Gruss Globe!
commodity
commodity 31.03.2025 um 11:30:25 Uhr
Goto Top
Hallo Globe,
ich dachte, Deine Anmerkung bezieht sich auf Router OS. Die sind so schön standardkonform, dass man schnell reinkommt. LCOS ist da eine andere Nummer, aber natürlich mit etwas Manual gut machbar. Ich kann allerdings auch drauf verzichten face-smile Kommen mir vor, wie aus einer anderen Zeit, die Dinger. Aber genau das, was der TO vielleicht sucht.

Viele Grüße, commodity
aqui
aqui 06.04.2025 um 19:07:17 Uhr
Goto Top
Wenn das denn nun die Lösung war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
ZTommy
ZTommy 22.04.2025 um 12:36:59 Uhr
Goto Top
so gehts mir auch. lange raus, da ich aktuell in der Mainframe - Welt aktiv bin...
ZTommy
ZTommy 22.04.2025 um 12:39:09 Uhr
Goto Top
Danke für den Hinweis face-smile
Aktuell lag ich eine Weile im Krankenhaus....
Hab jetzt die Möglichkeit, hier wieder rein zu schauen.
commodity
commodity 23.04.2025 um 10:15:18 Uhr
Goto Top
gute Besserung!

Viele Grüße, commodity