Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN Planung

Mitglied: elo22.

elo22. (Level 1) - Jetzt verbinden

30.07.2017 um 17:50 Uhr, 1290 Aufrufe, 7 Kommentare

Hallo,
es geht um eine VPN Planung mit folgenden Vorgaben:

2 Schulstandorte mit Netzwerk Class B, an Standort B eine Fritzbox 7490 mit VDSL 50000. Standort A noch mit ADSL 16000. Ein Notebook wechselnd in beiden Netzen sowie je einen Verwaltungs-PC. Von B soll auf eine Software auf dem Verwaltungs-PC in A zugegriffen werden. Die IPs müssen im Bereich 172.16.0.10 und 172.16.0.254 liegen können nicht geändert werden. Bei B ist die Umstellung auf VDSL geplant und könnte auch eine 7490 erhalten. Wie lässt sich hier eine VPN Lösung realisieren?

Lutz

Mitglied: flow.ryan
30.07.2017 um 19:38 Uhr
Hallo,

Verstehe ich dich richtig, dass beide Standorte den gleichen IP Bereich haben?
Bitte warten ..
Mitglied: 108012
30.07.2017 um 22:46 Uhr
Hallo,

2 Schulstandorte mit Netzwerk Class B, an Standort B eine Fritzbox 7490 mit VDSL 50000. Standort A noch mit ADSL 16000.
Und was ist dort für einer Router am Standort A in Benutzung? Die AVM FB kann nur IPSec VPN.

Ein Notebook wechselnd in beiden Netzen sowie je einen Verwaltungs-PC. Von B soll auf eine Software auf dem Verwaltungs-PC
in A zugegriffen werden.
Gut dann einfach ein IPSec VPN aufbauen.

Die IPs müssen im Bereich 172.16.0.10 und 172.16.0.254 liegen können nicht geändert werden.
Auf beiden Seiten und in beiden Netzen?

Bei B ist die Umstellung auf VDSL geplant und könnte auch eine 7490 erhalten. Wie lässt sich hier eine VPN Lösung realisieren?
IPSec etwas anderes unterstützen die AVM FBs nicht.

Gruß
Dobby
Bitte warten ..
Mitglied: maretz
31.07.2017 um 06:52 Uhr
Wenn du wirklich auf beiden Seiten denselben Range haben musst bleibt dir nicht viel anderes übrig als per Subnet zu gehen... Auf A sagst du du deinem System das es 172.16.0.0/25 und auf B 172.16.0.128/25 hat. Somit kannst du das Routing herstellen.
Bitte warten ..
Mitglied: aqui
31.07.2017, aktualisiert um 15:49 Uhr
2 Schulstandorte mit Netzwerk Class B
Abgesehen das das ja eine gruselige Sache ist ein Netzwerk mit einem 16 Bit Prefix zu betreiben gibt es die Klassen schon seit Jahrzehnten nicht mehr. Das ist Netzwerk Steinzeit. Stichwort CIDR Masken.
Die goldene Netzwerk Regel besagt das du nie mehr als 150 bis max. 200 Clients in einer Layer 2 Doamin haben solltest. In so fern sind /16er Masken also reiner Overkill. Hat aber wohl jemand aus dem Lehrbuch abgetippt oder wusste wie gesagt nicht das "Klassen" aus der Netzwerk Steinzeit kommen und auch was Subnetzmasken sind
Letztlich ist es aber für die VPN Funktion erstmal egal..nur ein Hinweis hier ein Auge drauf zu haben und das nicht als dummes, flaches /16er Netz an den Standorten zu betreiben.
Segmentierung ist wie immer der Schlüssel zum Erfolg.

Zum eigentlichen Thema:
Wenn beide Standorte eine Netzwerk Adressierung von 172.16.0.0 /16 haben bist du chancenlos !!
Das kannst du das Projekt gleich vergessen, denn damit ist eine VPN Lösung nicht umzusetzen oder nur mit erheblichen Nachteilen.
VPN erfordert immer unterschiedliche IP Netze auf beiden Seiten will man effizient das VPN nutzen.
Das solltest du also zwingend so umsetzen.

Die 2 Optione die man machen könnte:
1.)
Man kann mit einigen VPN Protokollen wie z.B. SSL basierten (OpenVPN) ein Bridging machen über den VPN Tunnel. Das würde dann sogar erzwingen das die IP Adressierung auf beiden VPN Standorten identisch ist.
Gravierender Nachteil:
Der gesamte Broad- und Multicast Traffic beider Netze word über den VPN Tunnel übertragen und belastet diesen massiv in der Performance. Du hast also immer ein gewisses "Grundrauschen" als Last die die Weitverkehrsverbindung (xDSL etc.) permanent belastet.
2.)
Du kannst beidseitig mit bidirektionalem statischen NAT arbeiten.
Das erfordert entsprechende VPN Router oder FW Hardware die das kann und das supportet und das auch in entsprechender Geschwindigkeit.
Gravierender Nachteil:
Sehr hohe Hardware Anforderung. Erheblich aufwendigerer Warungs- und Konfigurationsaufwand der für jedes Endgerät endsprechend customized werden muss.

Aus technischer Sicht sind diese Workarounds nicht zu empfehlen und man kann dir nur dringenst davon abraten willst du keinen Schiffbruch erleiden.
Wenn das VPN Traffic Volumen allerdings sehr sehr niedrig ist und die Anzahl der Endgeräte in den /16er Netzen sehr klein ist, dann ist Option 1. machbar.
In einem sehr kleinen Netz ist die Broad- und Multicast Last in der Regel gering und tolerierbar auch bei einer LAN zu LAN Kopplung wie du sie anstrebst.

Letztlich kann man dir nur raten die IP Adressierung auf einer Seite (wo es am wenigsten Aufwand ist) sauber anzupassen auf ein anderes IP Netz.
Wenn du Glück hast ist die Verteilung nicht identiosch in den N etzwerken und du brauchst lediglich die Subnetzmakse anpassen auf /24. Z.B.
Standort 1: IP Adressen im Bereich 172.16.1.x
Standort 1: IP Adressen im Bereich 172.16.100.x
Dann reicht es an beiden Standorten die Maske auf 255.255.255.0 zu ändern und fertig ist der Lack.
Dumm wäre nur wenn die IP Adressierung wirklich vollkommen identisch im selben Bereich ist. Wenn man schon eine /16er Maske hätte wäre das äußerst dumm.

Mit der Ordnung der IP Netze bist du zukünftig immer auf der sicheren Seite ohne irgendwelche Frickel Klimmzüge.
Zudem bist du zusätzlich dann vollkommen frei in der Wahl deiner einzusetzenden Hardware und deines zu verwendeden VPN Protokolls.
Eine Wahlfreiheit die man nicht unterschätzen sollte.
Bitte warten ..
Mitglied: elo22.
01.08.2017 um 04:44 Uhr
Danke für die antworten. Also am Standort A gibt es noch einen speedport. Dort muss noch auf VDSL umgestellt werden dann mit einer 7490. Da könnte man mit zwei IP-Bereichen arbeiten. Bei B ist das nicht so einfach möglich wenn überhaupt. Problem ist der wechselnde Arbeitsplatz von Notebook. Das muss immer auf eine Software in A zugreifen können.

Lutz
Bitte warten ..
Mitglied: 108012
01.08.2017 um 06:02 Uhr
Danke für die antworten. Also am Standort A gibt es noch einen speedport.
Der ist leider nicht VPN fähig!

Dort muss noch auf VDSL umgestellt werden dann mit einer 7490.
Auf jeden Fall muss ein VPN fähiger Router her.

Da könnte man mit zwei IP-Bereichen arbeiten. Bei B ist das nicht so einfach möglich wenn überhaupt.
Wenn auf beiden Seiten ein gleiches IP Netz vorhanden ist, dann sollte das auch mit Problemen behaftet sein, denn dann bekommt
man meist eine VPN Verbindung "hin die steht", aber es fließen keine Daten durch und man kann auf nichts zugreifen, auf der anderen Seite.

Problem ist der wechselnde Arbeitsplatz von Notebook. Das muss immer auf eine Software in A zugreifen können.
Wenn man zwei Router oder Firewalls hätte die OpenVPN unterstützen kann das einfacher realisiert werden oder aber
man stellt zwei kleine MikroTik ROuter oder RadspBerry PIs in die DMZ hin und erledigt das VPn dann darüber.

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
01.08.2017 um 10:15 Uhr
Also am Standort A gibt es noch einen speedport.
Igitt !! So einen Sc hrott sollterst du besser nicht einsetzen. Das ist 100pro etwas für den Recycling Hof und hat nichts in einem VPN Netzwerk zu suchen.
Die FB ist da die bessere Wahl. Noch sinniger wäre einen potenteren Router einzusetzen wie Lancom, Bintec oder Cisco.
Das IP Adressierungsproblem musst du in den Griff bekommen. Wenn du am Standort A die IP Adressierung umstellen kannst da tue das !
Alles andere würde auch gehen, erfordert aber einen weit höheren Management Aufwand und schränkt die Performance gravierend ein.

Das Notebook was beidseitig zugreifen muss ist ja nicht das Problem. Das kann es ja immer problemlos wenn die VPN Verbindung steht. Nur dafür musst du eine saubere IP Adressierung haben an beiden Standorten damit das VPN auch sicher funktioniert.
Hast du überhaupt schon eine Vorstellung wie und mit welchem Protokoll du das VPN realisieren willst ?
Bitte warten ..
Ähnliche Inhalte
CPU, RAM, Mainboards
RAM Planung
gelöst Frage von PharITCPU, RAM, Mainboards8 Kommentare

Hallo allerseits, gerade auf der Fujitsu-Homepage einen Server gesehen, den die "für den Mittelstand" bezeichnen, der 1,5TB RAM unterstützt. ...

Netzwerke
Heimnetzwerk - Planung - Vlan
Frage von MIlexxNetzwerke9 Kommentare

Hallo :), momentan bin ich drauf und dran mein Netzwerk neu aufzustellen. Ich habe vor, das Netzwerk in drei ...

Server-Hardware
Festplatten-Planung Server
Frage von TomJonesServer-Hardware10 Kommentare

Hi zusammen, da ich -leider- keine Erfahrungen mit RAID5 habe, nur RAID1, 10 - muss ich vermutlich für Euch ...

LAN, WAN, Wireless
Planung eines Heimnetzes
Frage von Freezer2602LAN, WAN, Wireless1 Kommentar

Hallo zusammen, lange war ich stiller mitlesender in diesem Forum, jetzt habe ich mich aufgrund meines Anliegens angemeldet. Kurz ...

Neue Wissensbeiträge
Administrator.de Feedback
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 6 StundenAdministrator.de Feedback

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Netzwerkmanagement

Neue Angebotsmail ist raus: 10 Prozent auf alle Docusnap Lizenzen

Information von Frank vor 13 StundenNetzwerkmanagement

Hallo IT-Pros, unsere Angebotsmail ist raus: Exklusive für unsere Administrator.de-Mitglieder gibt es heute auf alle Miet- und Kauflizenzen von ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 16 StundenWindows 103 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 1 TagE-Mail9 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows Server
Ungewollte IP Änderung am DC sorgt für Probleme
Frage von thomas-99Windows Server19 Kommentare

Hallo Zusammen, wir haben ein kleines Netz mit 5 verschiedenen VMs (DC, AD, Fileserver, Exchange, TK Anlage - alle ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server19 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Hyper-V
Novell virtualisieren
Frage von spoboeHyper-V18 Kommentare

Hallo zusammen, ich habe absolut keine Ahnung von Novell, aber wir haben hier ein ganz altes Schätzchen (vermutlich Novell ...