oel-auge
Goto Top

Tipps für Router (ca. 100 clients, VPN)

Moin, ich brauche mal einen Rat.

ich bin auf der Suche nach einem neuen Router, da wir nun endlich den Cisco RV082 in den Ruhestand schicken möchten.

Anforderungen
- Wir haben ca. 100-150 Clients die derzeit auch den RV082 als DHCP verwenden um den Domaincontroller zu entlasten.

- Wir benötigen mindesten 10 VPN Tunnel, sowohl client to Gateway, als auch Gateway to Gateway

- Einige Tunnel werden mit Mac´s genutzt, was bei Cisco ein großes Problem war, also gerne Open VPN o.ä.

- Unsere Avaya Telefonanlage würden wir von Zeit zu Zeit gerne an anderen Standorten über VPN mit unseren Telefonen nutzen.
o Die Anlage hängt in einem Voice VLAN mit im lokalen Netz.


Ich habe mich unter anderem hier eingelesen und bin auf die Mikrotik RB750R2 aufmerksam geworden, weiß aber nicht, ob der derartig viele Zugriffe verwalten kann.

Grundsätzlich geht es nicht um´s geld, sondern im besten Fall um eine Lösung, die viele meiner Bedürfnisse abdeckt und wo es vor allem Erfahrungswerte hier oder in anderen Foren gibt.

In der Vergangenheit habe ich mit communties besser Erfahrungen gemacht, als mit Kundenhotlines...

Vielen Gruß und Danke für jeden Tipp

Content-ID: 329989

Url: https://administrator.de/forum/tipps-fuer-router-ca-100-clients-vpn-329989.html

Ausgedruckt am: 25.12.2024 um 05:12 Uhr

maretz
maretz 20.02.2017 um 11:40:44 Uhr
Goto Top
Moin,

ich würde das ganze mal aufsplitten:
a) Router: Hier bist du bei Cisco sicher nicht ganz schlecht aufgehoben
b) VPN/Firewall: Hier gibt es diverse, Astaro z.b., Cisco ASA wenn es aus einem Haus kommen soll
c) DHCP: Wenn euer Server so hart am Limit ist das der DHCP ihn zu sehr beschäftigt würde ich da auch einen weiteren Server überlegen

Natürlich kannst du auch alles mit nem Router abfackeln - hast aber dann den Nachteil das du eben auch darauf beschränkt bist. In solchen Umgebungen würde ich persönlich eher versuchen das jeder Teil "seine" Aufgabe macht (dafür aber gut) als jeder alles und das mittelschlecht...
sabines
sabines 20.02.2017 um 11:45:02 Uhr
Goto Top
Moin,

wie sieht denn die WAN Anbindung aus und reicht Dir ein Router ohne Gigabit LAN?

Gruss
oel-auge
oel-auge 20.02.2017 um 11:52:54 Uhr
Goto Top
Hallo Maretz, vielen dank für deine schnelle Antwort.

a) der RV082 ist leider von Cisco deklariert und von uns gefühlt "END OF LiFE" ;) Das Problem mit Cisco ist für mich, dass VPN mit den Mac´s immer eine riesen Fummelei ist. Ich wollte es daher gerne mit OpenVPN probieren.

Bisher macht der RV082 bei uns im Haus alles, nur eben nicht zufriedenstellend, da hast du Recht.Aber das kam über die Zeit PPTP war ja mal Super und IPSEC funktionierte bis Lion auf den Mac`s mit dem RV082.

b) ich würde die Firewall gerne im Router integriert haben.

c) Der Server ist nicht am Ende, aber Microsoft empfiehlt nach meiner Kenntnis bei bis zu 150 clients die DHCP auf den Router zu verlagern und den AD nur als DNS fungieren zu lassen. Ich lasse mich da aber gerne belehren.


Danke und Gruß
oel-auge
oel-auge 20.02.2017 um 11:54:58 Uhr
Goto Top
Hallo Sabines,

WAN ist 100 Mbit Glasfaser.

Der Router braucht bei uns kein Gigabit.

gruss
michi1983
michi1983 20.02.2017 um 12:12:07 Uhr
Goto Top
Hallo,

dann würde ich das über eine PfSense auf einem Alix Board (2D4 z.B.) abfackeln. Ansonsten ein RouterBoard von Mikrotik.
Das sollten die eigentlich problemlos schaffen.

Gruß
Kuemmel
Kuemmel 20.02.2017 um 12:18:10 Uhr
Goto Top
Zitat von @oel-auge:
- Einige Tunnel werden mit Mac´s genutzt, was bei Cisco ein großes Problem war, also gerne Open VPN o.ä.

Wie kommst du darauf? macOS bringt doch einen IPsec-Client von Haus aus mit und alle gängigen Cisco-Router können damit umgehen.

Meine Empfehlung für dich ist ein Cisco 881. Siehe dazu auch:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Kostet dich um die 200€ und sollte alles abdecken was du brauchst.
oel-auge
oel-auge 20.02.2017 um 12:23:59 Uhr
Goto Top
Leider mag der IPSEC Client vom MAC OS bei uns seit einiger Zeit nicht mehr. Habe alles dazu im Bezug auf den RV082 abgegrasst und probiert. Bin langsam stark genervt davon
Kuemmel
Kuemmel 20.02.2017 um 12:26:20 Uhr
Goto Top
Okay. Aber der Cisco 881 ist halt auch nochmal eine ganz andere Klasse. Hier spielst du ja auch mit Cisco IOS wo IPSEC keine Probleme bereiten sollte face-wink (siehe Tutorial)
oel-auge
oel-auge 20.02.2017 um 12:28:51 Uhr
Goto Top
Danke Kuemmel,
würdest du mir also von mikrotik etc. abraten?

Finde die sehen ganz interessant aus, glaube halt nur nicht so recht daran, dass die mit den Großen mithalten können.

Gruß
Kuemmel
Kuemmel 20.02.2017 aktualisiert um 12:31:14 Uhr
Goto Top
MikroTik sollte auf jeden Fall auch im Rennen bleiben keine Frage. Allerdings würde ich bei deiner Größenordnung eher zur RB2011-Serie greifen wollen.

EDIT: Den hier zum Beispiel:
https://shop.omg.de/mikrotik/integrated-solutions/mikrotik-routerboard-r ...

Gibt es auch wenn gewünscht mit WLAN.
aqui
aqui 20.02.2017 um 12:52:59 Uhr
Goto Top
Leider mag der IPSEC Client vom MAC OS bei uns seit einiger Zeit nicht mehr
Den VPN Server auf dem Cisco 880 oder 890 mag der OS-X Client aber problemlos.
Guckst du hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Funktioniert fehlerlos...
oel-auge
oel-auge 20.02.2017 aktualisiert um 13:02:21 Uhr
Goto Top
@Kuemmel: Danke für den Link zum großen Bruder.

@aqui: Das der 880/890 das kann ist gut zu wissen, wie gesagt der RV082 ist ja auch nicht mehr der jüngste und die neuste Firmware ist glaube ich mittlerweile 3 Jahre alt.

Dann zum großen Finale:

Über welches Gerät lässt sich wohl meine Telefonanlage von außen am besten erreichen?
Die läuft in einem seperatem Voice VLAN

Die Avaya telefone haben einen integrierten VPN client.
Hier ist die Doku dazu:
https://downloads.avaya.com/css/P8/documents/101008050
aqui
aqui 20.02.2017 aktualisiert um 13:22:13 Uhr
Goto Top
Die RV Schiene sind die Consumer Billigmodelle von Cisco. Die 800er sind Business Router.
Über welches Gerät lässt sich wohl meine Telefonanlage von außen am besten erreichen?
Die Frage kann dir so niemand beantworten face-sad
Dazu wäre es wichtig zu wissen WIE die Analge angebunden ist. Analog, ISDN, LAN ??
Mit LAB machst sich ja schon VoIP so wie ne Auerswald VoIP Anlage z.B.
Bei analog oder ISDN benötigst du einen Adapter wie den Cisco SPA 112 oder musst einen Router nehmen der solchen Adapter gleich intus hat wie ne Fritzbüx usw.
Besser ist in jedem Falle immer ne direkte VoIP Anlage die auch einen LAN Anschluss hat.
oel-auge
oel-auge 20.02.2017 aktualisiert um 13:31:51 Uhr
Goto Top
Angebunden via lan. Im selben netz aber seperatem vlan.
VoIP, siehe Link zum Fon oben.
aqui
aqui 20.02.2017 aktualisiert um 13:40:36 Uhr
Goto Top
Na dann ist das doch ne Lachnummer...!
Das Voice VLAN (hier als Beispiel im VLAN 10) terminierst du auf dem embeddeten 4 Port Switch im Cisco 880/890:
interface FastEthernet3
description Voice VLAN
switchport access vlan 10
no ip address
no cdp enable
!
interface Vlan10
description Voice Netz
ip address 172.16.1.254 255.255.255.0
ip nat inside
!

Fertisch !
Telefonanlage aufstecken geht...
Einfacher gehts ja nun wirklich nicht !
coltseavers
coltseavers 20.02.2017 um 13:55:44 Uhr
Goto Top
Hi ho,

ich kann Mikrotik durchaus empfehlen. Die Dinger kosten sehr wenig, sehen nach nix was aus, können aber richtig was.

Eigentlich wird vermutlich schon diese Kiste ausreichen, denn auch die hat schon GBit-Ports und Dual-Core-CPU:
RB750Gr3

Wenn Du auf Nummer sicher gehen willst, nimmst Du halt ne Nummer größer, und fährst immer noch sehr preiswert:
RB3011UiAS-RM

Die RB2011er-Serie hat hingegen nur nen Single-Core-Prozessor.

Und am Ende der Produktseiten kannst Du ja nachlesen, wieviele Pakete die Kisten pro Sekunde schaffen...
aqui
aqui 20.02.2017 um 14:04:54 Uhr
Goto Top
Das stimmt ist auch eine gute Wahl, allerdings benötigst du da zusätzlich ein xDSL Modem da der Mikrotik kein internes Modem an Bord hat.
Ein Virgor 130 von Draytek kann z.B. ADSL und VDSL als Hybridmodem.
119944
119944 20.02.2017 aktualisiert um 18:35:41 Uhr
Goto Top
Moin,

Grundsätzlich kann ich hier auch die Mikrotik Router RB3011 oder hEXr3 empfehlen. Die schaffen auch eine ordentliche Geschwindigkeit über VPN. Für Fehlerfall legst du dir bei den Preisen halt einfach einen zweiten in den Schrank.

Die Cisco RV Serie ist leider absoluter Schrott und hat mit den großen IOS Geräten nichts zu tun.
Jedoch ist die oft empfohlene 800er Serie relativ schwach auf der Brust und bei NAT, Firewall und VPN Recht schnell am Limit. Jeder aktuelle Mikrotik hEXr3 ist da schneller, vorallem durch die integrierte Hardwarebeschleunigung.

Alternativ geht auch eine kostenlose PfSense auf entsprechend potenter Hardware.

Brauchst du aber Support und im Fehlerfall Ersatz solltest du eine kommerzielle Firewall in Betracht ziehen. Die Produkte von Barracuda (F180) oder Fortigate (60E) sollten deine Anforderungen problemlos erfüllen.

VG
Val
aqui
aqui 21.02.2017 um 12:42:32 Uhr
Goto Top
Jedoch ist die oft empfohlene 800er Serie relativ schwach auf der Brust und bei NAT, Firewall und VPN Recht schnell am Limit.
Nicht beim 890er face-wink
119944
119944 21.02.2017 aktualisiert um 22:20:29 Uhr
Goto Top
Hast du dazu Mal ein paar Werte zur Performance?
Ich finde im Netz leider immer nur Werte um die 30-50Mbit.

http://www.dslreports.com/forum/r27121058-1921-vs-891-Throughput-Testin ...
aqui
aqui 22.02.2017 um 12:31:52 Uhr
Goto Top
Mmmhhh, da weiss man nicht ob der cef switching aktiviert hat. 30-50 Mbit ist aber schon das Maximum was man einem 880er mit NAT und Firewall zumuten sollte, das stimmt.
Mit aktiviertem cef liegt der 890 aber höher.