falkit
Goto Top

VPN ohne Dyndns, welche Hardware?

Hi zusammen,
bei verschiedenen Kunden von uns Stehen Netgear Router über die eine VPN Verbindung aufgebaut werden kann. Allerdings funktionieren diese Lösungen nicht so sauber wie ich mir das vorstelle und außerdem braucht man immer einen Dienst wie Dyndns (keine festen IPs bei den Kunden).

Die einzige alternative die ich "kenne" wobei ich hier nicht derjenige wäre der die Config schreiben kann wären Cisco Router (waren in meinem alten Unternehmen im Einsatz).
Nur bin ich mir auch hier nicht sicher ob das mit wechselnden IP Adressen funktioniert. Meine Frage also, was für Möglichkeiten kennt ihr (die stabil laufen) um ein VPN aufzubauen?

Vielen Dank im Voraus

Falk

Content-ID: 213403

Url: https://administrator.de/forum/vpn-ohne-dyndns-welche-hardware-213403.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr

Dani
Dani 05.08.2013 um 16:43:49 Uhr
Goto Top
Moin Falk,
auch mit Cisco kannst du das Problem haben. Interessant wäre doch wie das Problem genau aussieht. Liegt es an der Leitung selber, am Modem, am Router, Leitungsnetz des ISP instabil, etc...? Bei einem Kunden war der Splitter schuld.

Du solltest also erstmal die Sache genauer analysieren. Sprich kl. Monitoring einrichten.

1) Pingen zwischen den beiden Standorten über den Tunnel und das Ergebnis immer in eine Logfile schreiben
2) Beide DynDNS-Adressen von deinem Server/Anschluss ebenfalls monitoren via Ping.
3) Erkennt Netgaer wenn eine Seite den Tunnel abbricht?
4) Was sagen die Logdateien der Router?
5) Baut sich der Tunnel gleich wieder auf?


Grüße,
Dani
108012
108012 05.08.2013 um 16:49:44 Uhr
Goto Top
Hallo,

um ein so genanntes Site-to-Site (Router zu Router Verbindung) VPN auf zu bauen benötigst Du eben auf beiden Seiten
eine feste IP Adresse, wo diese her bezogen wird ist völlig egal und sekundär.

Stell Di nur einmal vor der eine ISP hat die Zwangstrennung um 11:00 Uhr und der andere ISP um 14:00 Uhr wie wollt Ihr denn
da noch arbeiten?

Das mit den IP Adressen ist nicht Hardware bezogen und kann auch durch keine Hardware erledigt werden.
Wenn eben keine feste IP Adresse vorhanden ist, muss man wohl oder übel auf einen DynDNS Anbieter ausweichen.

Es wäre ja auch einmal schick zu wissen von welcher Netgear Hardware Du hier redest?
Also ich selber würde nur die FVS336Gv2, die SRX5308 oder ein Gerät aus der UTM Serie empfehlen wollen, alles darunter bzw. ältere Geräte sind nicht mehr zeitgemäß bzw. und sind oftmals recht Fehler behaftet.


Gruß
Dobby
FalkIT
FalkIT 05.08.2013 um 16:57:15 Uhr
Goto Top
Hi Dani,
der Netgear Router ist Schuld, hier öffnet man im Browser die jeweilige IP Adresse (bzw. Dyndns domain) und klickt dann auf der Homepage auf "VPN Verbinden", nur hat der Router einige Probleme wenn der Client Windows 7 nutzt und ein fix scheint auch nicht in aussicht zu sein. Außerdem "nervt" die Geschichte mit DynDNS.
FalkIT
FalkIT 05.08.2013 um 16:59:48 Uhr
Goto Top
Hi Dobby,

Das mit den IP Adressen ist nicht Hardware bezogen und kann auch durch keine Hardware erledigt werden.
Wenn eben keine feste IP Adresse vorhanden ist, muss man wohl oder übel auf einen DynDNS Anbieter ausweichen.

ich bin der Meinung dass es möglich ist (bei Cisco und vielleicht ja auch noch mit anderer Hardware) dass ich das ganze so Aufbaue:
- einen Router hier im Büro mit einer festen IP
- beliebig viele Router mit dynamischen Adressen beim Kunden die sich bei unserem Router "melden"
- will sich jetzt jemand von zuhause oder sonst wo ins VPN einwählen, nutzt er dafür sein Profil, welches auf unseren Router zeigt, der ihm ja dann "sagen" kann wo der gewünschte Router zu erreichen ist

Ein bisschen sehr laienhaft erklärt, aber so lief es meiner Meinung nach.

Gruß

Falk
108012
108012 05.08.2013 aktualisiert um 17:31:10 Uhr
Goto Top
...der Netgear Router ist Schuld, hier öffnet man im Browser die jeweilige IP Adresse (bzw. Dyndns domain) und klickt dann auf der Homepage auf "VPN Verbinden",....
Kannst Du uns nicht einmal sagen welcher Netgear Router das sein soll und vor allem mit welcher Firmware Version?

nur hat der Router einige Probleme wenn der Client Windows 7 nutzt und ein fix scheint auch nicht in aussicht zu sein.
Ja es gab da mal Modelle Ende 2012 bei denen war das so aber das waren auch Firewalls und keine Router und das
Problem ist seit Anfang bis Mitte 2013 behoben worden und via neuerer Firmware erledigt.

Einzig die ganz alten "Kisten" von Netgear sind nicht geupdatet worden.

- einen Router hier im Büro mit einer festen IP
ok

- beliebig viele Router mit dynamischen Adressen beim Kunden die sich bei unserem Router "melden"
Die bauen entweder eine VPN Verbindung auf oder eben nicht, melden tut sich da niemand.

- will sich jetzt jemand von zuhause oder sonst wo ins VPN einwählen, nutzt er dafür sein Profil, welches auf unseren
Router zeigt, der ihm ja dann "sagen" kann wo der gewünschte Router zu erreichen ist
Also so kenne ich das nicht, tut mir leid und noch einmal Hardware abhängig ist das auch nicht.

Weiter oben in Deinem Beitrag und somit Deiner Frage liest sich das halt so für mich, dass Du Site-to-Site VPN zwischen zwei oder mehreren Router aufbauen möchtest.
Das was Du jetzt hier bei Deinen Antworten beschreibst hört sich aber mehr nach einem Client-to-Site VPN an
und könnte dann auch schnell mit VPN Klienten der Firma Netgear oder aber dem freien und kostenlosen VPN Klienten
von ShrewSoft, erledigt werden.

Nur ist es eben völlig "wumpe" ob da ein Netgear oder ein Cisco Gerät steht.

Gruß
Dobby
aqui
aqui 05.08.2013 aktualisiert um 17:46:40 Uhr
Goto Top
...und wieder einer mehr in der ellenlangen Leidensliste von NetGear und dem Thema VPN. !! Das diese beiden Themen nicht zusammengehen sollte eigentlich mittlerweile ja hinreichend bekannt sein...
Dieses Tutorial gibt weitere Anregungen zu der Fragestellung

IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Lochkartenstanzer
Lochkartenstanzer 05.08.2013, aktualisiert am 06.08.2013 um 08:55:52 Uhr
Goto Top
Moin,

ohne dyndns & Co. wird es nicht gehen, weil die Geräte sich "irgendwie" finden müssen. Notfalls über einen eigenen Server bei einem Hoster, der den gemeinsamen "Meeting Point" bildet, aber dann damit auch der SPOF ist.

Mit Ciscos statt Netgear hast Du jedenfalls bessere Chancen auf einen stabilen Betrieb, solang nicht dein ISP oder der dyndns-provider der Schuldige ist.

lks

edit: typos
brammer
brammer 06.08.2013 um 07:12:04 Uhr
Goto Top
Hallo,

Für solche Fälle setzen wie Cisco EzVPN ein.
Der Router bezieht ein lokale IP-Adresse aus dem Netz des Kunden.
Solange das Kundennetz online ist, steht damit auch der Tunnel.
http://www.cisco.com/en/US/docs/routers/access/1800/1841/software/confi ...
Im Gegensatz zur Cisco Dokumentation funktioniert das auch mit der Baureihe 8xx sehr zuverlässig.
Als Zusatz hat der Cisco einem User der sich Gegenüber unserer domäne authentifiziert, somit ist gewährleistet, das der Router der sich verbinden will, auch derjenige ist den wir zum Kunden geschickt haben. Und der Kunden hat keinen Zugriff auf den Router...

brammer
goscho
goscho 06.08.2013 aktualisiert um 09:23:30 Uhr
Goto Top
Zitat von @aqui:
...und wieder einer mehr in der ellenlangen Leidensliste von NetGear und dem Thema VPN. !! Das diese beiden Themen nicht
zusammengehen sollte eigentlich mittlerweile ja hinreichend bekannt sein...
Sorry, aqui, das ist total verallgemeinernder Unsinn.
Zumeist liegt es an den Leuten, die von dem was sie machen keinen blassen Dunst haben und seltener an den Geräten.

Ich habe dutzende VPNs mit Netgear-Geräten laufen. Würden die Tunnel nicht stehen, hätte ich Probleme mit meinen Kunden.
Natürlich gab es dort auch schon Ausfälle (z.T. durch Hardwarefehler), aber bei welchem Hersteller mit Geräten für KMU gibt es die nicht?

Wir können jetzt alle umsteigen und nur noch Geräte von Cisco, Lancom, Bintec etc, nehmen.
Würde das an den Problemen etwas ändern?
-> Nein, denn es sind immer noch die selben Leute, die weiterhin keine Ahnung haben, was sie da machen, blind dem Assistenten zur Einrichtung eines VPN folgen und im Fehlerfall aufgeschmissen sind.
Natürlich könnte es sein, dass man diese Geräte erst verkaufen/einrichten darf, wenn man vom Hersteller geschult wurde...

@FalkIT
du hast es trotz mehrere Nachfragen nicht geschafft, das Modell oder die Modelle mit Firmwarestand anzugeben.

Auch verweise ich gern nochmals auf den Beitrag von @Dani Link zum Beitrag bezüglich des Monitorings.