sonderbarer
Goto Top

VPN Netzwerk mit 6 Standorden wie realisierbar?

Hallo Zusammen, ich habe folgendes Problem. Ich bin zuständig für die EDV bei uns in der Gesamtwehr der Feuerwehr. Da gibt es eine Hauptabteilung wo ein Server steht und 6 Abteilungen.
Ich möchte die gerne per VPN miteinander verbinden.

So folgender Hintergrund.
Auf dem Server läuft die Feuerwehrverwaltungssoftware zum Einpflegen der Einsätze, Übungen, Personalien.
Unter anderem war von mir angedacht einen Ausbildungsserver draus zu machen und die verschiedenen erarbeiteten Materialien drauf abzulegen um für alle einen gleichen Ausbildungsstand zu erreichen.

Auf allen Abteilungen ist DSL verfügbar. Auf der Hauptwache läuft ein Windows Server 2008 R2 Foundation.
Jetzt haben wir auf den Abteilungen jeweils Speedports drann hängen.


Unter anderem haben wir noch 15x Laptops gesponsert bekommen für die verschiedenen Abteilungen und Leute mit Leitenden funktionen für die Ausbilung.

Ich habe mich schon versucht ein bisschen in die Materie einzulesen bin mir aber nicht ganz sicher was sinvoller wäre wie ich das VPN aufbauen sollten.

Sollte ich die einzelnen Abteilungen mit der Hauptwache per VPN verbinden? Wie sieht das dann aus mit den Laptops die haben sobald man verbunden ist im Netzwerk zugriff auf den IP Bereich des Servers
Oder wäre es sinnvoller jeden der Laptops einen VPN Client drauf zu machen und Sie sollen sich selbst einwählen. Da man dann auch von zuhause aus arbeiten könnte.

Hardwaremäßig ist noch nichts gekauft aber eher in dem günstigeren Sektor was angedacht wie mit D-Link/ Lancom/ Netgear oder ähnlichem.

Ich denke das höchstens 5 Tunnels gleichzeitig zusammen kommen wenn wir jetzt nicht die Abteilungen anbinden würden.

Bin auf vorschläge bezüglich des Aufbaus gespannt, ob ich so richtig liege mit meiner Denkweise oder ob jemand einen besseren vorschlag hätte.

mfg
s.dech

Content-ID: 188430

Url: https://administrator.de/contentid/188430

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

aqui
aqui 22.07.2012 aktualisiert um 19:16:05 Uhr
Goto Top
Das ist eigentlich ein Kinderspiel. Beschaffe 6 VPN Router (von D-Link oder NetGear solltest du die Finger lassen) installiere die Router und baue von jeder der 5 Lokationen einen VPN Tunnel zur Zentrale auf. Damit hast du alle Lokationen quasi wie mit einer Standleitung vernetzt.
Fertig ist der Lack !
Du kannst die VPN Standortvernetzung und auch das Client VPN Login von zuhause parallel betreiben.
Mit Lancom, FritzBox oder Draytek Routern etc. bist du da schon auf dem richtigen Weg. Wo ist also dein Problem ?! Mit deiner Denkweise bist du also auf dem richtigen Weg ! Mit der richtigen Hardware ist das in 20 Minuten erledigt !
sonderbarer
sonderbarer 22.07.2012 um 19:42:35 Uhr
Goto Top
Wir haben ja jetzt die Speedports der Fa. Telekom bekommen könnten wir die nicht integrieren und somit die kosten ein bisschen senken und nur eine Firewall für den Hauptstandort kaufen?

Ja mir gings ja auch um den Durchsatz von den Beiträgen aus dem Internet habe ich jetzt rausgelesen das FritzBox und so nicht den durchsatz hat, und man schon da ein bisschen was anderes holen sollte.

Kennst du einen guten VPN Client oder sollte ich Windows Boardmittel dazu benutzen.
Gibts da auch was wo mit der AD von Windows Zusammen arbeitet? Möchte aber jetzt nicht den Server als VPN Gateway benutzen schon was eigenes.
kingkong
kingkong 22.07.2012 aktualisiert um 19:55:20 Uhr
Goto Top
Die Frage ist, welche Speedports das sind. Manche Speedport-Modelle kann man mit der Fähigkeit ausrüsten, OpenVPN- Tunnel aufzubauen. Dann würde es reichen, in der Zentrale einen etwas besseren MiniComputer hinzustellen, der einen OpenVPN-Server betreibt. Ich hatte für einen ähnlichen Zweck mal einen Lex Neo im Einsatz, der die 20 VPN- Tunnel locker bedienen konnte.
Ansonsten könnte man in die Außenstellen ebenfalls einen ausrangierten Rechner mit zwei Netzwerkkarten stellen, auf dem zum Beispiel pfSense, ipfire oder ähnliches läuft - diese Firewall-Distributionen (die kostenlos sind!) besitzen nämlich auch die Möglichkeit, einen OpenVPN-Server bzw. Client laufen zu lassen.

Der Durchsatz ist bei den FritzBoxen bzw. Speedports in der Regel auch nicht so schlecht. Den Flaschenhals stellen eher die DSL-Anschlüsse dar - vor allem die Uploadrate in der Zentrale.

Ich persönlich finde OpenVPN übrigens für solche Szenarien ein bißchen besser als IPSec.

Du könntest nämlich zusätzlich zu den statischen Tunneln zwischen den Standorten auch noch die Clientsoftware auf den Laptops installieren. Wenn die Laptops dann außerhalb des Feuerwehrnetzwerks sind können sie damit trotzdem auf den Server zugreifen.

Achja: Auf den Server 2008R2 selbst würde ich nichts installieren - das würde dann nämlich sehr wahrscheinlich bedeuten, dass er direkt aus dem Internet erreichbar sein müsste. Und das kann problematisch werden...

EDIT: OpenVPN kann über ein Skript Anmeldedaten aus der AD auslesen.
sonderbarer
sonderbarer 22.07.2012 um 20:27:01 Uhr
Goto Top
hört sich nicht schlecht an mit dem openvpn aber einen extra rechner wegen dem betreiben möchte ich nicht also wenn dann schon was gekauftes wo im kleinerem format verfügbar wäre.

Ja der Upload in der Hauptwache ist ausreichend sag ich mal für die Daten was da übertragen werden. Ist ja nichts Business mäßiges bei uns kann es auch ein bisschen länger dauern sollten nur schnell sein wenn es brennt face-wink

Ich denke das mit den Standorden verbinden hat sich erledigt da es der Speedport W723V nicht unterstützt so wie ich es jetzt rauslesen gekonnt habe ausm internet

also brauche ich eine hardware wo auf die AD zugreift und ich mich darüber einwählen kann und die clients werden dann jeweils installiert auf den Laptops oder auf den PC´s privat wo sie dann drauf zu greifen können ins netzwerk

habt ihr da vorschläge was da so optimal wäre wo das kann? vor allen dingen so ein client open-source oder doch kaufen?
kingkong
kingkong 22.07.2012 aktualisiert um 20:58:33 Uhr
Goto Top
Vorab:

1.) Die Speedports unterstützen meines Wissens keinerlei VPN-Verbindungen. Entweder kommt also hinter sie jeweils ein eigenes Gerät oder die Laptops machen die Verbindung selbst - wie Du schreibst.

2.) Ich sprach von ausrangierten Rechnern, weil ich weiß, wie es bei manchen Hilfsorganisationen finanziell aussieht (ich bin selbst im BRK aktiv...). Wenn ihr das Geld habt, dann ist es natürlich auch möglich, angepasste Geräte zu kaufen. Für diesen Einsatzzweck würden sich kleine Rechner anbieten, wie zum Beispiel die Geräte aus der Alix-Reihe. Und wenn ich hier von Rechner spreche, dann nicht, weil sie einem Desktop in irgendeiner Weise Konkurrenz machen würden. Auch eine FritzBox ist ein Rechner...

Im Prinzip bin ich noch immer der Meinung, dass ein Gerät wie das genannte Lex Neo in der Zentrale für Dich passen würde. Da kommt eben wie gesagt eine Firewall-Distribution drauf und diese betreibt dann den VPN-Server und greift für die Anmeldung auf die AD zu (über die RADIUS-Schnittstelle). Und es sind so IPSec wie auch OpenVPN möglich. Bei OpenVPN wäre alles kostenlos, bei IPSec gibt es meines Wissens keine stabilen und kostenfreien IPSec-Clients - außer es läuft auf den Laptops Windows 7, wo scheinbar ein Client eingebaut ist.

Und noch eine Ergänzung: Für die Standortvernetzung wärs, sofern kein VDSL zum Einsatz kommt, auch möglich, wenn ihr euch einfach günstige, gebrauchte FritzBoxen kaufen und die "freetzen" würdet. Habe ich mit meiner FritzBox 7141 und meinem Speedport W701V gemacht (absolut problemlos) und jetzt betreiben beide eine VPN-Verbindung, indem die FB Client spielt und der SP den Server stellt.
tikayevent
tikayevent 22.07.2012 um 22:36:02 Uhr
Goto Top
Ich würde zu LANCOM-Routern raten, weil es hier das One-Click-VPN gibt. Du definierst einfach einen Router als Zentralgerät und verbindest alle anderen Router mit dem Zentralgerät.

Im Idealfall sollte das Zentralgerät eine statische IP haben.

Ich weiß ja nicht, ob ihr ISDN an den jeweiligen Standorten hab, aber so könntest du dann für den Fall, dass die DSL-Verbindung abreißt, noch eine Ersatzverbindung schaffen.

Die Geräte kosten etwas mehr, aber die Geräte werden in Deutschland gefertigt und du bekommst auch Support dafür.
goscho
goscho 23.07.2012 aktualisiert um 10:46:36 Uhr
Goto Top
Morgen
Zitat von @kingkong:
Und es sind so IPSec wie auch OpenVPN möglich. Bei OpenVPN
wäre alles kostenlos, bei IPSec gibt es meines Wissens keine stabilen und kostenfreien IPSec-Clients - außer es
läuft auf den Laptops Windows 7, wo scheinbar ein Client eingebaut ist.
Hier irrst du leider. face-sad

Der Shrew-Soft VPN-Client ist kostenfrei und funktioniert sowohl auf Windows- als auch Linux-Rechnern.
Der in Windows 7 eingebaute IPSEC-Client nutzt aber nur das Protokoll IKEv2, was dann auch die IPSEC-Gegenstelle beherrschen muss.

Die einfachste Lösung wurde doch schon von aqui gepostet (wobei ich den Einsatz von Netgear nicht so kritisch sehe, wie er).
Ich würde eher die Finger von Fritzboxen lassen, da diese nicht für mehr als 3-4 gleichzeitige VPN-Verbindungen ausgelegt sind.

Ein andere Punkt ist mir beim TO noch aufgefallen:

Auf der Hauptwache läuft ein Windows Server 2008 R2 Foundation.
Unter anderem haben wir noch 15x Laptops gesponsert bekommen für die verschiedenen Abteilungen und Leute mit Leitenden funktionen für die Ausbilung.

Das gibt Probleme, wenn diese 15 Notebooks und noch weitere Clients im selben Netzwerk sein sollen.
Der Foundation ist auf 15 Clients limitiert, weitere akzeptiert er nicht.
Hier sollte über eine Umstellung auf die Standard-Version nachgedacht werden.
aqui
aqui 24.07.2012 aktualisiert um 10:59:06 Uhr
Goto Top
Letztlich stellt sich die Frage ob du mit einer schwer managebaren Frickellösung und billigen Consumer Routern (Speedport) an den Start gehen willst oder gleich was anständiges machen willst.
Na klar kann man einen OpenVPN Server auf dem zentralen Server installieren und so eine VPN Lösung in 30 Minuten zum Fliegen bringen wenn man denn weiss was man macht. Bei dir stellt sich aber auch die Frage der Managebarkeit und bei einer "Feuerwehr" sicher auch die Frage der Zuverlässigkeit.
Ist derjenige mal nicht greifbar der eine unkonventionelle VPN Lösung ggf. mit OpenVPN umsetzt steht das Netz oder du hast ein Problem wenns ums Troubleshooting geht.
In der Beziehung ist es sicher besser die billigen SP Router, die nebenbei in einem solchen Umfeld nix zu suchen haben, durch VPN Router von Draytek, Lancom usw. zu ersetzen. Die kosten auch nicht die Welt erschaffen dir aber eine zuverlässige und leicht managebare VPN Umgebung inkl. Zugriff von zuhause bzw. Fernwartung.
Die SP Router ist allerbilligste Consumer Ware mit der solch eine Lösung, egal wie du es drehst und wendest, de facto nicht zu machen ist !
Darüber solltest du ggf. auch mal nachdenken !