Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Planung

Mitglied: elo22.

elo22. (Level 1) - Jetzt verbinden

30.07.2017 um 17:50 Uhr, 2446 Aufrufe, 7 Kommentare

Hallo,
es geht um eine VPN Planung mit folgenden Vorgaben:

2 Schulstandorte mit Netzwerk Class B, an Standort B eine Fritzbox 7490 mit VDSL 50000. Standort A noch mit ADSL 16000. Ein Notebook wechselnd in beiden Netzen sowie je einen Verwaltungs-PC. Von B soll auf eine Software auf dem Verwaltungs-PC in A zugegriffen werden. Die IPs müssen im Bereich 172.16.0.10 und 172.16.0.254 liegen können nicht geändert werden. Bei B ist die Umstellung auf VDSL geplant und könnte auch eine 7490 erhalten. Wie lässt sich hier eine VPN Lösung realisieren?

Lutz

Mitglied: flow.ryan
30.07.2017 um 19:38 Uhr
Hallo,

Verstehe ich dich richtig, dass beide Standorte den gleichen IP Bereich haben?
Bitte warten ..
Mitglied: 108012
30.07.2017 um 22:46 Uhr
Hallo,

2 Schulstandorte mit Netzwerk Class B, an Standort B eine Fritzbox 7490 mit VDSL 50000. Standort A noch mit ADSL 16000.
Und was ist dort für einer Router am Standort A in Benutzung? Die AVM FB kann nur IPSec VPN.

Ein Notebook wechselnd in beiden Netzen sowie je einen Verwaltungs-PC. Von B soll auf eine Software auf dem Verwaltungs-PC
in A zugegriffen werden.
Gut dann einfach ein IPSec VPN aufbauen.

Die IPs müssen im Bereich 172.16.0.10 und 172.16.0.254 liegen können nicht geändert werden.
Auf beiden Seiten und in beiden Netzen?

Bei B ist die Umstellung auf VDSL geplant und könnte auch eine 7490 erhalten. Wie lässt sich hier eine VPN Lösung realisieren?
IPSec etwas anderes unterstützen die AVM FBs nicht.

Gruß
Dobby
Bitte warten ..
Mitglied: maretz
31.07.2017 um 06:52 Uhr
Wenn du wirklich auf beiden Seiten denselben Range haben musst bleibt dir nicht viel anderes übrig als per Subnet zu gehen... Auf A sagst du du deinem System das es 172.16.0.0/25 und auf B 172.16.0.128/25 hat. Somit kannst du das Routing herstellen.
Bitte warten ..
Mitglied: aqui
31.07.2017, aktualisiert um 15:49 Uhr
2 Schulstandorte mit Netzwerk Class B
Abgesehen das das ja eine gruselige Sache ist ein Netzwerk mit einem 16 Bit Prefix zu betreiben gibt es die Klassen schon seit Jahrzehnten nicht mehr. Das ist Netzwerk Steinzeit. Stichwort CIDR Masken.
Die goldene Netzwerk Regel besagt das du nie mehr als 150 bis max. 200 Clients in einer Layer 2 Doamin haben solltest. In so fern sind /16er Masken also reiner Overkill. Hat aber wohl jemand aus dem Lehrbuch abgetippt oder wusste wie gesagt nicht das "Klassen" aus der Netzwerk Steinzeit kommen und auch was Subnetzmasken sind
Letztlich ist es aber für die VPN Funktion erstmal egal..nur ein Hinweis hier ein Auge drauf zu haben und das nicht als dummes, flaches /16er Netz an den Standorten zu betreiben.
Segmentierung ist wie immer der Schlüssel zum Erfolg.

Zum eigentlichen Thema:
Wenn beide Standorte eine Netzwerk Adressierung von 172.16.0.0 /16 haben bist du chancenlos !!
Das kannst du das Projekt gleich vergessen, denn damit ist eine VPN Lösung nicht umzusetzen oder nur mit erheblichen Nachteilen.
VPN erfordert immer unterschiedliche IP Netze auf beiden Seiten will man effizient das VPN nutzen.
Das solltest du also zwingend so umsetzen.

Die 2 Optione die man machen könnte:
1.)
Man kann mit einigen VPN Protokollen wie z.B. SSL basierten (OpenVPN) ein Bridging machen über den VPN Tunnel. Das würde dann sogar erzwingen das die IP Adressierung auf beiden VPN Standorten identisch ist.
Gravierender Nachteil:
Der gesamte Broad- und Multicast Traffic beider Netze word über den VPN Tunnel übertragen und belastet diesen massiv in der Performance. Du hast also immer ein gewisses "Grundrauschen" als Last die die Weitverkehrsverbindung (xDSL etc.) permanent belastet.
2.)
Du kannst beidseitig mit bidirektionalem statischen NAT arbeiten.
Das erfordert entsprechende VPN Router oder FW Hardware die das kann und das supportet und das auch in entsprechender Geschwindigkeit.
Gravierender Nachteil:
Sehr hohe Hardware Anforderung. Erheblich aufwendigerer Warungs- und Konfigurationsaufwand der für jedes Endgerät endsprechend customized werden muss.

Aus technischer Sicht sind diese Workarounds nicht zu empfehlen und man kann dir nur dringenst davon abraten willst du keinen Schiffbruch erleiden.
Wenn das VPN Traffic Volumen allerdings sehr sehr niedrig ist und die Anzahl der Endgeräte in den /16er Netzen sehr klein ist, dann ist Option 1. machbar.
In einem sehr kleinen Netz ist die Broad- und Multicast Last in der Regel gering und tolerierbar auch bei einer LAN zu LAN Kopplung wie du sie anstrebst.

Letztlich kann man dir nur raten die IP Adressierung auf einer Seite (wo es am wenigsten Aufwand ist) sauber anzupassen auf ein anderes IP Netz.
Wenn du Glück hast ist die Verteilung nicht identiosch in den N etzwerken und du brauchst lediglich die Subnetzmakse anpassen auf /24. Z.B.
Standort 1: IP Adressen im Bereich 172.16.1.x
Standort 1: IP Adressen im Bereich 172.16.100.x
Dann reicht es an beiden Standorten die Maske auf 255.255.255.0 zu ändern und fertig ist der Lack.
Dumm wäre nur wenn die IP Adressierung wirklich vollkommen identisch im selben Bereich ist. Wenn man schon eine /16er Maske hätte wäre das äußerst dumm.

Mit der Ordnung der IP Netze bist du zukünftig immer auf der sicheren Seite ohne irgendwelche Frickel Klimmzüge.
Zudem bist du zusätzlich dann vollkommen frei in der Wahl deiner einzusetzenden Hardware und deines zu verwendeden VPN Protokolls.
Eine Wahlfreiheit die man nicht unterschätzen sollte.
Bitte warten ..
Mitglied: elo22.
01.08.2017 um 04:44 Uhr
Danke für die antworten. Also am Standort A gibt es noch einen speedport. Dort muss noch auf VDSL umgestellt werden dann mit einer 7490. Da könnte man mit zwei IP-Bereichen arbeiten. Bei B ist das nicht so einfach möglich wenn überhaupt. Problem ist der wechselnde Arbeitsplatz von Notebook. Das muss immer auf eine Software in A zugreifen können.

Lutz
Bitte warten ..
Mitglied: 108012
01.08.2017 um 06:02 Uhr
Danke für die antworten. Also am Standort A gibt es noch einen speedport.
Der ist leider nicht VPN fähig!

Dort muss noch auf VDSL umgestellt werden dann mit einer 7490.
Auf jeden Fall muss ein VPN fähiger Router her.

Da könnte man mit zwei IP-Bereichen arbeiten. Bei B ist das nicht so einfach möglich wenn überhaupt.
Wenn auf beiden Seiten ein gleiches IP Netz vorhanden ist, dann sollte das auch mit Problemen behaftet sein, denn dann bekommt
man meist eine VPN Verbindung "hin die steht", aber es fließen keine Daten durch und man kann auf nichts zugreifen, auf der anderen Seite.

Problem ist der wechselnde Arbeitsplatz von Notebook. Das muss immer auf eine Software in A zugreifen können.
Wenn man zwei Router oder Firewalls hätte die OpenVPN unterstützen kann das einfacher realisiert werden oder aber
man stellt zwei kleine MikroTik ROuter oder RadspBerry PIs in die DMZ hin und erledigt das VPn dann darüber.

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
01.08.2017 um 10:15 Uhr
Also am Standort A gibt es noch einen speedport.
Igitt !! So einen Sc hrott sollterst du besser nicht einsetzen. Das ist 100pro etwas für den Recycling Hof und hat nichts in einem VPN Netzwerk zu suchen.
Die FB ist da die bessere Wahl. Noch sinniger wäre einen potenteren Router einzusetzen wie Lancom, Bintec oder Cisco.
Das IP Adressierungsproblem musst du in den Griff bekommen. Wenn du am Standort A die IP Adressierung umstellen kannst da tue das !
Alles andere würde auch gehen, erfordert aber einen weit höheren Management Aufwand und schränkt die Performance gravierend ein.

Das Notebook was beidseitig zugreifen muss ist ja nicht das Problem. Das kann es ja immer problemlos wenn die VPN Verbindung steht. Nur dafür musst du eine saubere IP Adressierung haben an beiden Standorten damit das VPN auch sicher funktioniert.
Hast du überhaupt schon eine Vorstellung wie und mit welchem Protokoll du das VPN realisieren willst ?
Bitte warten ..
Ähnliche Inhalte
CPU, RAM, Mainboards
RAM Planung
gelöst Frage von PharITCPU, RAM, Mainboards8 Kommentare

Hallo allerseits, gerade auf der Fujitsu-Homepage einen Server gesehen, den die "für den Mittelstand" bezeichnen, der 1,5TB RAM unterstützt. ...

Windows Server
Netzwerk Planung Homeoffice
Frage von 142195Windows Server18 Kommentare

Hallo, ich plane zurzeit ein kleines Netzwerk. 5-8 User jeder mit eigenem Laptop (Lenovo T590) Windows 10 Professional Homeoffice ...

LAN, WAN, Wireless
Planung neuer Standort
Frage von pipen1976LAN, WAN, Wireless9 Kommentare

Hallo, ich plane derzeit unseren neuen Standort und wollte einmal gerne Eure Meinung dazu hören, damit ich nicht gleich ...

LAN, WAN, Wireless
Planung eines Heimnetzes
Frage von Freezer2602LAN, WAN, Wireless1 Kommentar

Hallo zusammen, lange war ich stiller mitlesender in diesem Forum, jetzt habe ich mich aufgrund meines Anliegens angemeldet. Kurz ...

Neue Wissensbeiträge
Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 1 TagMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 3 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 5 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Cloud-Dienste

Wenn die Cloud geklaut (oder einfach nur abgeschaltet) wurde

Information von certifiedit.net vor 8 TagenCloud-Dienste10 Kommentare

Wie war das mit der Reliability und was ist mit dem Datenschutz?

Heiß diskutierte Inhalte
Windows Server
Denselben Port auf verschiedenen Netzwerkkarten nutzen
gelöst Frage von entchenbrotWindows Server17 Kommentare

Hi wir haben einen Server PC mit verschiedenen Netzwerkkarten als Art Gaming-Server und würden gerne ein Spiel in zwei ...

Cloud-Dienste
Cisco 8841 - Enter activation code
Frage von c0d3.r3dCloud-Dienste16 Kommentare

Guten Morgen, ich habe gerade von einem Mitarbeiter den Hinweis bekommen, dass sein Telefon (Cisco 8841) einen Welcome-Screen mit ...

Microsoft Office
Office 2019 Deployment
gelöst Frage von NRG2112Microsoft Office16 Kommentare

Hallo zusammen, ich verzweifel mit Microsofts neuen Office 2019 Setups. Ich versuche jetzt 2 Stunden lang ein Office 2019 ...

Google Android
Smartphone - Internes Radio auf Bluetooth Lautsprecher abspielen
Frage von emeriksGoogle Android15 Kommentare

Hi, vielleicht kann ja einer von Euch auch sowas beantworten. Ich habe hier ein Samsung Smartphone - S10 Lite. ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...