Wie Nutzern erlauben den Internet-Break-out-Point zu wählen?
Hallo in die Runde,
ich habe ein Netzwerk, das aus mehreren Standorten besteht, die über LANCOM-Router per IPSec-VPN miteinander verbunden sind. Da sich die Standorte in verschiedenen Ländern befinden, sind wir teilweise mit Geoblocking konfrontiert. Ich hätte gerne die Situation, dass ein Nutzer auf seinem Rechner wählen kann, über welchen Standort sein Internet-Traffic nach außen geroutet wird (d.h. zu welcher öffentlichen IP hin das NAT gemacht wird). Theoretisch könnte man natürlich die Nutzer sich per Desktop-VPN-Client zum jeweiligen Standort verbinden lassen. Das erscheint mir aber ineffizient, da wir sowieso schon das Site-to-Site-VPN zwischen allen Standorten haben (und es ohne Probleme auch zur Vollvermaschung ausbauen können). Meine erste Idee war, dass man einfach das Default-Gateway in den Windows-Netzwerkeinstellungen auf den Client-PCs per Skript ändert, aber ich bin mir nicht mehr so ganz sicher, ob das die beste Strategie ist.
Wie würdet Ihr so etwas angehen?
Grüße,
Julia
ich habe ein Netzwerk, das aus mehreren Standorten besteht, die über LANCOM-Router per IPSec-VPN miteinander verbunden sind. Da sich die Standorte in verschiedenen Ländern befinden, sind wir teilweise mit Geoblocking konfrontiert. Ich hätte gerne die Situation, dass ein Nutzer auf seinem Rechner wählen kann, über welchen Standort sein Internet-Traffic nach außen geroutet wird (d.h. zu welcher öffentlichen IP hin das NAT gemacht wird). Theoretisch könnte man natürlich die Nutzer sich per Desktop-VPN-Client zum jeweiligen Standort verbinden lassen. Das erscheint mir aber ineffizient, da wir sowieso schon das Site-to-Site-VPN zwischen allen Standorten haben (und es ohne Probleme auch zur Vollvermaschung ausbauen können). Meine erste Idee war, dass man einfach das Default-Gateway in den Windows-Netzwerkeinstellungen auf den Client-PCs per Skript ändert, aber ich bin mir nicht mehr so ganz sicher, ob das die beste Strategie ist.
Wie würdet Ihr so etwas angehen?
Grüße,
Julia
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 470797
Url: https://administrator.de/forum/wie-nutzern-erlauben-den-internet-break-out-point-zu-waehlen-470797.html
Ausgedruckt am: 18.05.2025 um 07:05 Uhr
9 Kommentare
Neuester Kommentar
Moin,
An den Clients muß man nichts ändern. Du mußt nur das Routing anpasssen.
Je nach Ziel mußt Du das Ziel-Netz über Dein VPN ins entsprechende Land routen, bevor Du die Daten ins Internet läßt.
lks
An den Clients muß man nichts ändern. Du mußt nur das Routing anpasssen.
Je nach Ziel mußt Du das Ziel-Netz über Dein VPN ins entsprechende Land routen, bevor Du die Daten ins Internet läßt.
lks
@Lochkartenstanzer
a) zwei Clients im selben Subnetz unterschiedliche Break-Outs haben wollen/sollen
b) Webseiten mit Hilfe von CDN betrieben werden. Hier ist das Zielnetz einfach nicht eindeutig zu bestimmen. Das sieht man schon wenn man für die selbe Domain über verschiedene DNS-Server auflöst.
@julibe
Alternativ könnte man auch Proxies aufbauen, welcher der Nutzer über die Browsereinstellungen konfigurieren kann. Alternativ über WPAD (de)zentral.
Gruß,
Dani
Je nach Ziel mußt Du das Ziel-Netz über Dein VPN ins entsprechende Land routen, bevor Du die Daten ins Internet läßt.
das geht solange gut bisa) zwei Clients im selben Subnetz unterschiedliche Break-Outs haben wollen/sollen
b) Webseiten mit Hilfe von CDN betrieben werden. Hier ist das Zielnetz einfach nicht eindeutig zu bestimmen. Das sieht man schon wenn man für die selbe Domain über verschiedene DNS-Server auflöst.
@julibe
Theoretisch könnte man natürlich die Nutzer sich per Desktop-VPN-Client zum jeweiligen Standort verbinden lassen.
Das wird je nach Anzahl der Standorte und Benutzer ein konfuses Konstrukt und das Routing wird seh unübersichtlich werden. Abgesehen davon wird eine mögliche Fehlersuche komplex und umfangreich. Wer kann sowas bei euch Troubleshooten?Meine erste Idee war, dass man einfach das Default-Gateway in den Windows-Netzwerkeinstellungen auf den Client-PCs per Skript ändert, aber ich bin mir nicht mehr so ganz sicher, ob das die beste Strategie ist.
Nicht nur das, je nachdem wie eure Ressourcen im Netzwerk verteilt sind, kann somit nicht mehr darauf zugegriffen werden.Ich hätte gerne die Situation, dass ein Nutzer auf seinem Rechner wählen kann, über welchen Standort sein Internet-Traffic nach außen geroutet wird (d.h. zu welcher öffentlichen IP hin das NAT gemacht wird).
Ich hoffe ihr habt an allen solchen Anschlüssen echte Datenflatrates. Sonst kann es ganz schnell ganz teuer werden.Da sich die Standorte in verschiedenen Ländern befinden, sind wir teilweise mit Geoblocking konfrontiert.
Wir haben dafür (separate) Internet Ausstiegspunkte aufgebaut, welche ausschließlich für das Surfen im Internet genutzt werden.Alle Standorte erhalten via Routingprotokoll die Default Route. Somit gibt es eine entsprechende Lastverteilung und über das Routing kann bei Ausfall eines solches Punkte zeitnah die Default Route geändert werden. Somit ist auch die Anzahl von notwendigen Filtern (AV, Content Filter, SSL Inspection, etc...) überschau und damit auch der Wartungsaufwand.Alternativ könnte man auch Proxies aufbauen, welcher der Nutzer über die Browsereinstellungen konfigurieren kann. Alternativ über WPAD (de)zentral.
Gruß,
Dani
Zitat von @Dani:
@Lochkartenstanzer
a) zwei Clients im selben Subnetz unterschiedliche Break-Outs haben wollen/sollen
@Lochkartenstanzer
Je nach Ziel mußt Du das Ziel-Netz über Dein VPN ins entsprechende Land routen, bevor Du die Daten ins Internet läßt.
das geht solange gut bisa) zwei Clients im selben Subnetz unterschiedliche Break-Outs haben wollen/sollen
Naja, wenn es um geoblocking geht, ist es eher vom ziel abhängig. und dawürden die cluents kit demselben ziel auch das Gleiche Breakout benötigen.
b) Webseiten mit Hilfe von CDN betrieben werden. Hier ist das Zielnetz einfach nicht eindeutig zu bestimmen. Das sieht man schon wenn man für die selbe Domain über verschiedene DNS-Server auflöst.
Naja, dann muß man halt mal prüfen, über welchen "Ausgang" welche Server zurückgeliefert werden. Aber ggf. ist das gar nicht relevant für die Zielnetze.
lks
Hallo,
mir fällt dazu nur eine Bastellösung ein.
An jedem Standardort gibt es die Anzahl an VLANs wie es Standorte gibt.
Jedes VLAN hat einen Standort als Break-Out-Point.
Über ein Webinterface kann der Nutzer seinen Switch-Port/Dosennummer einem VLAN zuweisen.
Nach einem Neustart bekommt er eine passende IP und den Break-Out-Point.
Mal ein Beispiel.
Es gibt 4 Standort.
An Standort 1 gibt es 4 VLANs (10.1.1.0/24 - 10.1.4.0/24).
Über die CLI kann man einen Switchport konfigurieren.
Stefan
mir fällt dazu nur eine Bastellösung ein.
An jedem Standardort gibt es die Anzahl an VLANs wie es Standorte gibt.
Jedes VLAN hat einen Standort als Break-Out-Point.
Über ein Webinterface kann der Nutzer seinen Switch-Port/Dosennummer einem VLAN zuweisen.
Nach einem Neustart bekommt er eine passende IP und den Break-Out-Point.
Mal ein Beispiel.
Es gibt 4 Standort.
An Standort 1 gibt es 4 VLANs (10.1.1.0/24 - 10.1.4.0/24).
Über die CLI kann man einen Switchport konfigurieren.
Stefan
Zitat von @StefanKittel:
An jedem Standardort gibt es die Anzahl an VLANs wie es Standorte gibt. ....
An jedem Standardort gibt es die Anzahl an VLANs wie es Standorte gibt. ....
Wäre vermutlich relativ einfach zu implementieren, fängt aber bei mehr als einem halben Dutzend Standorte vermutlich an unübersichtlich zu werden.
lks
Eine weitere Möglickeit wäre, einfach einen Terminalserver im jeweiligen Standort hinnzustellen und der User arbeitet einfach auf diesem, wenn er vom jeweilugen Standort aus ins Internet muß.
lks
lks
Moin,
wie wäre es mit einem http(s)-Proxy an jedem Standort.
Der lässt sich einfach konfigurieren und es ist transparent.
Stefan
wie wäre es mit einem http(s)-Proxy an jedem Standort.
Der lässt sich einfach konfigurieren und es ist transparent.
Stefan
Ich würde es ggf. ganz einfach lösen: Selbst wenn die Standorte bereits per VPN verbunden sind einfach an den "Hauptstandorten" noch nen Dial-In-VPN erstellen. Auf den Clients dann einfach die entsprechenden Profile hinterlegen. Ist dann halt nen "VPN im VPN".
Ist natürlich Anforderungsabhängig ob das Sinn macht. Wenn es nur darum geht das man z.B. bestimmte Server im Ausland erreichen kann wäre das ok. Will man über so nen Konstrukt versuchen Videos ausm Ausland zu gucken wird es schon eher schwer
Ist natürlich Anforderungsabhängig ob das Sinn macht. Wenn es nur darum geht das man z.B. bestimmte Server im Ausland erreichen kann wäre das ok. Will man über so nen Konstrukt versuchen Videos ausm Ausland zu gucken wird es schon eher schwer
@StefanKittel
Gruß,
Dani
An jedem Standardort gibt es die Anzahl an VLANs wie es Standorte gibt.
Jedes VLAN hat einen Standort als Break-Out-Point.
Über ein Webinterface kann der Nutzer seinen Switch-Port/Dosennummer einem VLAN zuweisen.
Nach einem Neustart bekommt er eine passende IP und den Break-Out-Point.
Das geht meinem Verständnis nach nur, wenn jeder Standort in sich kein Routing macht. Sprich hast du eine (Mirco)Segmentierung, wird das Routing schon wieder komplex. Denn durch die Änderung des Default Gateways sind die Ressourcen im anderen Netz nicht mehr erreichbar.Jedes VLAN hat einen Standort als Break-Out-Point.
Über ein Webinterface kann der Nutzer seinen Switch-Port/Dosennummer einem VLAN zuweisen.
Nach einem Neustart bekommt er eine passende IP und den Break-Out-Point.
Gruß,
Dani
