heurazio
Goto Top

Standortvernetzung ohne feste IP-Adressen ?

Erst mal Hallo an alle,

dann gleich zu meiner Frage / meinem Problem. Ich möchte zwei Standorte miteinander verbinden und kenne mich mit der Thematik kurzum noch garnicht aus. Nach längerem lesen bin ich soweit das ich wohl ein VPN zwischen Zentrale und Aúßenstelle einrichten muss. Meine erste überlegung war an beiden Enden eine Firewall (mit VPN-Funktion) zu verwenden und der Zentrale eine feste IP-Adresse zuweisen zu lassen (Transitnetz: Internet). Nun ist meine Frage ob dies auch anders geht.
Gibt es eine Möglichkeit Zentrale und Außenstelle zu verbinden OHNE das es nötig ist das einer der beiden Standorte eine feste IP zugewiesen bekommt bzw. im Internet "sichtbar" wird ? Von Softwareseitigen Lösungen wie Hamatchi etc. bin ich abgekommen. Die Leistung ist viel zu niedrig.

Über eine Antwort würde ich mich freuen.
Mfg Heurazio

Content-ID: 169529

Url: https://administrator.de/contentid/169529

Ausgedruckt am: 22.11.2024 um 17:11 Uhr

brammer
brammer 12.07.2011 um 06:26:05 Uhr
Goto Top
Hallo,

an VPN wirst du im Entdefekt nicht vorbei kommen.
Es gibt ja auch hierfür verschiedene Lösungsansätze und auch Möglichkeiten ohne Feste IP.
Verbunden mit dem Internet müssen in jedem Falle beide Standorte sein.
Was für Dienste die Standorte nach aussen haben kann man ja freigeben, oder sperren.

Mach doch erst mal eine Bestandaufnahme der Hardware die du hast und schau ob die vorhandene HArdware
evtl. schon VPN fähig ist.
Dann können wir wieter überlegen.

brammer
Heurazio
Heurazio 12.07.2011 um 06:34:05 Uhr
Goto Top
Die Außenstelle existiert bist jetzt noch nicht und muss neu geschaffen werden. Auch in der Zentrale ist bisher lediglich ein simpler Internetzugang ohne jegliche Extras vorhanden. Für die Zentrale dachte ich an ein LANCOM 7100 VPN und für die Außenstelle bin ich im Moment noch unentschlossen. Wichtig ist das die Zentrale selbst gut geschützt ist gegen eindringen und Extrahieren von sensiblen Daten. Über "man-in-the-middle" muss ich mir im Moment keine Gedanken machen.
brammer
brammer 12.07.2011 um 07:53:01 Uhr
Goto Top
Hallo,

Auch in der Zentrale ist bisher lediglich ein simpler Internetzugang ohne jegliche Extras vorhanden

heißt in der Praxis?
Selbst eine Fritzbox oder ein Speedport können mit VPN umgehen...

MitM Attacken ist eine Frage des verwendeten Schlüssels und des Austauschweges des Schlüssels oder der verwendeten Zerifikaste

Ein Lancom Router ist keine Schlechte Wahl

brammer
NoHopeNoFear
NoHopeNoFear 12.07.2011 um 08:35:08 Uhr
Goto Top
Moin,

ein Lancom 7100 für die Vernetzung von 2 Standorten ist aber mit (großkalibirgen) Kanonen auf Spatzen geschossen.
Da reicht auch ein 1611+, also der billigste VPN fähige Lancom, für beide Standorte. In Sachen Firewall geben sich beide nichts, lediglich der Datendurchsatz und die max. Anzahl der VPNs unterscheiden sich sowie die Anzahl der konfigurierbaren WAN Ports, der Rest ist im wesentlichen gleich.

VPN mit dynamischen IPs geht problemlos wenn du auf beiden Seiten Lancom Geräte hast.
kopie0123
kopie0123 12.07.2011 um 09:53:44 Uhr
Goto Top
Hey,

richte DynDns Aderssen ein und dein VPN läuft.

Wir nutzen IPCop, ist umsonst,bringt alles mit was du brauchst. DynDns Client konfigurieren und Zertifikatsbasiertes IPSec nutzen. Für dich kannst Du dann noch einen OpenVPN Zugang fürs HomeOffice einrichten. Oder um Nachts die Server zu warten face-wink

Gruß
aqui
aqui 12.07.2011 um 10:55:08 Uhr
Goto Top
Die meisten VPN Router wie z.B. Draytek u.a. können mit wechselnden IP Adressen als DynDNS umgehen.
Mit 2 simplen VPN Routern bist du also bestens bedient und kannst das im Handumdrehen umsetzen !
kleini0502
kleini0502 12.07.2011 um 15:27:35 Uhr
Goto Top
Hi Heurazio!

Eine sehr gute und einfache Lösung, jedoch nicht ganz billig, ist auch Astaro Security Gateway. Funktioniert auch einwandfrei mit DynDNS. Kosten sind natürlich abhängig von der Größe Deines Unternehmens (Benutzeranzahl) und welche ASG Du dort benötigst.

Gruß Kleini
Heurazio
Heurazio 12.07.2011 um 21:55:59 Uhr
Goto Top
Erstmal danke für eure vielen Antworten.
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

brammer: Heist in der Praxis -> Speedport.

NoHopeNoFear: Da sind wir auch schon beim Problem. Es sollten 10mb/s in beide Richtungen durch gehen (beiden Standorte erlaufen eine VDSL50 anbindung) . Desweiteren denke ich das die Firewall auf diese weise wenigstens ein bischen Zukunftssicherheit beitet für den Fall das schnellere Internetzugänge mal endlich erhältlich sind. Du meintest es ist mit dynamischen IP's kein Problem ? Wie genau sähe das dann aus ? Oder ist das nur die lösung mittels DynDNS ?

kleini0502: Sehe ich das richtig das das Astaro Security Gateway gleichzeitig noch eine Art Antiviren-Server (oder wie man sowas nennt) ist ? Sieht von den Technischen-Daten fast besser aus als die von Lancom ...
kleini0502
kleini0502 12.07.2011 um 22:21:12 Uhr
Goto Top
Hey!

Astaro Security Gateway bietet mehrere Features:

- Basis- Firewall
- Network Security
- Web Security
- Mail Security
- Wireless Security
- Web Aplication Security

U.a. sind dort auch Antivirenengines involviert (2 Stück). Proxy- Funktionen HTTP/HTTPS, FTP, MAIL etc.

Man kann schon sehr viel damit machen und vor allen ist es um einiges einfacher zu konfigurieren als Lancom (klar, ist ansichtssache...). Aber ich habe meine Kunden weitestgehend auf Astaro "umgeswitcht".

Nachteil bei Astaro sind wie oben schon erwähnt die Preise.

Gruß
Kleini

PS: Bei Astaro ist es auch ohne Probleme möglich VPN aufzubauen, wenn z.B. nur der Hauptstandort eine feste IP hat. Grundsätzlich brauch dieser diese auch bzw. DynDNS.
jsysde
jsysde 12.07.2011 um 22:21:15 Uhr
Goto Top
Die meisten VPN Router wie z.B. Draytek u.a. können mit wechselnden IP Adressen als DynDNS umgehen.
Das ist zwar technisch richtig, sich für den geschäftlichen Bedarf auf die Verfügbarkeit eines externen Dienstleisters verlassen zu müssen, halte ich aber für sehr riskant. Wenn DynDNS, dann die Bezahlvariante.

@Heurazio:
Sinnvoller wäre es allerdings, zumindest der Zentrale eine statische, öffentliche IP zu verpassen - das macht sogar die Telekom, wenn man ein Business-Produkt bucht. Das kostet ein paar Euro mehr, hat aber auch entsprechend schnelleren Support. Vergleich: Privat-Anschluss bis zu 24 Stunden Reaktionszeit, Business max. 8. Wenn du es dir leisten kannst, dass dein Business > 24 Stunden auf dem Bauch liegt, bloss um ein paar Euro Gebühren im Monat zu sparen, nur zu.

Cheers,
jsysde
NoHopeNoFear
NoHopeNoFear 13.07.2011 um 09:07:04 Uhr
Goto Top
Zitat von @Heurazio:
Erstmal danke für eure vielen Antworten.
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

brammer: Heist in der Praxis -> Speedport.

NoHopeNoFear: Da sind wir auch schon beim Problem. Es sollten 10mb/s in beide Richtungen durch gehen (beiden Standorte erlaufen
eine VDSL50 anbindung) . Desweiteren denke ich das die Firewall auf diese weise wenigstens ein bischen Zukunftssicherheit beitet
für den Fall das schnellere Internetzugänge mal endlich erhältlich sind. Du meintest es ist mit dynamischen
IP's kein Problem ? Wie genau sähe das dann aus ? Oder ist das nur die lösung mittels DynDNS ?

kleini0502: Sehe ich das richtig das das Astaro Security Gateway gleichzeitig noch eine Art Antiviren-Server (oder wie man sowas
nennt) ist ? Sieht von den Technischen-Daten fast besser aus als die von Lancom ...

wenn du an beiden Standorten ISDN für den Router bereitstellen kannst geht es auch ohne DynDNS (Wir realisieren dass allerdings idr. via DynDNS). Bei 10 mbit/s in beide Richtungen könnte der Lancom 1711+ auch noch genügen, schau dir mal das Datenblatt an.
Die LC Geräte sind natürlich mit Astaro und ähnlichen Herstellern nicht vergleichbar. Sind halt reine Gateways/Router und keine UTM Systeme.
brammer
brammer 14.07.2011 um 06:20:11 Uhr
Goto Top
Hallo,

DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.

Natürlich ist eine Verbindung nach aussen immer angreifbar.
Da wirst du aber nicht drum herum kommen dieses Risiko einzugehen, und entsprechende Schutzmassnahmen ergreifen müssen.
Nur, ohne eine Verbindng nach aussen wirst du keine Verbindung zwischen den beiden Standorten hinbekommen.

Wir betreiben mehrere Hundert Tunnel (weltweit!) und haben bisher keinen Einbruch gehabt, allerdings arbeiten wir nur mit IPSec Tunnel oder SSL Tunneln, bei SSL allerdings nur mit Cisco Routern.

brammer
jsysde
jsysde 14.07.2011 um 21:12:19 Uhr
Goto Top
DynDNS ist nicht ganz das was ich suche. Da ich auf diese weise die Zentrale von außen wieder direkt angreifbar mache.
Das gibt keinen Sinn - du bist immer "angreifbar", wenn du im Internet bist.

Cheers,
jsysde
Heurazio
Heurazio 15.07.2011 um 01:49:59 Uhr
Goto Top
Das ich immer angreifbar bin ist mir auch bewust. Aber dank dynamischer IP-Adressen wird das Risiko zumindest minimal gehemmt. Bei statischen Adressen bleibt einem Angreifer natürlich alle Zeit der Welt den Angriff in Ruhe vorzubereiten.

NoHopeNoFear: Danke, dann schau ich mir den mal genauer an.
jsysde
jsysde 15.07.2011 um 19:36:28 Uhr
Goto Top
Sorry, da muss ich widersprechen. Portscanner, die man für solche Angriffe verwendet, interessieren sich nen Sch... für DNS-Adressen, die scannen einfach IP-Ranges von a bis z und wo sie einen Ansatzpunkt finden, greifen sie an oder halt auch nicht. Oder andersherum formuliert: Ob deine externe, öffentlich sichtbare IP-Adresse einen oder mehrere zugehörige DNS-Einträge aufweist, hat keinerlei Einfluss auf die Sicherheit.

Cheers,
jsysde
vafk18
vafk18 08.07.2018 um 18:50:06 Uhr
Goto Top
Ich greife diesen Beitrag auf, auch wenn die letzte Antwort schon 7 Jahre zurückliegt.

Ich habe eine ähnliche Problemstellung wie der Thread-Starter. An einem der beiden Standorte ist eine feste IP und am anderen ein Anschluß der Telekom ohne eine feste IP. Eine feste IP-Adresse von Telekom kostet monatlich 10 Euro, wobei ich bei meinem VPN-Anbieter bei einem 5-Jahres-Vertrag nur 100 Euro bezahle, also nur 1,67 Euro pro Monat.

Nun sagt mein VPN-Anbieter, ich könnte die feste IP wie jede andere feste IP eines Internetproviders behandeln.

Meine Frage diesbezüglich ist, ob dies stimmt, d.h. wo trage ich diese feste IP-Adresse in eine FritzBox ein, um dann darüber den VPNTunnel aufzubauen?
Besteht tatsächlich kein Unterschied zu der festen IP der Telekom, über die der gesamte Datenverkehr ins Internet geht?
Bei den VPN-Anbietern (wie ich den auch habe) wird auf jedem PC ein Dienst installiert und erst wenn dieser gestartet ist, läuft die Verbindung des Rechners ins Internet verschlüsselt. Aber eben nur des dedizierten PC's. Muß ich dann auf jedem Rechner, der über die feste IP aus dem Internet erreichbar ist, ein Dienst installiert werden? Vielleicht ist es gar nicht so kompliziert, wie ich vermute, nur muß ich statt eines Routers einen zusätzlichen Rechner bereitstellen, auf dem ein Dienst des VPN-Anbieters läuft, der dann dessen feste IP in meinem internen Netzwerk kommuniziert.
aqui
aqui 08.07.2018 aktualisiert um 19:14:06 Uhr
Goto Top
Deine Fragestellung zeigt leider das du sehr wenig Fachwissen hast, vermutlich...?!
Es ist doch völlig egal für die IP Funktion an sich ob das über eine dynamische oder eine feste IP läuft.
Die Frage ist so ob du mit Aral Benzin im Auto auch fahren kannst wo du sonst wechselseitig bei Jet und Shell tankst.
Du erkennst vermutlich selber die Sinnhaftigkeit dener Frage zu festen IPs.
Der Provider macht hier nichts anderes als das er dir IMMER eine feste IP zuweist via PPPoE und eben nicht eine wechselnde aus einem Adress Pool.
Sprich also statt einer täglich nach 24 Stunden wechselnden IP hast du eine die eben NICHT wechselt. Für den Router und seinen Funktion ist das völlig wumpe. Der will nur einen IP am WAN Port. Welche ist ihm "Latte".

Der Sinn ist doch nur das sich VPN Endgeräte dann an eine feste IP Adresse halten können die sie ja konfiguriert haben müssen als Tunnel Endpunkt. Du musst auf allen VPN Clients die sich auf den VPN Server (der FB) verbinden ja statisch eine feste Tunnel IP Adresse konfiguriert haben.
Würde diese täglich wechseln, müsstest du auch täglich immer alle VPN Clients umkonfigurieren. Kein normaler (IT) Mensch macht das.
Die feste IP ist also quasi eher was für die "Bequemlichkeit" bei VPN wenn du so willst, hat aber auf die eigentliche Funktion logischerweise keinerlei Einfluß.

Im Übrigen muss man auch keine feste IP Adresse haben sondern kann sowas auch mit einem DynDNS Client auf dem Router lösen.
Der DynDNS Dienst mappt dann die jeweils wechselnde IP auf einen festen Hostnamen z.B. meinrouter.dyndns.com .
Da dieser Hostname dann ja immer konstant bleibt aber auf eine dann wechselnde IP verweist kann man als VPN Tunnelendpunkt auch diesen festen Hostnamen eintragen und erreicht ganz ohne Mehrkosten genau das gleiche wie eine feste IP.
Mehr oder minder ist das mittlerweile Commodity was die halbe Welt bei VPNs so macht und sollte man als Netzwewrker eigentlich auch wissen face-wink
vafk18
vafk18 08.07.2018 aktualisiert um 20:02:37 Uhr
Goto Top
Nicht der Unterschied zwischen der dynamischen und festen IP bzw. des Aufbaus eines VPN-Tunnels war meine Fragestellung.

Hat die FritzBox einen DynDNS-Dienst und ist mein Netzwerk nach dessen Einrichtung über die feste IP meines VPN-Providers erreichbar? Wenn ja, dann ist damit meine Frage beatwortet. Vielleicht ist das, was mir der VPN-Anbieter als "feste IP" anbietet ein normaler DynDNS-Dienst und dann wäre mir das klar. Danke.
Pjordorf
Pjordorf 08.07.2018 um 20:43:35 Uhr
Goto Top
Zitat von @vafk18:
Hat die FritzBox einen DynDNS-Dienst
Ja, deine Fritte kann DynDNS und Co. Selbst AVM bietet dir da was an.

und ist mein Netzwerk nach dessen Einrichtung über die feste IP meines VPN-Providers erreichbar?
Sollte, wenn ales richtig gemacht wurde

Vielleicht ist das, was mir der VPN-Anbieter als "feste IP" anbietet ein normaler DynDNS-Dienst und dann wäre mir das klar.
Da soltest du dein Anbieter fragen wie und womit die das machen. Da hat jeder sein eigenes Süppchen am kochen. Allerdings werden die wenigsten dir sagen wie und womit...

Und Manche dieser Dienste sind mittlerweile Wolkendienste also gar nicht mehr die klassischen DYNDNS Dienste. Für jeden halt was dabei zum aussuchen...

Gruß,
Peter
vafk18
vafk18 08.07.2018 aktualisiert um 21:52:53 Uhr
Goto Top
@peter
Mit der Suppe hast Du vermutlich Recht. Kannst Du mir einen Anbieter empfehlen, der eine feste IP anbietet und ich problemlos das kleine Projekt der beiden Standorte zu verbinden realisieren kann, ohne Kopfschmerzen zu bekommen? Vielen Dank!
Pjordorf
Pjordorf 08.07.2018 um 22:04:57 Uhr
Goto Top
Hallo,

Zitat von @vafk18:

Kannst Du mir einen Anbieter empfehlen, der eine feste IP anbietet
http://www.feste-ip.net/
https://www.portunity.de/ und andere. Oder du lässt dir eine feste IPv4 vom ISP geben und diese in deine VPN Konfigurationen verwenden. Dann braucht es auch kein DynDNS und Co. Nur du kennst dann die verwendeten IPs und solange du nicht plauderst bekommst du wenig Besuch. Das Interner wird regelmässig nach IPs gescannt und es sidn nicht immer nur SkriptKiddies.

ohne Kopfschmerzen zu bekommen?
Nur ein kein Internet löst deine Kopfschmerz Problem. face-smile

Gruß,
Peter
vafk18
vafk18 10.07.2018 um 22:05:32 Uhr
Goto Top
HaHaHa Peter, da hast Du vollkommen Recht. Danke!!!