mickwedinait
Goto Top

VPN, Filialanbindung

Hallo allerseits,

ich freue mich endlich dabei zu sein. Seit längerem verfolge ich das Forum und die Diskussionen hier mit großem Interesse und jetzt wurde es Zeit hier endlich
dazu zu stoßen. Konkreter Anlass ist natürlich ein kleines bis größeres Problem: Ich möchte zwei Filialen miteinander über ein Site-to-Site-VPN verbinden.

Nun gibt es ja hinsichtlich Site-to-Site-VPN die Möglichkeit zwei VPN-Router zu verwenden.

In beiden Filialen besteht allerdings bereits ein Internetzugang über einen Linksys WAG160N Router (inkl. Modem), der VPN-Passthrough unterstützt.

Diese Router würde ich ungern stillegen und durch VPN-Router ersetzen.

Nun zur eigentlichen Frage:

Gibt es Hardware, die ich hinter den beiden Routern einsetzen kann, die den VPN-Tunnel
aufbaut, sodass die Router weiterhin in Betrieb bleiben können?

Die Struktur wäre somit:


Filialnetzwerk A <=> "gesuchte Hardwarekomponente für VPN" <=> WAG160N <=> Internet <=> WAG160N <=> "gesuchte Hardwarekomponente für VPN" <=> Filialnetzwerk B


Mir ist klar, dass ich in jeder Filiale einen zusätzlichen Server aufsetzen könnte der das übernimmt, aber den
Weg möchte ich aus verschiedenen Gründen vermeiden.

Vorab mal diese Infos, wenn weitere Infos benötigt werden, gebe ich gerne zusätzliche Details.

Viele Grüße,
Mick

Content-ID: 159867

Url: https://administrator.de/contentid/159867

Ausgedruckt am: 14.11.2024 um 09:11 Uhr

Arch-Stanton
Arch-Stanton 01.02.2011 um 11:59:21 Uhr
Goto Top
Moin, ich empfehle hierfür ja immer die Router von Lancom. Also zwei 1711+ kaufen, die Linksys-Geräte als Modem einsetzen (ppoe passthrough) und dann die Lancoms untereinander verbinden. Geht natürlich auch mit anderen Herstellern, wahrscheinlich sogar preiswerter.

Gruß, Arch Stanton
MickWedinait
MickWedinait 01.02.2011 um 12:12:42 Uhr
Goto Top
Ich halte LANCOM ebenfalls für ne gute Wahl und es geht in diesem Fall nicht um preiswert sondern um zuverlässig.

Wobei ich in dieser Lösung natürlich die bestehende Konfiguration des Linksys über den Haufen werfe, was ich halt ungern täte.

In der ganzen Geschichte spielen halt auch noch politische Dinge mit rein.

Kurze Zusammenfassung der Politik:

Es gibt 2 Technikdienstleister in jeder FIliale: Einen für's Warenwirtschaftsystem und einen für das übrige Netzwerk

Ich bin der für das übrige Netzwerk und ich würde ungern die Kontrolle aus der Hand geben.
Der Warenwirtschaftsdienstleister fordert nun VPN. Ich benötige VPN erstmal nicht.

Wenn ich ihn das installieren lasse, dann wird er zwei VPN-Router in die Filialen setzen und die "zu" machen.
Damit werde ich sämtliche Konfigurationsmöglichkeiten hinsichtlich Port-Forwarding etc. verlieren.

Nun wäre es also in meinem Interesse das ganze über eine solche Zusatzkomponente - wie zuvor beschrieben- abzubilden
sodass ab der Hardware-VPN-Komponente sein Spielfeld anfängt und der Linksys-Router noch in meiner Herrschaft ist.

Das wäre zumindest eine klare Trennung.

Gruß,
Mick
ChesterGreen
ChesterGreen 01.02.2011 um 12:19:07 Uhr
Goto Top
Hallo Mick,

das kommt natürlich darauf an, wieviel Geld du ausgeben willst.

- damit gäbe es natürlich solche netten Geräte wie eine Cisco PIX, die dir den VPN-Verkehr übernimmt oder auch wie mein Vor-Poster empfohlen hat, zwei Lancom Router o.ä.

z.b.: Cisco PIX-506 PIX 506 Secure Firewall 32MB/8MB R/F (momentan gebraucht bei Ebay für ca. 120 Eu), ist aber nicht ganz einfach zu konfigurieren.


Wenn du allerdings noch zwei PC's übrig hast (da reicht was wirklich Kleines..so ab PII-400Mhz und 512MB) gibt es zwei kostenlose Linux/BSD-Distributionen (IP-Fire und PF-sense), die einfach zu installieren sind und resourcenschonend arbeiten und so ein VPN locker aufspannen. Dazu gibt es noch andere Funktionen (Firewall, URL-Filterung, WebProxy,etc.), die die beiden Distri's auch gleich mitbringen, quasi als "Zuckerl" obendrauf. Damit läßt sich so ein site-to-site VPN für nahezu null Euro aufbauen. Das ganze geht natürlich auch mit neuer, spromsparender Hardware (Atom-CPU auf kleinem Board mit Speicherkarte als HD)

Setzen wir bei uns in 5 Standorten ein und funktioniert sehr zuverlässig.

LG. Chester
Arch-Stanton
Arch-Stanton 01.02.2011 um 12:37:18 Uhr
Goto Top
na ja, warum kannst Du die Lancomrouter nicht verwalten? Die Linksysgeräte sind eher was für zu Hause, die wird jeder Dienstleister erst einmal zu ersetzen versuchen. Die VPN-Zugänge kannst Du ja vergeben und verwalten, müßtest Dich halt in die Problematik "VPN" einarbeiten.

Gruß, Arch Stanton
brammer
brammer 01.02.2011, aktualisiert am 18.10.2012 um 18:45:41 Uhr
Goto Top
Hallo,

was mir jetzt nicht ganz klar ist, wozu benötigst du ein Site to Site VPN?
Wenn ich dich richtig verstehe wilst du ja nur denZugriff des Dienstleisters auf das Warenwirtschftssystem ermöglichen.
Aber muss er dazu auf den Server des WWS oder auf alle Clients?

Wenn es nur um Support für dein WWS geht soll er sich per Client auf den Server einwählen und gut ist.

Wenn du einen festen Tunnel benötigst aber deine beiden Linksys Router weiter verwenden willst solltest du dir mal dieses Tutorial von aqui durchlesen.

Und, nur aus schlechter Erfahrung, lass die Finger von Lancom.

brammer
MickWedinait
MickWedinait 01.02.2011 um 13:49:11 Uhr
Goto Top
Also....

der Dienstleister der das Warenwirtschaftssystem in den beiden Filialen verwaltet benötigt das Site-to-Site VPN. (zumindest nach eigenen Angaben)

Er betreibt in beiden Filialen mehrere Arbeitsplätze mit seiner Warenwirtschaft.
Prinzipiell ist es so, dass der Dienstleister der Warenwirtschaft in jeder Filiale je einen Server betreibt
und diese beiden über das VPN verknüpfen will. Ob jedoch die Bereitschaft da ist dies durch entsprechende Software VPNs auf den Servern zu tun
ist fraglich.

Ich betreiebe in beiden FIlialen mehrere Rechner für übrige Arbeiten und normalerweise auch das Netzwerk.
Und letzteres will ich mir auch nicht aus der Hand nehmen lassen.

@ChesterGreen: Danke, werde mir den Cisco mal ansehen.

@ Arch-Stanton: Die LANCOM-Router könnte ich natürlich verwalten. Nur wenn der zweite Dienstleister seine ROuter da hin packt wo jetzt meine stehen, dann kann ich die nicht mehr verwalten.
brammer
brammer 01.02.2011 um 18:42:27 Uhr
Goto Top
Hallo,

Dann würde ich einen Cisco 881 empfehlen.
Dann hast du auch die Möglichkeit mehrere Tunnel auf einem Router zu fahren.

Brammer
aqui
aqui 03.02.2011, aktualisiert am 18.10.2012 um 18:45:44 Uhr
Goto Top
Oder wenn du selbst Hand anlegen willst:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Funktioniert auf der gleichen HW auch mit IPsec !