thomashohm
Goto Top

Site-to-Site-VPN mit 3 Standorten - LAN-Bridging - Mit Zyxel Zywall 35 zuverlässig möglich? Jegliche Hinweise und Vorschläge anderer Alternativen gerne genommen.

Etwas spezielle Anforderung.... Ich bin für jegliche Anregung dankbar... face-smile .... Hoffe, ich habe schon mal die richtige Kategorie und eine passende Überschrift gewählt.

Meine Anforderung, die ich lösen muss:

- unser wissenschaftlicher Kongress findet an 3 Standorten statt
- leider / zum Glück ist dies nur für 5 Tage benötigt (limiert natürlich den akzeptablen finanziellen Aufwand für die Lösung)
- Entfernung der Standorte ist zwischen 2 und 5 km
- die drei Standorte müssen miteinander als ein LAN verbunden werden
- ein SQL-Server steht an einem Standort, auf den die anderen Standorte zugreifen müssen
- Dateien müssen zwischen den Windows-PCs (Dateifreigabe) verteilt werden
- Mengengerüst:
Standort M: SQL-Server, Start der Verteilung von Dateien per Windows Share
Standort F: 5 PCs mit Zugriff auf SQL-Server plus 5 PCs mit Dateifreigaben plus 6 Mobile Devices mit Zugriff auf SQL Server plus 6 PCs mit VNC-Zugriff zur Remote Administration
Standort U: 3 PCs mit Zugriff auf SQL-Server plus 4 PCs mit Dateifreigaben plus 4 Mobile Devices mit Zugriff auf SQL Server plus 4 PCs mit VNC-Zugriff zur Remote Administration
- von Standort M werden Dateien an Standort F und U verschoben (nicht zeitkritisch)
- von Standort M werden falls notwendig PCs an Standort F und U per VNC remote administriert
- von Standort F und Standort U werden Daten mit dem SQL-Server ausgetauscht und einzelne Dateien an die anderen Standorte kopiert
- es besteht keine direkte LAN-Verbindung zwischen den Standorten, Richtfunk, WLAN-Verbindung, etc ist nicht möglich
- jeder Standort hat eine dauerhafte Internetverbindung; pro Standort mind. 40 MBit (synchron)
- von Standort F wird mit gesamt 10 MBit/s Video ins Internet gestreamt (muss am VPN vorbei gehen, nicht über die Standorte M und U)
- Kongress-Besucher an allen 3 Standorten sollen im Internet surfen können, ohne die Verbindung zwischen den Standorten zu belasten.

Mein Lösungsansatz würde so aussehen:
- an jedem Standort ein Router, der die Trennung zwischen den Internetzugriffen (Internet surfen, Video-Stream) und dem Standort-Verkehr regelt (per Routing-Tabelle)
- an jedem Standort ein eigenes Subnetz / unterschiedliche Subnetze zwischen den Standorten
- der Router an Standort M soll als "Zentrale" dienen, Router F und Router U bauen jeweils eine permanente VPN-Verbindung zum Router M auf

Dazu stellen sich mir folgende Fragen, die ich Euch stellen möchte:
- kann bei dieser Konstellation ein PC an Standort F mit einem PC am Standort U Daten austauschen?
- kann man den VPN-Router so konfigurieren, dass er das VPN wieder automatisch aufbaut, sobald es abbricht?
- welche Router sind dafür geeignet?
- hat jemand Erfahrung mit dem Zyxel Zywall 35? Ich würde den an allen 3 Standorten einsetzen. Geht das?
- wenn jemand mit einem bestimmten Gerät in solch einer Konstellation gute oder schlechte Erfahrungen gemacht hat, bitte hier posten.
- Kennt jemand Hardware-Verleiher für die in Frage kommenden Router? Eine Anschaffung für 5 Tage (inkl. Test, Auf- und Abbau 10 Tage) würde sich eigentlich nicht lohnen...

Sorry für den langen Text, aber ich konnte es einfach nicht kürzer beschreiben.

Danke für's Lesen und hoffentlich viele Antworten.

Thomas

Content-ID: 147018

Url: https://administrator.de/forum/site-to-site-vpn-mit-3-standorten-lan-bridging-mit-zyxel-zywall-35-zuverlaessig-moeglich-jegliche-hinweise-147018.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

sucher
sucher 16.07.2010 um 08:08:14 Uhr
Goto Top
Zitat von @thomashohm:
Meine Anforderung, die ich lösen muss:

Mein Lösungsansatz würde so aussehen:
- an jedem Standort ein Router, der die Trennung zwischen den Internetzugriffen (Internet surfen, Video-Stream) und dem
Standort-Verkehr regelt (per Routing-Tabelle)
- an jedem Standort ein eigenes Subnetz / unterschiedliche Subnetze zwischen den Standorten
- der Router an Standort M soll als "Zentrale" dienen, Router F und Router U bauen jeweils eine permanente
VPN-Verbindung zum Router M auf

Dazu stellen sich mir folgende Fragen, die ich Euch stellen möchte:
- kann bei dieser Konstellation ein PC an Standort F mit einem PC am Standort U Daten austauschen?
- kann man den VPN-Router so konfigurieren, dass er das VPN wieder automatisch aufbaut, sobald es abbricht?
- welche Router sind dafür geeignet?
- hat jemand Erfahrung mit dem Zyxel Zywall 35? Ich würde den an allen 3 Standorten einsetzen. Geht das?
- wenn jemand mit einem bestimmten Gerät in solch einer Konstellation gute oder schlechte Erfahrungen gemacht hat, bitte hier
posten.
- Kennt jemand Hardware-Verleiher für die in Frage kommenden Router? Eine Anschaffung für 5 Tage (inkl. Test, Auf- und
Abbau 10 Tage) würde sich eigentlich nicht lohnen...

Sorry für den langen Text, aber ich konnte es einfach nicht kürzer beschreiben.

Danke für's Lesen und hoffentlich viele Antworten.

Thomas

interessante fragestellung, hört sich fast nach einer mcse prüfungsfrage von kleinweich an ...

- wenn man das richtig konfiguriert kann jeder pc auf die daten des servers zugreifen
- ohne eigene offizielle internet ip adressen geht sowas nur über dyndns.org
- die router müssen sichere verschlüsselte vpn verbindungen herstellen können
- in solch einem vpn router wird z.b. das private netz eines anderen standortes über dyndnsorg konfiguriert. wenn jetzt ein user auf eine ip eines anderen standortes zugreift, weiss der router wo er hin muss und versucht automatisch eine verbindung herzustellen, wenn das sowieso dsl flatrate verbindungen sind, kann man das auch permanent einstellen.
- so etwas ist nicht trivial, wer das noch nie gemacht hat sollte das erst mal testen
- ich würde mir nicht die geräte leihen oder kaufen, sondern den ganzen service einkaufen (bei fachfirmen) und das dann für 5 tage mieten. dann funktioniert das auch, im fehlerfall haftet jemand anders ... etc.

edit: evtl. messebaufirmen oder it dienstleister sollten so etwas können
spacyfreak
spacyfreak 16.07.2010 um 08:42:26 Uhr
Goto Top
Wie wäre es mit virtuellen Asaro ASG Appliances (gibts fertig für VMware) als VPN GW.
Die können so ziemlich alles, und zuverlässig.
http://www.vmware.com/appliances/directory/156853
aqui
aqui 16.07.2010, aktualisiert am 18.10.2012 um 18:42:51 Uhr
Goto Top
- kann bei dieser Konstellation ein PC an Standort F mit einem PC am Standort U Daten austauschen?
A.: Ja, das ist bei VPN LAN to LAN vernetzung über die Router vollkommen problemlos möglich !

- kann man den VPN-Router so konfigurieren, dass er das VPN wieder automatisch aufbaut, sobald es abbricht?
A.: Die VPN Tunnel bauen sich beim Einrichten selbständig auf und bleiben dann statisch bestehen. Lediglich die Zwangstrennung der DSL Provider unterbricht sie kurzzeitig. Sie werden aber sofort selbstständig wieder aufgebaut (Jedenfalls bei Draytek_Routern ist es z.B. so !)

- welche Router sind dafür geeignet?
A.: Draytek, FritzBox, Edimax, Linksys

- hat jemand Erfahrung mit dem Zyxel Zywall 35? Ich würde den an allen 3 Standorten einsetzen. Geht das?
A.: Wenn sie eine LAN zu LAN VPN Vernetzung supporten (siehe Handbuch) vermutlich ja ?!

- wenn jemand mit einem bestimmten Gerät in solch einer Konstellation gute oder schlechte Erfahrungen gemacht hat, bitte hier posten.
A.: Gute mit Draytek und Linksys und freien FW Lösungen wie M0n0wall und Pfsense

- Kennt jemand Hardware-Verleiher für die in Frage kommenden Router? Eine Anschaffung für 5 Tage (inkl. Test, Auf- und Abbau 10 Tage) würde sich eigentlich nicht lohnen...
A.: Im Consumer Bereich ist das mehr oder weniger eine naive Frage. Bei unter 100 Euro Routern ist das wohl etwas unrealistisch.

Wenn du keine HW kaufen willst, dann installier dir doch einfach schnell eine Monowall FW als VmWare Image
http://m0n0.ch/wall/downloads.php
auf einem Rechner an jedem Standort. Realisiere damit deine VPN Verbindung:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Das kostet dich dann keinen Cent außer das du die Rechner für diese Zeit laufen lassen musst. Ein simpler alter Laptop tut das mit links.
Entspricht auch mehr oder weniger spacys Ratschlag von oben...
Andernfalls besorg die ein paar preiswerte Linksys WRT54 mit DD-WRT und realisiere das mit OpenVPN oder PPTP:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Einfacher gehts nun nicht....
sucher
sucher 16.07.2010 um 12:34:34 Uhr
Goto Top
@aqui

benötigt man bei der monowall lösung einen pc mit 2 netzwerkkarten (für vpn extern, lan intern ) ?
aqui
aqui 16.07.2010, aktualisiert am 18.10.2012 um 18:42:52 Uhr
Goto Top
Wäre sehr hilfreich ! Wenn du aber einen VLAN fähigen L2 Switch vor Ort hast klappt es auch mit VLAN Tagging und nur einer Karte:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
thomashohm
thomashohm 17.07.2010 um 12:15:05 Uhr
Goto Top
Vielen Dank für Eure Antworten!

Was mich noch grübeln lässt: der Durchsatz über VPN.
Da wir dort an allen Standorten mind. 40 MBit Internetbandbreite haben, möchte ich natürlich, dass das VPN einen möglichst hohen Durchsatz erreicht (im Idealfall 40 MBit minus den VPN-Overhead-Traffic).

Die zwei hauptsächlichen Anwendungen, die über VPN laufen:
- es sollen dort Powerpoint-Präsentationen zwischen den Standorten hin und her geschoben werden (und die können auch mal mehrere zig MBs groß sein)
- per Handheld wird eine Zugangscontrolle der Teilnehmer für bestimmte Vorträge durchgehfürt und die Zugangsberechtigungen liegen auf der zentralen Datenbank --> SQL-Verbindungen müssen performant laufen. An Standort U und F kommen jeweils ca. 8 Handhelds zum Einsatz.

Und da mache ich mir sorgen, ob die SOHO / Consumer-Geräte das vom Durchsatz her schaffen und die Verbindung dauerhaft stabil bleibt.
Gleiche Sorge habe ich bei den Software-Lösungen. Bei OpenVPN habe ich da leider schon eigene negative Erfahrungen gemacht.

Was meint Ihr dazu?

Danke!

Thomas
aqui
aqui 17.07.2010 um 14:05:50 Uhr
Goto Top
Sind die 40 Mbit symetrisch ?? D.h. hast du sowohl im Upload als auch im Download 40 Mbit ??
Wenn nicht und du nur asymetrische Geschwindigkeiten hast (ADSL oder Kabel) ist deine max. VPN Übertragungsrate logischerweise ja nur so groß wie die max. Uplink Geschwindigkeit ist und die beträgt dann mitnichten 40 Mbit !!

Wenn sie symetrisch ist sind aber Consumer VPN Router in der Tat sehr schnell am Ende. Dafür sind sie logischerweise auch nicht gemacht !
40 Mbit erreichen die wenigsten nicht mal beim reinen IP Durchsatz, geschweige denn beim PPPoE Durchsatz. Vom darauf aufsattelnden VPN nochmal ganz zu schweigen.
Da hilft dir dann wirklich nur professionelle Router HW ala Cisco oder du setzt das mit OpenVPN oder M0n0wall VM Images um auf einer PC Plattform mit entsprechenden performanten LAN Karten (Keine die Paket Assembling/Reassembling in Software machen !) und CPU Leistung um.
Die negativen Erfahrungen die du gemacht hast basieren zu 99% auf einer falschen Hardware Verwendung oder schlicht an einer falschen Einrichtung/Konfiguration. Z.B. das du OpenVPN im Layer 2 Bridge Modus betrieben hast und nicht im Routing Modus ?!
OpenVPN erreicht auch 100 Mbit und mehr Durchsatz auf entsprechender HW und dem richtigen OS.
thomashohm
thomashohm 19.07.2010 um 09:43:56 Uhr
Goto Top
Ja, die 40 MBit sind symmetrisch.
Ich bin jetzt mit mehreren Szenarien am testen:
- 2x m0n0wall als virtual machine
- 2x astaro als virtual machine
- zwei Netgear ProSafe FVX538 Firewalls, die ich noch im Keller hatte

Bin mal gespannt, wie die Ergebnisse am Ende ausschauen.
spacyfreak
spacyfreak 21.07.2010 um 06:36:18 Uhr
Goto Top
...natürlich gewinnt die astaro, ist doch klar. muhahahah. kleiner scherz.
ich find die astaros einfach klasse. simple bedienung und läuft.