VPN Router Empfehlung gesucht
Hallo,
ich suche einen Router für eine kleine Büroumgebung, wichtig ist die Nutzung mittels VPN, vorzugsweise IPSec.
Aktuell ist dieser Netgear im Einsatz: VPN-Problem mit NETGEAR ProSafe FVS336GV2
Das Büronetz ist hinter einem weiteren Netzwerk "verborgen", daran lässt sich nichts ändern. Dort sind NAT und IPSec-Ports freigeschaltet, sonst gibt es keine weiteren Konfigurationsmöglichkeiten. Bisher funktioniert das System, allerdings stößt der VPN-Support an seine Grenzen. Problem: die VPN-Verbindung von außen bricht zusammen oder lässt sich nicht aufbauen, wenn der Traffic zu hoch ist, bzw. zu viele (mehr wie zwei) User per VPN berbunden sind.
Im Netgear-Router lässt sich leider kein Load Balancing einstellen.
Zwischenzeitlich hatte ich einen Draytek Vigor 2960 im Einsatz, leider ist mir dort nie die erfolgreiche Nutzung von IPsec geglückt.
Die Anforderungen sind:
- Netzzugang über einen WAN-Port
- VPN mittels IPsec und Shrew VPN Client sowie mit Android (mit NCP)
- Load Balancing, bzw. das man bestimmten VPN-Usern immer Vorrang geben kann gegenüber anderen und dem allgemeinen Traffic
- außreichend Leistung (mehrere gleichzeitige VPN-Verbindungen, aber nicht mehr wie maximal 8-10)
- Definierung von IP-abhängigen Routen (sollte ein Router ja aber hinbekommen)
WLAN wird nicht unbedingt benötigt, dafür gibt es extra Geräte.
Was könnt ihr hier empfehlen? Preis ist zweitrangig, solange die Leistung stimmt. Muss aber nicht 4stellig sein (außer es lässt sich begründen).
Grade weil ich schon schlechte Erfahrung mit VPN-Tauglichkeit gemacht habe (Draytek) und die Load Balance wichtig ist, suche ich hier mal gezielt nach Empfehlungen.
ich suche einen Router für eine kleine Büroumgebung, wichtig ist die Nutzung mittels VPN, vorzugsweise IPSec.
Aktuell ist dieser Netgear im Einsatz: VPN-Problem mit NETGEAR ProSafe FVS336GV2
Das Büronetz ist hinter einem weiteren Netzwerk "verborgen", daran lässt sich nichts ändern. Dort sind NAT und IPSec-Ports freigeschaltet, sonst gibt es keine weiteren Konfigurationsmöglichkeiten. Bisher funktioniert das System, allerdings stößt der VPN-Support an seine Grenzen. Problem: die VPN-Verbindung von außen bricht zusammen oder lässt sich nicht aufbauen, wenn der Traffic zu hoch ist, bzw. zu viele (mehr wie zwei) User per VPN berbunden sind.
Im Netgear-Router lässt sich leider kein Load Balancing einstellen.
Zwischenzeitlich hatte ich einen Draytek Vigor 2960 im Einsatz, leider ist mir dort nie die erfolgreiche Nutzung von IPsec geglückt.
Die Anforderungen sind:
- Netzzugang über einen WAN-Port
- VPN mittels IPsec und Shrew VPN Client sowie mit Android (mit NCP)
- Load Balancing, bzw. das man bestimmten VPN-Usern immer Vorrang geben kann gegenüber anderen und dem allgemeinen Traffic
- außreichend Leistung (mehrere gleichzeitige VPN-Verbindungen, aber nicht mehr wie maximal 8-10)
- Definierung von IP-abhängigen Routen (sollte ein Router ja aber hinbekommen)
WLAN wird nicht unbedingt benötigt, dafür gibt es extra Geräte.
Was könnt ihr hier empfehlen? Preis ist zweitrangig, solange die Leistung stimmt. Muss aber nicht 4stellig sein (außer es lässt sich begründen).
Grade weil ich schon schlechte Erfahrung mit VPN-Tauglichkeit gemacht habe (Draytek) und die Load Balance wichtig ist, suche ich hier mal gezielt nach Empfehlungen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365030
Url: https://administrator.de/contentid/365030
Ausgedruckt am: 07.11.2024 um 18:11 Uhr
13 Kommentare
Neuester Kommentar
Dass sich Dein VPN-Gateway hinter einem NAT-Device befindet, welches zu allem Überfluß noch nicht einmal Deiner administrativen Kontrolle unterliegt, ist natürlich keine gute Voraussetzung.
Auch wenn sowohl DrayDreck als auch NetGear einen sagen wir mal bescheidenen Ruf genießen, sollten sie dennoch problemlos in der Lage sein, mehr als zwei C2S-IPSec-Tunnel gleichzeitig stabil zu bedienen. Meiner Erfahrung nach ist in dieser Konstellation meist das NAT-Gateway vor dem VPN-Endpunkt das Problem. Ein oder zwei Tunnel bekommt man problemlos hin. Danach wird es instabil. Spätestens wenn es selbst auch als VPN-Gateway herhalten soll, kommt es zu Problemen.
Wenn Du an dieser Konstellation wirklich nichts ändern kannst, dann überlege Dir, von nativem IPSec weg zu gehen. Am zielführensten dürfte TLS/SSL oder IPSec in TLS/SSL encapsuliert sein. Dein DrayDreck kann ja angeblich bis zu 50 SSL-VPN-Tunnel. Damit würde ich erstmal experimentieren (und dann etwas professionelleres einsetzen).
Gruß
sk
P.S.
und bitte
https://www.studienkreis.de/deutsch/vergleiche-wie-als-unterschied
http://www.wie-als.de/
Es schmerzt einfach, dies lesen zu müssen.
Auch wenn sowohl DrayDreck als auch NetGear einen sagen wir mal bescheidenen Ruf genießen, sollten sie dennoch problemlos in der Lage sein, mehr als zwei C2S-IPSec-Tunnel gleichzeitig stabil zu bedienen. Meiner Erfahrung nach ist in dieser Konstellation meist das NAT-Gateway vor dem VPN-Endpunkt das Problem. Ein oder zwei Tunnel bekommt man problemlos hin. Danach wird es instabil. Spätestens wenn es selbst auch als VPN-Gateway herhalten soll, kommt es zu Problemen.
Wenn Du an dieser Konstellation wirklich nichts ändern kannst, dann überlege Dir, von nativem IPSec weg zu gehen. Am zielführensten dürfte TLS/SSL oder IPSec in TLS/SSL encapsuliert sein. Dein DrayDreck kann ja angeblich bis zu 50 SSL-VPN-Tunnel. Damit würde ich erstmal experimentieren (und dann etwas professionelleres einsetzen).
Gruß
sk
P.S.
und bitte
https://www.studienkreis.de/deutsch/vergleiche-wie-als-unterschied
http://www.wie-als.de/
Es schmerzt einfach, dies lesen zu müssen.
Moin...
P.S.
und bitte
https://www.studienkreis.de/deutsch/vergleiche-wie-als-unterschied
http://www.wie-als.de/
Es schmerzt einfach, dies lesen zu müssen.
oh... ein ganz schlauer...
ich habe schon schlimmeres gelesen...und finde dein post etwas unangebracht!
Load Balancing ist was gaaaaanz anderes als QoS....
also ihr beiden... Setzen, sechs!!!
du willst ja keine 2 WAN ports verdängeln, sondern deinen TCP Verkehr priorisieren!
ich rate dir zu einem Draytek Vigor 2960... und lerne etwas über VPN´s....
Frank
P.S.
und bitte
https://www.studienkreis.de/deutsch/vergleiche-wie-als-unterschied
http://www.wie-als.de/
Es schmerzt einfach, dies lesen zu müssen.
ich habe schon schlimmeres gelesen...und finde dein post etwas unangebracht!
Zwischenzeitlich hatte ich einen Draytek Vigor 2960 im Einsatz, leider ist mir dort nie die erfolgreiche Nutzung von IPsec geglückt.
also wer mit einem Vigor kein VPN erstellen kann.... oh je...... Die Anforderungen sind:
- Netzzugang über einen WAN-Port
klar... wie sonst- Netzzugang über einen WAN-Port
- VPN mittels IPsec und Shrew VPN Client sowie mit Android (mit NCP)
ok... ist ja einfach...- Load Balancing, bzw. das man bestimmten VPN-Usern immer Vorrang geben kann gegenüber anderen und dem allgemeinen Traffic
un da liegt der Hase im Pfeffer, und unser deutschlehrer, kollege @sk hat auch nicht aufgepasst- dennLoad Balancing ist was gaaaaanz anderes als QoS....
also ihr beiden... Setzen, sechs!!!
du willst ja keine 2 WAN ports verdängeln, sondern deinen TCP Verkehr priorisieren!
- außreichend Leistung (mehrere gleichzeitige VPN-Verbindungen, aber nicht mehr wie maximal 8-10)
kinderkram...- Definierung von IP-abhängigen Routen (sollte ein Router ja aber hinbekommen)
kein problem....ich rate dir zu einem Draytek Vigor 2960... und lerne etwas über VPN´s....
Frank
Hallo Frank,
willkommen im Klub der selbsternannten Oberlehrer!
Aus dem Umstand, dass ich es vorzog, die für jeden Fachmann offenkundige Fehlverwendung eines Fachbegriffes nicht zu rügen, weil ich die eigentliche Problemursache ohnehin an anderer Stelle vermute, sollte Dich nicht zur Fehlannahme verleiten, dass es mir nicht aufgefallen wäre.
Die Vergewaltigung der deutschen Sprache verursacht mir nur wesentlich mehr Unbehagen.
Gruß
Steffen
willkommen im Klub der selbsternannten Oberlehrer!
Aus dem Umstand, dass ich es vorzog, die für jeden Fachmann offenkundige Fehlverwendung eines Fachbegriffes nicht zu rügen, weil ich die eigentliche Problemursache ohnehin an anderer Stelle vermute, sollte Dich nicht zur Fehlannahme verleiten, dass es mir nicht aufgefallen wäre.
Die Vergewaltigung der deutschen Sprache verursacht mir nur wesentlich mehr Unbehagen.
Gruß
Steffen
Moin..
willkommen im Klub der selbsternannten Oberlehrer!
Danke... habe ich damit automatisch einen Akademischen Grad?
Aus dem Umstand, dass ich es vorzog, die für jeden Fachmann offenkundige Fehlverwendung eines Fachbegriffes nicht zu rügen, weil ich die eigentliche Problemursache ohnehin an anderer Stelle vermute, sollte Dich nicht zur Fehlannahme verleiten, dass es mir nicht aufgefallen wäre.
oha... warum hast du es nicht kundgetan?
es gibt vielleicht medizinische gründe, das Menschen die Deutsche Sprache in Wort und Schrift zeitweise verloren haben, und mühsam alles neu erlenen müssen...
und deswegen finde ich deine ansprache eher unpassend und nicht zielführend für den TO...
zurück zum Thema:
wenn die VPN-Verbindung von außen zusammenbricht weil der traffic zu hoch ist, nutzt weder ein QoS noch IPSec in TLS/SSL encapsuliert was... dann ist schlicht zuwenig bandbreite vorhanden!
der Router vor seinem Router könnte da nur mit QoS was richten....
Gruß
Steffen
Frank
willkommen im Klub der selbsternannten Oberlehrer!
Aus dem Umstand, dass ich es vorzog, die für jeden Fachmann offenkundige Fehlverwendung eines Fachbegriffes nicht zu rügen, weil ich die eigentliche Problemursache ohnehin an anderer Stelle vermute, sollte Dich nicht zur Fehlannahme verleiten, dass es mir nicht aufgefallen wäre.
Die Vergewaltigung der deutschen Sprache verursacht mir nur wesentlich mehr Unbehagen.
ach was... stell dir vor, es mag Menschen geben, die sind froh, die Vergewaltigung der deutschen Sprache durchführen zu können, in Wort und Schrift!es gibt vielleicht medizinische gründe, das Menschen die Deutsche Sprache in Wort und Schrift zeitweise verloren haben, und mühsam alles neu erlenen müssen...
und deswegen finde ich deine ansprache eher unpassend und nicht zielführend für den TO...
zurück zum Thema:
wenn die VPN-Verbindung von außen zusammenbricht weil der traffic zu hoch ist, nutzt weder ein QoS noch IPSec in TLS/SSL encapsuliert was... dann ist schlicht zuwenig bandbreite vorhanden!
der Router vor seinem Router könnte da nur mit QoS was richten....
Gruß
Steffen
Um mal wieder zum Thema zu kommen bist du mit einer pfSense bestens bedient:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder ein Cisco 800er Router tuts natürlich ebenso gut:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Genau wie auch die anderen üblichen Verdächtigen, Lancom, Bintec, Draytek, FritzBox, Mikrotik....usw.
Such dir den schönsten aus.
Wenn du allerdings schon an einer IPsec Konfig an einem Draytek scheiterst (wo sie in der Regel problemlos funktioniert) hast du vermutlich ein ganz anderes Problem.
Deshalb ist die Empfehlung es mit der Draytek Gurke zu lösen erstmal sicher nicht ganz falsch.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder ein Cisco 800er Router tuts natürlich ebenso gut:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Genau wie auch die anderen üblichen Verdächtigen, Lancom, Bintec, Draytek, FritzBox, Mikrotik....usw.
Such dir den schönsten aus.
Wenn du allerdings schon an einer IPsec Konfig an einem Draytek scheiterst (wo sie in der Regel problemlos funktioniert) hast du vermutlich ein ganz anderes Problem.
Deshalb ist die Empfehlung es mit der Draytek Gurke zu lösen erstmal sicher nicht ganz falsch.
moin..
egal... schreib mir ne PN, ich mach dir das in 10 min....allerdings rechne ich nur ganze stunden ab....
dein virtuellen Schulterklopfer kostet dich dann 110 euro netto, die Stunde versteht sich... wenn du magst. nehme ich mir für dich auch den ganzen Tag zeit
Frank
Merkwürdig ist nur, dass das - zugegeben sehr umfangreiche und übersichtliche - Menü des Draytek im IPSec-Bereich ganz andere Parameter "benennt", als es der Netgear tut. Dadurch lassen sich die Einstellungen nicht einfach übertragen.
Sorry, was ist da nicht verständlich? mach mal die knöppe auf!Also wenn ihr so clever seid, wir ihr es sein wollt, dann nutzt die bis jetzt vorhandenen Infos aus dem Netgear-Thread und dem Draytek-Thread und schlagt bis nächste Woche eine Lösung vor. Dann bekommt ihr von mir einen virtuellen Schulterklopfer, sobald ich wieder fit bin und es testen kann.
ich schlage als lösung vor, du machst es einfach... zeit... 10 min!Denn sich hier über eine leichtfertige Verwendung orthografisch falscher aber im Alltag regional gebräuchlicher Floskeln zu beschweren macht jetzt keinem zum echten Fachmann.
nun... der Fachmann bist du ja auch nicht... egal... schreib mir ne PN, ich mach dir das in 10 min....allerdings rechne ich nur ganze stunden ab....
dein virtuellen Schulterklopfer kostet dich dann 110 euro netto, die Stunde versteht sich... wenn du magst. nehme ich mir für dich auch den ganzen Tag zeit
Frank
Morgen
Dein VPN zwischen den Clients und dem FVS336G steht ja offensichtlich und bricht nur zusammen, wenn du hohen Traffic oder viele Sessions hast. Ist das korrekt?
Das dürfte dann wohl an der Limitierung der Netgear-Hardware liegen.
Laut Specs schafft diese nur 10 Mbps VPN Througput (3DES IPSEC-VPN) und maximal 10 parallele IPSEC-VPN-Verbindungen.
Ich habe einige dieser FVS336G im Einsatz gehabt. Einige wenige sind noch bei Kunden am Werkeln.
Die anderen sind (meist im Zuge der All-IP-Umstellung) Lancom Routern gewichen.
Diese sind wesentlich leistungsstärker und haben gerade für die Fehlerdiagnose passende Tools dabei.
Nicht zu vergessen der sehr gute Herstellersupport für Partner.
Als und wie zu verwechseln, ist kein orthographisches sondern ein grammatikalisches Problem und hat auch nichts mit regional gebräuchlichen Floskeln zu tun. Das wird überall im deutschsprachigen Raum verwechselt.
[Oberlehrermodus aus]
Zitat von @ZappBrannigen:
Merkwürdig ist nur, dass das - zugegeben sehr umfangreiche und übersichtliche - Menü des Draytek im IPSec-Bereich ganz andere Parameter "benennt", als es der Netgear tut. Dadurch lassen sich die Einstellungen nicht einfach übertragen.
(Eigtl. mag ich den Draytek auch lieber, weil das Menü deutlich vielseitiger und schneller ist als beim sehr trägen, simpel gestrickten Netgear.)
Merkwürdig ist nur, dass das - zugegeben sehr umfangreiche und übersichtliche - Menü des Draytek im IPSec-Bereich ganz andere Parameter "benennt", als es der Netgear tut. Dadurch lassen sich die Einstellungen nicht einfach übertragen.
(Eigtl. mag ich den Draytek auch lieber, weil das Menü deutlich vielseitiger und schneller ist als beim sehr trägen, simpel gestrickten Netgear.)
Dein VPN zwischen den Clients und dem FVS336G steht ja offensichtlich und bricht nur zusammen, wenn du hohen Traffic oder viele Sessions hast. Ist das korrekt?
Das dürfte dann wohl an der Limitierung der Netgear-Hardware liegen.
Laut Specs schafft diese nur 10 Mbps VPN Througput (3DES IPSEC-VPN) und maximal 10 parallele IPSEC-VPN-Verbindungen.
Also wenn ihr so clever seid, wir ihr es sein wollt, dann nutzt die bis jetzt vorhandenen Infos aus dem Netgear-Thread und dem Draytek-Thread und schlagt bis nächste Woche eine Lösung vor. Dann bekommt ihr von mir einen virtuellen Schulterklopfer, sobald ich wieder fit bin und es testen kann.
Ich habe einige dieser FVS336G im Einsatz gehabt. Einige wenige sind noch bei Kunden am Werkeln.
Die anderen sind (meist im Zuge der All-IP-Umstellung) Lancom Routern gewichen.
Diese sind wesentlich leistungsstärker und haben gerade für die Fehlerdiagnose passende Tools dabei.
Nicht zu vergessen der sehr gute Herstellersupport für Partner.
Denn sich hier über eine leichtfertige Verwendung orthografisch falscher aber im Alltag regional gebräuchlicher Floskeln zu beschweren macht jetzt keinem zum echten Fachmann.
[Oberlehrermodus an]Als und wie zu verwechseln, ist kein orthographisches sondern ein grammatikalisches Problem und hat auch nichts mit regional gebräuchlichen Floskeln zu tun. Das wird überall im deutschsprachigen Raum verwechselt.
[Oberlehrermodus aus]