20
Simple Site2Site VPN Lösung gesucht
Hallo,
ich suche für ein Projekt bei uns eine möglichst Simple Site2Site VPN Lösung. Am besten zwei Geräte die Transparent einen Tunnel zueinander auf bauen.
Kennt jemand so eine Lösung?
Gruß
Phill93
ich suche für ein Projekt bei uns eine möglichst Simple Site2Site VPN Lösung. Am besten zwei Geräte die Transparent einen Tunnel zueinander auf bauen.
Kennt jemand so eine Lösung?
Gruß
Phill93
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1246382577
Url: https://administrator.de/contentid/1246382577
Printed on: April 26, 2024 at 11:04 o'clock
20 Comments
Latest comment
Moin,
transparent im Sinne von Bridging oder Routing?
Zwei Raspberrys mit Wireguard oder OpenVPN sollten es tun…
VG
transparent im Sinne von Bridging oder Routing?
Zwei Raspberrys mit Wireguard oder OpenVPN sollten es tun…
VG
Hallo,
auch wenn Freitag ist.....was für Router/Firewalls stehen an den Endpunkten?
Brauchbare Modelle unterstützen hier i.d.R. Site-to-Site-VPN von Haus aus.
Also nur einrichten und los gehts.
Gruß
Looser
auch wenn Freitag ist.....was für Router/Firewalls stehen an den Endpunkten?
Brauchbare Modelle unterstützen hier i.d.R. Site-to-Site-VPN von Haus aus.
Also nur einrichten und los gehts.
Gruß
Looser
Hallo,
eigentlich sind wir teil einer größeren Einrichtung mit einer zentralen Netzwerkabteilung. Die stellt für uns die "normalen" Netz Dienste (Firewall, VPN) zur verfügung. Ich habe dort angefragt und eine absage bezüglich Site2Site Tunneln bekommen (Aussage: "Wir supporten nur Client2Site").
Jetzt suchen wir was was sich Bridging (L2) Transparent verhält, Ziel ist es Messgeräte im Feld in unser Netz zu holen.
Gruß
Phill93
eigentlich sind wir teil einer größeren Einrichtung mit einer zentralen Netzwerkabteilung. Die stellt für uns die "normalen" Netz Dienste (Firewall, VPN) zur verfügung. Ich habe dort angefragt und eine absage bezüglich Site2Site Tunneln bekommen (Aussage: "Wir supporten nur Client2Site").
Jetzt suchen wir was was sich Bridging (L2) Transparent verhält, Ziel ist es Messgeräte im Feld in unser Netz zu holen.
Gruß
Phill93
Ihr solltet auf keinen Fall versuchen etwas an der IT vorbei in Betrieb zu nehmen, denn ihr kennt die Netzwerke nicht.
Das gibt auf jeden Fall böse auf die Finger und im Zweifelsfall den Weg zur Tür nach draussen.
Das Gespräch über einen Vorgesetzten ist hier, denke ich, das Mittel der Wahl.
Just my 2 Cents.
Das gibt auf jeden Fall böse auf die Finger und im Zweifelsfall den Weg zur Tür nach draussen.
Das Gespräch über einen Vorgesetzten ist hier, denke ich, das Mittel der Wahl.
Just my 2 Cents.
Da wäre ich vorsichtig. Soetwas an der Netzwerkabteilung vorbei aufzubauen kann arbeitsrechtliche Konsequenzen haben.
Sers,
Ist doch effektiv Client-2-Site. Braucht ihr wirklich L2 oder reicht auch L3? Am Ende vom Tag kann dir deine Netzwerk Abteilung hier die optimale und garantiert funktionierende Lösung bauen.
Über welches Protokoll das dann läuft - sei es EoIP, GRE, L2TP, IPIP, usw. - oder gar in eine möglicherweise existierende SD-WAN Lösung integriert wird könne wir dir natürlich nicht sagen.
Zitat von @Phill93:
Jetzt suchen wir was was sich Bridging (L2) Transparent verhält, Ziel ist es Messgeräte im Feld in unser Netz zu holen.
Jetzt suchen wir was was sich Bridging (L2) Transparent verhält, Ziel ist es Messgeräte im Feld in unser Netz zu holen.
Ist doch effektiv Client-2-Site. Braucht ihr wirklich L2 oder reicht auch L3? Am Ende vom Tag kann dir deine Netzwerk Abteilung hier die optimale und garantiert funktionierende Lösung bauen.
Über welches Protokoll das dann läuft - sei es EoIP, GRE, L2TP, IPIP, usw. - oder gar in eine möglicherweise existierende SD-WAN Lösung integriert wird könne wir dir natürlich nicht sagen.
Hallo Looser27 und BirdyB,
ich bin einer der Admins für die OE und hab die Berechtigung dazu das Aufzubauen. Unsere Netzwerkabteilung hat gesagt sie haben nicht die Kapazitäten wir sollen es selber machen.
ich bin einer der Admins für die OE und hab die Berechtigung dazu das Aufzubauen. Unsere Netzwerkabteilung hat gesagt sie haben nicht die Kapazitäten wir sollen es selber machen.
Zitat von @psannz:
Sers,
Ist doch effektiv Client-2-Site. Braucht ihr wirklich L2 oder reicht auch L3? Am Ende vom Tag kann dir deine Netzwerk Abteilung hier die optimale und garantiert funktionierende Lösung bauen.
Über welches Protokoll das dann läuft - sei es EoIP, GRE, L2TP, IPIP, usw. - oder gar in eine möglicherweise existierende SD-WAN Lösung integriert wird könne wir dir natürlich nicht sagen.
Sers,
Zitat von @Phill93:
Jetzt suchen wir was was sich Bridging (L2) Transparent verhält, Ziel ist es Messgeräte im Feld in unser Netz zu holen.
Jetzt suchen wir was was sich Bridging (L2) Transparent verhält, Ziel ist es Messgeräte im Feld in unser Netz zu holen.
Ist doch effektiv Client-2-Site. Braucht ihr wirklich L2 oder reicht auch L3? Am Ende vom Tag kann dir deine Netzwerk Abteilung hier die optimale und garantiert funktionierende Lösung bauen.
Über welches Protokoll das dann läuft - sei es EoIP, GRE, L2TP, IPIP, usw. - oder gar in eine möglicherweise existierende SD-WAN Lösung integriert wird könne wir dir natürlich nicht sagen.
Ich hab schon versuche mit dem Zentralen VPN Dienst gemacht (OpenVPN) dieser erlaubt nur eine IP Adresse auf der Verbindung.
Wir müssen eine handvoll Geräte (Stromzähler, Messwandler, etc.) in ein VLAN bringen. Jedes dieser Geräte hat eine eigene IP uns soll auch über diese von uns erreichbar sein.
Ich würde ungern eine eigene OpenVPN Lösung aufsetzen weil ich aktuell schon genug Arbeit habe und suche deshalb eine möglichst einfache Lösung die Funktioniert und Wartungsarm ist. Die darf auch gerne Geld kosten.
Gruß
Phill93
Moin,
hast du dir mal Sophos RED angesehen?
VG
hast du dir mal Sophos RED angesehen?
VG
Wenn die vorhandenen HW keine VPN "vorgibt", wirds am Ende eh Wireguard 
Läßt sich auch häufig über die CLI auf vorhandener Linux-HW nachinstallieren.
Läßt sich auch häufig über die CLI auf vorhandener Linux-HW nachinstallieren.
Moin,
Was nur sinnvoll ist, wenn auch die Sophos UTM/ XG als Gegenspieler vorhanden ist!?
@to
ganz ohne eure IT wird es aber sicherlich nicht laufen.
AUßer, der "Server" ist nicht in eurem lokalen LAN vorhanden, sondern bei den Zählern verbaut. Dann könnt ihr via C2S einen VPN von Innen heraus aufbauen.
Ansonsten müsst ihr die zentrale FW anpassen.
ODER ihr geht über einen kleinen Root-Server: der ist der Server und beide Seiten verbinden sich dort hin.
Gruß
em-pie
Was nur sinnvoll ist, wenn auch die Sophos UTM/ XG als Gegenspieler vorhanden ist!?
@to
ganz ohne eure IT wird es aber sicherlich nicht laufen.
AUßer, der "Server" ist nicht in eurem lokalen LAN vorhanden, sondern bei den Zählern verbaut. Dann könnt ihr via C2S einen VPN von Innen heraus aufbauen.
Ansonsten müsst ihr die zentrale FW anpassen.
ODER ihr geht über einen kleinen Root-Server: der ist der Server und beide Seiten verbinden sich dort hin.
Gruß
em-pie
Hallo,
Für die von mir betreuten Netze darf ich Firewall Policys erstellen wie ich möchte, daran scheitert es nicht.
Das ist eine Lösung die ich auch schon im Sinn hatte läuft aber dem Plug and Play Wunsch entgegen.
Gruß
Phill93
Zitat von @em-pie:
@to
ganz ohne eure IT wird es aber sicherlich nicht laufen.
AUßer, der "Server" ist nicht in eurem lokalen LAN vorhanden, sondern bei den Zählern verbaut. Dann könnt ihr via C2S einen VPN von Innen heraus aufbauen.
Ansonsten müsst ihr die zentrale FW anpassen.
@to
ganz ohne eure IT wird es aber sicherlich nicht laufen.
AUßer, der "Server" ist nicht in eurem lokalen LAN vorhanden, sondern bei den Zählern verbaut. Dann könnt ihr via C2S einen VPN von Innen heraus aufbauen.
Ansonsten müsst ihr die zentrale FW anpassen.
Für die von mir betreuten Netze darf ich Firewall Policys erstellen wie ich möchte, daran scheitert es nicht.
Zitat von @Visucius:
Wenn die vorhandenen HW keine VPN "vorgibt", wirds am Ende eh Wireguard
Läßt sich auch häufig über die CLI auf vorhandener Linux-HW nachinstallieren.
Wenn die vorhandenen HW keine VPN "vorgibt", wirds am Ende eh Wireguard
Läßt sich auch häufig über die CLI auf vorhandener Linux-HW nachinstallieren.
Das ist eine Lösung die ich auch schon im Sinn hatte läuft aber dem Plug and Play Wunsch entgegen.
Gruß
Phill93
Das ist eine Lösung die ich auch schon im Sinn hatte läuft aber dem Plug and Play Wunsch entgegen.
In der aktuellen Beta der Mikrotiks ist WG ebenso im Interface implementiert. Und die dürfte in den nächsten Wochen "Gold-Status" erhalten, schließlich bedingt die neu vorgestellte HW schon die 7.xDas sieht dann nicht ganz so nach "Gebastel" aus, wie beim Raspi und geht bei 2 x 32 EUR/brutto los. IPSec/HW dann ab 2 x 52 EUR/brutto. Wobei Du ja eigentlich keine Bandbreite benötigst, für Deine Anwendungszwecke
Viele Grüße
PS: Und openDingsbums können die bestimmt ebenso ...
Plug & Play wird es nicht geben, da du am vorhandenen Netzwerk Anpassungen vornehmen musst, z.B. Routing, Firewall, Ports...
Du kannst quasi "alles" als VPN Verbindung verwenden:
Am "einfachsten" zum Einrichten sind zwei Sophos Kisten, die kosten aber auch am "meisten". Dort wird das VPN einfach per Maus mit Drag & Drop zusammen gestellt.
Am "günstigsten" wären zwei kleine Geräte mit VPN Software. Davon lässt sich OpenVPN noch am "übersichtlichsten" einrichten.
Du kannst quasi "alles" als VPN Verbindung verwenden:
- Vorhandene oder zusätzliche Router mit integriertem VPN
- vorhandene oder zusätzliche Computer mit VPN Software
- Kleine alleinstehende Mini-Computer / Platinen mit VPN Software
Am "einfachsten" zum Einrichten sind zwei Sophos Kisten, die kosten aber auch am "meisten". Dort wird das VPN einfach per Maus mit Drag & Drop zusammen gestellt.
Am "günstigsten" wären zwei kleine Geräte mit VPN Software. Davon lässt sich OpenVPN noch am "übersichtlichsten" einrichten.
Moin,
also wenn du "freie Hand" an der zentrale FW hast:
stelle dort einen VPN-Server bereit und an den Remote-Orten vor konfigurierte RPis, die dann den Tunnel aufbauen. Dort dann nur die CFGs minimal anpassen und gut.
Wenn ihr im HQ das Netz 10.10.0.0/16 (inkl. untergeordneter Subnetze) habt, gebend en Remote-Standorten 10.30.0.0/16 (Z.B. 10.30.1.07 24, 10.30.2.0/24, ...). das macht das Routing etwas lichter
also wenn du "freie Hand" an der zentrale FW hast:
stelle dort einen VPN-Server bereit und an den Remote-Orten vor konfigurierte RPis, die dann den Tunnel aufbauen. Dort dann nur die CFGs minimal anpassen und gut.
Wenn ihr im HQ das Netz 10.10.0.0/16 (inkl. untergeordneter Subnetze) habt, gebend en Remote-Standorten 10.30.0.0/16 (Z.B. 10.30.1.07 24, 10.30.2.0/24, ...). das macht das Routing etwas lichter
Selbsterklärend
Selbsterklärend
Naja, jetzt auch nicht übertreiben 😂
@Frank, was sagen die Zahlen? Wurde "VPN", in den letzten 25min verstärkt abgefragt? Und wurden die Anleitungen geklickt? 
Gruß
C.C.
Gruß
C.C.
Kennt jemand so eine Lösung?
Merkzettel: VPN Installation mit WireguardOpenVPN - Erreiche Netzwerk hinter Client nicht
Mit 2 mal Raspberry Pi 4 in 20 Minuten erledigt !
Alternativ: 2 preiswerte 50 Euro Mikrotik Router (hEX) und ein IPsec Tunnel.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Auch in 20 Minuten erledigt...sogar mit Klicki Bunti GUI
Oder.... 2 FritzBoxen.
Einfach mal die Suchfunktion benutzen ! 😉