VPN-Vernetzung von versch. Standorten

[FiSi91]

Hallo Zusammen,

unser Hauptstandort soll zu anderen Kunden an versch. Standorten (außerhalb via Internet) über VPN-Verbindungen vernetzt werden.

Soweit so gut....Jedoch sind an den versch. Standorten auch unterschiedliche Router-Modelle eingesetzt.

Es sollen also praktisch alle Kunden an den außen Standorten mit unserem Hauptstandort über die verschiedenen Router vernetzt werden.

Meine Frage ist nun, ist dies überhaupt ordentlich realisierbar, wenn man unterschiedliche Router-Modelle nutzt?! Wie stellt man solch eine VPN-Verbindung über die unterschiedlichen VPN-fähigen Router her? mit welchen Tools etc. kann man so etwas realisieren?

Vielen Dank im vorraus!

gruß

[lordy]

Das Router-Modell ist doch egal, solange alle das selbe VPN-Protokoll (z.B. IPSec) unterstützen.

[FiSi91]

und wie verwaltet man dann am Besten die VPN-Verbindungen? Über nen eigenständigen Server, oder Tools von den Router anbietern etc.?

[lordy]

Das ist eine Frage des Budgets und auch der bestehenden Infrastruktur.

Wenn man ein bißchen Geld in die Hand nimmt gibt es da schöne Klicki-Bunti-Appliances, wo man sich die Tunnel zu den Außenstellen zusammenklickern kann. Die muss natürlich an der richtigen Stelle im Netzwerk eingebunden sein.

[Steffen1981]

und wie verwaltet man dann am Besten die VPN-Verbindungen? Über nen eigenständigen Server, oder Tools von den Router anbietern etc.?

Hi,

zu deinem Vorhaben müsste man ein wenig mehr Informationen haben.

Welche Art von VPN willst du aufbauen? (Site to Site, End to Side)

Welche Router hast du im Einsatz?

Welches Routing Protokoll willst und kannst du einsetzen?

Wie sieht die Server-Infrastruktur hinterm Router auf beiden seiten aus?

und und und

Lg

Steffen

[Crash2001]

Wie man die Verbindung über die unterschiedlichen Router herstellt, kommt ganz auf den jeweiligen Routertyp an - da kann dir wohl keiner weiterhelfen, ohne dass du Modellbnezeichungen lieferst, oder aber dich selber einmal etwas schlauliest in der jeweiligen Anleitung.

Genauso auch die Frage, welche Tools du zur Verwaltung der VPN Verbindungen nutzen solltest. Der Router muss das Tool ja jeweils unterstützen (beispielsweise Nagios - da es kostenlos ist). Damit kannst du dann überwachen, ob die VPN-Verbindungen in Betrieb sind.

Für die Verwaltung wirst du aber wohl die Routeroberfläche oder entsprechend deren Console nutzen müssen. Ein Tool, mit dem du auf allen Routern die Verbindung einrichten / managen kannst, wirst du wohl eher nicht findenfür diverse Routerhersteller.

Ach ja - falls das alles insgesamt dann ein Hub-to-spoke-Netz sein soll, dann reicht es ja aus, wenn du auf der Hauptstellenseite auf deinen Router schaust und solltest alle Verbindungen dort sehen.

[FiSi91]

Hey,

danke für die Antworten erstmal

ich hab mal eine kurze Übersicht erstellt, um sich das Szenario besser vorstellen zu können:

am Hauptstandort steht ein ESXi-Server, auf dem verschiedene VMs laufen..Im Grunde sollen aber alle Standorte mit dem DrayTek Router am Hauptstandort verbunden werden, um dann von dort aus auf die Netzwerke der Standorte zugreifen zu können, Remote-Arbeiten leisten zu können etc. via VPN.

Jetzt ist, wie gesagt die Frage, wie verwaltet man das Ganze am sinnvollsten / am einfachsten?

Es gibt ja z.B von AVM für die Fritzboxen die schönen "klicki-bunti-Tools" und für NetGear wieder andere Tools usw.

Problem ist aber wie zu sehen, dass es nicht ganz so einfach ist, da verschiedene Router (von unterschiedlichen Herstellern), sowie unterschiedliche lokale Netze usw. zu vernetzen sind.

Zum Thema Budget: laut meinen Mitarbeitern: "Wenn man durch dein Konzept klarmachen kann, dass es zum jetzigen Zustand (mit untersch. Router-Modellen) schwer ist, dieses VPN-Konzept realisieren zu können, lässt der Chef bestimmt "noch was Geld für einheitliche Router/Modelle springen"....

ergo: ich soll probieren die VPN-Vernetzung mit den ggn. Mitteln zu realisieren und wenn dies nicht möglich ist, durch das Konzept aufzeigen, dass es dringend nötig ist, neue Router (einheitliche Modelle) für das Konzept neu zu beschaffen.

lg

/edit: die genauen Router-Modelle sind: DrayTek Vigor2800, Netgear DG834GB und FRITZ!Box 3270.

"DrayTek: Draytek Vigor Serie unterstützen IPSec Tunneling, PPTP, L2TP und L2TP über IPSec."

"Netgear: NAT traversal (VPN Passthrough) für IPSec, PPTP und L2TP VPNs ~ Bis zu 5 IPSec VPN-Tunnel-Endpunkte"

"FritzBox: Die FRITZ!Box WLAN 3270 setzt für VPN auf den Standard IPSec."

Bearbeitet 1. November 2010 von FiSi91

[Crash2001]

Also diese Tools von AVM (Fritzbox). Netgear u.s.w. sind aber Software-Lösungen und somit nicht für den Router geeignet.

Wenn du willst, dass der Router das VPN aufbaut, dann kannst du diese somit nicht nutzen, sondern diese müsstest du ansonsten auf dem Server (oder einem anderen Rechner) installieren. Ich kann mir aber gut vorstellen, dass es da evtl zu Problemen mit Inkompatibilitäten zwischen Tools der verschiedenen Hersteller kommen könnte.

DA alle den IP Sec Standard unterstützen, ist die Chance zumindest schon einmal recht gross, dass du damit dann weiterkommen solltest.

Schau dir am besten einmal von den jeweiligen Geräten die Hilfeseiten zu VPN an. Das meiste sollte selbsterklärend sein.

[FiSi91]

Hi,

danke erstmal für die Antwort... das wird wohl der beste Weg sein direkt über die Hardware / Router zu gehen...

ich habe heute nochmal ein wenig "gegoogelt"... u.a. auf den versch. Router-Herstellerseiten.

Der DrayTek-Router am Hauptstandort kann sogar als VPN-Server und als VPN-Client eingesetzt werden, wobei mehrere VPN-Verbindungen gleichzeitig aufgebaut werden können.

Das hieße ja, dass ich diesen als "VPN-Server" einsetzen könnte, wobei die anderen Router als Clients fungieren.

Ist es dann, wenn alle Router miteinander vernetzt sind, einfach möglich via. Windows XP Netzwerkumgebung auf den Clients die VPN-Verbindung über "dynDNS etc." einzurichten?!

gruß

[smite]

Hallo,

wenn das ganze produktiv eingesetzt werden soll musst du bedenken, dass du dich über DynDNS von diesem Dienst komplett abhängig machst.

Weiter oben im Thread stand, dass die FritzBoxen nur PC zu FB als VPN können. Du kannst in dem Tool "ritz! Fernzugang einrichten!" glaube auch sagen, dass du eine VPN-Verbindung zwischen zwei FritzBoxen einrichten möchtest.

Zumindest bei der FritzBox hast du aber kaum/keine Einstellungsmöglichkeiten für dein VPN. Du generierst zwei Konfigurationsdateien welche du dann auf den Boxen importierst.

Ich habe selbst lange gegoogelt um meine VPN-Verbindung nach Hause so umzubiegen, dass ich über diese Surfen kann.

Ich weiß nicht ob deine anderen Router-Modelle im Bereich VPN mehr Einstellungsmölichkeiten haben.

Ansonsten würde ich dir empfehlen pro Standort (je nach größe) einen Server hinzustellen und dort eine geeignete VPN-Software zu installieren.

Viele Grüße

smite

ps: Bin FIAE (mit ITSE Erfahrung )

[Crash2001]

Soweit ich weiss, kann man auf die Fritzbox 3270 auch nicht nur per VPN-Fritz-Software (oder wie die sich auch immer nennt) zugreifen, sondern auch bei diesem Modell kann die VPN-Verbindung auch zwischen zwei Routern aufgebaut werden.

Meine FritzBox 7270 kann dies zumindest.

Um das ganze zu vereinfachen, solltest du aber evtl echt einmal überlegen, bei allen Standorten den gleichen Hersteller zu verwenden. Ein homogenes Umfeld erleichtert die Installation und den Betrieb doch ungemein. Zudem hat man es nur mit einem Hersteller zu tun und muss nicht bei drei verschiedenen Herstellern sich aktuell halten, ob irgendwelche Bugs aufgetreten sind, die ein Firmwareupdate erfordern.

Und ein VPN fähiger Router kostet mittlerweile auch nicht mehr die Welt. Da du eh schon zwei Draytek-Geräte nutzt, könntest du die zwei anderen auch noch durch entsprechende Router ersetzen und hättest dann ein homogeneres Umfeld.

Die Alternative wäre halt jeweils per VPN Softwärelösung zu verbinden (wie von meinem Vorposter vorgeschlagen). Dabei hat man aber immer auch den Faktor PC, der einiges mehr an Angriffsfläche bietet (Betriebssystem, Bugs, Zusatzsoftware), als ein Hardware-Router und auch einiges mehr an Strom verbraucht (schätzungsweise 10 bis 20 mal so viel). Zudem müssen die Router das Passtrough unterstützen, woran es eventuell schon scheitern könnte. (Habe mir die einzelnen Modelle jetzt nicht genauer angesehen, ob sie dies unterstützen.)

[FiSi91]

Hallo Zusammen,

danke für die nützlichen Antworten!

Ich denke das würde es ja schon erheblich weiterbringen, wenn man begründet sagen kann: "es müssen weitere Hersteller / baugleiche Router angeschafft werden, weil":

1. die FritzBox an Standort "x" nur mit der "hauseigenen" Software und anderen FritzBoxen gewünscht / ordnungsgemäß mit VPN-Verbindungen funkt.

2. sonst eine Software-Lösung via Server aufgebaut werden müsste und dafür an den anderen Standorten, außer am Hauptstandort kein richtiger Raum (Infrastruktur) vorhanden ist...

3. Die Softwarelösung (Server) einiges mehr an Angriffsfläche bietet und mehr Strom verbrauchen würde...

naja ich werde das mal in einem kleinen Konzept / Doku detaillierter erfassen / zusammentragen (Ist und Soll-Zustand) und die Gründe, die für eine Neuanschaffung sprechen darstellen, um hoffentlich dann baugleiche Geräte (evtl. neue DrayTek's) noch ordern zu können

gruß

[Crash2001]

Punkt 1 kann ich so nicht unterschreiben.

VPN Verbindungen über die FritzBox funktionieren sehr wohl auch mit anderen Herstellern. Du hast dann nur keine einheitliche Oberfläche (und besonders bei der Fritzbox ist es ein wenig doof mit Debugging der VPN Verbindung, sowie mit der Konfiguration derselbigen, da einfach nur eine Config-Datei hochgeladen wird. Das ist zumindest mein aktueller Stand dabei. Mag sein, dass es da mittlerweile auch andere Möglichkeiten gibt, aber vor 2 Jahren war dies zumindest die einzige Möglichkeit, dies zu konfigurieren.)

Was du aber als Argument für die Anschaffung von baugleichen Routern nehmen kannst sind die folgenden Punkte:

• Homogenität des Netzes
  
• Minimierung des Wartungsaufwandes durch Nutzung der Geräte von nur einem Hersteller
  
• Mögliche Inkompatibilitäten mit anderen Geräten werden von Anfang an ausgeschlossen
  
• Wenn nur ein Hersteller benutzt wird, kann evtl eine bessere Verschlüsselung oder eine optimiertere Übertragungsrate erreicht werden als beim mixen der Hersteller (das müsste man aber dann nachschauen, ob das in diesem Fall stimmt)

[smite]

Ist zwar ein bisschen Off-Topic,

aber gibt es ein gutes Tool / Dokumentation, damit man sich die VPN-Konifgurations Dateien für die FritzBox selbst erstrellen kann?

Ich habe mir meine nach meinen Bedürfnissen nach irgendwelchen Forenposts im Internet selbst gebastelt .

Gruß smite

[FiSi91]

@ smite,

vielleicht hilft dir das video ja weiter: YouTube - FRITZ! Clip: VPN mit Windows und der FRITZ!Box

[smite]

Das ist ein Tutorial, wie ich das VPN einrichte.

Ich meinte, ob es irgendwo eine Dokumentation gibt, wie die Konfigurationsdateien aufgebaut sind, sodass ich diese selbst verändern kann und dadurch mehr Einstellungsmöglichkeiten habe .

Viele Grüße

smite

[Crash2001]

Also auf der Fritzbox-Seite gibt es einen speziellen Bereich für VPN. Da habe ich eine Anleitung gefunden gehabt damals (mit Erklärungen). Aber keine Ahnung, wo das noch mal genau da war...

[FiSi91]

Also auf der Fritzbox-Seite gibt es einen speziellen Bereich für VPN.

hmm vielleicht diese hier: AVM Service-Portal ?

[Crash2001]

Ja genau den Bereich meinte ich.