VPN Planung
Hallo,
es geht um eine VPN Planung mit folgenden Vorgaben:
2 Schulstandorte mit Netzwerk Class B, an Standort B eine Fritzbox 7490 mit VDSL 50000. Standort A noch mit ADSL 16000. Ein Notebook wechselnd in beiden Netzen sowie je einen Verwaltungs-PC. Von B soll auf eine Software auf dem Verwaltungs-PC in A zugegriffen werden. Die IPs müssen im Bereich 172.16.0.10 und 172.16.0.254 liegen können nicht geändert werden. Bei B ist die Umstellung auf VDSL geplant und könnte auch eine 7490 erhalten. Wie lässt sich hier eine VPN Lösung realisieren?
Lutz
es geht um eine VPN Planung mit folgenden Vorgaben:
2 Schulstandorte mit Netzwerk Class B, an Standort B eine Fritzbox 7490 mit VDSL 50000. Standort A noch mit ADSL 16000. Ein Notebook wechselnd in beiden Netzen sowie je einen Verwaltungs-PC. Von B soll auf eine Software auf dem Verwaltungs-PC in A zugegriffen werden. Die IPs müssen im Bereich 172.16.0.10 und 172.16.0.254 liegen können nicht geändert werden. Bei B ist die Umstellung auf VDSL geplant und könnte auch eine 7490 erhalten. Wie lässt sich hier eine VPN Lösung realisieren?
Lutz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 344923
Url: https://administrator.de/contentid/344923
Ausgedruckt am: 24.11.2024 um 18:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Verstehe ich dich richtig, dass beide Standorte den gleichen IP Bereich haben?
Verstehe ich dich richtig, dass beide Standorte den gleichen IP Bereich haben?
Hallo,
Gruß
Dobby
2 Schulstandorte mit Netzwerk Class B, an Standort B eine Fritzbox 7490 mit VDSL 50000. Standort A noch mit ADSL 16000.
Und was ist dort für einer Router am Standort A in Benutzung? Die AVM FB kann nur IPSec VPN.Ein Notebook wechselnd in beiden Netzen sowie je einen Verwaltungs-PC. Von B soll auf eine Software auf dem Verwaltungs-PC
in A zugegriffen werden.
Gut dann einfach ein IPSec VPN aufbauen.in A zugegriffen werden.
Die IPs müssen im Bereich 172.16.0.10 und 172.16.0.254 liegen können nicht geändert werden.
Auf beiden Seiten und in beiden Netzen?Bei B ist die Umstellung auf VDSL geplant und könnte auch eine 7490 erhalten. Wie lässt sich hier eine VPN Lösung realisieren?
IPSec etwas anderes unterstützen die AVM FBs nicht.Gruß
Dobby
2 Schulstandorte mit Netzwerk Class B
Abgesehen das das ja eine gruselige Sache ist ein Netzwerk mit einem 16 Bit Prefix zu betreiben gibt es die Klassen schon seit Jahrzehnten nicht mehr. Das ist Netzwerk Steinzeit. Stichwort CIDR Masken.Die goldene Netzwerk Regel besagt das du nie mehr als 150 bis max. 200 Clients in einer Layer 2 Doamin haben solltest. In so fern sind /16er Masken also reiner Overkill. Hat aber wohl jemand aus dem Lehrbuch abgetippt oder wusste wie gesagt nicht das "Klassen" aus der Netzwerk Steinzeit kommen und auch was Subnetzmasken sind
Letztlich ist es aber für die VPN Funktion erstmal egal..nur ein Hinweis hier ein Auge drauf zu haben und das nicht als dummes, flaches /16er Netz an den Standorten zu betreiben.
Segmentierung ist wie immer der Schlüssel zum Erfolg.
Zum eigentlichen Thema:
Wenn beide Standorte eine Netzwerk Adressierung von 172.16.0.0 /16 haben bist du chancenlos !!
Das kannst du das Projekt gleich vergessen, denn damit ist eine VPN Lösung nicht umzusetzen oder nur mit erheblichen Nachteilen.
VPN erfordert immer unterschiedliche IP Netze auf beiden Seiten will man effizient das VPN nutzen.
Das solltest du also zwingend so umsetzen.
Die 2 Optione die man machen könnte:
1.)
Man kann mit einigen VPN Protokollen wie z.B. SSL basierten (OpenVPN) ein Bridging machen über den VPN Tunnel. Das würde dann sogar erzwingen das die IP Adressierung auf beiden VPN Standorten identisch ist.
Gravierender Nachteil:
Der gesamte Broad- und Multicast Traffic beider Netze word über den VPN Tunnel übertragen und belastet diesen massiv in der Performance. Du hast also immer ein gewisses "Grundrauschen" als Last die die Weitverkehrsverbindung (xDSL etc.) permanent belastet.
2.)
Du kannst beidseitig mit bidirektionalem statischen NAT arbeiten.
Das erfordert entsprechende VPN Router oder FW Hardware die das kann und das supportet und das auch in entsprechender Geschwindigkeit.
Gravierender Nachteil:
Sehr hohe Hardware Anforderung. Erheblich aufwendigerer Warungs- und Konfigurationsaufwand der für jedes Endgerät endsprechend customized werden muss.
Aus technischer Sicht sind diese Workarounds nicht zu empfehlen und man kann dir nur dringenst davon abraten willst du keinen Schiffbruch erleiden.
Wenn das VPN Traffic Volumen allerdings sehr sehr niedrig ist und die Anzahl der Endgeräte in den /16er Netzen sehr klein ist, dann ist Option 1. machbar.
In einem sehr kleinen Netz ist die Broad- und Multicast Last in der Regel gering und tolerierbar auch bei einer LAN zu LAN Kopplung wie du sie anstrebst.
Letztlich kann man dir nur raten die IP Adressierung auf einer Seite (wo es am wenigsten Aufwand ist) sauber anzupassen auf ein anderes IP Netz.
Wenn du Glück hast ist die Verteilung nicht identiosch in den N etzwerken und du brauchst lediglich die Subnetzmakse anpassen auf /24. Z.B.
Standort 1: IP Adressen im Bereich 172.16.1.x
Standort 1: IP Adressen im Bereich 172.16.100.x
Dann reicht es an beiden Standorten die Maske auf 255.255.255.0 zu ändern und fertig ist der Lack.
Dumm wäre nur wenn die IP Adressierung wirklich vollkommen identisch im selben Bereich ist. Wenn man schon eine /16er Maske hätte wäre das äußerst dumm.
Mit der Ordnung der IP Netze bist du zukünftig immer auf der sicheren Seite ohne irgendwelche Frickel Klimmzüge.
Zudem bist du zusätzlich dann vollkommen frei in der Wahl deiner einzusetzenden Hardware und deines zu verwendeden VPN Protokolls.
Eine Wahlfreiheit die man nicht unterschätzen sollte.
Danke für die antworten. Also am Standort A gibt es noch einen speedport.
Der ist leider nicht VPN fähig!Dort muss noch auf VDSL umgestellt werden dann mit einer 7490.
Auf jeden Fall muss ein VPN fähiger Router her.Da könnte man mit zwei IP-Bereichen arbeiten. Bei B ist das nicht so einfach möglich wenn überhaupt.
Wenn auf beiden Seiten ein gleiches IP Netz vorhanden ist, dann sollte das auch mit Problemen behaftet sein, denn dann bekommtman meist eine VPN Verbindung "hin die steht", aber es fließen keine Daten durch und man kann auf nichts zugreifen, auf der anderen Seite.
Problem ist der wechselnde Arbeitsplatz von Notebook. Das muss immer auf eine Software in A zugreifen können.
Wenn man zwei Router oder Firewalls hätte die OpenVPN unterstützen kann das einfacher realisiert werden oder aberman stellt zwei kleine MikroTik ROuter oder RadspBerry PIs in die DMZ hin und erledigt das VPn dann darüber.
Gruß
Dobby
Also am Standort A gibt es noch einen speedport.
Igitt !! So einen Sc hrott sollterst du besser nicht einsetzen. Das ist 100pro etwas für den Recycling Hof und hat nichts in einem VPN Netzwerk zu suchen.Die FB ist da die bessere Wahl. Noch sinniger wäre einen potenteren Router einzusetzen wie Lancom, Bintec oder Cisco.
Das IP Adressierungsproblem musst du in den Griff bekommen. Wenn du am Standort A die IP Adressierung umstellen kannst da tue das !
Alles andere würde auch gehen, erfordert aber einen weit höheren Management Aufwand und schränkt die Performance gravierend ein.
Das Notebook was beidseitig zugreifen muss ist ja nicht das Problem. Das kann es ja immer problemlos wenn die VPN Verbindung steht. Nur dafür musst du eine saubere IP Adressierung haben an beiden Standorten damit das VPN auch sicher funktioniert.
Hast du überhaupt schon eine Vorstellung wie und mit welchem Protokoll du das VPN realisieren willst ?