9
VPN ohne Dyndns, welche Hardware?
Hi zusammen,
bei verschiedenen Kunden von uns Stehen Netgear Router über die eine VPN Verbindung aufgebaut werden kann. Allerdings funktionieren diese Lösungen nicht so sauber wie ich mir das vorstelle und außerdem braucht man immer einen Dienst wie Dyndns (keine festen IPs bei den Kunden).
Die einzige alternative die ich "kenne" wobei ich hier nicht derjenige wäre der die Config schreiben kann wären Cisco Router (waren in meinem alten Unternehmen im Einsatz).
Nur bin ich mir auch hier nicht sicher ob das mit wechselnden IP Adressen funktioniert. Meine Frage also, was für Möglichkeiten kennt ihr (die stabil laufen) um ein VPN aufzubauen?
Vielen Dank im Voraus
Falk
bei verschiedenen Kunden von uns Stehen Netgear Router über die eine VPN Verbindung aufgebaut werden kann. Allerdings funktionieren diese Lösungen nicht so sauber wie ich mir das vorstelle und außerdem braucht man immer einen Dienst wie Dyndns (keine festen IPs bei den Kunden).
Die einzige alternative die ich "kenne" wobei ich hier nicht derjenige wäre der die Config schreiben kann wären Cisco Router (waren in meinem alten Unternehmen im Einsatz).
Nur bin ich mir auch hier nicht sicher ob das mit wechselnden IP Adressen funktioniert. Meine Frage also, was für Möglichkeiten kennt ihr (die stabil laufen) um ein VPN aufzubauen?
Vielen Dank im Voraus
Falk
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 213403
Url: https://administrator.de/contentid/213403
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
9 Kommentare
Neuester Kommentar
Moin Falk,
auch mit Cisco kannst du das Problem haben. Interessant wäre doch wie das Problem genau aussieht. Liegt es an der Leitung selber, am Modem, am Router, Leitungsnetz des ISP instabil, etc...? Bei einem Kunden war der Splitter schuld.
Du solltest also erstmal die Sache genauer analysieren. Sprich kl. Monitoring einrichten.
1) Pingen zwischen den beiden Standorten über den Tunnel und das Ergebnis immer in eine Logfile schreiben
2) Beide DynDNS-Adressen von deinem Server/Anschluss ebenfalls monitoren via Ping.
3) Erkennt Netgaer wenn eine Seite den Tunnel abbricht?
4) Was sagen die Logdateien der Router?
5) Baut sich der Tunnel gleich wieder auf?
Grüße,
Dani
auch mit Cisco kannst du das Problem haben. Interessant wäre doch wie das Problem genau aussieht. Liegt es an der Leitung selber, am Modem, am Router, Leitungsnetz des ISP instabil, etc...? Bei einem Kunden war der Splitter schuld.
Du solltest also erstmal die Sache genauer analysieren. Sprich kl. Monitoring einrichten.
1) Pingen zwischen den beiden Standorten über den Tunnel und das Ergebnis immer in eine Logfile schreiben
2) Beide DynDNS-Adressen von deinem Server/Anschluss ebenfalls monitoren via Ping.
3) Erkennt Netgaer wenn eine Seite den Tunnel abbricht?
4) Was sagen die Logdateien der Router?
5) Baut sich der Tunnel gleich wieder auf?
Grüße,
Dani
Hallo,
um ein so genanntes Site-to-Site (Router zu Router Verbindung) VPN auf zu bauen benötigst Du eben auf beiden Seiten
eine feste IP Adresse, wo diese her bezogen wird ist völlig egal und sekundär.
Stell Di nur einmal vor der eine ISP hat die Zwangstrennung um 11:00 Uhr und der andere ISP um 14:00 Uhr wie wollt Ihr denn
da noch arbeiten?
Das mit den IP Adressen ist nicht Hardware bezogen und kann auch durch keine Hardware erledigt werden.
Wenn eben keine feste IP Adresse vorhanden ist, muss man wohl oder übel auf einen DynDNS Anbieter ausweichen.
Es wäre ja auch einmal schick zu wissen von welcher Netgear Hardware Du hier redest?
Also ich selber würde nur die FVS336Gv2, die SRX5308 oder ein Gerät aus der UTM Serie empfehlen wollen, alles darunter bzw. ältere Geräte sind nicht mehr zeitgemäß bzw. und sind oftmals recht Fehler behaftet.
Gruß
Dobby
um ein so genanntes Site-to-Site (Router zu Router Verbindung) VPN auf zu bauen benötigst Du eben auf beiden Seiten
eine feste IP Adresse, wo diese her bezogen wird ist völlig egal und sekundär.
Stell Di nur einmal vor der eine ISP hat die Zwangstrennung um 11:00 Uhr und der andere ISP um 14:00 Uhr wie wollt Ihr denn
da noch arbeiten?
Das mit den IP Adressen ist nicht Hardware bezogen und kann auch durch keine Hardware erledigt werden.
Wenn eben keine feste IP Adresse vorhanden ist, muss man wohl oder übel auf einen DynDNS Anbieter ausweichen.
Es wäre ja auch einmal schick zu wissen von welcher Netgear Hardware Du hier redest?
Also ich selber würde nur die FVS336Gv2, die SRX5308 oder ein Gerät aus der UTM Serie empfehlen wollen, alles darunter bzw. ältere Geräte sind nicht mehr zeitgemäß bzw. und sind oftmals recht Fehler behaftet.
Gruß
Dobby
Hi Dani,
der Netgear Router ist Schuld, hier öffnet man im Browser die jeweilige IP Adresse (bzw. Dyndns domain) und klickt dann auf der Homepage auf "VPN Verbinden", nur hat der Router einige Probleme wenn der Client Windows 7 nutzt und ein fix scheint auch nicht in aussicht zu sein. Außerdem "nervt" die Geschichte mit DynDNS.
der Netgear Router ist Schuld, hier öffnet man im Browser die jeweilige IP Adresse (bzw. Dyndns domain) und klickt dann auf der Homepage auf "VPN Verbinden", nur hat der Router einige Probleme wenn der Client Windows 7 nutzt und ein fix scheint auch nicht in aussicht zu sein. Außerdem "nervt" die Geschichte mit DynDNS.
Hi Dobby,
ich bin der Meinung dass es möglich ist (bei Cisco und vielleicht ja auch noch mit anderer Hardware) dass ich das ganze so Aufbaue:
- einen Router hier im Büro mit einer festen IP
- beliebig viele Router mit dynamischen Adressen beim Kunden die sich bei unserem Router "melden"
- will sich jetzt jemand von zuhause oder sonst wo ins VPN einwählen, nutzt er dafür sein Profil, welches auf unseren Router zeigt, der ihm ja dann "sagen" kann wo der gewünschte Router zu erreichen ist
Ein bisschen sehr laienhaft erklärt, aber so lief es meiner Meinung nach.
Gruß
Falk
Das mit den IP Adressen ist nicht Hardware bezogen und kann auch durch keine Hardware erledigt werden.
Wenn eben keine feste IP Adresse vorhanden ist, muss man wohl oder übel auf einen DynDNS Anbieter ausweichen.
Wenn eben keine feste IP Adresse vorhanden ist, muss man wohl oder übel auf einen DynDNS Anbieter ausweichen.
ich bin der Meinung dass es möglich ist (bei Cisco und vielleicht ja auch noch mit anderer Hardware) dass ich das ganze so Aufbaue:
- einen Router hier im Büro mit einer festen IP
- beliebig viele Router mit dynamischen Adressen beim Kunden die sich bei unserem Router "melden"
- will sich jetzt jemand von zuhause oder sonst wo ins VPN einwählen, nutzt er dafür sein Profil, welches auf unseren Router zeigt, der ihm ja dann "sagen" kann wo der gewünschte Router zu erreichen ist
Ein bisschen sehr laienhaft erklärt, aber so lief es meiner Meinung nach.
Gruß
Falk
...der Netgear Router ist Schuld, hier öffnet man im Browser die jeweilige IP Adresse (bzw. Dyndns domain) und klickt dann auf der Homepage auf "VPN Verbinden",....
Kannst Du uns nicht einmal sagen welcher Netgear Router das sein soll und vor allem mit welcher Firmware Version? nur hat der Router einige Probleme wenn der Client Windows 7 nutzt und ein fix scheint auch nicht in aussicht zu sein.
Ja es gab da mal Modelle Ende 2012 bei denen war das so aber das waren auch Firewalls und keine Router und dasProblem ist seit Anfang bis Mitte 2013 behoben worden und via neuerer Firmware erledigt.
Einzig die ganz alten "Kisten" von Netgear sind nicht geupdatet worden.
- einen Router hier im Büro mit einer festen IP
ok- beliebig viele Router mit dynamischen Adressen beim Kunden die sich bei unserem Router "melden"
Die bauen entweder eine VPN Verbindung auf oder eben nicht, melden tut sich da niemand.- will sich jetzt jemand von zuhause oder sonst wo ins VPN einwählen, nutzt er dafür sein Profil, welches auf unseren
Router zeigt, der ihm ja dann "sagen" kann wo der gewünschte Router zu erreichen ist
Also so kenne ich das nicht, tut mir leid und noch einmal Hardware abhängig ist das auch nicht.Router zeigt, der ihm ja dann "sagen" kann wo der gewünschte Router zu erreichen ist
Weiter oben in Deinem Beitrag und somit Deiner Frage liest sich das halt so für mich, dass Du Site-to-Site VPN zwischen zwei oder mehreren Router aufbauen möchtest.
Das was Du jetzt hier bei Deinen Antworten beschreibst hört sich aber mehr nach einem Client-to-Site VPN an
und könnte dann auch schnell mit VPN Klienten der Firma Netgear oder aber dem freien und kostenlosen VPN Klienten
von ShrewSoft, erledigt werden.
Nur ist es eben völlig "wumpe" ob da ein Netgear oder ein Cisco Gerät steht.
Gruß
Dobby
...und wieder einer mehr in der ellenlangen Leidensliste von NetGear und dem Thema VPN. !! Das diese beiden Themen nicht zusammengehen sollte eigentlich mittlerweile ja hinreichend bekannt sein...
Dieses Tutorial gibt weitere Anregungen zu der Fragestellung
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dieses Tutorial gibt weitere Anregungen zu der Fragestellung
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
2
Moin,
ohne dyndns & Co. wird es nicht gehen, weil die Geräte sich "irgendwie" finden müssen. Notfalls über einen eigenen Server bei einem Hoster, der den gemeinsamen "Meeting Point" bildet, aber dann damit auch der SPOF ist.
Mit Ciscos statt Netgear hast Du jedenfalls bessere Chancen auf einen stabilen Betrieb, solang nicht dein ISP oder der dyndns-provider der Schuldige ist.
lks
edit: typos
ohne dyndns & Co. wird es nicht gehen, weil die Geräte sich "irgendwie" finden müssen. Notfalls über einen eigenen Server bei einem Hoster, der den gemeinsamen "Meeting Point" bildet, aber dann damit auch der SPOF ist.
Mit Ciscos statt Netgear hast Du jedenfalls bessere Chancen auf einen stabilen Betrieb, solang nicht dein ISP oder der dyndns-provider der Schuldige ist.
lks
edit: typos
Hallo,
Für solche Fälle setzen wie Cisco EzVPN ein.
Der Router bezieht ein lokale IP-Adresse aus dem Netz des Kunden.
Solange das Kundennetz online ist, steht damit auch der Tunnel.
http://www.cisco.com/en/US/docs/routers/access/1800/1841/software/confi ...
Im Gegensatz zur Cisco Dokumentation funktioniert das auch mit der Baureihe 8xx sehr zuverlässig.
Als Zusatz hat der Cisco einem User der sich Gegenüber unserer domäne authentifiziert, somit ist gewährleistet, das der Router der sich verbinden will, auch derjenige ist den wir zum Kunden geschickt haben. Und der Kunden hat keinen Zugriff auf den Router...
brammer
Für solche Fälle setzen wie Cisco EzVPN ein.
Der Router bezieht ein lokale IP-Adresse aus dem Netz des Kunden.
Solange das Kundennetz online ist, steht damit auch der Tunnel.
http://www.cisco.com/en/US/docs/routers/access/1800/1841/software/confi ...
Im Gegensatz zur Cisco Dokumentation funktioniert das auch mit der Baureihe 8xx sehr zuverlässig.
Als Zusatz hat der Cisco einem User der sich Gegenüber unserer domäne authentifiziert, somit ist gewährleistet, das der Router der sich verbinden will, auch derjenige ist den wir zum Kunden geschickt haben. Und der Kunden hat keinen Zugriff auf den Router...
brammer
Zitat von @aqui:
...und wieder einer mehr in der ellenlangen Leidensliste von NetGear und dem Thema VPN. !! Das diese beiden Themen nicht
zusammengehen sollte eigentlich mittlerweile ja hinreichend bekannt sein...
Sorry, aqui, das ist total verallgemeinernder Unsinn....und wieder einer mehr in der ellenlangen Leidensliste von NetGear und dem Thema VPN. !! Das diese beiden Themen nicht
zusammengehen sollte eigentlich mittlerweile ja hinreichend bekannt sein...
Zumeist liegt es an den Leuten, die von dem was sie machen keinen blassen Dunst haben und seltener an den Geräten.
Ich habe dutzende VPNs mit Netgear-Geräten laufen. Würden die Tunnel nicht stehen, hätte ich Probleme mit meinen Kunden.
Natürlich gab es dort auch schon Ausfälle (z.T. durch Hardwarefehler), aber bei welchem Hersteller mit Geräten für KMU gibt es die nicht?
Wir können jetzt alle umsteigen und nur noch Geräte von Cisco, Lancom, Bintec etc, nehmen.
Würde das an den Problemen etwas ändern?
-> Nein, denn es sind immer noch die selben Leute, die weiterhin keine Ahnung haben, was sie da machen, blind dem Assistenten zur Einrichtung eines VPN folgen und im Fehlerfall aufgeschmissen sind.
Natürlich könnte es sein, dass man diese Geräte erst verkaufen/einrichten darf, wenn man vom Hersteller geschult wurde...
@FalkIT
du hast es trotz mehrere Nachfragen nicht geschafft, das Modell oder die Modelle mit Firmwarestand anzugeben.
Auch verweise ich gern nochmals auf den Beitrag von @Dani Link zum Beitrag bezüglich des Monitorings.
