16
VPN zwischen zwei Standorten - Fortigate und ISP Business Modem
Servus;
Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.
Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.
Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.
Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.
Ich bin mir sicher dass viele Mikrotik empfehlen würden, damit habe ich noch keine Erfahrung.
Aber was sagt ihr dazu wenn ich einen Mikrotik hex nehme für Standort B und mit IPsec Site-to-Site auf die Fortigate auf Standort A gehe?
Da frage ich mich halt nur wie ich das derzeit einrichten soll. Geht das dann über portforwarding? Oder muss der Mikrotik eine exteren IP haben?
Ich würde am liebsten in eine Fortigate 40F oder ähnlich investieren.
PS: Nein, ich kann kein Systemhaus beauftragen, nein ich verdiene nichts dabei, bin da angestellt, und Pech.
PPS: Ich hole mir gerade ein Angebot über eine Fortigate 30E bzw 40F ein, die sind günstiger als ich dachte, bin noch auf den Support gespannt was der kostet.
Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.
Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.
Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.
Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.
Ich bin mir sicher dass viele Mikrotik empfehlen würden, damit habe ich noch keine Erfahrung.
Aber was sagt ihr dazu wenn ich einen Mikrotik hex nehme für Standort B und mit IPsec Site-to-Site auf die Fortigate auf Standort A gehe?
Da frage ich mich halt nur wie ich das derzeit einrichten soll. Geht das dann über portforwarding? Oder muss der Mikrotik eine exteren IP haben?
Ich würde am liebsten in eine Fortigate 40F oder ähnlich investieren.
PS: Nein, ich kann kein Systemhaus beauftragen, nein ich verdiene nichts dabei, bin da angestellt, und Pech.
PPS: Ich hole mir gerade ein Angebot über eine Fortigate 30E bzw 40F ein, die sind günstiger als ich dachte, bin noch auf den Support gespannt was der kostet.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 644605
Url: https://administrator.de/forum/vpn-zwischen-zwei-standorten-fortigate-und-isp-business-modem-644605.html
Ausgedruckt am: 22.12.2024 um 02:12 Uhr
16 Kommentare
Neuester Kommentar
Im Zweifelsfall würde sogar eine 100€ Fritzbox reichen. A1 Business Modem klingt erstmal nach Österreich. Wie sieht es da mit der Austauschbarkeit der Endgeräte aus?
Mikrotik ja, wäre eine gute Option, nur da ist halt schon einiges an Komplexität hinter und insbesondere bei Vernetzung verschiedener Systeme kann das schon richtig ausarten.
Da sowohl Fortigate als auch der Mikrotik, aber auch die meisten anderen Router heutzutage NAT-Traversal-fähig sind beim IPSec-VPN, brauchst du am Standort B nichts machen. Wichtig ist, dass der Standort A eine öffentliche und von außerhalb erreichbare IP hat. Dann dafür sorgen, dass der Standort B die VPN-Verbindung aufbaut und alles wird gut.
Mikrotik ja, wäre eine gute Option, nur da ist halt schon einiges an Komplexität hinter und insbesondere bei Vernetzung verschiedener Systeme kann das schon richtig ausarten.
Da sowohl Fortigate als auch der Mikrotik, aber auch die meisten anderen Router heutzutage NAT-Traversal-fähig sind beim IPSec-VPN, brauchst du am Standort B nichts machen. Wichtig ist, dass der Standort A eine öffentliche und von außerhalb erreichbare IP hat. Dann dafür sorgen, dass der Standort B die VPN-Verbindung aufbaut und alles wird gut.
1
Ich würde die Verantwortung abgeben. Du verbrennst dir nur die Finger. Das sind Sicherheitsrelevante Sachen und am Ende bist du der Schuldige. Sag einfach: Ohne Firewall geht es nicht.
Pech.
So fängt es an.
Vorne eine Firewall, hinten nichts. Hinten ist die Tür offen. ...das ging früher auf dem Land, hatte meine Oma gerne so - Gott hab Sie selig - heute würd ich das nicht mehr machen, insbesondere nicht in der IT.. Außerdem bist du keine 80+.
Wenn kein Geld da ist. (wirst du mit Liebe und Hochachtung bezahlt? - nur mal so...), lass es bleiben. Ansonsten wandel das Pech in dem du die letzte Zeile mal hinterfragst. Die 3cx kostet, die Forti kostet, du kostest. Offensichtlich kannst du Systeme auswählen, aber hast keinen (ausreichenden ) Überblick. Willst du wirklich Pech haben? Mach es wie meine Oma, mit kritischer Infrastruktur und dann lass richtig Pech aufkommen und lass jemanden das überprüfen und klar konstatieren, was für ein tolles Design du entworfen hast - dann haftest du nämlich privat, mit barer Münze im Zweifel ist das auch nicht unbedingt gut für die Weiterbeschäftigung.
So fängt es an.
Vorne eine Firewall, hinten nichts. Hinten ist die Tür offen. ...das ging früher auf dem Land, hatte meine Oma gerne so - Gott hab Sie selig - heute würd ich das nicht mehr machen, insbesondere nicht in der IT.. Außerdem bist du keine 80+.
Wenn kein Geld da ist. (wirst du mit Liebe und Hochachtung bezahlt? - nur mal so...), lass es bleiben. Ansonsten wandel das Pech in dem du die letzte Zeile mal hinterfragst. Die 3cx kostet, die Forti kostet, du kostest. Offensichtlich kannst du Systeme auswählen, aber hast keinen (ausreichenden ) Überblick. Willst du wirklich Pech haben? Mach es wie meine Oma, mit kritischer Infrastruktur und dann lass richtig Pech aufkommen und lass jemanden das überprüfen und klar konstatieren, was für ein tolles Design du entworfen hast - dann haftest du nämlich privat, mit barer Münze im Zweifel ist das auch nicht unbedingt gut für die Weiterbeschäftigung.
Zitat von @tikayevent:
Im Zweifelsfall würde sogar eine 100€ Fritzbox reichen. A1 Business Modem klingt erstmal nach Österreich. Wie sieht es da mit der Austauschbarkeit der Endgeräte aus?
Im Zweifelsfall würde sogar eine 100€ Fritzbox reichen. A1 Business Modem klingt erstmal nach Österreich. Wie sieht es da mit der Austauschbarkeit der Endgeräte aus?
Ja, ist in Österreich, was genau meinst du mit "Austauschbarkeit der Endgeräte"?
Mikrotik ja, wäre eine gute Option, nur da ist halt schon einiges an Komplexität hinter und insbesondere bei Vernetzung verschiedener Systeme kann das schon richtig ausarten.
Ja, das befürchte ich, mit Fotigate kenn ich mich eigentlich ganz gut aus, und habe die seit 6 Jahren an mehreren Standorten im Einsatz.
Da sowohl Fortigate als auch der Mikrotik, aber auch die meisten anderen Router heutzutage NAT-Traversal-fähig sind beim IPSec-VPN, brauchst du am Standort B nichts machen. Wichtig ist, dass der Standort A eine öffentliche und von außerhalb erreichbare IP hat. Dann dafür sorgen, dass der Standort B die VPN-Verbindung aufbaut und alles wird gut.
Ja, beide Standorte, haben eine fixe öffentliche. NAT-Traversal lese ich mich gerade ein.
Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Zitat von @NordicMike:
Ich würde die Verantwortung abgeben. Du verbrennst dir nur die Finger. Das sind Sicherheitsrelevante Sachen und am Ende bist du der Schuldige. Sag einfach: Ohne Firewall geht es nicht.
Ich würde die Verantwortung abgeben. Du verbrennst dir nur die Finger. Das sind Sicherheitsrelevante Sachen und am Ende bist du der Schuldige. Sag einfach: Ohne Firewall geht es nicht.
Mit dem Kämpfe ich seit fünf Jahren.
Zitat von @Mystery-at-min:
Pech.
So fängt es an.
Vorne eine Firewall, hinten nichts. Hinten ist die Tür offen. ...das ging früher auf dem Land, hatte meine Oma gerne so - Gott hab Sie selig - heute würd ich das nicht mehr machen, insbesondere nicht in der IT.. Außerdem bist du keine 80+.
Pech.
So fängt es an.
Vorne eine Firewall, hinten nichts. Hinten ist die Tür offen. ...das ging früher auf dem Land, hatte meine Oma gerne so - Gott hab Sie selig - heute würd ich das nicht mehr machen, insbesondere nicht in der IT.. Außerdem bist du keine 80+.
Das A1 Business Modem ist ja eine Firewall, nur da komme ich nicht drauf, da muss ich wegen jedem ### die Hotline anrufen.
Wenn kein Geld da ist. (wirst du mit Liebe und Hochachtung bezahlt? - nur mal so...), lass es bleiben. Ansonsten wandel das Pech in dem du die letzte Zeile mal hinterfragst. Die 3cx kostet, die Forti kostet, du kostest. Offensichtlich kannst du Systeme auswählen, aber hast keinen (ausreichenden ) Überblick. Willst du wirklich Pech haben? Mach es wie meine Oma, mit kritischer Infrastruktur und dann lass richtig Pech aufkommen und lass jemanden das überprüfen und klar konstatieren, was für ein tolles Design du entworfen hast.
Es ist tatsächlich so, dass was passieren muss dass sich was ändert (-n kann).
Mir kann an sich nichts passieren.
Austauschbarkeit der Endgeräte heißt: Kannst du das vorhandene Gerät einfach gegen was anderes tauschen. In DE gibts die Endgerätefreiheit, also hier hat man vom Gesetz her die Möglichkeit, den WLAN-Toaster vom Provider gegen irgendwas anderes zu tauschen.
Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Alles, was bisher am A1-Gerät hängt, hängt dann hinter dem Mikrotik. Am A1-Gerät selbst hängt einfach nur noch der Mikrotik und mehr nicht. Wenn das A1-Gerät tauschbar ist, wäre ein simples DSL-Modem aber zu bevorzugen.1
Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.
Das wäre in der Tat die gescheiteste Lösung !Eine Router_Kaskade) ist die einfachste weil preiswertes Budget Lösung wie die Kollegen oben schon sagen und sollte dann allemal im Budget liegen.
Beide HW Lösungen sind voll kompatibel zum Fortigate VPN.
1Zitat von @tikayevent:
Austauschbarkeit der Endgeräte heißt: Kannst du das vorhandene Gerät einfach gegen was anderes tauschen. In DE gibts die Endgerätefreiheit, also hier hat man vom Gesetz her die Möglichkeit, den WLAN-Toaster vom Provider gegen irgendwas anderes zu tauschen.
Austauschbarkeit der Endgeräte heißt: Kannst du das vorhandene Gerät einfach gegen was anderes tauschen. In DE gibts die Endgerätefreiheit, also hier hat man vom Gesetz her die Möglichkeit, den WLAN-Toaster vom Provider gegen irgendwas anderes zu tauschen.
Jo, das gibts bei uns eigentlich schon immer, außer bei Business.
Die würde aber das "Modem" einfach auf Brdige schalten, und fertig.
Aber wenn jetzt der zB Mikrotik eine VPN Verbindung hergestellt hat, hängt der dann ganz normal in meinem internen Netz? Wie kommen dann die Telefon auch auf die VPN?
Alles, was bisher am A1-Gerät hängt, hängt dann hinter dem Mikrotik. Am A1-Gerät selbst hängt einfach nur noch der Mikrotik und mehr nicht. Wenn das A1-Gerät tauschbar ist, wäre ein simples DSL-Modem aber zu bevorzugen.Ah, ok, so meinst du das. Sprich der Miktorik ist dann meine Firewall und Router.
Zitat von @aqui:
Eine Router_Kaskade) ist die einfachste weil preiswertes Budget Lösung wie die Kollegen oben schon sagen und sollte dann allemal im Budget liegen.
Beide HW Lösungen sind voll kompatibel zum Fortigate VPN.
Ich will schon länger eine gscheite Firewall bei Standort B installieren, ideal wäre natürlich ja Fortigate, ist nur leider nicht im Budget enthalten.
Das wäre in der Tat die gescheiteste Lösung !Eine Router_Kaskade) ist die einfachste weil preiswertes Budget Lösung wie die Kollegen oben schon sagen und sollte dann allemal im Budget liegen.
Beide HW Lösungen sind voll kompatibel zum Fortigate VPN.
An pFsense hatte ich noch gar nicht gedacht! Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).
Router Kaskade kann ich zum Glück umgehen, denn ich kann das Business "Modem" als reines Modem umschalten lassen.
Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.
Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.
Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.
Da ist bereits SSL VPN im Einsatz.
Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.
Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.
Implementiere am zweiten Standort ein passendes 3CX SBC System.
1Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).
Siehste ! Dann bist du doch Profi !!! 😉Dann bettelst du im Einkauf einfach nach Kohle für ein kleines, schickes APU Board:
https://www.varia-store.com/de/produkt/103582-pc-engines-apu3d4-bundle-b ...
und fertisch ist deine Firewall Lösung für diese Location !
Wäre der Thread hier ja eigentlich komplett überflüssig gewesen ?!
Wenn das dem Einkauf noch weiter zu teuer ist nimmst du einen Mikrotik Hex-S
https://www.varia-store.com/de/produkt/97947-mikrotik-rb760igs-hex-s-mit ...
Viel billiger gehts dann aber nicht mehr....
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
1Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Nicht so offensichtlich. Zufällige Neustarts sind da viel besser. Jeder merkt, dass da was ausgefallen ist, aber es wirkt nicht so, als wäre es gewollt. Mal lässt man ein bis zwei Stunden dazwischen und mal sinds nur wenige Minuten. Am besten noch lastspezifisch, also wenn die Mitarbeiter zur Arbeit kommen oder Feierabend machen die kürzeren Abstände, während der Mittagspause mal gar keine, ...1Zitat von @mbehrens:
Implementiere am zweiten Standort ein passendes 3CX SBC System.
Standort A hat einen 3CX Server und eine Fortitgate 100D (bald 100F) und 100 synchron mit Glas.
Da ist bereits SSL VPN im Einsatz.
Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.
Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.
Da ist bereits SSL VPN im Einsatz.
Standort B ist ein sehr kleiner Standort und hat keine eigene Firewall, das macht derzeit noch das A1 Business "Modem" (genaue Bezeichnung muss ich schauen wenn ich nächstes Mal dort bin) über ADSL und 16/4 . Dieser Standort soll ebenfalls die 3CX Anlage von Standort A nutzen.
Wie mach ich das jetzt am blödesten, habe da leider noch keine Erfahrung.
Implementiere am zweiten Standort ein passendes 3CX SBC System.
Ja, das hab ich schon überlegt, aber dort sind nur zwei Telefone.
Zitat von @aqui:
Dann bettelst du im Einkauf einfach nach Kohle für ein kleines, schickes APU Board:
https://www.varia-store.com/de/produkt/103582-pc-engines-apu3d4-bundle-b ...
und fertisch ist deine Firewall Lösung für diese Location !
Wäre der Thread hier ja eigentlich komplett überflüssig gewesen ?!
Die habe ich an einem Standort auch im Einsatz (auf einem uralt PC).
Siehste ! Dann bist du doch Profi !!! 😉Dann bettelst du im Einkauf einfach nach Kohle für ein kleines, schickes APU Board:
https://www.varia-store.com/de/produkt/103582-pc-engines-apu3d4-bundle-b ...
und fertisch ist deine Firewall Lösung für diese Location !
Wäre der Thread hier ja eigentlich komplett überflüssig gewesen ?!
Ja, das Mikrotik Hex-S wird es vielleicht werden.
Aber es schaut vielleicht gar nicht so schlecht aus mit der zweiten Fortigate,
habe etwas meinen Charm spielen lassen
Ich hol mir immer gern noch eine Bestätigung für meine Gedankengänge
Wenn das dem Einkauf noch weiter zu teuer ist nimmst du einen Mikrotik Hex-S
https://www.varia-store.com/de/produkt/97947-mikrotik-rb760igs-hex-s-mit ...
Viel billiger gehts dann aber nicht mehr....
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
https://www.varia-store.com/de/produkt/97947-mikrotik-rb760igs-hex-s-mit ...
Viel billiger gehts dann aber nicht mehr....
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Ich bin eigentlich der einzige in der IT. Was glaubst was da los ist wenn ich im Urlaub bin.
Erste Jännerwoche hatte ich Urlaub, hab trotzdem 35 Stunden gearbeitet, und das obwohl ein Tag ein Feiertag war.
Tja...
Zitat von @tikayevent:
Oder du hängst den Standort einmal für 2 Tage ab vom Firmennetz. Dann versteht vielleicht auch die Kaufmänner und -frauen im Einkauf das Netzwerk nicht so einfach aus der Steckdose kommt... 😉
Nicht so offensichtlich. Zufällige Neustarts sind da viel besser. Jeder merkt, dass da was ausgefallen ist, aber es wirkt nicht so, als wäre es gewollt. Mal lässt man ein bis zwei Stunden dazwischen und mal sinds nur wenige Minuten. Am besten noch lastspezifisch, also wenn die Mitarbeiter zur Arbeit kommen oder Feierabend machen die kürzeren Abstände, während der Mittagspause mal gar keine, ...Als ich vor 5 Jahren angefangen habe dort zu arbeiten, waren nirgends USVs. Laut Chef "Für was denn, die Server müssen das doch aushalten".
Tja, dann war komischerweise mal ganz eigenartigerweise ein Stromausfall am Wochenende im Serverraum, tja, jetzt hab ich meine USVs.
