VPN zwischen zwei Standorten - Fortigate und ISP Business Modem

Mitglied: Freak-On-Silicon

Freak-On-Silicon (Level 1) - Jetzt verbinden

25.01.2021, aktualisiert 13:48 Uhr, 571 Aufrufe, 16 Kommentare, 6 Danke

Servus;

Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.

Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.

Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.

Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.

Ich bin mir sicher dass viele Mikrotik empfehlen würden, damit habe ich noch keine Erfahrung.

Aber was sagt ihr dazu wenn ich einen Mikrotik hex nehme für Standort B und mit IPsec Site-to-Site auf die Fortigate auf Standort A gehe?
Da frage ich mich halt nur wie ich das derzeit einrichten soll. Geht das dann über portforwarding? Oder muss der Mikrotik eine exteren IP haben?


Ich würde am liebsten in eine Fortigate 40F oder ähnlich investieren.

PS: Nein, ich kann kein Systemhaus beauftragen, nein ich verdiene nichts dabei, bin da angestellt, und Pech.

PPS: Ich hole mir gerade ein Angebot über eine Fortigate 30E bzw 40F ein, die sind günstiger als ich dachte, bin noch auf den Support gespannt was der kostet.
Mitglied: tikayevent
25.01.2021 um 13:37 Uhr
Im Zweifelsfall würde sogar eine 100€ Fritzbox reichen. A1 Business Modem klingt erstmal nach Österreich. Wie sieht es da mit der Austauschbarkeit der Endgeräte aus?

Mikrotik ja, wäre eine gute Option, nur da ist halt schon einiges an Komplexität hinter und insbesondere bei Vernetzung verschiedener Systeme kann das schon richtig ausarten.

Da sowohl Fortigate als auch der Mikrotik, aber auch die meisten anderen Router heutzutage NAT-Traversal-fähig sind beim IPSec-VPN, brauchst du am Standort B nichts machen. Wichtig ist, dass der Standort A eine öffentliche und von außerhalb erreichbare IP hat. Dann dafür sorgen, dass der Standort B die VPN-Verbindung aufbaut und alles wird gut.
Bitte warten ..
Mitglied: NordicMike
25.01.2021 um 13:37 Uhr
Ich würde die Verantwortung abgeben. Du verbrennst dir nur die Finger. Das sind Sicherheitsrelevante Sachen und am Ende bist du der Schuldige. Sag einfach: Ohne Firewall geht es nicht.
Bitte warten ..
Mitglied: Mystery-at-min
25.01.2021, aktualisiert um 13:44 Uhr
Pech.

So fängt es an.

Vorne eine Firewall, hinten nichts. Hinten ist die Tür offen. ...das ging früher auf dem Land, hatte meine Oma gerne so - Gott hab Sie selig - heute würd ich das nicht mehr machen, insbesondere nicht in der IT.. Außerdem bist du keine 80+.

Wenn kein Geld da ist. (wirst du mit Liebe und Hochachtung bezahlt? - nur mal so...), lass es bleiben. Ansonsten wandel das Pech in dem du die letzte Zeile mal hinterfragst. Die 3cx kostet, die Forti kostet, du kostest. Offensichtlich kannst du Systeme auswählen, aber hast keinen (ausreichenden ) Überblick. Willst du wirklich Pech haben? Mach es wie meine Oma, mit kritischer Infrastruktur und dann lass richtig Pech aufkommen und lass jemanden das überprüfen und klar konstatieren, was für ein tolles Design du entworfen hast - dann haftest du nämlich privat, mit barer Münze im Zweifel ist das auch nicht unbedingt gut für die Weiterbeschäftigung.
Bitte warten ..
Mitglied: Freak-On-Silicon
25.01.2021 um 13:44 Uhr
Zitat von @tikayevent:

Im Zweifelsfall würde sogar eine 100€ Fritzbox reichen. A1 Business Modem klingt erstmal nach Österreich. Wie sieht es da mit der Austauschbarkeit der Endgeräte aus?

Ja, ist in Österreich, was genau meinst du mit "Austauschbarkeit der Endgeräte"?

Mikrotik ja, wäre eine gute Option, nur da ist halt schon einiges an Komplexität hinter und insbesondere bei Vernetzung verschiedener Systeme kann das schon richtig ausarten.

Ja, das befürchte ich, mit Fotigate kenn ich mich eigentlich ganz gut aus, und habe die seit 6 Jahren an mehreren Standorten im Einsatz.

Da sowohl Fortigate als auch der Mikrotik, aber auch die meisten anderen Router heutzutage NAT-Traversal-fähig sind beim IPSec-VPN, brauchst du am Standort B nichts machen. Wichtig ist, dass der Standort A eine öffentliche und von außerhalb erreichbare IP hat. Dann dafür sorgen, dass der Standort B die VPN-Verbindung aufbaut und alles wird gut.

Ja, beide Standorte, haben eine fixe öffentliche. NAT-Traversal lese ich mich gerade ein.

Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Bitte warten ..
Mitglied: Freak-On-Silicon
25.01.2021 um 13:44 Uhr
Zitat von @NordicMike:

Ich würde die Verantwortung abgeben. Du verbrennst dir nur die Finger. Das sind Sicherheitsrelevante Sachen und am Ende bist du der Schuldige. Sag einfach: Ohne Firewall geht es nicht.

Mit dem Kämpfe ich seit fünf Jahren.
Bitte warten ..
Mitglied: Freak-On-Silicon
25.01.2021 um 13:46 Uhr
Zitat von @Mystery-at-min:

Pech.

So fängt es an.

Vorne eine Firewall, hinten nichts. Hinten ist die Tür offen. ...das ging früher auf dem Land, hatte meine Oma gerne so - Gott hab Sie selig - heute würd ich das nicht mehr machen, insbesondere nicht in der IT.. Außerdem bist du keine 80+.

Das A1 Business Modem ist ja eine Firewall, nur da komme ich nicht drauf, da muss ich wegen jedem Scheiß die Hotline anrufen.

Wenn kein Geld da ist. (wirst du mit Liebe und Hochachtung bezahlt? - nur mal so...), lass es bleiben. Ansonsten wandel das Pech in dem du die letzte Zeile mal hinterfragst. Die 3cx kostet, die Forti kostet, du kostest. Offensichtlich kannst du Systeme auswählen, aber hast keinen (ausreichenden ) Überblick. Willst du wirklich Pech haben? Mach es wie meine Oma, mit kritischer Infrastruktur und dann lass richtig Pech aufkommen und lass jemanden das überprüfen und klar konstatieren, was für ein tolles Design du entworfen hast.

Es ist tatsächlich so, dass was passieren muss dass sich was ändert (-n kann).
Mir kann an sich nichts passieren.
Bitte warten ..
Mitglied: tikayevent
25.01.2021 um 13:53 Uhr
Austauschbarkeit der Endgeräte heißt: Kannst du das vorhandene Gerät einfach gegen was anderes tauschen. In DE gibts die Endgerätefreiheit, also hier hat man vom Gesetz her die Möglichkeit, den WLAN-Toaster vom Provider gegen irgendwas anderes zu tauschen.

Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Alles, was bisher am A1-Gerät hängt, hängt dann hinter dem Mikrotik. Am A1-Gerät selbst hängt einfach nur noch der Mikrotik und mehr nicht. Wenn das A1-Gerät tauschbar ist, wäre ein simples DSL-Modem aber zu bevorzugen.
Bitte warten ..
Mitglied: aqui
25.01.2021, aktualisiert um 14:02 Uhr
Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.
Das wäre in der Tat die gescheiteste Lösung !
Eine pfSense_Firewall oder ein Mikrotik Router (mit Router_Kaskade) ist die einfachste weil preiswertes Budget Lösung wie die Kollegen oben schon sagen und sollte dann allemal im Budget liegen.
Beide HW Lösungen sind voll kompatibel zum Fortigate VPN.
Bitte warten ..
Mitglied: Freak-On-Silicon
25.01.2021 um 14:10 Uhr
Zitat von @tikayevent:

Austauschbarkeit der Endgeräte heißt: Kannst du das vorhandene Gerät einfach gegen was anderes tauschen. In DE gibts die Endgerätefreiheit, also hier hat man vom Gesetz her die Möglichkeit, den WLAN-Toaster vom Provider gegen irgendwas anderes zu tauschen.

Jo, das gibts bei uns eigentlich schon immer, außer bei Business.
Die würde aber das "Modem" einfach auf Brdige schalten, und fertig.

Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Alles, was bisher am A1-Gerät hängt, hängt dann hinter dem Mikrotik. Am A1-Gerät selbst hängt einfach nur noch der Mikrotik und mehr nicht. Wenn das A1-Gerät tauschbar ist, wäre ein simples DSL-Modem aber zu bevorzugen.

Ah, ok, so meinst du das. Sprich der Miktorik ist dann meine Firewall und Router.
Bitte warten ..
Mitglied: Freak-On-Silicon
25.01.2021 um 14:13 Uhr
Zitat von @aqui:

Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.
Das wäre in der Tat die gescheiteste Lösung !
Eine pfSense_Firewall oder ein Mikrotik Router (mit Router_Kaskade) ist die einfachste weil preiswertes Budget Lösung wie die Kollegen oben schon sagen und sollte dann allemal im Budget liegen.
Beide HW Lösungen sind voll kompatibel zum Fortigate VPN.

An pFsense hatte ich noch gar nicht gedacht! Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).

Router Kaskade kann ich zum Glück umgehen, denn ich kann das Business "Modem" als reines Modem umschalten lassen.
Bitte warten ..
Mitglied: mbehrens
25.01.2021 um 14:42 Uhr
Zitat von @Freak-On-Silicon:

Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.

Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.

Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.

Implementiere am zweiten Standort ein passendes 3CX SBC System.
Bitte warten ..
Mitglied: aqui
25.01.2021, aktualisiert um 14:50 Uhr
Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).
Siehste ! Dann bist du doch Profi !!! 😉
Dann bettelst du im Einkauf einfach nach Kohle für ein kleines, schickes APU Board:
https://www.varia-store.com/de/produkt/103582-pc-engines-apu3d4-bundle-b ...
und fertisch ist deine Firewall Lösung für diese Location !
Wäre der Thread hier ja eigentlich komplett überflüssig gewesen ?! ;-) face-wink

Wenn das dem Einkauf noch weiter zu teuer ist nimmst du einen Mikrotik Hex-S
https://www.varia-store.com/de/produkt/97947-mikrotik-rb760igs-hex-s-mit ...
Viel billiger gehts dann aber nicht mehr....
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Bitte warten ..
Mitglied: tikayevent
25.01.2021 um 15:10 Uhr
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Nicht so offensichtlich. Zufällige Neustarts sind da viel besser. Jeder merkt, dass da was ausgefallen ist, aber es wirkt nicht so, als wäre es gewollt. Mal lässt man ein bis zwei Stunden dazwischen und mal sinds nur wenige Minuten. Am besten noch lastspezifisch, also wenn die Mitarbeiter zur Arbeit kommen oder Feierabend machen die kürzeren Abstände, während der Mittagspause mal gar keine, ...
Bitte warten ..
Mitglied: Freak-On-Silicon
26.01.2021 um 11:47 Uhr
Zitat von @mbehrens:

Zitat von @Freak-On-Silicon:

Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.

Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.

Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.

Implementiere am zweiten Standort ein passendes 3CX SBC System.

Ja, das hab ich schon überlegt, aber dort sind nur zwei Telefone.
Bitte warten ..
Mitglied: Freak-On-Silicon
26.01.2021 um 11:50 Uhr
Zitat von @aqui:

Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).
Siehste ! Dann bist du doch Profi !!! 😉
Dann bettelst du im Einkauf einfach nach Kohle für ein kleines, schickes APU Board:
https://www.varia-store.com/de/produkt/103582-pc-engines-apu3d4-bundle-b ...
und fertisch ist deine Firewall Lösung für diese Location !
Wäre der Thread hier ja eigentlich komplett überflüssig gewesen ?! ;-) face-wink

Ja, das Mikrotik Hex-S wird es vielleicht werden.
Aber es schaut vielleicht gar nicht so schlecht aus mit der zweiten Fortigate,
habe etwas meinen Charm spielen lassen :-D face-big-smile
Ich hol mir immer gern noch eine Bestätigung für meine Gedankengänge :-) face-smile

Wenn das dem Einkauf noch weiter zu teuer ist nimmst du einen Mikrotik Hex-S
https://www.varia-store.com/de/produkt/97947-mikrotik-rb760igs-hex-s-mit ...
Viel billiger gehts dann aber nicht mehr....
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉

Ich bin eigentlich der einzige in der IT. Was glaubst was da los ist wenn ich im Urlaub bin.
Erste Jännerwoche hatte ich Urlaub, hab trotzdem 35 Stunden gearbeitet, und das obwohl ein Tag ein Feiertag war.
Tja...
Bitte warten ..
Mitglied: Freak-On-Silicon
26.01.2021 um 11:53 Uhr
Zitat von @tikayevent:

Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Nicht so offensichtlich. Zufällige Neustarts sind da viel besser. Jeder merkt, dass da was ausgefallen ist, aber es wirkt nicht so, als wäre es gewollt. Mal lässt man ein bis zwei Stunden dazwischen und mal sinds nur wenige Minuten. Am besten noch lastspezifisch, also wenn die Mitarbeiter zur Arbeit kommen oder Feierabend machen die kürzeren Abstände, während der Mittagspause mal gar keine, ...

Als ich vor 5 Jahren angefangen habe dort zu arbeiten, waren nirgends USVs. Laut Chef "Für was denn, die Server müssen das doch aushalten".

Tja, dann war komischerweise mal ganz eigenartigerweise ein Stromausfall am Wochenende im Serverraum, tja, jetzt hab ich meine USVs.
Bitte warten ..
Heiß diskutierte Inhalte
MikroTik RouterOS
Simples VLAN bringt mich zur Verzweiflung
gelöst Daniel26Vor 1 TagFrageMikroTik RouterOS30 Kommentare

Moin, ich bin sehr neu im Mikrotik-Bereich, aber schon dabei, aufzuegeben. Wir verbauen in unserer Hardware Switche von Mikrotik. Bisher waren da Netgear-Teile drin, ...

LAN, WAN, Wireless
Switch läuft, ist aber nicht erreichbar
gelöst AndiPeeVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Hallo zusammen, mein Problemfall einleitend kurz umrissen: Privates Netzwerk Es funktioniert grundsätzlich, allerdings habe ich immer mal ein paar Ausfälle im WLAN-Netzwerk und bin ...

Microsoft
STRG + ALT + ENTF
TezzlaVor 19 StundenAllgemeinMicrosoft11 Kommentare

Mahlzeit zusammen, wir haben gerade im Kollegenkreis über Sinn und Unsinn der Sperrbildschirmentriegelung STRG + ALT + ENTF unter Win10 diskutiert. Mich würde hierzu ...

Windows 10
SMB Performance VPN
Guhl22Vor 1 TagFrageWindows 104 Kommentare

Hallo zusammen, wir stellen bei uns in der Firma ein sehr merkwürdiges Phänomen fest. Zugriffe über VPN auf gemappte Netzlaufwerke (über vbs Logon Skript ...

E-Mail
Alternative zu horde webmail
fisch56Vor 1 TagFrageE-Mail6 Kommentare

Hallo, ich habe das horde webmail auf meinem Server, macht allerdings Probleme. Suche daher eine Alternative. Das Postfach hat viele Unterordner, die z.B. bei ...

Video & Streaming
Streamingplattform mit eigenen Servern
gelöst icegetVor 21 StundenFrageVideo & Streaming5 Kommentare

Hallo liebe Community, ich würde gerne via Amazaon AWS (oder andere Cloudanbietern) mehrere Serverinstanzen (Streaming) starten, um z.B. 2000 Personen den selben Stream den ...

Switche und Hubs
Zwei Lancom GS-315XP Switche VLAN verbinden
wieoderwasVor 1 TagFrageSwitche und Hubs14 Kommentare

Hallo zusammen, wir haben zwei neue Lancom GS-315XP Switche bekommen. An einem dieser Switche sind Lancom Accesspoints angeschlossen. Ich verzweifel gerade an der Verbindung ...

Windows Server
Nutzer als lokaler Admin in Windows Server 2019
hanheikVor 22 StundenFrageWindows Server6 Kommentare

Hallo, in SBS 2011 konnte ich ganz einfach einen Nutzer als lokalen Admin einstellen. Windows fragte dann, für welchen Rechner; Rechner auswählen; fertig! In ...