boomboomben
Goto Top

Verbinden mehrere Standorte per VPN mit RouterOS

Ich möchte 4 Standorte miteinander vernetzen.

Es handelt sich um reine technische Einrichtungen die zzt. über 50 Jahre alte und viele Kilometer lange Erdkabel auf konventioneller Art mitteinander Kommunizieren.
Die Kabel sind mehr als schlecht. Eine sanierung ist ausgeschlossen.
Es wurde bereits damit begonnen die Stationen mit Internet auszurüßten. Auch die Systeme sind bereits für den Netzwerkanschluss vorbereitet.
Was noch fehlt ist das Netzwerk womit wir bei meiner Aufgabe sind.

Alle Stationen bekommen ein ADSL Business Anschluß der Telekom. Im schlimmsten Fall wird einer per LTE angebunden.

Ich möchte dort in jeder Station die Mikrotik RB2011UiAS-2HnD-IN am Telekom Router einsetzen, damit ich mir um die Firewall weniger gedanken machen muss.
Die VPN Tutorials habe ich mir bereits angeschaut, jedoch geht es hier immer nur um zwei Stationen. Muss ich irgendetwas beachten wenn ich mehrere Stationen aninden möchte ?

Ich schätze ich richte lediglich einen OVPN Server ein und die rechtlichen als Client. Oder kommt noch etwas anderes in Frage ?
Da die eine (Haupt)Station folglich deutlich mehr Traffic abbekommt und die Bandbreiten der ADSL Anschlüsse alles andere als groszügig sein werden, kann mir jemand vieleicht mal einen Tipp geben, mit welchen Einbußen ich ungeachtet der Datenmenge rechenn muss, bzw. welche Anschlußbandbreite ich wenigstens benötige.
Die Datenmenge der Technischen Anlage ist sehr gering, wie viel kann ich NOCH nicht sagen. Das wichtigste ist, das es zuverlässig läuft und sich bei einem Ausfall selbstständig neu verbindet.

Content-ID: 268904

Url: https://administrator.de/forum/verbinden-mehrere-standorte-per-vpn-mit-routeros-268904.html

Ausgedruckt am: 26.12.2024 um 00:12 Uhr

aqui
aqui 11.04.2015 um 20:55:35 Uhr
Goto Top
Muss ich irgendetwas beachten wenn ich mehrere Stationen aninden möchte ?
Nein
Ich schätze ich richte lediglich einen OVPN Server ein und die rechtlichen als Client.
So kann man das machen.
Alternativen sind IPsec oder L2TP der MT hat ja mehrere Optionen. Mit einem kaskadierten Router ist aber ein SSL VPN wie OpenVPN durch die Einfachheit des Protokolls die erste Wahl um Stress mit NAT aus dem Wege zu gehen.
Vorsicht bei LTE wenn du auf der Funkschnittstelle RFC 1918 IPs hast und ein zentrales Provider NAT.
Da die eine (Haupt)Station folglich deutlich mehr Traffic abbekommt
Warum meinst du das das so ist ?? WAS unterscheidet diese diesbezüglich von den anderen ?
ungeachtet der Datenmenge rechenn muss, bzw. welche Anschlußbandbreite ich wenigstens benötige.
64 kbit/s sollten ja reichen....
Mal im Ernst diese Frage ist doch völlig sinnfrei und unsinnig. Wie bitte soll man die beantworten wenn man keinerlei Informationen hat WAS an Datenvoluminas zu erwarten ist dzz... Das geht nur mit der bekannten Kristallkugel.
Wenn diese Stationen nur ein paar Byte Statusdaten jede Minute übertragen müssen, dann reicht ja 9600 Baus vollständig aus.
Ists etwas mehr kommst du sicher mit 64 kbit hin.
Wo ist also dein Problem ?!
BoomBoomBen
BoomBoomBen 11.04.2015 um 21:42:51 Uhr
Goto Top
Zitat von @aqui:

> Da die eine (Haupt)Station folglich deutlich mehr Traffic abbekommt
Warum meinst du das das so ist ?? WAS unterscheidet diese diesbezüglich von den anderen ?

Naja, wenn die VPN Client Stationen sich auf der Server Station anmelden....der Traffic läuft doch dann dort zusammen....oder nicht ?

Vorsicht bei LTE wenn du auf der Funkschnittstelle RFC 1918 IPs hast und ein zentrales Provider NAT.
das ist doch das selbe Thema wie bei den Unitymedia DualStack lite Anschlüssen, dass die V4 Adresse nicht nutzbar ist, richtis ?
Habe letztens ein LTE Privatkundenanschluß eingerichtet, da war es nicht der Fall.

> ungeachtet der Datenmenge rechenn muss, bzw. welche Anschlußbandbreite ich wenigstens benötige.
64 kbit/s sollten ja reichen....
Mal im Ernst diese Frage ist doch völlig sinnfrei und unsinnig. Wie bitte soll man die beantworten wenn man keinerlei
Informationen hat WAS an Datenvoluminas zu erwarten ist dzz... Das geht nur mit der bekannten Kristallkugel.
Wenn diese Stationen nur ein paar Byte Statusdaten jede Minute übertragen müssen, dann reicht ja 9600 Baus
vollständig aus.
Ists etwas mehr kommst du sicher mit 64 kbit hin.
Wo ist also dein Problem ?!
face-smile na, das hört sich doch gut an. das habe ich mir erhofft, das die VPN Geschichte selbst kaum Bandbreite beantsprucht.
114757
114757 11.04.2015 aktualisiert um 22:06:22 Uhr
Goto Top
Zitat von @BoomBoomBen:
face-smile na, das hört sich doch gut an. das habe ich mir erhofft, das die VPN Geschichte selbst kaum Bandbreite beantsprucht.
Das hast du jetzt nicht wirklich ernst genommen face-big-smile
Das VPN belegt natürlich immer soviel Bandbreite wie die User es beanspruchen, und wenn die User sich da 500MB große Files hin und her schieben ist das sicherlich ein Thema face-wink

Aber das weißt nur du, wieviel Traffic zwischen den Standorten hin und her fließen werden. Das Nadelöhr ist hier bei asynchronem DSL ja wie immer der Upstream der Zentrale und den Standorten.
Willst du nicht allen Traffic zwischen den Standorten über die Zentrale umleiten, lassen sich ja auch separate VPN Verbindungen direkt zwischen den jeweiligen Standorten einrichten.

Solltest du zwischen den Standorten kommunizieren, also bspw. von Standort 2 über die Zentrale zu Standort 3, nicht die Routen vergessen, oder besser gleich auf den Routern OSPF oder RIP einrichten.

Gruß jodel32
Dani
Dani 11.04.2015 um 23:09:16 Uhr
Goto Top
Moin,
Solltest du zwischen den Standorten kommunizieren, also bspw. von Standort 2 über die Zentrale zu Standort 3, nicht die Routen vergessen, oder besser gleich auf den Routern OSPF oder RIP einrichten.
Das Protokoll würde ich von der Anzahl der Lokationen abhängig machen. Wobei ich auf OSPFv2 setze, wenn die Router es können:
  • RIP schickt seine Routintabelle via Broadcast, OSPF dagegen nur wenn eine Änderung erfolgte
  • RIP rechnet den Weg an Hand Hop Count aus, OSPF kennt die komplette Topology mit Path-Costs.
  • RIP ist anfällig für Schleifen, Split-Horizon, etc..., OSPF ist stabil und CIDR schweibeise.

Den Datenverkehr kannst du mit Access-Listen (Allow, Deny) so gering wie möglich halten.


Gruß,
Dani
aqui
aqui 12.04.2015 aktualisiert um 12:06:23 Uhr
Goto Top
.der Traffic läuft doch dann dort zusammen....oder nicht ?
Nein, wenn du sinnigerweise die Standorte auch untereinander vernetzt !
das ist doch das selbe Thema wie bei den Unitymedia DualStack lite Anschlüssen
Nein ist es nicht. Das eine ist DS Lite das andere ist zentrales NAT. Sind 2 völlig unterschiedliche Baustellen. Beiden gemeinsam ist aber die VPN Problematik.
das die VPN Geschichte selbst kaum Bandbreite beantsprucht.
Da sie selbst bekanntlich keinerlei Traffic erzeugt benötigt sie logischerweise auch KEINE Bandbreite !
108012
108012 12.04.2015 um 13:16:01 Uhr
Goto Top
Hallo zusammen,

Ich möchte dort in jeder Station die Mikrotik RB2011UiAS-2HnD-IN am Telekom Router
einsetzen, damit ich mir um die Firewall weniger gedanken machen muss.
Kann man so oder so sehen, ich würde ja mal von hinten anfangen das ganze
einzurichten bzw. aufzuziehen und dann erst die Wahl eines Routers oder einer
Firewall treffen.

Die VPN Tutorials habe ich mir bereits angeschaut, jedoch geht es hier immer nur um
zwei Stationen. Muss ich irgendetwas beachten wenn ich mehrere Stationen aninden möchte ?
Je nach dem ob sie alle unter einander und miteinander vernetzt sind oder nur alle Niederlassungen
eine Verbindung zur Zentrale haben.

Ich schätze ich richte lediglich einen OVPN Server ein und die rechtlichen als Client.
Oder kommt noch etwas anderes in Frage ?
Dito, siehe einen Absatz weiter oben.

Da die eine (Haupt)Station folglich deutlich mehr Traffic abbekommt und die Bandbreiten der
ADSL Anschlüsse alles andere als groszügig sein werden, kann mir jemand vieleicht mal
einen Tipp geben,
Wenn ich Leitungen von geringer Güte oder schlechter Qualität habe und dazu noch Internetzugänge
die nicht gerade sehr schnell sind und auch nicht als Businessanschlüsse bezeichnet werden können
würde ich versuchen mittels der eingesetzten Hardware das wirklich letzte Quäntchen aus dem
Ganzen Szenario herauszuholen. Nur selbst das gerät völlig zur Farce wenn man nur ein paar
Text Dokumente austauscht und das auch noch gut über den ganzen Tag verteilt.

mit welchen Einbußen ich ungeachtet der Datenmenge rechenn muss, bzw.
welche Anschlußbandbreite ich wenigstens benötige.
Das ist von dem Gesamtvolumen abhängig was über jede Leitung geht und was zu Spitzenzeiten
an Durchsatz vorhanden sein muss bzw. müsste. Ich beschreibe es einmal so herum, wenn nur
von 16:00 - 18:00 Uhr richtig Durchsatz benötigt wird könnte man sagen, lass alles wie es ist
wir benötigen das ja nur sporadisch, aber wenn eben zu dieser Zeit dann auch richtig was abgeht
über die VPN Leitungen und es ewig zu Engpässen kommt muss man wahrscheinlich doch etwas
verändern.

Die Datenmenge der Technischen Anlage ist sehr gering, wie viel kann ich NOCH nicht sagen.
Dann kann Dir auch niemand einen auch nur annähernden Wert des Verlustes bzw. des Durchsatzes
geben.

Das wichtigste ist, das es zuverlässig läuft und sich bei einem Ausfall selbstständig neu verbindet.
Zu wie viel Aussetzern soll es denn kommen, wenn jetzt schon die Rede davon ist?
Einmal die 24 Stunden Zwangstrennung der dt. Telekom, ok da kann man etwas machen
sicherlich sogar nur wenn die Leitung so instabil ist das sie 20 mal am Tag zusammen bricht
sollte man an einer anderen Stelle versuchen anzusetzen.

- Router und Firewalls mit einer Hardware VPN Unterstützung
- Möglichst Businessinternetzugänge mit einer garantierten Bandbreite
- Möglichst Business LTE Zugänge benutzen
- Vorab mal einen plan zeichnen und überlegen was wird überhaupt wie und mit wem verbunden

Ansonsten geht eben nicht mehr mit dem Equipment und den Internetleitungen und man muss
damit leben was man hat. Denn hexen kann hier keiner und beschleunigen kann man auch nur
was sich beschleunigen lässt.

Gruß
Dobby