freak-on-silicon
Goto Top

VPN zwischen zwei Standorten - Fortigate und ISP Business Modem

Servus;

Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.

Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.

Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.

Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.

Ich bin mir sicher dass viele Mikrotik empfehlen würden, damit habe ich noch keine Erfahrung.

Aber was sagt ihr dazu wenn ich einen Mikrotik hex nehme für Standort B und mit IPsec Site-to-Site auf die Fortigate auf Standort A gehe?
Da frage ich mich halt nur wie ich das derzeit einrichten soll. Geht das dann über portforwarding? Oder muss der Mikrotik eine exteren IP haben?


Ich würde am liebsten in eine Fortigate 40F oder ähnlich investieren.

PS: Nein, ich kann kein Systemhaus beauftragen, nein ich verdiene nichts dabei, bin da angestellt, und Pech.

PPS: Ich hole mir gerade ein Angebot über eine Fortigate 30E bzw 40F ein, die sind günstiger als ich dachte, bin noch auf den Support gespannt was der kostet.

Content-Key: 644605

Url: https://administrator.de/contentid/644605

Ausgedruckt am: 26.09.2022 um 21:09 Uhr

Mitglied: tikayevent
tikayevent 25.01.2021 um 13:37:44 Uhr
Goto Top
Im Zweifelsfall würde sogar eine 100€ Fritzbox reichen. A1 Business Modem klingt erstmal nach Österreich. Wie sieht es da mit der Austauschbarkeit der Endgeräte aus?

Mikrotik ja, wäre eine gute Option, nur da ist halt schon einiges an Komplexität hinter und insbesondere bei Vernetzung verschiedener Systeme kann das schon richtig ausarten.

Da sowohl Fortigate als auch der Mikrotik, aber auch die meisten anderen Router heutzutage NAT-Traversal-fähig sind beim IPSec-VPN, brauchst du am Standort B nichts machen. Wichtig ist, dass der Standort A eine öffentliche und von außerhalb erreichbare IP hat. Dann dafür sorgen, dass der Standort B die VPN-Verbindung aufbaut und alles wird gut.
Mitglied: NordicMike
NordicMike 25.01.2021 um 13:37:53 Uhr
Goto Top
Ich würde die Verantwortung abgeben. Du verbrennst dir nur die Finger. Das sind Sicherheitsrelevante Sachen und am Ende bist du der Schuldige. Sag einfach: Ohne Firewall geht es nicht.
Mitglied: Mystery-at-min
Mystery-at-min 25.01.2021 aktualisiert um 13:44:44 Uhr
Goto Top
Pech.

So fängt es an.

Vorne eine Firewall, hinten nichts. Hinten ist die Tür offen. ...das ging früher auf dem Land, hatte meine Oma gerne so - Gott hab Sie selig - heute würd ich das nicht mehr machen, insbesondere nicht in der IT.. Außerdem bist du keine 80+.

Wenn kein Geld da ist. (wirst du mit Liebe und Hochachtung bezahlt? - nur mal so...), lass es bleiben. Ansonsten wandel das Pech in dem du die letzte Zeile mal hinterfragst. Die 3cx kostet, die Forti kostet, du kostest. Offensichtlich kannst du Systeme auswählen, aber hast keinen (ausreichenden ) Überblick. Willst du wirklich Pech haben? Mach es wie meine Oma, mit kritischer Infrastruktur und dann lass richtig Pech aufkommen und lass jemanden das überprüfen und klar konstatieren, was für ein tolles Design du entworfen hast - dann haftest du nämlich privat, mit barer Münze im Zweifel ist das auch nicht unbedingt gut für die Weiterbeschäftigung.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 25.01.2021 um 13:44:06 Uhr
Goto Top
Zitat von @tikayevent:

Im Zweifelsfall würde sogar eine 100€ Fritzbox reichen. A1 Business Modem klingt erstmal nach Österreich. Wie sieht es da mit der Austauschbarkeit der Endgeräte aus?

Ja, ist in Österreich, was genau meinst du mit "Austauschbarkeit der Endgeräte"?

Mikrotik ja, wäre eine gute Option, nur da ist halt schon einiges an Komplexität hinter und insbesondere bei Vernetzung verschiedener Systeme kann das schon richtig ausarten.

Ja, das befürchte ich, mit Fotigate kenn ich mich eigentlich ganz gut aus, und habe die seit 6 Jahren an mehreren Standorten im Einsatz.

Da sowohl Fortigate als auch der Mikrotik, aber auch die meisten anderen Router heutzutage NAT-Traversal-fähig sind beim IPSec-VPN, brauchst du am Standort B nichts machen. Wichtig ist, dass der Standort A eine öffentliche und von außerhalb erreichbare IP hat. Dann dafür sorgen, dass der Standort B die VPN-Verbindung aufbaut und alles wird gut.

Ja, beide Standorte, haben eine fixe öffentliche. NAT-Traversal lese ich mich gerade ein.

Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Mitglied: Freak-On-Silicon
Freak-On-Silicon 25.01.2021 um 13:44:29 Uhr
Goto Top
Zitat von @NordicMike:

Ich würde die Verantwortung abgeben. Du verbrennst dir nur die Finger. Das sind Sicherheitsrelevante Sachen und am Ende bist du der Schuldige. Sag einfach: Ohne Firewall geht es nicht.

Mit dem Kämpfe ich seit fünf Jahren.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 25.01.2021 um 13:46:20 Uhr
Goto Top
Zitat von @Mystery-at-min:

Pech.

So fängt es an.

Vorne eine Firewall, hinten nichts. Hinten ist die Tür offen. ...das ging früher auf dem Land, hatte meine Oma gerne so - Gott hab Sie selig - heute würd ich das nicht mehr machen, insbesondere nicht in der IT.. Außerdem bist du keine 80+.

Das A1 Business Modem ist ja eine Firewall, nur da komme ich nicht drauf, da muss ich wegen jedem ### die Hotline anrufen.

Wenn kein Geld da ist. (wirst du mit Liebe und Hochachtung bezahlt? - nur mal so...), lass es bleiben. Ansonsten wandel das Pech in dem du die letzte Zeile mal hinterfragst. Die 3cx kostet, die Forti kostet, du kostest. Offensichtlich kannst du Systeme auswählen, aber hast keinen (ausreichenden ) Überblick. Willst du wirklich Pech haben? Mach es wie meine Oma, mit kritischer Infrastruktur und dann lass richtig Pech aufkommen und lass jemanden das überprüfen und klar konstatieren, was für ein tolles Design du entworfen hast.

Es ist tatsächlich so, dass was passieren muss dass sich was ändert (-n kann).
Mir kann an sich nichts passieren.
Mitglied: tikayevent
tikayevent 25.01.2021 um 13:53:13 Uhr
Goto Top
Austauschbarkeit der Endgeräte heißt: Kannst du das vorhandene Gerät einfach gegen was anderes tauschen. In DE gibts die Endgerätefreiheit, also hier hat man vom Gesetz her die Möglichkeit, den WLAN-Toaster vom Provider gegen irgendwas anderes zu tauschen.

Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Alles, was bisher am A1-Gerät hängt, hängt dann hinter dem Mikrotik. Am A1-Gerät selbst hängt einfach nur noch der Mikrotik und mehr nicht. Wenn das A1-Gerät tauschbar ist, wäre ein simples DSL-Modem aber zu bevorzugen.
Mitglied: aqui
aqui 25.01.2021 aktualisiert um 14:02:37 Uhr
Goto Top
Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.
Das wäre in der Tat die gescheiteste Lösung !
Eine pfSense_Firewall oder ein Mikrotik Router (mit Router_Kaskade) ist die einfachste weil preiswertes Budget Lösung wie die Kollegen oben schon sagen und sollte dann allemal im Budget liegen.
Beide HW Lösungen sind voll kompatibel zum Fortigate VPN.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 25.01.2021 um 14:10:40 Uhr
Goto Top
Zitat von @tikayevent:

Austauschbarkeit der Endgeräte heißt: Kannst du das vorhandene Gerät einfach gegen was anderes tauschen. In DE gibts die Endgerätefreiheit, also hier hat man vom Gesetz her die Möglichkeit, den WLAN-Toaster vom Provider gegen irgendwas anderes zu tauschen.

Jo, das gibts bei uns eigentlich schon immer, außer bei Business.
Die würde aber das "Modem" einfach auf Brdige schalten, und fertig.

Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Alles, was bisher am A1-Gerät hängt, hängt dann hinter dem Mikrotik. Am A1-Gerät selbst hängt einfach nur noch der Mikrotik und mehr nicht. Wenn das A1-Gerät tauschbar ist, wäre ein simples DSL-Modem aber zu bevorzugen.

Ah, ok, so meinst du das. Sprich der Miktorik ist dann meine Firewall und Router.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 25.01.2021 um 14:13:40 Uhr
Goto Top
Zitat von @aqui:

Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.
Das wäre in der Tat die gescheiteste Lösung !
Eine pfSense_Firewall oder ein Mikrotik Router (mit Router_Kaskade) ist die einfachste weil preiswertes Budget Lösung wie die Kollegen oben schon sagen und sollte dann allemal im Budget liegen.
Beide HW Lösungen sind voll kompatibel zum Fortigate VPN.

An pFsense hatte ich noch gar nicht gedacht! Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).

Router Kaskade kann ich zum Glück umgehen, denn ich kann das Business "Modem" als reines Modem umschalten lassen.
Mitglied: mbehrens
mbehrens 25.01.2021 um 14:42:47 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.

Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.

Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.

Implementiere am zweiten Standort ein passendes 3CX SBC System.
Mitglied: aqui
aqui 25.01.2021 aktualisiert um 14:50:09 Uhr
Goto Top
Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).
Siehste ! Dann bist du doch Profi !!! 😉
Dann bettelst du im Einkauf einfach nach Kohle für ein kleines, schickes APU Board:
https://www.varia-store.com/de/produkt/103582-pc-engines-apu3d4-bundle-b ...
und fertisch ist deine Firewall Lösung für diese Location !
Wäre der Thread hier ja eigentlich komplett überflüssig gewesen ?! face-wink

Wenn das dem Einkauf noch weiter zu teuer ist nimmst du einen Mikrotik Hex-S
https://www.varia-store.com/de/produkt/97947-mikrotik-rb760igs-hex-s-mit ...
Viel billiger gehts dann aber nicht mehr....
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Mitglied: tikayevent
tikayevent 25.01.2021 um 15:10:34 Uhr
Goto Top
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Nicht so offensichtlich. Zufällige Neustarts sind da viel besser. Jeder merkt, dass da was ausgefallen ist, aber es wirkt nicht so, als wäre es gewollt. Mal lässt man ein bis zwei Stunden dazwischen und mal sinds nur wenige Minuten. Am besten noch lastspezifisch, also wenn die Mitarbeiter zur Arbeit kommen oder Feierabend machen die kürzeren Abstände, während der Mittagspause mal gar keine, ...
Mitglied: Freak-On-Silicon
Freak-On-Silicon 26.01.2021 um 11:47:05 Uhr
Goto Top
Zitat von @mbehrens:

Zitat von @Freak-On-Silicon:

Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.

Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.

Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.

Implementiere am zweiten Standort ein passendes 3CX SBC System.

Ja, das hab ich schon überlegt, aber dort sind nur zwei Telefone.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 26.01.2021 um 11:50:49 Uhr
Goto Top
Zitat von @aqui:

Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).
Siehste ! Dann bist du doch Profi !!! 😉
Dann bettelst du im Einkauf einfach nach Kohle für ein kleines, schickes APU Board:
https://www.varia-store.com/de/produkt/103582-pc-engines-apu3d4-bundle-b ...
und fertisch ist deine Firewall Lösung für diese Location !
Wäre der Thread hier ja eigentlich komplett überflüssig gewesen ?! face-wink

Ja, das Mikrotik Hex-S wird es vielleicht werden.
Aber es schaut vielleicht gar nicht so schlecht aus mit der zweiten Fortigate,
habe etwas meinen Charm spielen lassen face-big-smile
Ich hol mir immer gern noch eine Bestätigung für meine Gedankengänge face-smile

Wenn das dem Einkauf noch weiter zu teuer ist nimmst du einen Mikrotik Hex-S
https://www.varia-store.com/de/produkt/97947-mikrotik-rb760igs-hex-s-mit ...
Viel billiger gehts dann aber nicht mehr....
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉

Ich bin eigentlich der einzige in der IT. Was glaubst was da los ist wenn ich im Urlaub bin.
Erste Jännerwoche hatte ich Urlaub, hab trotzdem 35 Stunden gearbeitet, und das obwohl ein Tag ein Feiertag war.
Tja...
Mitglied: Freak-On-Silicon
Freak-On-Silicon 26.01.2021 um 11:53:28 Uhr
Goto Top
Zitat von @tikayevent:

Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Nicht so offensichtlich. Zufällige Neustarts sind da viel besser. Jeder merkt, dass da was ausgefallen ist, aber es wirkt nicht so, als wäre es gewollt. Mal lässt man ein bis zwei Stunden dazwischen und mal sinds nur wenige Minuten. Am besten noch lastspezifisch, also wenn die Mitarbeiter zur Arbeit kommen oder Feierabend machen die kürzeren Abstände, während der Mittagspause mal gar keine, ...

Als ich vor 5 Jahren angefangen habe dort zu arbeiten, waren nirgends USVs. Laut Chef "Für was denn, die Server müssen das doch aushalten".

Tja, dann war komischerweise mal ganz eigenartigerweise ein Stromausfall am Wochenende im Serverraum, tja, jetzt hab ich meine USVs.