zappbrannigen
Goto Top

VPN Router Empfehlung gesucht

Hallo,

ich suche einen Router für eine kleine Büroumgebung, wichtig ist die Nutzung mittels VPN, vorzugsweise IPSec.
Aktuell ist dieser Netgear im Einsatz: VPN-Problem mit NETGEAR ProSafe FVS336GV2

Das Büronetz ist hinter einem weiteren Netzwerk "verborgen", daran lässt sich nichts ändern. Dort sind NAT und IPSec-Ports freigeschaltet, sonst gibt es keine weiteren Konfigurationsmöglichkeiten. Bisher funktioniert das System, allerdings stößt der VPN-Support an seine Grenzen. Problem: die VPN-Verbindung von außen bricht zusammen oder lässt sich nicht aufbauen, wenn der Traffic zu hoch ist, bzw. zu viele (mehr wie zwei) User per VPN berbunden sind.
Im Netgear-Router lässt sich leider kein Load Balancing einstellen.

Zwischenzeitlich hatte ich einen Draytek Vigor 2960 im Einsatz, leider ist mir dort nie die erfolgreiche Nutzung von IPsec geglückt.

Die Anforderungen sind:
- Netzzugang über einen WAN-Port
- VPN mittels IPsec und Shrew VPN Client sowie mit Android (mit NCP)
- Load Balancing, bzw. das man bestimmten VPN-Usern immer Vorrang geben kann gegenüber anderen und dem allgemeinen Traffic
- außreichend Leistung (mehrere gleichzeitige VPN-Verbindungen, aber nicht mehr wie maximal 8-10)
- Definierung von IP-abhängigen Routen (sollte ein Router ja aber hinbekommen)

WLAN wird nicht unbedingt benötigt, dafür gibt es extra Geräte.

Was könnt ihr hier empfehlen? Preis ist zweitrangig, solange die Leistung stimmt. Muss aber nicht 4stellig sein (außer es lässt sich begründen).
Grade weil ich schon schlechte Erfahrung mit VPN-Tauglichkeit gemacht habe (Draytek) und die Load Balance wichtig ist, suche ich hier mal gezielt nach Empfehlungen.

Content-ID: 365030

Url: https://administrator.de/contentid/365030

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

Kuemmel
Kuemmel 16.02.2018 um 14:43:54 Uhr
Goto Top
Hi,

wie wäre es mit einem C891F?

Gruß
Kümmel
sk
sk 16.02.2018 aktualisiert um 15:23:43 Uhr
Goto Top
Dass sich Dein VPN-Gateway hinter einem NAT-Device befindet, welches zu allem Überfluß noch nicht einmal Deiner administrativen Kontrolle unterliegt, ist natürlich keine gute Voraussetzung.
Auch wenn sowohl DrayDreck als auch NetGear einen sagen wir mal bescheidenen Ruf genießen, sollten sie dennoch problemlos in der Lage sein, mehr als zwei C2S-IPSec-Tunnel gleichzeitig stabil zu bedienen. Meiner Erfahrung nach ist in dieser Konstellation meist das NAT-Gateway vor dem VPN-Endpunkt das Problem. Ein oder zwei Tunnel bekommt man problemlos hin. Danach wird es instabil. Spätestens wenn es selbst auch als VPN-Gateway herhalten soll, kommt es zu Problemen.
Wenn Du an dieser Konstellation wirklich nichts ändern kannst, dann überlege Dir, von nativem IPSec weg zu gehen. Am zielführensten dürfte TLS/SSL oder IPSec in TLS/SSL encapsuliert sein. Dein DrayDreck kann ja angeblich bis zu 50 SSL-VPN-Tunnel. Damit würde ich erstmal experimentieren (und dann etwas professionelleres einsetzen).

Gruß
sk

P.S.
und bitte
https://www.studienkreis.de/deutsch/vergleiche-wie-als-unterschied
http://www.wie-als.de/
Es schmerzt einfach, dies lesen zu müssen. face-smile
Vision2015
Vision2015 16.02.2018 um 16:01:35 Uhr
Goto Top
Moin...
oh... ein ganz schlauer... face-smile
ich habe schon schlimmeres gelesen...und finde dein post etwas unangebracht!

Zwischenzeitlich hatte ich einen Draytek Vigor 2960 im Einsatz, leider ist mir dort nie die erfolgreiche Nutzung von IPsec geglückt.
also wer mit einem Vigor kein VPN erstellen kann.... oh je...... face-smile

Die Anforderungen sind:
- Netzzugang über einen WAN-Port
klar... wie sonst
- VPN mittels IPsec und Shrew VPN Client sowie mit Android (mit NCP)
ok... ist ja einfach...
- Load Balancing, bzw. das man bestimmten VPN-Usern immer Vorrang geben kann gegenüber anderen und dem allgemeinen Traffic
un da liegt der Hase im Pfeffer, und unser deutschlehrer, kollege @sk hat auch nicht aufgepasst- denn
Load Balancing ist was gaaaaanz anderes als QoS....
also ihr beiden... Setzen, sechs!!!
du willst ja keine 2 WAN ports verdängeln, sondern deinen TCP Verkehr priorisieren!
- außreichend Leistung (mehrere gleichzeitige VPN-Verbindungen, aber nicht mehr wie maximal 8-10)
kinderkram...
- Definierung von IP-abhängigen Routen (sollte ein Router ja aber hinbekommen)
kein problem....
ich rate dir zu einem Draytek Vigor 2960... und lerne etwas über VPN´s....

Frank
sk
sk 16.02.2018 aktualisiert um 17:05:50 Uhr
Goto Top
Hallo Frank,

willkommen im Klub der selbsternannten Oberlehrer!

Aus dem Umstand, dass ich es vorzog, die für jeden Fachmann offenkundige Fehlverwendung eines Fachbegriffes nicht zu rügen, weil ich die eigentliche Problemursache ohnehin an anderer Stelle vermute, sollte Dich nicht zur Fehlannahme verleiten, dass es mir nicht aufgefallen wäre.
Die Vergewaltigung der deutschen Sprache verursacht mir nur wesentlich mehr Unbehagen. face-wink

Gruß
Steffen
Vision2015
Vision2015 16.02.2018 aktualisiert um 18:42:54 Uhr
Goto Top
Zitat von @sk:

Hallo Frank,
Moin..

willkommen im Klub der selbsternannten Oberlehrer!
Danke... habe ich damit automatisch einen Akademischen Grad? face-smile

Aus dem Umstand, dass ich es vorzog, die für jeden Fachmann offenkundige Fehlverwendung eines Fachbegriffes nicht zu rügen, weil ich die eigentliche Problemursache ohnehin an anderer Stelle vermute, sollte Dich nicht zur Fehlannahme verleiten, dass es mir nicht aufgefallen wäre.
oha... warum hast du es nicht kundgetan?
Die Vergewaltigung der deutschen Sprache verursacht mir nur wesentlich mehr Unbehagen. face-wink
ach was... stell dir vor, es mag Menschen geben, die sind froh, die Vergewaltigung der deutschen Sprache durchführen zu können, in Wort und Schrift!
es gibt vielleicht medizinische gründe, das Menschen die Deutsche Sprache in Wort und Schrift zeitweise verloren haben, und mühsam alles neu erlenen müssen...
und deswegen finde ich deine ansprache eher unpassend und nicht zielführend für den TO...

zurück zum Thema:

wenn die VPN-Verbindung von außen zusammenbricht weil der traffic zu hoch ist, nutzt weder ein QoS noch IPSec in TLS/SSL encapsuliert was... dann ist schlicht zuwenig bandbreite vorhanden!
der Router vor seinem Router könnte da nur mit QoS was richten....


Gruß
Steffen
Frank
aqui
aqui 17.02.2018 um 13:51:18 Uhr
Goto Top
Um mal wieder zum Thema zu kommen bist du mit einer pfSense bestens bedient:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Oder ein Cisco 800er Router tuts natürlich ebenso gut:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Genau wie auch die anderen üblichen Verdächtigen, Lancom, Bintec, Draytek, FritzBox, Mikrotik....usw.
Such dir den schönsten aus.
Wenn du allerdings schon an einer IPsec Konfig an einem Draytek scheiterst (wo sie in der Regel problemlos funktioniert) hast du vermutlich ein ganz anderes Problem.
Deshalb ist die Empfehlung es mit der Draytek Gurke zu lösen erstmal sicher nicht ganz falsch.
ZappBrannigen
ZappBrannigen 21.02.2018 aktualisiert um 16:31:01 Uhr
Goto Top
Ich bin derzeit hier etwas spärlich unterwegs da diese Woche krank zuhause... nur als kurze Zwischenmeldung.

Ihr könnt gern den von mir verlinkten Draytek-Thread wieder aufleben lassen und mir dort bei der Konfiguration behilflich sein.
Ich habe da sehr viel Zeit reingesteckt und so ziemlich alles ausprobiert, es scheint nur an einem kleinen Parameter zu hängen (vermute ich), der wahrscheinlich nicht ganz naheliegend ist.

Merkwürdig ist nur, dass das - zugegeben sehr umfangreiche und übersichtliche - Menü des Draytek im IPSec-Bereich ganz andere Parameter "benennt", als es der Netgear tut. Dadurch lassen sich die Einstellungen nicht einfach übertragen.
(Eigtl. mag ich den Draytek auch lieber, weil das Menü deutlich vielseitiger und schneller ist als beim sehr trägen, simpel gestrickten Netgear.)

Also wenn ihr so clever seid, wir ihr es sein wollt, dann nutzt die bis jetzt vorhandenen Infos aus dem Netgear-Thread und dem Draytek-Thread und schlagt bis nächste Woche eine Lösung vor. Dann bekommt ihr von mir einen virtuellen Schulterklopfer, sobald ich wieder fit bin und es testen kann.
Denn sich hier über eine leichtfertige Verwendung orthografisch falscher aber im Alltag regional gebräuchlicher Floskeln zu beschweren macht jetzt keinem zum echten Fachmann.
aqui
aqui 21.02.2018 um 17:49:21 Uhr
Goto Top
und schlagt bis nächste Woche eine Lösung vor.
Ist das ein Befehl oder eine Arbeitsanweisung ?!
Kuemmel
Kuemmel 21.02.2018 um 17:55:11 Uhr
Goto Top
und schlagt bis nächste Woche eine Lösung vor.
Wo darf ich denn die Rechnung hinschicken?
Vision2015
Vision2015 22.02.2018 aktualisiert um 14:55:26 Uhr
Goto Top
moin..
Merkwürdig ist nur, dass das - zugegeben sehr umfangreiche und übersichtliche - Menü des Draytek im IPSec-Bereich ganz andere Parameter "benennt", als es der Netgear tut. Dadurch lassen sich die Einstellungen nicht einfach übertragen.
Sorry, was ist da nicht verständlich? mach mal die knöppe auf!
Also wenn ihr so clever seid, wir ihr es sein wollt, dann nutzt die bis jetzt vorhandenen Infos aus dem Netgear-Thread und dem Draytek-Thread und schlagt bis nächste Woche eine Lösung vor. Dann bekommt ihr von mir einen virtuellen Schulterklopfer, sobald ich wieder fit bin und es testen kann.
ich schlage als lösung vor, du machst es einfach... zeit... 10 min!
Denn sich hier über eine leichtfertige Verwendung orthografisch falscher aber im Alltag regional gebräuchlicher Floskeln zu beschweren macht jetzt keinem zum echten Fachmann.
nun... der Fachmann bist du ja auch nicht... face-smile
egal... schreib mir ne PN, ich mach dir das in 10 min....allerdings rechne ich nur ganze stunden ab....
dein virtuellen Schulterklopfer kostet dich dann 110 euro netto, die Stunde versteht sich... wenn du magst. nehme ich mir für dich auch den ganzen Tag zeit face-smile

Frank
ZappBrannigen
ZappBrannigen 26.02.2018 um 09:50:12 Uhr
Goto Top
Ein Ansporn ;)

Aber ich merke schon, auch an den nachfolgenden Kommentaren, mehr wie heiße Luft is hier nicht.
Zumindest schau ich mir mal deine Empfehlungen an, danke!
aqui
aqui 26.02.2018 um 09:55:17 Uhr
Goto Top
Wie man in den Wald reinruft so schallt es heraus. Bläst man also heisse Luft rein, kommt auch nur heisse Luft raus.
Ganz einfaches Prinzip ! face-smile
goscho
goscho 26.02.2018 um 11:18:05 Uhr
Goto Top
Morgen face-smile
Zitat von @ZappBrannigen:
Merkwürdig ist nur, dass das - zugegeben sehr umfangreiche und übersichtliche - Menü des Draytek im IPSec-Bereich ganz andere Parameter "benennt", als es der Netgear tut. Dadurch lassen sich die Einstellungen nicht einfach übertragen.
(Eigtl. mag ich den Draytek auch lieber, weil das Menü deutlich vielseitiger und schneller ist als beim sehr trägen, simpel gestrickten Netgear.)

Dein VPN zwischen den Clients und dem FVS336G steht ja offensichtlich und bricht nur zusammen, wenn du hohen Traffic oder viele Sessions hast. Ist das korrekt?
Das dürfte dann wohl an der Limitierung der Netgear-Hardware liegen.
Laut Specs schafft diese nur 10 Mbps VPN Througput (3DES IPSEC-VPN) und maximal 10 parallele IPSEC-VPN-Verbindungen.

Also wenn ihr so clever seid, wir ihr es sein wollt, dann nutzt die bis jetzt vorhandenen Infos aus dem Netgear-Thread und dem Draytek-Thread und schlagt bis nächste Woche eine Lösung vor. Dann bekommt ihr von mir einen virtuellen Schulterklopfer, sobald ich wieder fit bin und es testen kann.

Ich habe einige dieser FVS336G im Einsatz gehabt. Einige wenige sind noch bei Kunden am Werkeln.
Die anderen sind (meist im Zuge der All-IP-Umstellung) Lancom Routern gewichen.
Diese sind wesentlich leistungsstärker und haben gerade für die Fehlerdiagnose passende Tools dabei.
Nicht zu vergessen der sehr gute Herstellersupport für Partner.

Denn sich hier über eine leichtfertige Verwendung orthografisch falscher aber im Alltag regional gebräuchlicher Floskeln zu beschweren macht jetzt keinem zum echten Fachmann.
[Oberlehrermodus an]
Als und wie zu verwechseln, ist kein orthographisches sondern ein grammatikalisches Problem und hat auch nichts mit regional gebräuchlichen Floskeln zu tun. Das wird überall im deutschsprachigen Raum verwechselt. face-wink
[Oberlehrermodus aus]