8
VPN Filialanbindung Hardware?
Hallo,
wir haben:
Firmenzenrale
WS 2012 Warenwirtschaftsystem + Fritz + Nas
4 Filialen
je 3-5 PCs + 2-3 Drucker (Belege, Etiketten) + Fritz + NAS
PCs gehen per RDS auf Warenwirtschaftsystem und drucken dann am Ort.
Wichtig ist den Drucker über VPN direkt mit Firmenzenrale Warenwirtschaftsystem verbinden.
Fritzbox ist IMHO zu schwach für soviele Anbindungen.
Welche VPN Hardware hat jetzt sinnvolle Preis/Leistung bei solcher Konstellation?
Vielleicht (Wireguard Open WRT) Router oder Wireguard Pi4 oder Linux VM am Server oder NAS?
Ich möchte mit (vergleisweise) kleinem Aufwand langfristige wartungsfreie Lösung (nicht unbedingt billigste) bekommen.
Danke!
wir haben:
Firmenzenrale
WS 2012 Warenwirtschaftsystem + Fritz + Nas
4 Filialen
je 3-5 PCs + 2-3 Drucker (Belege, Etiketten) + Fritz + NAS
PCs gehen per RDS auf Warenwirtschaftsystem und drucken dann am Ort.
Wichtig ist den Drucker über VPN direkt mit Firmenzenrale Warenwirtschaftsystem verbinden.
Fritzbox ist IMHO zu schwach für soviele Anbindungen.
Welche VPN Hardware hat jetzt sinnvolle Preis/Leistung bei solcher Konstellation?
Vielleicht (Wireguard Open WRT) Router oder Wireguard Pi4 oder Linux VM am Server oder NAS?
Ich möchte mit (vergleisweise) kleinem Aufwand langfristige wartungsfreie Lösung (nicht unbedingt billigste) bekommen.
Danke!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 572762
Url: https://administrator.de/forum/vpn-filialanbindung-hardware-572762.html
Ausgedruckt am: 10.04.2025 um 16:04 Uhr
8 Kommentare
Neuester Kommentar
Moin,
schau Dir mal das VPN Tutorial vom Kollegen @aqui an. Da ist eigentlich alles drin erklärt.
Als Firewall Lösung für alle Standorte könntest Du auf z.B. pfsense wechseln.
Damit ist das VPN Thema schnell, sauber und vor allem sicher umsetzbar.
Gruß
Looser
P.S.: Zur pfsense hat @aqui auch ein Tutorial geschrieben.
schau Dir mal das VPN Tutorial vom Kollegen @aqui an. Da ist eigentlich alles drin erklärt.
Als Firewall Lösung für alle Standorte könntest Du auf z.B. pfsense wechseln.
Damit ist das VPN Thema schnell, sauber und vor allem sicher umsetzbar.
Gruß
Looser
P.S.: Zur pfsense hat @aqui auch ein Tutorial geschrieben.
1
Danke.
Und Wireguard Hardware?
Und Wireguard Hardware?
Hi,
meine Empfehlung:
pfSense für Zentrale und Filialen.
Filialen: APU4D4 oä. (Intel NIC, 4GB,AES-NI)
für die Zentrale: Die gleiche APU oder ein IPU PC.
schaust du z.B. hier.
-
Bei "normalen" ADSL bzw. VDSL Anbindungen bis 150Mbit sind diese Geräte ausreichend.
VPN performance etc. ist bei den geringen Anforderungen ausreichend.
-
6 gleiche Geräte kaufen: 1x Zentrale, 4x Aussenstelle, 1x zum Üben, bzw. als Cold Spare.
-
der Aufwand die Firewall und VPN Lösung einzurichten, ist "relativ" gering.
1. Firewall für Zentrale mit 1x VPN konfigurieren.
2. Firewall für korrespondierende Aussenstelle konfigurieren.
3. auf der Firewall der Zentrale die VPNs , IP Adressbereiche der Aussenstellen anpassen, Regeln kopieren bzw. anpassen.
4. Konfiguration der Firewall der Außenstelle auf eine 2te Firewall kopieren.
5. Adressbereich, VPN und Regeln anpassen.
6. nächste Außenstelle: gehe zu 4.
Wenn du dich mit pfSense auskennst, dauert die Einrichtung ca. 1 bis 2 Manntage inkl. Planung, automatischem Backup und Dokumentation.
-
-
Du kannst das gleiche aber auch mit z.B. kleinen Sophos Firewalls oä. erledigen.
CH
meine Empfehlung:
pfSense für Zentrale und Filialen.
Filialen: APU4D4 oä. (Intel NIC, 4GB,AES-NI)
für die Zentrale: Die gleiche APU oder ein IPU PC.
schaust du z.B. hier.
-
Bei "normalen" ADSL bzw. VDSL Anbindungen bis 150Mbit sind diese Geräte ausreichend.
VPN performance etc. ist bei den geringen Anforderungen ausreichend.
-
6 gleiche Geräte kaufen: 1x Zentrale, 4x Aussenstelle, 1x zum Üben, bzw. als Cold Spare.
-
der Aufwand die Firewall und VPN Lösung einzurichten, ist "relativ" gering.
1. Firewall für Zentrale mit 1x VPN konfigurieren.
2. Firewall für korrespondierende Aussenstelle konfigurieren.
3. auf der Firewall der Zentrale die VPNs , IP Adressbereiche der Aussenstellen anpassen, Regeln kopieren bzw. anpassen.
4. Konfiguration der Firewall der Außenstelle auf eine 2te Firewall kopieren.
5. Adressbereich, VPN und Regeln anpassen.
6. nächste Außenstelle: gehe zu 4.
Wenn du dich mit pfSense auskennst, dauert die Einrichtung ca. 1 bis 2 Manntage inkl. Planung, automatischem Backup und Dokumentation.
-
-
Du kannst das gleiche aber auch mit z.B. kleinen Sophos Firewalls oä. erledigen.
CH
1
Hi,
Das "Problem" ist, es gibt noch keine Perimeter Firewall mit Wireguard, jedenfalls ist mit keine bekannt;
d.h du must eine wie auch immer Wireguard Installation auf einer was auch immer Hardware machen (z.B auf einem PI) und dann das VPN per NAT durch den Hauptrouter forwarden.
Das ist "bäh".
Meine Meinung und Empfehlung ist: Eine vernünftige Firewall als Perimeter Firewall, sie ist gleichzeitig VPN Endpunkt, kein forwarden und/oder doppelt NAT mit einem weiteren (vorhandem) Router.
CH
Und Wireguard Hardware?
Gibt es nicht, bzw. es gibt keine Empfehlung dafür.Das "Problem" ist, es gibt noch keine Perimeter Firewall mit Wireguard, jedenfalls ist mit keine bekannt;
d.h du must eine wie auch immer Wireguard Installation auf einer was auch immer Hardware machen (z.B auf einem PI) und dann das VPN per NAT durch den Hauptrouter forwarden.
Das ist "bäh".
Meine Meinung und Empfehlung ist: Eine vernünftige Firewall als Perimeter Firewall, sie ist gleichzeitig VPN Endpunkt, kein forwarden und/oder doppelt NAT mit einem weiteren (vorhandem) Router.
CH
1
pfSense Firewall oder eine gescheite Firewall allgemein:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Cisco oder Meraki Router:
Cisco 800, 900, ISR11xx Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Mikrotik Router: (RB3011 oder RB 4011)
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Lancom Router.
Wären so die üblichen Klassiker. Die Kollegen oben haben es ja schon gesagt...
Mit den vorhandenen Bordmitteln wäre auch OpenVPN (WireGuard wegen Beta Status nur bedingt) auf dem Server denkbar. Großer Nachteil bei solchen internen Lösungen ist da aber immer das man ungeschützten Internet Traffic dann ins lokale Netz lassen muss. In einem Firmennetz immer ein absolutes NoGo !
Dort gehört die VPN Funktion unter allen Umständen immer auf die Peripherie wie Router oder Firewall !
Wenn du nur ein paar popelige Druckerdaten über das VPN schaufeln musst und es dabei auch bleibt, dann reicht auch das schwachbrüstige FritzBox VPN in einer Site to Site Kopplung dafür allemal aus. Dann brauchst du keine zusätzliche VPN Hardware.
Ob man ein Firmennetzwerk mit solch billiger Consumer Router Hardware ausrüsten sollte wäre mal eine grundsätzliche Frage die du dir stellen solltest. Allein das ist bei der Anforderung, die man ja schon vorher wusste, keine besonders intelligente Entscheidung und eher laienhaft. Aber egal... Jeder bekommt halt das Netzwerk was er verdient.
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Cisco oder Meraki Router:
Cisco 800, 900, ISR11xx Router Konfiguration mit xDSL, Kabel, FTTH Anschluss und VPN
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Mikrotik Router: (RB3011 oder RB 4011)
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Lancom Router.
Wären so die üblichen Klassiker. Die Kollegen oben haben es ja schon gesagt...
Mit den vorhandenen Bordmitteln wäre auch OpenVPN (WireGuard wegen Beta Status nur bedingt) auf dem Server denkbar. Großer Nachteil bei solchen internen Lösungen ist da aber immer das man ungeschützten Internet Traffic dann ins lokale Netz lassen muss. In einem Firmennetz immer ein absolutes NoGo !
Dort gehört die VPN Funktion unter allen Umständen immer auf die Peripherie wie Router oder Firewall !
Wenn du nur ein paar popelige Druckerdaten über das VPN schaufeln musst und es dabei auch bleibt, dann reicht auch das schwachbrüstige FritzBox VPN in einer Site to Site Kopplung dafür allemal aus. Dann brauchst du keine zusätzliche VPN Hardware.
Ob man ein Firmennetzwerk mit solch billiger Consumer Router Hardware ausrüsten sollte wäre mal eine grundsätzliche Frage die du dir stellen solltest. Allein das ist bei der Anforderung, die man ja schon vorher wusste, keine besonders intelligente Entscheidung und eher laienhaft. Aber egal... Jeder bekommt halt das Netzwerk was er verdient.
1
Zitat von @aqui:
Wenn du nur ein paar popelige Druckerdaten über das VPN schaufeln musst und es dabei auch bleibt, dann reicht auch das schwachbrüstige FritzBox VPN in einer Site to Site Kopplung dafür allemal aus. Dann brauchst du keine zusätzliche VPN Hardware.
Ob man ein Firmennetzwerk mit solch billiger Consumer Router Hardware ausrüsten sollte wäre mal eine grundsätzliche Frage die du dir stellen solltest. Allein das ist bei der Anforderung, die man ja schon vorher wusste, keine besonders intelligente Entscheidung und eher laienhaft. Aber egal... Jeder bekommt halt das Netzwerk was er verdient.
Wenn du nur ein paar popelige Druckerdaten über das VPN schaufeln musst und es dabei auch bleibt, dann reicht auch das schwachbrüstige FritzBox VPN in einer Site to Site Kopplung dafür allemal aus. Dann brauchst du keine zusätzliche VPN Hardware.
Ob man ein Firmennetzwerk mit solch billiger Consumer Router Hardware ausrüsten sollte wäre mal eine grundsätzliche Frage die du dir stellen solltest. Allein das ist bei der Anforderung, die man ja schon vorher wusste, keine besonders intelligente Entscheidung und eher laienhaft. Aber egal... Jeder bekommt halt das Netzwerk was er verdient.
Hallo.
Haben auch einen Außendienstler mit einer dort liegenden Fritzbox via IPSec ans Firmennetzwerk angeschlossen.
Für ein bisschen RDP und Drucken über den Tunnel geht das, allerdings würde in Deinem @A34246622 Konstrukt dann die Fritzbox in der Zentrale die Schweißperlen bekommen. Zumindest Dort sollte etwas Vernünftiges, wie oben beschrieben stehen.
Gruß
Radiogugu
Sophos Firewalls sind auch super.
Setzt in die Zentrale eine sg135 oder 235 und in die Filialen die Reds. Einfach simple gut
Setzt in die Zentrale eine sg135 oder 235 und in die Filialen die Reds. Einfach simple gut
pfSense Firewalls sind auch super. Kosten vor allem nur ein Bruchteil der Sophos und man hängt mit den Updates immer an einer Community und nicht an einem kommerziellen Anbieter !
