Forum: PC Hard- und Software VPN-Router gesucht.


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Holger (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Moin,
ich hoffe ihr könnt mir helfen. Ich suche einen VPN Router um unseren 
Server mit mehreren Standorten zu verbinden ähnlich der LAN-LAN kopplung 
von AVM.
Insgesamt müssen aktuell 10 Standort miteinander verbunden werden und es 
werden noch mehr. Gleichzeitig sollen mobile Endgeräte via VPN auf das 
Netzwerk zugreifen können.

Das Gerät soll selbst nicht als Modem fungieren sondern wirklich nur das 
VPN bereitstellen. Richtig genial wäre es, wenn die Authentifizierung 
für die VPN Verbindung mit der Active Directory gekoppelt werden kann.

Ich hoffe, dass ihr da ein paar Produktempfehlungen für mich habt. 
Preislich habe ich mir so bis zu 400€ vorgestellt.

Wenn das mit der AD schwer wird, ist das schade, aber macht dann auch 
nichts.
Wichtig ist wirklich eine gute, stabile und durchsatzstarke VPN 
Verbinung zwischen den Standorten und den Mobilgeräten.

Was ich bisher gefunden habe ist folgendes Gerät:
https://www.linksys.com/de/p/P-LRT224/

Von von mir aus, sieht der ganz gut aus, er hat nur keine AD Anbindung. 
Schade, aber OK,... aber vielleicht habt ihr bessere Vorschläge, kennt 
das Gerät und könnt mir was dazu sagen usw.

Ich hoffe auf eure Meinungen und danke vielmals für jede Hilfe.

von Guest (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Wenn du etwas willst, das wirklich funktioniert, kann ich nur eine 
Sophos SG (nicht XG!) mit den entsprechenden RED Devices für die 
Aussenstellen empfehlen.

Allerdings reichen da deine 400€ nicht.

von Reinhard S. (rezz)


Bewertung
0 lesenswert
nicht lesenswert
Gibt es einen zentralen Standort, zu dem sich alle verbinden, oder 
kann/soll da auch jeder mit jedem?

von alopecosa (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ich habe aktuell durchaus gute und performante Erfahrungen mit Lancom 
gemacht.

Allerdings reichen auch da die 400EUR nicht einmal ansatzweise.

von Elektronigger (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:
> mehreren Standorten zu verbinden ähnlich der LAN-> LAN kopplung von AVM.

Genau die können das! Du kannst mehrere vpn pro Router eintragen. Wenn 
das AVM-logo stört, mach einen Sticker drüber.

von Holger (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Danke für eure Antworten!

Reinhard S. schrieb:
> Gibt es einen zentralen Standort, zu dem sich alle verbinden, oder
> kann/soll da auch jeder mit jedem?

Jeder soll nur mit dem Netz des Servers verbunden sein. Mehr nicht. Also 
alles soll Zentral zusammen laufen.

Guest schrieb:
> Wenn du etwas willst, das wirklich funktioniert, kann ich nur eine
> Sophos SG (nicht XG!) mit den entsprechenden RED Devices für die
> Aussenstellen empfehlen.
>
> Allerdings reichen da deine 400€ nicht.

An die hatte ich auch schon gedacht, da ist aber wirklich der Preis 
recht hoch. Wir sind ein gemeinnütziger Verein und betreuen Kinder. 
Leider wirft der Staat und die Spenden nicht so viel ab, dass wir uns 
eine richtig große gute Infrastruktur leisten können.

Elektronigger schrieb:
> Genau die können das! Du kannst mehrere vpn pro Router eintragen. Wenn
> das AVM-logo stört, mach einen Sticker drüber.

Aktuell sind die Standorte mit den Fritzboxen verbunden. Aber die 
Performence lässt stark nach. Zudem AVM nur 8 Verbindungen garantiert.
Aktuell sind es 9 + X Endgeräte, da wird es manchmal problematisch.

von Stefan P. (form)


Bewertung
0 lesenswert
nicht lesenswert

von Martin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo.

Mein Tipp wäre auch ubnt. Der neue Edgerouter 6 ca 240€. Der neue 4er 
ist auch gut aber kaum zu bekommen.
Der hat dann aber als WAN nur Ethernet und kein eingebautes DSL Modem.
Die Frage ist welchen Durchsatz muss die Zentrale schaffen und welche 
Art von VPN ist gewünscht (SSL oder IPSec).
AVM macht IPSec aber schafft niemals 100MBit.
SSL VPN wird zunehmend von den Firmen eingesetzt aber hat 
Protokolloverhead. Also für site-to-site eher nicht so dolle.
OpenVPN 8(zB in pfsense) würde auch auf einem "normalen" PC mit zwei 
Netzwerkkarten laufen und schafft damit richtigen Durchsatz (GBit).


Martin

von Guest (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:
> An die hatte ich auch schon gedacht, da ist aber wirklich der Preis
> recht hoch. Wir sind ein gemeinnütziger Verein und betreuen Kinder.
> Leider wirft der Staat und die Spenden nicht so viel ab, dass wir uns
> eine richtig große gute Infrastruktur leisten können.

Nimm mal mit einem Sophos Distributor in deiner Nähe Kontakt auf.
Als NPO oder EDU gilt die offizielle Preisliste nicht.

von Sebastian H. (sebh)


Bewertung
0 lesenswert
nicht lesenswert
Sollte bei Unifi sogar noch günstiger möglich sein, mit dem Unifi 
Security Gateway. Wobei ich nichts zur maximalen Anzahl Verbindungen 
gefunden habe, aber denke wenn es eine sehr kleine Zahl wäre würden sie 
es irgendwo hinschreiben.

EdgeRouter hat natürlich weitaus mehr Einstellungsmöglichkeiten, und 
generell gilt bei US Produkten: eventuell mit staatlich zertifizierter 
Backdoor.

https://help.ubnt.com/hc/en-us/articles/360002426234-UniFi-Configuring-Site-to-Site-VPN-on-USG

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Unter 400€ pro Stück liegt beispielsweise der Bintec RS353. Die setzen 
wir betrieblich mit IPsec für Standortverbindung ein und sie 
funktionieren zuverlässig. Einen mobilen Client gibts auch, den kenne 
ich aber nicht selbst.

Wenn es günstig sein soll: Ich habe privat unlängst eine OpenVPN 
Kopplung mit einem Mikrotik-Router durchgeführt, mit einem RasPi auf der 
anderen Seite. IPsec kann er auch, OpenVPN ist aber im NAT-Bereich 
hinter einem Zugangsrouter angenehmer. Die liegen teils weit unter 100€. 
Auch hier liegt mir keine Erfahrung mit Mobilgeräten vor, 
OpenVPN-Lösungen gibts aber. Eine feste IP ist bei OpenVPN nicht nötig, 
der Server kann per Name angesprochen werden (der Server sitzt bei mir 
hinter normalem DSL ohne feste IP).

Langzeiterfahrungen mit Mikrotik liegen mir noch nicht vor, OpenVPN 
macht der nur über TCP, nicht UDP. Generell betrachtet ist TCP über TCP 
nicht notwendigerweise die beste Strategie.

AD ist m.W. nicht vorgesehen. Zertifikate oder Key.

: Bearbeitet durch User
von Holger (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Martin schrieb:
> Mein Tipp wäre auch ubnt. Der neue Edgerouter 6 ca 240€. Der neue 4er
> ist auch gut aber kaum zu bekommen.
> Der hat dann aber als WAN nur Ethernet und kein eingebautes DSL Modem.
> Die Frage ist welchen Durchsatz muss die Zentrale schaffen und welche
> Art von VPN ist gewünscht (SSL oder IPSec).
> AVM macht IPSec aber schafft niemals 100MBit.
> SSL VPN wird zunehmend von den Firmen eingesetzt aber hat
> Protokolloverhead. Also für site-to-site eher nicht so dolle.
> OpenVPN 8(zB in pfsense) würde auch auf einem "normalen" PC mit zwei
> Netzwerkkarten laufen und schafft damit richtigen Durchsatz (GBit).

WAN als Ethernet macht mir nichts, ein Modem ist ja vorhanden.
100 MBit sollten die auf jeden Fall schaffen, damit unser Upload gut 
genutzt wird vom Server.
Als Site-to-Site wollte ich weiterhin IPSec einsetzen. Für die 
Mobilgeräte würde ich am liebsten die Windows Boardmittel nutzen können 
(Bequemlichkeit für die Anwender bei ggf. Heimarbeit usw.), aber ein 
eigener Client macht auch nichts.

Von UniFi habe ich schon viel gehört aber eher im Bezug auf Meshed WLAN. 
Werde ich mir auf jeden Fall genauer ansehen! Soweit ich das sehe können 
die sehr viel was wir brauchen für einen erschwinglichen Preis.

Guest schrieb:
> Nimm mal mit einem Sophos Distributor in deiner Nähe Kontakt auf.
> Als NPO oder EDU gilt die offizielle Preisliste nicht.

Ich werde es mal versuchen, vielleicht ist das ja wie bei MS Statt 260€ 
zahlen wir auch knapp 80€ für eine Windows Lizenz dank EDU Status.

Ich hab da noch eine Idee inkl. Frage, wie sieht es mit dem internen VPN 
Server vom MS Server aus? Vielleicht macht es ja sinn, einen Server in 
der Hyper-V zu installieren und den als VPN Server für die mobilen 
Geräte zu nutzen, dann könnte ich auch die AD verwenden. Wie kommt die 
mit ca. 30-40 Verbindungen gleichzeitig zurecht (Internet-Bandbreite 
jetzt mal außen vor gelassen)?
So würde sich das Problem theoretisch schon mal erledigen und ich muss 
mich nur noch auf eine vernünftige Site-to-Site Lösung kümmern.

von Icke ®. (49636b65)


Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:
> Frage, wie sieht es mit dem internen VPN Server vom MS Server aus?

Du kannst das Remotedesktop Gateway nutzen und hast damit auch 
AD-Integration:

https://technet.microsoft.com/de-de/library/hh708743.aspx

Sofern die Authentifizierung aber nur mit Username/Kennwort erfolgt, ist 
das nicht besonders sicher. Wer eine gültige Kombi kennt, kommt ohne 
weitere Hürden rein.

von Schreiber (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:
> Elektronigger schrieb:
>> Genau die können das! Du kannst mehrere vpn pro Router eintragen. Wenn
>> das AVM-logo stört, mach einen Sticker drüber.
>
> Aktuell sind die Standorte mit den Fritzboxen verbunden. Aber die
> Performence lässt stark nach. Zudem AVM nur 8 Verbindungen garantiert.
> Aktuell sind es 9 + X Endgeräte, da wird es manchmal problematisch.

Man kann auch die Außenstellen weiterhin mit einer Fritzbox ausstatten 
und den zentralen Server mit einer besseren Hardware. In diesem Fall 
sollte das ausreichend sein.
Ein "normaler" Computer mit zwei Netzwerkkarten und Linux kann 
das(Server) bereits mit Boardmitteln, sofern der Administrator was von 
seinem Handwerk versteht.

Allerdings:
Billig, Schnell und Idiotensicher gibt es nicht zusammen. Passen immer 
nur zwei von den drei Wünschen zusammen.

von Schreiber (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Martin schrieb:
> OpenVPN 8(zB in pfsense) würde auch auf einem "normalen" PC mit zwei
> Netzwerkkarten laufen und schafft damit richtigen Durchsatz (GBit).

nur wenn der Prozessor die Verschlüsselung in Hardware unterstützt. Die 
ganz billigen CPUs können das teilweise nicht.

von L. N. (derneumann)


Bewertung
0 lesenswert
nicht lesenswert
vergiss windows hyper-v und vergiss windows vpn.

wenn es billig sein soll, kiste mit pfsense - leistungund durchsatz 
skaliert mit der hardware darunter, läuft bei mir seit jahren 100% 
stabil mit ssl site to site vpn.

ansonsten gebraucht fortinet firewalls ab 60D auf ebay. der buchstabe 
hinten gibt die generation an und die zahl ist die leistungsklasse. 
unter 60 würde ich nicht gehen und unter D auch nicht.
da geht auch client to site ssl oder ipsec vpn mit AD integration oder 
auch radius oder TACACS+.

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Schreiber schrieb:
> nur wenn der Prozessor die Verschlüsselung in Hardware unterstützt. Die
> ganz billigen CPUs können das teilweise nicht.

Wobei das bei einem Stern allenfalls in der Zentrale interessiert, in 
der alle VPNs auflaufen. Eine einfache VPN schafft auch der Prozessor 
ohne Hardware-Unterstützung. Und mehr Bits/s, als die dort 
angeschlossene Leitung hergibt, muss auch der zentrale Knoten nicht 
können.

: Bearbeitet durch User
von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Bei Hardware-Support sollte man auch darauf achten, wofür der jeweils 
gilt. Da kann es schon mal sein, dass IPsec über Hardware geht, manche 
anderen Protokolle aber über Software.

von Holger (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Icke ®. schrieb:
> Sofern die Authentifizierung aber nur mit Username/Kennwort erfolgt, ist
> das nicht besonders sicher. Wer eine gültige Kombi kennt, kommt ohne
> weitere Hürden rein.

Die Nutzer selbst kommen nur bei bedarf ran bei dieser Methode. Da bin 
ich mit der Planung aber noch nicht ganz fertig.

Schreiber schrieb:
> Man kann auch die Außenstellen weiterhin mit einer Fritzbox ausstatten
> und den zentralen Server mit einer besseren Hardware. In diesem Fall
> sollte das ausreichend sein.

Hatte ich auch schon drüber nachgedacht, aber ich weiß nicht ob sich AVM 
da vielleicht wie Apple benimmt und die Verbindung dann vielleicht nicht 
akzeptiert. Das könnte man zumindest für den Anfang versuchen. Wenn es 
klappt, hat man Geld gespart, wenn nicht, muss man halt dazu kaufen. Ist 
zumindest eine Option. Da die Zweigstellen max. 10 Rechner haben ist das 
vielleicht ganz sinnvoll.

> Ein "normaler" Computer mit zwei Netzwerkkarten und Linux kann
> das(Server) bereits mit Boardmitteln, sofern der Administrator was von
> seinem Handwerk versteht.

Einen Computer haben wir aber nicht über und dann einen PC kaufen der 
auch noch mehr Strom braucht, wärme und Lärm macht ist dann vielleicht 
nicht ganz angemessen sofern man sich in dem Preissegment bewegt finde 
ich.

Unser Server hat zwar 2 NICs und eine recht starke CPU aber der soll in 
Zukunft noch andere Aufgaben erledigen.

> Allerdings:
> Billig, Schnell und Idiotensicher gibt es nicht zusammen. Passen immer
> nur zwei von den drei Wünschen zusammen.
Da stimme ich dir zu. Trotzdem kann ich nicht mehr ausgeben weil mein 
Budget nicht mehr hergibt.

Ich danke erstmal sehr für die guten Tips und Ideen. Ich werde mich mal 
näher mit dem UbiQuitti (UniFi) auseinandersetzen, denn ich denke die 
könnten noch andere Probleme bei uns lösen zu einem akzeptablen Preis.

von Schreiber (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:
>> Allerdings:
>> Billig, Schnell und Idiotensicher gibt es nicht zusammen. Passen immer
>> nur zwei von den drei Wünschen zusammen.
> Da stimme ich dir zu. Trotzdem kann ich nicht mehr ausgeben weil mein
> Budget nicht mehr hergibt.

Da muss man halt das eine dem anderen anpassen.

Holger schrieb:
> Hatte ich auch schon drüber nachgedacht, aber ich weiß nicht ob sich AVM
> da vielleicht wie Apple benimmt und die Verbindung dann vielleicht nicht
> akzeptiert. Das könnte man zumindest für den Anfang versuchen.

ist problemlos. IPsec wird unterstützt, hatte damit auch noch nie 
Probleme.
OpenVPN wird NICHT unterstützt

Mehr dazu: 
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-verbinden/

von Schreiber (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:
> Einen Computer haben wir aber nicht über und dann einen PC kaufen der
> auch noch mehr Strom braucht, wärme und Lärm macht ist dann vielleicht
> nicht ganz angemessen sofern man sich in dem Preissegment bewegt finde
> ich.

Naja, so viel Strom brauchen die auch nicht. Da reicht ja sogar ein 
Intel Atom oder eine vergleichbare Wanderdüne, solange die 
AES-Hardwarbeschleunigung hat...

von Norbert (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Wanderdüne ist schön... ;-)
Ich hab' hier einen alten Compaq Deskpro Pentium 450MHz als "once in a 
while" Backup System.
Der ist aus dem letzten Jahrzehnt^H Jahrhundert^H Jahrtausend.

Die lahmar...igen Festplatten sind AES verschlüsselt (Prozessor hat 
keine Hardware Unterstützung) und können über Netzwerk trotzdem mit > 
30MBit/s beschrieben werden. (Gemessen mit 'nc', 'pv', 'dd')

Also sollte im Grunde genommen ein gebrauchter Sub-100€ PC ausreichend 
sein als VPN Server.

von Frank E. (Firma: Q3) (qualidat)


Bewertung
0 lesenswert
nicht lesenswert
Warum willst du nicht gleich VPN im DSL-Modem? Ansonsten musst du mit 
Port-Forwarding "ein Loch" in deine Firewall bis zum VPN-Endpoint machen 
... ungünstig.

Mein Vorschlag: Direktes VPN von Router zu Router. Prinzipiell kann das 
fast jedes DSL-Kombigerät (Lancom, AVM, Draytek, TP-Link ...)

Wenn außer der direkten Verbindung zwischen den Standorten noch 
Mobilgeräte sich einklinken können sollen, gilt es, einen Blick auf die 
Kompatibilität zu werfen.

Bei den Routern würde ich unbedingt alles baugleiche Geräte, mindestens 
aber vom gleichen Hersteller wählen.

Ich finde es von großem Vorteil, wenn man auf den Endgeräten keine extra 
Fremdsoftware benötigt ("VPN-Client"), sondern die Verbindung quasi mit 
Bordmitteln aufbauen kann. Das klappt z.B. bei Draytek für Windows, Mac 
OSX und iOS hervorragend (L2TP über IPSec), Arndoid benötigt einen 
Client.

Bei AVM z.B. können alle, außer Windows (hängt mit der IKE-Variante 
zusammen), ohne zus. Software ...

Am flexibelsten sind m.E. Geräte von Lancom, da kann man dutzende Typen 
von VPN in jeder nur erdnklicjen Variante konfigurieren, so dass am Ende 
alle ohne zus. Clienten können. Das ist eine ziemlich mühsame 
Angelegenheit, die sich aber am Ende lohnt.

: Bearbeitet durch User
von L. N. (derneumann)


Bewertung
0 lesenswert
nicht lesenswert
Viele nicht zu Ende gedachte Ansätze...

Frank E. schrieb:
> Warum willst du nicht gleich VPN im DSL-Modem? Ansonsten musst du mit
> Port-Forwarding "ein Loch" in deine Firewall bis zum VPN-Endpoint machen
> ... ungünstig.

>
> Mein Vorschlag: Direktes VPN von Router zu Router. Prinzipiell kann das
> fast jedes DSL-Kombigerät (Lancom, AVM, Draytek, TP-Link ...)

Weil diese Kombi Kisten in den seltensten Fällen die notwendige Leistung 
aufbringen können um eine solche Anzahl an Tunneln bei vernünftigem 
Durchsatz vernünftig zu verschlüsseln. Ab AES256 bei unverändert hohem 
Durchsatz wird es interessant.

Wie sieht die Softwarepflege im Bezug auf Sicherheitslücken bei diesen 
Herstellen aus? Ich würde entweder gleich auf eine aktiv gepflegte Open 
Source Lösung gehen (pfsense) oder auf eine Hardware Firewall eines 
renommierten Herstellers wie Checkpoint, Sophos (Red), Cisco ASA, 
Fortinet, ...

Nachdem das Budget nichts hergibt, würde ich einen PC mit pfsense 
nehmen. Laut und stromfressend sind die nicht mehr (vielleicht wenn er 
von 2004 ist).

>
> Wenn außer der direkten Verbindung zwischen den Standorten noch
> Mobilgeräte sich einklinken können sollen, gilt es, einen Blick auf die
> Kompatibilität zu werfen.

Android und iOS können beide IPSEC, L2TP over IPSEC und PPTP (Gott 
bewahre). Einige Hersteller wie Fortinet bieten auch einen SSL VPN 
Client für iOS und Android an. Die meisten großen Hersteller haben VPN 
Clients für alle möglichen Betriebssysteme.

>
> Bei den Routern würde ich unbedingt alles baugleiche Geräte, mindestens
> aber vom gleichen Hersteller wählen.

Das macht die Verwaltung einfacher. Wenn alle IPSEC sprechen, kann man 
die Geräte auch mischen. Alle namhaften Hersteller können miteinander 
IPSEC Tunnel aufbauen.

>
> Ich finde es von großem Vorteil, wenn man auf den Endgeräten keine extra
> Fremdsoftware benötigt ("VPN-Client"), sondern die Verbindung quasi mit
> Bordmitteln aufbauen kann. Das klappt z.B. bei Draytek für Windows, Mac
> OSX und iOS hervorragend (L2TP über IPSec), Arndoid benötigt einen
> Client.

Mit Windows hast du halt die A*****karte. Windows konnte IPSEC noch nie 
richtig. SSL VPN können sie auch nicht, nur deren proprietäres SSTP.
L2TP ist ein bisschen so, wie Kinder fressen.

> Am flexibelsten sind m.E. Geräte von Lancom, da kann man dutzende Typen
> von VPN in jeder nur erdnklicjen Variante konfigurieren, so dass am Ende
> alle ohne zus. Clienten können. Das ist eine ziemlich mühsame
> Angelegenheit, die sich aber am Ende lohnt.

Es mag an meinen persönlichen Präferenzen liegen aber irgendwie bekomm 
ich die LANCOM Kisten nicht aus der "Spielzeug" Ecke heraus. Und dann 
denk ich mir, wenn schon Spielzeug, dann wenigstens Open Source -> 
pfsense.

von Stephan (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Netgear FVS 318, 325 bzw. deren Nachfolger blaue Business Reihe. Waren 
aber LAN Router.

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Frank E. schrieb:
> Warum willst du nicht gleich VPN im DSL-Modem?

Im DSL-Modem???

> Port-Forwarding "ein Loch" in deine Firewall bis zum VPN-Endpoint machen
> ... ungünstig.

Bei IPsec ist das möglich, aber ungünstig. Das ist bei Protokollen wie 
OpenVPN einfacher.

> Bei den Routern würde ich unbedingt alles baugleiche Geräte, mindestens
> aber vom gleichen Hersteller wählen.

Ist einfacher so, aber IPsec funktioniert mittlerweile auch ganz gut 
zwischen verschiedenen Herstellern. Wenn auch nicht immer in allen 
Varianten.

: Bearbeitet durch User
von Frank (Gast)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Frank E. schrieb:
>> Warum willst du nicht gleich VPN im DSL-Modem?
>
> Im DSL-Modem???

Damit meine ich (verkürzt) das "Anschluss-Kombigerät" aka Fritz, Vigor 
oder Lancom, natürlich nicht das Modem direkt.

>> Port-Forwarding "ein Loch" in deine Firewall bis zum VPN-Endpoint machen
>> ... ungünstig.
>
> Bei IPsec ist das möglich, aber ungünstig. Das ist bei Protokollen wie
> OpenVPN einfacher.

Wo ist der Unterschied, für welchen Port ich das Loch mache?


> Ist einfacher so, aber IPsec funktioniert mittlerweile auch ganz gut
> zwischen verschiedenen Herstellern. Wenn auch nicht immer in allen
> Varianten.

Da widerspreche ich aus eigener Erfahrung entschieden.

IPSec ist eben nicht gleich IPSec. Für die einzelnen Phasen und 
Verschlüsselungen gibt es zig Varianten, die längst nicht jeder 
Beteiligte genau so umsetzt. Im Gegenteil, es herrscht eine 
haarsträubende Vielfalt. Oben genanntes Beispiel AVM vs. Draytek. Beide 
machen L2TP über IPSec. Während ich mit einem Windows-Gerät (7,8,10...) 
zum Draytek ohne spez. Client-Software verbinden kann, geht das mit 
einer Fritzbox nicht. Usache: Unterschiedliche IKE-Varianten ...

von Frank (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Sorry, letzten Post nicht genau gelesen, ich widerspreche nicht, ich 
stimme zu. :-)

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Frank schrieb:
>> Im DSL-Modem???
>
> Damit meine ich (verkürzt) das "Anschluss-Kombigerät" aka Fritz, Vigor
> oder Lancom, natürlich nicht das Modem direkt.

Gemeinhin als DSL-Router bekannt. ;-)

>> Bei IPsec ist das möglich, aber ungünstig. Das ist bei Protokollen wie
>> OpenVPN einfacher.
>
> Wo ist der Unterschied, für welchen Port ich das Loch mache?

Bei IPsec machst du eigentlich 3 Löcher (ESP,500,4500) und hast exakt 
ein von aussen ansprechbares Gerät als mögliche Ansprechstelle. Es ist 
beispielsweise nicht möglich, sowohl Fritzbox-IPsec zu verwenden, als 
auch eine interne Gegenstelle, weil entweder Fritz oder die interne Node 
per IPsec ansprechbar sein kann, nicht aber beide. Bei IPsec muss man 
sich auch über ein beteiligtes NAT Gedanken machen.

Bei Protokollen, die wie OpenVPN über einen simplen TCP- oder UDP-Tunnel 
arbeiten, entfallen diese Aspekte.

> Da widerspreche ich aus eigener Erfahrung entschieden.

Ich habe im letzten Jahrzehnt mit keiner Gegenstelle zu tun gehabt, mit 
der ich keine site-to-site Verbindung per IPsec geschafft hätte. Und da 
ist auf der anderen Seite ein ziemlicher Gemüsegarten dabei, von einer 
hausgebackenen Linux-Lösung bis zu Fortinet.

> IPSec ist eben nicht gleich IPSec. Für die einzelnen Phasen und
> Verschlüsselungen gibt es zig Varianten, die längst nicht jeder
> Beteiligte genau so umsetzt.

Ja. Wenn man da nicht endlos rumprobieren will, dann einigt man sich 
vorneweg auf die Phase1/2 Profile. Weshalb die IPsec Implementierungen 
meist flexible Profile anbieten, also pro Verbindung wählbar. Allerdings 
beziehe ich mich auf den professionellen Sektor, nicht auf Fritzboxen.

: Bearbeitet durch User
von L. N. (derneumann)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Ich habe im letzten Jahrzehnt mit keiner Gegenstelle zu tun gehabt
> (meist andere Firmen), mit der ich keine site-to-site Verbindung per
> IPsec geschafft hätte. Und da ist auf der anderen Seite ein ziemlicher
> Gemüsegarten dabei, von einer hausgebackenen Linux-Lösung bis zu
> Fortinet.
>
>> IPSec ist eben nicht gleich IPSec. Für die einzelnen Phasen und
>> Verschlüsselungen gibt es zig Varianten, die längst nicht jeder
>> Beteiligte genau so umsetzt.
>
> Ja. Wenn man da nicht endlos rumprobieren will, dann einigt man sich
> vorneweg auf die Phase1/2 Profile. Weshalb die IPsec Implementierungen
> meist flexible Profile anbieten. Allerdings beziehe ich mich auf den
> professionellen Sektor, nicht auf Fritzboxen.

This.

Wer behauptet mit IPSec gibts Probleme, der hat nur mit 
Kindergartenhardware gearbeitet.

von Stephan H. (stephan-)


Bewertung
0 lesenswert
nicht lesenswert
L. N. schrieb:
> Wer behauptet mit IPSec gibts Probleme, der hat nur mit
> Kindergartenhardware gearbeitet.

Lancom und Netgear sprechen auch nicht die gleiche Sprache ohne 
nachzuhelfen. Insbesondere wenn im Shared Kay Umlaute oder Sonderzeichen 
enthalten sind, wie es ja ausdrücklich auch sein soll. Auch bei 2 
gleichen Netgear FVS318 V2 und V3 da gleiche Theater. Das ist für mich 
keine Kindergartenhardware. Für Cisco habe ich keine Zeit, jede Woche 
neue Lücken entdeckt.....

von foo (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Mikrotik wurde glaub noch nicht genannt:

https://mikrotik.com/products/group/ethernet-routers

Von denen laufen hier zig Router, Accesspoints und Switches seit Jahren 
problemlos.
Können IPSec und OpenVPN und irrsinnig viel mehr.
Kosten sind vergleichsweise niedrig.

Guter Einstieg:

https://www.youtube.com/playlist?list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3

von L. N. (derneumann)


Bewertung
0 lesenswert
nicht lesenswert
Stephan H. schrieb:
> L. N. schrieb:
>> Wer behauptet mit IPSec gibts Probleme, der hat nur mit
>> Kindergartenhardware gearbeitet.
>
> Lancom und Netgear sprechen auch nicht die gleiche Sprache ohne
> nachzuhelfen. Insbesondere wenn im Shared Kay Umlaute oder Sonderzeichen
> enthalten sind, wie es ja ausdrücklich auch sein soll. Auch bei 2
> gleichen Netgear FVS318 V2 und V3 da gleiche Theater. Das ist für mich
> keine Kindergartenhardware. Für Cisco habe ich keine Zeit, jede Woche
> neue Lücken entdeckt.....

Lancom und vor allem Netgear keine Kindergartenhardware. Alles klar xD 
xD

von L. N. (derneumann)


Bewertung
0 lesenswert
nicht lesenswert
foo schrieb:
> Mikrotik wurde glaub noch nicht genannt:
>
> https://mikrotik.com/products/group/ethernet-routers
>
> Von denen laufen hier zig Router, Accesspoints und Switches seit Jahren
> problemlos.
> Können IPSec und OpenVPN und irrsinnig viel mehr.
> Kosten sind vergleichsweise niedrig.
>
> Guter Einstieg:
>
> https://www.youtube.com/playlist?list=PLnzEbgyK52GvvgQ4L2s_kskQcFmTPVCX3

jo, mikrotik soll wohl ganz gut sein, konnte damit aber noch keine 
erfahrungen sammeln

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Stephan H. schrieb:
> Insbesondere wenn im Shared Kay Umlaute oder Sonderzeichen
> enthalten sind, wie es ja ausdrücklich auch sein soll.

Sonderzeichen ok. Aber Umlaute? Da fordert man die Probleme regelrecht 
heraus.

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
foo schrieb:
> Mikrotik wurde glaub noch nicht genannt:

Beitrag "Re: VPN-Router gesucht."

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
L. N. schrieb:
> jo, mikrotik soll wohl ganz gut sein, konnte damit aber noch keine
> erfahrungen sammeln

Ich habe nun seit ein paar Wochen einen "hAP ac²" Router, ~55€. Wer das 
WLAN braucht, der sollte derzeit die Finger davon lassen, aber als 
Router habe ich bisher keine Probleme.

Zur Performance bei IPsec siehe
https://mikrotik.com/product/hap_ac2#fndtn-testresults

6 Mb/s OpenVPN Traffic tritt als CPU-Last nicht messbar in Erscheinung. 
Auf dem RasPi2 am anderen Ende war das indes deutlich bemerkbar.

: Bearbeitet durch User
von Schreiber (Gast)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Sonderzeichen ok. Aber Umlaute? Da fordert man die Probleme regelrecht
> heraus.

Alle nicht ASCI-Zeichen sind eine Quelle steten Ärgernisses. Am besten 
vermeiden!

von Holger (Gast)


Bewertung
0 lesenswert
nicht lesenswert
So,
an alle weiteren Antworter auch nochmal ein dickes Dankeschön.
Ich habe heute mit Varia telefoniert. Die machen Schulungen usw. unter 
anderem auch Produktberatung. Dort habe ich mal angefragt wie es bei 
unserem Aufbau mit dem VPN aussieht. Er meinte 26 VPN Verbindungen 
werden unterstützt, die genaue Bandbreite konnte er mir nicht sagen aber 
50 MBit unseres Uploads sollten die wohl auslasten können. Ebenfalls 
meinte er, dass bei 26 Clients vielleicht die Performence leidet aber 
unsere 10 Zeigstellen sind kein Problem. Ich denke, dass wir in den 
nächsten 5-10 Jahren keine 16 Zweigstellen aufbauen werden, also bin ich 
damit recht zufrieden.

Soviel zur Info an alle damit wisst ihr auch, wie viele VPN unifi 
aufbauen kann (weil es steht nirgends!).

Der Händler dort hat mir auch noch Mikrotik empfohlen mit denen werde 
ich mich auch nochmal auseinander setzen. Bisher bin ich aber von der 
Unifi geschickte recht angetan und der Preis hält sich in grenzen. Der 
gute Mensch dort sagte mir, dass man mit der Fritzbox auch eine 
Verbindung herstellen kann. Das ist dann etwas frickeliger als wenn das 
ganze Homogen ist, aber grundsätzlich ist kein Problem.

Ich fand alles was er sagte klang ehrlich, er wollte nichts verkaufen 
und hat gut beraten. Wer also zu Unifi was wissen will einfach mal dort 
melden: http://www.ubiquiti.de/

Ich bin gerade sehr auf dieses unifi eingeschossen weil es wirklich auch 
einige andere Probleme löst die wir noch so haben in unseren Netzen aber 
trotzdem schau ich mir mikrotik nochmal an.

von Eric (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Eine kleine ASA oder meinetwegen auch nen alten NS. Reicht locker für 
die knapp 100MBit die es in Europa maximal hat.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.