Standortvernetzung ohne feste IP-Adressen ?
Erst mal Hallo an alle,
dann gleich zu meiner Frage / meinem Problem. Ich möchte zwei Standorte miteinander verbinden und kenne mich mit der Thematik kurzum noch garnicht aus. Nach längerem lesen bin ich soweit das ich wohl ein VPN zwischen Zentrale und Aúßenstelle einrichten muss. Meine erste überlegung war an beiden Enden eine Firewall (mit VPN-Funktion) zu verwenden und der Zentrale eine feste IP-Adresse zuweisen zu lassen (Transitnetz: Internet). Nun ist meine Frage ob dies auch anders geht.
Gibt es eine Möglichkeit Zentrale und Außenstelle zu verbinden OHNE das es nötig ist das einer der beiden Standorte eine feste IP zugewiesen bekommt bzw. im Internet "sichtbar" wird ? Von Softwareseitigen Lösungen wie Hamatchi etc. bin ich abgekommen. Die Leistung ist viel zu niedrig.
Über eine Antwort würde ich mich freuen.
Mfg Heurazio
dann gleich zu meiner Frage / meinem Problem. Ich möchte zwei Standorte miteinander verbinden und kenne mich mit der Thematik kurzum noch garnicht aus. Nach längerem lesen bin ich soweit das ich wohl ein VPN zwischen Zentrale und Aúßenstelle einrichten muss. Meine erste überlegung war an beiden Enden eine Firewall (mit VPN-Funktion) zu verwenden und der Zentrale eine feste IP-Adresse zuweisen zu lassen (Transitnetz: Internet). Nun ist meine Frage ob dies auch anders geht.
Gibt es eine Möglichkeit Zentrale und Außenstelle zu verbinden OHNE das es nötig ist das einer der beiden Standorte eine feste IP zugewiesen bekommt bzw. im Internet "sichtbar" wird ? Von Softwareseitigen Lösungen wie Hamatchi etc. bin ich abgekommen. Die Leistung ist viel zu niedrig.
Über eine Antwort würde ich mich freuen.
Mfg Heurazio
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169529
Url: https://administrator.de/contentid/169529
Ausgedruckt am: 08.11.2024 um 17:11 Uhr
22 Kommentare
Neuester Kommentar
Hallo,
an VPN wirst du im Entdefekt nicht vorbei kommen.
Es gibt ja auch hierfür verschiedene Lösungsansätze und auch Möglichkeiten ohne Feste IP.
Verbunden mit dem Internet müssen in jedem Falle beide Standorte sein.
Was für Dienste die Standorte nach aussen haben kann man ja freigeben, oder sperren.
Mach doch erst mal eine Bestandaufnahme der Hardware die du hast und schau ob die vorhandene HArdware
evtl. schon VPN fähig ist.
Dann können wir wieter überlegen.
brammer
an VPN wirst du im Entdefekt nicht vorbei kommen.
Es gibt ja auch hierfür verschiedene Lösungsansätze und auch Möglichkeiten ohne Feste IP.
Verbunden mit dem Internet müssen in jedem Falle beide Standorte sein.
Was für Dienste die Standorte nach aussen haben kann man ja freigeben, oder sperren.
Mach doch erst mal eine Bestandaufnahme der Hardware die du hast und schau ob die vorhandene HArdware
evtl. schon VPN fähig ist.
Dann können wir wieter überlegen.
brammer
Hallo,
heißt in der Praxis?
Selbst eine Fritzbox oder ein Speedport können mit VPN umgehen...
MitM Attacken ist eine Frage des verwendeten Schlüssels und des Austauschweges des Schlüssels oder der verwendeten Zerifikaste
Ein Lancom Router ist keine Schlechte Wahl
brammer
Auch in der Zentrale ist bisher lediglich ein simpler Internetzugang ohne jegliche Extras vorhanden
heißt in der Praxis?
Selbst eine Fritzbox oder ein Speedport können mit VPN umgehen...
MitM Attacken ist eine Frage des verwendeten Schlüssels und des Austauschweges des Schlüssels oder der verwendeten Zerifikaste
Ein Lancom Router ist keine Schlechte Wahl
brammer
Moin,
ein Lancom 7100 für die Vernetzung von 2 Standorten ist aber mit (großkalibirgen) Kanonen auf Spatzen geschossen.
Da reicht auch ein 1611+, also der billigste VPN fähige Lancom, für beide Standorte. In Sachen Firewall geben sich beide nichts, lediglich der Datendurchsatz und die max. Anzahl der VPNs unterscheiden sich sowie die Anzahl der konfigurierbaren WAN Ports, der Rest ist im wesentlichen gleich.
VPN mit dynamischen IPs geht problemlos wenn du auf beiden Seiten Lancom Geräte hast.
ein Lancom 7100 für die Vernetzung von 2 Standorten ist aber mit (großkalibirgen) Kanonen auf Spatzen geschossen.
Da reicht auch ein 1611+, also der billigste VPN fähige Lancom, für beide Standorte. In Sachen Firewall geben sich beide nichts, lediglich der Datendurchsatz und die max. Anzahl der VPNs unterscheiden sich sowie die Anzahl der konfigurierbaren WAN Ports, der Rest ist im wesentlichen gleich.
VPN mit dynamischen IPs geht problemlos wenn du auf beiden Seiten Lancom Geräte hast.
Hey!
Astaro Security Gateway bietet mehrere Features:
- Basis- Firewall
- Network Security
- Web Security
- Mail Security
- Wireless Security
- Web Aplication Security
U.a. sind dort auch Antivirenengines involviert (2 Stück). Proxy- Funktionen HTTP/HTTPS, FTP, MAIL etc.
Man kann schon sehr viel damit machen und vor allen ist es um einiges einfacher zu konfigurieren als Lancom (klar, ist ansichtssache...). Aber ich habe meine Kunden weitestgehend auf Astaro "umgeswitcht".
Nachteil bei Astaro sind wie oben schon erwähnt die Preise.
Gruß
Kleini
PS: Bei Astaro ist es auch ohne Probleme möglich VPN aufzubauen, wenn z.B. nur der Hauptstandort eine feste IP hat. Grundsätzlich brauch dieser diese auch bzw. DynDNS.
Astaro Security Gateway bietet mehrere Features:
- Basis- Firewall
- Network Security
- Web Security
- Mail Security
- Wireless Security
- Web Aplication Security
U.a. sind dort auch Antivirenengines involviert (2 Stück). Proxy- Funktionen HTTP/HTTPS, FTP, MAIL etc.
Man kann schon sehr viel damit machen und vor allen ist es um einiges einfacher zu konfigurieren als Lancom (klar, ist ansichtssache...). Aber ich habe meine Kunden weitestgehend auf Astaro "umgeswitcht".
Nachteil bei Astaro sind wie oben schon erwähnt die Preise.
Gruß
Kleini
PS: Bei Astaro ist es auch ohne Probleme möglich VPN aufzubauen, wenn z.B. nur der Hauptstandort eine feste IP hat. Grundsätzlich brauch dieser diese auch bzw. DynDNS.
Die meisten VPN Router wie z.B. Draytek u.a. können mit wechselnden IP Adressen als DynDNS umgehen.
Das ist zwar technisch richtig, sich für den geschäftlichen Bedarf auf die Verfügbarkeit eines externen Dienstleisters verlassen zu müssen, halte ich aber für sehr riskant. Wenn DynDNS, dann die Bezahlvariante.@Heurazio:
Sinnvoller wäre es allerdings, zumindest der Zentrale eine statische, öffentliche IP zu verpassen - das macht sogar die Telekom, wenn man ein Business-Produkt bucht. Das kostet ein paar Euro mehr, hat aber auch entsprechend schnelleren Support. Vergleich: Privat-Anschluss bis zu 24 Stunden Reaktionszeit, Business max. 8. Wenn du es dir leisten kannst, dass dein Business > 24 Stunden auf dem Bauch liegt, bloss um ein paar Euro Gebühren im Monat zu sparen, nur zu.
Cheers,
jsysde
Zitat von @Heurazio:
Erstmal danke für eure vielen Antworten.
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.
brammer: Heist in der Praxis -> Speedport.
NoHopeNoFear: Da sind wir auch schon beim Problem. Es sollten 10mb/s in beide Richtungen durch gehen (beiden Standorte erlaufen
eine VDSL50 anbindung) . Desweiteren denke ich das die Firewall auf diese weise wenigstens ein bischen Zukunftssicherheit beitet
für den Fall das schnellere Internetzugänge mal endlich erhältlich sind. Du meintest es ist mit dynamischen
IP's kein Problem ? Wie genau sähe das dann aus ? Oder ist das nur die lösung mittels DynDNS ?
kleini0502: Sehe ich das richtig das das Astaro Security Gateway gleichzeitig noch eine Art Antiviren-Server (oder wie man sowas
nennt) ist ? Sieht von den Technischen-Daten fast besser aus als die von Lancom ...
Erstmal danke für eure vielen Antworten.
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.
brammer: Heist in der Praxis -> Speedport.
NoHopeNoFear: Da sind wir auch schon beim Problem. Es sollten 10mb/s in beide Richtungen durch gehen (beiden Standorte erlaufen
eine VDSL50 anbindung) . Desweiteren denke ich das die Firewall auf diese weise wenigstens ein bischen Zukunftssicherheit beitet
für den Fall das schnellere Internetzugänge mal endlich erhältlich sind. Du meintest es ist mit dynamischen
IP's kein Problem ? Wie genau sähe das dann aus ? Oder ist das nur die lösung mittels DynDNS ?
kleini0502: Sehe ich das richtig das das Astaro Security Gateway gleichzeitig noch eine Art Antiviren-Server (oder wie man sowas
nennt) ist ? Sieht von den Technischen-Daten fast besser aus als die von Lancom ...
wenn du an beiden Standorten ISDN für den Router bereitstellen kannst geht es auch ohne DynDNS (Wir realisieren dass allerdings idr. via DynDNS). Bei 10 mbit/s in beide Richtungen könnte der Lancom 1711+ auch noch genügen, schau dir mal das Datenblatt an.
Die LC Geräte sind natürlich mit Astaro und ähnlichen Herstellern nicht vergleichbar. Sind halt reine Gateways/Router und keine UTM Systeme.
Hallo,
Natürlich ist eine Verbindung nach aussen immer angreifbar.
Da wirst du aber nicht drum herum kommen dieses Risiko einzugehen, und entsprechende Schutzmassnahmen ergreifen müssen.
Nur, ohne eine Verbindng nach aussen wirst du keine Verbindung zwischen den beiden Standorten hinbekommen.
Wir betreiben mehrere Hundert Tunnel (weltweit!) und haben bisher keinen Einbruch gehabt, allerdings arbeiten wir nur mit IPSec Tunnel oder SSL Tunneln, bei SSL allerdings nur mit Cisco Routern.
brammer
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.
Natürlich ist eine Verbindung nach aussen immer angreifbar.
Da wirst du aber nicht drum herum kommen dieses Risiko einzugehen, und entsprechende Schutzmassnahmen ergreifen müssen.
Nur, ohne eine Verbindng nach aussen wirst du keine Verbindung zwischen den beiden Standorten hinbekommen.
Wir betreiben mehrere Hundert Tunnel (weltweit!) und haben bisher keinen Einbruch gehabt, allerdings arbeiten wir nur mit IPSec Tunnel oder SSL Tunneln, bei SSL allerdings nur mit Cisco Routern.
brammer
Sorry, da muss ich widersprechen. Portscanner, die man für solche Angriffe verwendet, interessieren sich nen Sch... für DNS-Adressen, die scannen einfach IP-Ranges von a bis z und wo sie einen Ansatzpunkt finden, greifen sie an oder halt auch nicht. Oder andersherum formuliert: Ob deine externe, öffentlich sichtbare IP-Adresse einen oder mehrere zugehörige DNS-Einträge aufweist, hat keinerlei Einfluss auf die Sicherheit.
Cheers,
jsysde
Cheers,
jsysde
Ich greife diesen Beitrag auf, auch wenn die letzte Antwort schon 7 Jahre zurückliegt.
Ich habe eine ähnliche Problemstellung wie der Thread-Starter. An einem der beiden Standorte ist eine feste IP und am anderen ein Anschluß der Telekom ohne eine feste IP. Eine feste IP-Adresse von Telekom kostet monatlich 10 Euro, wobei ich bei meinem VPN-Anbieter bei einem 5-Jahres-Vertrag nur 100 Euro bezahle, also nur 1,67 Euro pro Monat.
Nun sagt mein VPN-Anbieter, ich könnte die feste IP wie jede andere feste IP eines Internetproviders behandeln.
Meine Frage diesbezüglich ist, ob dies stimmt, d.h. wo trage ich diese feste IP-Adresse in eine FritzBox ein, um dann darüber den VPNTunnel aufzubauen?
Besteht tatsächlich kein Unterschied zu der festen IP der Telekom, über die der gesamte Datenverkehr ins Internet geht?
Bei den VPN-Anbietern (wie ich den auch habe) wird auf jedem PC ein Dienst installiert und erst wenn dieser gestartet ist, läuft die Verbindung des Rechners ins Internet verschlüsselt. Aber eben nur des dedizierten PC's. Muß ich dann auf jedem Rechner, der über die feste IP aus dem Internet erreichbar ist, ein Dienst installiert werden? Vielleicht ist es gar nicht so kompliziert, wie ich vermute, nur muß ich statt eines Routers einen zusätzlichen Rechner bereitstellen, auf dem ein Dienst des VPN-Anbieters läuft, der dann dessen feste IP in meinem internen Netzwerk kommuniziert.
Ich habe eine ähnliche Problemstellung wie der Thread-Starter. An einem der beiden Standorte ist eine feste IP und am anderen ein Anschluß der Telekom ohne eine feste IP. Eine feste IP-Adresse von Telekom kostet monatlich 10 Euro, wobei ich bei meinem VPN-Anbieter bei einem 5-Jahres-Vertrag nur 100 Euro bezahle, also nur 1,67 Euro pro Monat.
Nun sagt mein VPN-Anbieter, ich könnte die feste IP wie jede andere feste IP eines Internetproviders behandeln.
Meine Frage diesbezüglich ist, ob dies stimmt, d.h. wo trage ich diese feste IP-Adresse in eine FritzBox ein, um dann darüber den VPNTunnel aufzubauen?
Besteht tatsächlich kein Unterschied zu der festen IP der Telekom, über die der gesamte Datenverkehr ins Internet geht?
Bei den VPN-Anbietern (wie ich den auch habe) wird auf jedem PC ein Dienst installiert und erst wenn dieser gestartet ist, läuft die Verbindung des Rechners ins Internet verschlüsselt. Aber eben nur des dedizierten PC's. Muß ich dann auf jedem Rechner, der über die feste IP aus dem Internet erreichbar ist, ein Dienst installiert werden? Vielleicht ist es gar nicht so kompliziert, wie ich vermute, nur muß ich statt eines Routers einen zusätzlichen Rechner bereitstellen, auf dem ein Dienst des VPN-Anbieters läuft, der dann dessen feste IP in meinem internen Netzwerk kommuniziert.
Deine Fragestellung zeigt leider das du sehr wenig Fachwissen hast, vermutlich...?!
Es ist doch völlig egal für die IP Funktion an sich ob das über eine dynamische oder eine feste IP läuft.
Die Frage ist so ob du mit Aral Benzin im Auto auch fahren kannst wo du sonst wechselseitig bei Jet und Shell tankst.
Du erkennst vermutlich selber die Sinnhaftigkeit dener Frage zu festen IPs.
Der Provider macht hier nichts anderes als das er dir IMMER eine feste IP zuweist via PPPoE und eben nicht eine wechselnde aus einem Adress Pool.
Sprich also statt einer täglich nach 24 Stunden wechselnden IP hast du eine die eben NICHT wechselt. Für den Router und seinen Funktion ist das völlig wumpe. Der will nur einen IP am WAN Port. Welche ist ihm "Latte".
Der Sinn ist doch nur das sich VPN Endgeräte dann an eine feste IP Adresse halten können die sie ja konfiguriert haben müssen als Tunnel Endpunkt. Du musst auf allen VPN Clients die sich auf den VPN Server (der FB) verbinden ja statisch eine feste Tunnel IP Adresse konfiguriert haben.
Würde diese täglich wechseln, müsstest du auch täglich immer alle VPN Clients umkonfigurieren. Kein normaler (IT) Mensch macht das.
Die feste IP ist also quasi eher was für die "Bequemlichkeit" bei VPN wenn du so willst, hat aber auf die eigentliche Funktion logischerweise keinerlei Einfluß.
Im Übrigen muss man auch keine feste IP Adresse haben sondern kann sowas auch mit einem DynDNS Client auf dem Router lösen.
Der DynDNS Dienst mappt dann die jeweils wechselnde IP auf einen festen Hostnamen z.B. meinrouter.dyndns.com .
Da dieser Hostname dann ja immer konstant bleibt aber auf eine dann wechselnde IP verweist kann man als VPN Tunnelendpunkt auch diesen festen Hostnamen eintragen und erreicht ganz ohne Mehrkosten genau das gleiche wie eine feste IP.
Mehr oder minder ist das mittlerweile Commodity was die halbe Welt bei VPNs so macht und sollte man als Netzwewrker eigentlich auch wissen
Es ist doch völlig egal für die IP Funktion an sich ob das über eine dynamische oder eine feste IP läuft.
Die Frage ist so ob du mit Aral Benzin im Auto auch fahren kannst wo du sonst wechselseitig bei Jet und Shell tankst.
Du erkennst vermutlich selber die Sinnhaftigkeit dener Frage zu festen IPs.
Der Provider macht hier nichts anderes als das er dir IMMER eine feste IP zuweist via PPPoE und eben nicht eine wechselnde aus einem Adress Pool.
Sprich also statt einer täglich nach 24 Stunden wechselnden IP hast du eine die eben NICHT wechselt. Für den Router und seinen Funktion ist das völlig wumpe. Der will nur einen IP am WAN Port. Welche ist ihm "Latte".
Der Sinn ist doch nur das sich VPN Endgeräte dann an eine feste IP Adresse halten können die sie ja konfiguriert haben müssen als Tunnel Endpunkt. Du musst auf allen VPN Clients die sich auf den VPN Server (der FB) verbinden ja statisch eine feste Tunnel IP Adresse konfiguriert haben.
Würde diese täglich wechseln, müsstest du auch täglich immer alle VPN Clients umkonfigurieren. Kein normaler (IT) Mensch macht das.
Die feste IP ist also quasi eher was für die "Bequemlichkeit" bei VPN wenn du so willst, hat aber auf die eigentliche Funktion logischerweise keinerlei Einfluß.
Im Übrigen muss man auch keine feste IP Adresse haben sondern kann sowas auch mit einem DynDNS Client auf dem Router lösen.
Der DynDNS Dienst mappt dann die jeweils wechselnde IP auf einen festen Hostnamen z.B. meinrouter.dyndns.com .
Da dieser Hostname dann ja immer konstant bleibt aber auf eine dann wechselnde IP verweist kann man als VPN Tunnelendpunkt auch diesen festen Hostnamen eintragen und erreicht ganz ohne Mehrkosten genau das gleiche wie eine feste IP.
Mehr oder minder ist das mittlerweile Commodity was die halbe Welt bei VPNs so macht und sollte man als Netzwewrker eigentlich auch wissen
Nicht der Unterschied zwischen der dynamischen und festen IP bzw. des Aufbaus eines VPN-Tunnels war meine Fragestellung.
Hat die FritzBox einen DynDNS-Dienst und ist mein Netzwerk nach dessen Einrichtung über die feste IP meines VPN-Providers erreichbar? Wenn ja, dann ist damit meine Frage beatwortet. Vielleicht ist das, was mir der VPN-Anbieter als "feste IP" anbietet ein normaler DynDNS-Dienst und dann wäre mir das klar. Danke.
Hat die FritzBox einen DynDNS-Dienst und ist mein Netzwerk nach dessen Einrichtung über die feste IP meines VPN-Providers erreichbar? Wenn ja, dann ist damit meine Frage beatwortet. Vielleicht ist das, was mir der VPN-Anbieter als "feste IP" anbietet ein normaler DynDNS-Dienst und dann wäre mir das klar. Danke.
Ja, deine Fritte kann DynDNS und Co. Selbst AVM bietet dir da was an.
Und Manche dieser Dienste sind mittlerweile Wolkendienste also gar nicht mehr die klassischen DYNDNS Dienste. Für jeden halt was dabei zum aussuchen...
Gruß,
Peter
und ist mein Netzwerk nach dessen Einrichtung über die feste IP meines VPN-Providers erreichbar?
Sollte, wenn ales richtig gemacht wurdeVielleicht ist das, was mir der VPN-Anbieter als "feste IP" anbietet ein normaler DynDNS-Dienst und dann wäre mir das klar.
Da soltest du dein Anbieter fragen wie und womit die das machen. Da hat jeder sein eigenes Süppchen am kochen. Allerdings werden die wenigsten dir sagen wie und womit...Und Manche dieser Dienste sind mittlerweile Wolkendienste also gar nicht mehr die klassischen DYNDNS Dienste. Für jeden halt was dabei zum aussuchen...
Gruß,
Peter
Hallo,
Kannst Du mir einen Anbieter empfehlen, der eine feste IP anbietet
http://www.feste-ip.net/
https://www.portunity.de/ und andere. Oder du lässt dir eine feste IPv4 vom ISP geben und diese in deine VPN Konfigurationen verwenden. Dann braucht es auch kein DynDNS und Co. Nur du kennst dann die verwendeten IPs und solange du nicht plauderst bekommst du wenig Besuch. Das Interner wird regelmässig nach IPs gescannt und es sidn nicht immer nur SkriptKiddies.
Gruß,
Peter
Kannst Du mir einen Anbieter empfehlen, der eine feste IP anbietet
http://www.feste-ip.net/
https://www.portunity.de/ und andere. Oder du lässt dir eine feste IPv4 vom ISP geben und diese in deine VPN Konfigurationen verwenden. Dann braucht es auch kein DynDNS und Co. Nur du kennst dann die verwendeten IPs und solange du nicht plauderst bekommst du wenig Besuch. Das Interner wird regelmässig nach IPs gescannt und es sidn nicht immer nur SkriptKiddies.
ohne Kopfschmerzen zu bekommen?
Nur ein kein Internet löst deine Kopfschmerz Problem. Gruß,
Peter