VPN Netzwerk mit 6 Standorden wie realisierbar?
Hallo Zusammen, ich habe folgendes Problem. Ich bin zuständig für die EDV bei uns in der Gesamtwehr der Feuerwehr. Da gibt es eine Hauptabteilung wo ein Server steht und 6 Abteilungen.
Ich möchte die gerne per VPN miteinander verbinden.
So folgender Hintergrund.
Auf dem Server läuft die Feuerwehrverwaltungssoftware zum Einpflegen der Einsätze, Übungen, Personalien.
Unter anderem war von mir angedacht einen Ausbildungsserver draus zu machen und die verschiedenen erarbeiteten Materialien drauf abzulegen um für alle einen gleichen Ausbildungsstand zu erreichen.
Auf allen Abteilungen ist DSL verfügbar. Auf der Hauptwache läuft ein Windows Server 2008 R2 Foundation.
Jetzt haben wir auf den Abteilungen jeweils Speedports drann hängen.
Unter anderem haben wir noch 15x Laptops gesponsert bekommen für die verschiedenen Abteilungen und Leute mit Leitenden funktionen für die Ausbilung.
Ich habe mich schon versucht ein bisschen in die Materie einzulesen bin mir aber nicht ganz sicher was sinvoller wäre wie ich das VPN aufbauen sollten.
Sollte ich die einzelnen Abteilungen mit der Hauptwache per VPN verbinden? Wie sieht das dann aus mit den Laptops die haben sobald man verbunden ist im Netzwerk zugriff auf den IP Bereich des Servers
Oder wäre es sinnvoller jeden der Laptops einen VPN Client drauf zu machen und Sie sollen sich selbst einwählen. Da man dann auch von zuhause aus arbeiten könnte.
Hardwaremäßig ist noch nichts gekauft aber eher in dem günstigeren Sektor was angedacht wie mit D-Link/ Lancom/ Netgear oder ähnlichem.
Ich denke das höchstens 5 Tunnels gleichzeitig zusammen kommen wenn wir jetzt nicht die Abteilungen anbinden würden.
Bin auf vorschläge bezüglich des Aufbaus gespannt, ob ich so richtig liege mit meiner Denkweise oder ob jemand einen besseren vorschlag hätte.
mfg
s.dech
Ich möchte die gerne per VPN miteinander verbinden.
So folgender Hintergrund.
Auf dem Server läuft die Feuerwehrverwaltungssoftware zum Einpflegen der Einsätze, Übungen, Personalien.
Unter anderem war von mir angedacht einen Ausbildungsserver draus zu machen und die verschiedenen erarbeiteten Materialien drauf abzulegen um für alle einen gleichen Ausbildungsstand zu erreichen.
Auf allen Abteilungen ist DSL verfügbar. Auf der Hauptwache läuft ein Windows Server 2008 R2 Foundation.
Jetzt haben wir auf den Abteilungen jeweils Speedports drann hängen.
Unter anderem haben wir noch 15x Laptops gesponsert bekommen für die verschiedenen Abteilungen und Leute mit Leitenden funktionen für die Ausbilung.
Ich habe mich schon versucht ein bisschen in die Materie einzulesen bin mir aber nicht ganz sicher was sinvoller wäre wie ich das VPN aufbauen sollten.
Sollte ich die einzelnen Abteilungen mit der Hauptwache per VPN verbinden? Wie sieht das dann aus mit den Laptops die haben sobald man verbunden ist im Netzwerk zugriff auf den IP Bereich des Servers
Oder wäre es sinnvoller jeden der Laptops einen VPN Client drauf zu machen und Sie sollen sich selbst einwählen. Da man dann auch von zuhause aus arbeiten könnte.
Hardwaremäßig ist noch nichts gekauft aber eher in dem günstigeren Sektor was angedacht wie mit D-Link/ Lancom/ Netgear oder ähnlichem.
Ich denke das höchstens 5 Tunnels gleichzeitig zusammen kommen wenn wir jetzt nicht die Abteilungen anbinden würden.
Bin auf vorschläge bezüglich des Aufbaus gespannt, ob ich so richtig liege mit meiner Denkweise oder ob jemand einen besseren vorschlag hätte.
mfg
s.dech
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188430
Url: https://administrator.de/contentid/188430
Ausgedruckt am: 08.11.2024 um 21:11 Uhr
8 Kommentare
Neuester Kommentar
Das ist eigentlich ein Kinderspiel. Beschaffe 6 VPN Router (von D-Link oder NetGear solltest du die Finger lassen) installiere die Router und baue von jeder der 5 Lokationen einen VPN Tunnel zur Zentrale auf. Damit hast du alle Lokationen quasi wie mit einer Standleitung vernetzt.
Fertig ist der Lack !
Du kannst die VPN Standortvernetzung und auch das Client VPN Login von zuhause parallel betreiben.
Mit Lancom, FritzBox oder Draytek Routern etc. bist du da schon auf dem richtigen Weg. Wo ist also dein Problem ?! Mit deiner Denkweise bist du also auf dem richtigen Weg ! Mit der richtigen Hardware ist das in 20 Minuten erledigt !
Fertig ist der Lack !
Du kannst die VPN Standortvernetzung und auch das Client VPN Login von zuhause parallel betreiben.
Mit Lancom, FritzBox oder Draytek Routern etc. bist du da schon auf dem richtigen Weg. Wo ist also dein Problem ?! Mit deiner Denkweise bist du also auf dem richtigen Weg ! Mit der richtigen Hardware ist das in 20 Minuten erledigt !
Die Frage ist, welche Speedports das sind. Manche Speedport-Modelle kann man mit der Fähigkeit ausrüsten, OpenVPN- Tunnel aufzubauen. Dann würde es reichen, in der Zentrale einen etwas besseren MiniComputer hinzustellen, der einen OpenVPN-Server betreibt. Ich hatte für einen ähnlichen Zweck mal einen Lex Neo im Einsatz, der die 20 VPN- Tunnel locker bedienen konnte.
Ansonsten könnte man in die Außenstellen ebenfalls einen ausrangierten Rechner mit zwei Netzwerkkarten stellen, auf dem zum Beispiel pfSense, ipfire oder ähnliches läuft - diese Firewall-Distributionen (die kostenlos sind!) besitzen nämlich auch die Möglichkeit, einen OpenVPN-Server bzw. Client laufen zu lassen.
Der Durchsatz ist bei den FritzBoxen bzw. Speedports in der Regel auch nicht so schlecht. Den Flaschenhals stellen eher die DSL-Anschlüsse dar - vor allem die Uploadrate in der Zentrale.
Ich persönlich finde OpenVPN übrigens für solche Szenarien ein bißchen besser als IPSec.
Du könntest nämlich zusätzlich zu den statischen Tunneln zwischen den Standorten auch noch die Clientsoftware auf den Laptops installieren. Wenn die Laptops dann außerhalb des Feuerwehrnetzwerks sind können sie damit trotzdem auf den Server zugreifen.
Achja: Auf den Server 2008R2 selbst würde ich nichts installieren - das würde dann nämlich sehr wahrscheinlich bedeuten, dass er direkt aus dem Internet erreichbar sein müsste. Und das kann problematisch werden...
EDIT: OpenVPN kann über ein Skript Anmeldedaten aus der AD auslesen.
Ansonsten könnte man in die Außenstellen ebenfalls einen ausrangierten Rechner mit zwei Netzwerkkarten stellen, auf dem zum Beispiel pfSense, ipfire oder ähnliches läuft - diese Firewall-Distributionen (die kostenlos sind!) besitzen nämlich auch die Möglichkeit, einen OpenVPN-Server bzw. Client laufen zu lassen.
Der Durchsatz ist bei den FritzBoxen bzw. Speedports in der Regel auch nicht so schlecht. Den Flaschenhals stellen eher die DSL-Anschlüsse dar - vor allem die Uploadrate in der Zentrale.
Ich persönlich finde OpenVPN übrigens für solche Szenarien ein bißchen besser als IPSec.
Du könntest nämlich zusätzlich zu den statischen Tunneln zwischen den Standorten auch noch die Clientsoftware auf den Laptops installieren. Wenn die Laptops dann außerhalb des Feuerwehrnetzwerks sind können sie damit trotzdem auf den Server zugreifen.
Achja: Auf den Server 2008R2 selbst würde ich nichts installieren - das würde dann nämlich sehr wahrscheinlich bedeuten, dass er direkt aus dem Internet erreichbar sein müsste. Und das kann problematisch werden...
EDIT: OpenVPN kann über ein Skript Anmeldedaten aus der AD auslesen.
Vorab:
1.) Die Speedports unterstützen meines Wissens keinerlei VPN-Verbindungen. Entweder kommt also hinter sie jeweils ein eigenes Gerät oder die Laptops machen die Verbindung selbst - wie Du schreibst.
2.) Ich sprach von ausrangierten Rechnern, weil ich weiß, wie es bei manchen Hilfsorganisationen finanziell aussieht (ich bin selbst im BRK aktiv...). Wenn ihr das Geld habt, dann ist es natürlich auch möglich, angepasste Geräte zu kaufen. Für diesen Einsatzzweck würden sich kleine Rechner anbieten, wie zum Beispiel die Geräte aus der Alix-Reihe. Und wenn ich hier von Rechner spreche, dann nicht, weil sie einem Desktop in irgendeiner Weise Konkurrenz machen würden. Auch eine FritzBox ist ein Rechner...
Im Prinzip bin ich noch immer der Meinung, dass ein Gerät wie das genannte Lex Neo in der Zentrale für Dich passen würde. Da kommt eben wie gesagt eine Firewall-Distribution drauf und diese betreibt dann den VPN-Server und greift für die Anmeldung auf die AD zu (über die RADIUS-Schnittstelle). Und es sind so IPSec wie auch OpenVPN möglich. Bei OpenVPN wäre alles kostenlos, bei IPSec gibt es meines Wissens keine stabilen und kostenfreien IPSec-Clients - außer es läuft auf den Laptops Windows 7, wo scheinbar ein Client eingebaut ist.
Und noch eine Ergänzung: Für die Standortvernetzung wärs, sofern kein VDSL zum Einsatz kommt, auch möglich, wenn ihr euch einfach günstige, gebrauchte FritzBoxen kaufen und die "freetzen" würdet. Habe ich mit meiner FritzBox 7141 und meinem Speedport W701V gemacht (absolut problemlos) und jetzt betreiben beide eine VPN-Verbindung, indem die FB Client spielt und der SP den Server stellt.
1.) Die Speedports unterstützen meines Wissens keinerlei VPN-Verbindungen. Entweder kommt also hinter sie jeweils ein eigenes Gerät oder die Laptops machen die Verbindung selbst - wie Du schreibst.
2.) Ich sprach von ausrangierten Rechnern, weil ich weiß, wie es bei manchen Hilfsorganisationen finanziell aussieht (ich bin selbst im BRK aktiv...). Wenn ihr das Geld habt, dann ist es natürlich auch möglich, angepasste Geräte zu kaufen. Für diesen Einsatzzweck würden sich kleine Rechner anbieten, wie zum Beispiel die Geräte aus der Alix-Reihe. Und wenn ich hier von Rechner spreche, dann nicht, weil sie einem Desktop in irgendeiner Weise Konkurrenz machen würden. Auch eine FritzBox ist ein Rechner...
Im Prinzip bin ich noch immer der Meinung, dass ein Gerät wie das genannte Lex Neo in der Zentrale für Dich passen würde. Da kommt eben wie gesagt eine Firewall-Distribution drauf und diese betreibt dann den VPN-Server und greift für die Anmeldung auf die AD zu (über die RADIUS-Schnittstelle). Und es sind so IPSec wie auch OpenVPN möglich. Bei OpenVPN wäre alles kostenlos, bei IPSec gibt es meines Wissens keine stabilen und kostenfreien IPSec-Clients - außer es läuft auf den Laptops Windows 7, wo scheinbar ein Client eingebaut ist.
Und noch eine Ergänzung: Für die Standortvernetzung wärs, sofern kein VDSL zum Einsatz kommt, auch möglich, wenn ihr euch einfach günstige, gebrauchte FritzBoxen kaufen und die "freetzen" würdet. Habe ich mit meiner FritzBox 7141 und meinem Speedport W701V gemacht (absolut problemlos) und jetzt betreiben beide eine VPN-Verbindung, indem die FB Client spielt und der SP den Server stellt.
Ich würde zu LANCOM-Routern raten, weil es hier das One-Click-VPN gibt. Du definierst einfach einen Router als Zentralgerät und verbindest alle anderen Router mit dem Zentralgerät.
Im Idealfall sollte das Zentralgerät eine statische IP haben.
Ich weiß ja nicht, ob ihr ISDN an den jeweiligen Standorten hab, aber so könntest du dann für den Fall, dass die DSL-Verbindung abreißt, noch eine Ersatzverbindung schaffen.
Die Geräte kosten etwas mehr, aber die Geräte werden in Deutschland gefertigt und du bekommst auch Support dafür.
Im Idealfall sollte das Zentralgerät eine statische IP haben.
Ich weiß ja nicht, ob ihr ISDN an den jeweiligen Standorten hab, aber so könntest du dann für den Fall, dass die DSL-Verbindung abreißt, noch eine Ersatzverbindung schaffen.
Die Geräte kosten etwas mehr, aber die Geräte werden in Deutschland gefertigt und du bekommst auch Support dafür.
Morgen
Der Shrew-Soft VPN-Client ist kostenfrei und funktioniert sowohl auf Windows- als auch Linux-Rechnern.
Der in Windows 7 eingebaute IPSEC-Client nutzt aber nur das Protokoll IKEv2, was dann auch die IPSEC-Gegenstelle beherrschen muss.
Die einfachste Lösung wurde doch schon von aqui gepostet (wobei ich den Einsatz von Netgear nicht so kritisch sehe, wie er).
Ich würde eher die Finger von Fritzboxen lassen, da diese nicht für mehr als 3-4 gleichzeitige VPN-Verbindungen ausgelegt sind.
Ein andere Punkt ist mir beim TO noch aufgefallen:
Das gibt Probleme, wenn diese 15 Notebooks und noch weitere Clients im selben Netzwerk sein sollen.
Der Foundation ist auf 15 Clients limitiert, weitere akzeptiert er nicht.
Hier sollte über eine Umstellung auf die Standard-Version nachgedacht werden.
Zitat von @kingkong:
Und es sind so IPSec wie auch OpenVPN möglich. Bei OpenVPN
wäre alles kostenlos, bei IPSec gibt es meines Wissens keine stabilen und kostenfreien IPSec-Clients - außer es
läuft auf den Laptops Windows 7, wo scheinbar ein Client eingebaut ist.
Hier irrst du leider. Und es sind so IPSec wie auch OpenVPN möglich. Bei OpenVPN
wäre alles kostenlos, bei IPSec gibt es meines Wissens keine stabilen und kostenfreien IPSec-Clients - außer es
läuft auf den Laptops Windows 7, wo scheinbar ein Client eingebaut ist.
Der Shrew-Soft VPN-Client ist kostenfrei und funktioniert sowohl auf Windows- als auch Linux-Rechnern.
Der in Windows 7 eingebaute IPSEC-Client nutzt aber nur das Protokoll IKEv2, was dann auch die IPSEC-Gegenstelle beherrschen muss.
Die einfachste Lösung wurde doch schon von aqui gepostet (wobei ich den Einsatz von Netgear nicht so kritisch sehe, wie er).
Ich würde eher die Finger von Fritzboxen lassen, da diese nicht für mehr als 3-4 gleichzeitige VPN-Verbindungen ausgelegt sind.
Ein andere Punkt ist mir beim TO noch aufgefallen:
Auf der Hauptwache läuft ein Windows Server 2008 R2 Foundation.
Unter anderem haben wir noch 15x Laptops gesponsert bekommen für die verschiedenen Abteilungen und Leute mit Leitenden funktionen für die Ausbilung.
Unter anderem haben wir noch 15x Laptops gesponsert bekommen für die verschiedenen Abteilungen und Leute mit Leitenden funktionen für die Ausbilung.
Das gibt Probleme, wenn diese 15 Notebooks und noch weitere Clients im selben Netzwerk sein sollen.
Der Foundation ist auf 15 Clients limitiert, weitere akzeptiert er nicht.
Hier sollte über eine Umstellung auf die Standard-Version nachgedacht werden.
Letztlich stellt sich die Frage ob du mit einer schwer managebaren Frickellösung und billigen Consumer Routern (Speedport) an den Start gehen willst oder gleich was anständiges machen willst.
Na klar kann man einen OpenVPN Server auf dem zentralen Server installieren und so eine VPN Lösung in 30 Minuten zum Fliegen bringen wenn man denn weiss was man macht. Bei dir stellt sich aber auch die Frage der Managebarkeit und bei einer "Feuerwehr" sicher auch die Frage der Zuverlässigkeit.
Ist derjenige mal nicht greifbar der eine unkonventionelle VPN Lösung ggf. mit OpenVPN umsetzt steht das Netz oder du hast ein Problem wenns ums Troubleshooting geht.
In der Beziehung ist es sicher besser die billigen SP Router, die nebenbei in einem solchen Umfeld nix zu suchen haben, durch VPN Router von Draytek, Lancom usw. zu ersetzen. Die kosten auch nicht die Welt erschaffen dir aber eine zuverlässige und leicht managebare VPN Umgebung inkl. Zugriff von zuhause bzw. Fernwartung.
Die SP Router ist allerbilligste Consumer Ware mit der solch eine Lösung, egal wie du es drehst und wendest, de facto nicht zu machen ist !
Darüber solltest du ggf. auch mal nachdenken !
Na klar kann man einen OpenVPN Server auf dem zentralen Server installieren und so eine VPN Lösung in 30 Minuten zum Fliegen bringen wenn man denn weiss was man macht. Bei dir stellt sich aber auch die Frage der Managebarkeit und bei einer "Feuerwehr" sicher auch die Frage der Zuverlässigkeit.
Ist derjenige mal nicht greifbar der eine unkonventionelle VPN Lösung ggf. mit OpenVPN umsetzt steht das Netz oder du hast ein Problem wenns ums Troubleshooting geht.
In der Beziehung ist es sicher besser die billigen SP Router, die nebenbei in einem solchen Umfeld nix zu suchen haben, durch VPN Router von Draytek, Lancom usw. zu ersetzen. Die kosten auch nicht die Welt erschaffen dir aber eine zuverlässige und leicht managebare VPN Umgebung inkl. Zugriff von zuhause bzw. Fernwartung.
Die SP Router ist allerbilligste Consumer Ware mit der solch eine Lösung, egal wie du es drehst und wendest, de facto nicht zu machen ist !
Darüber solltest du ggf. auch mal nachdenken !