PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [VPN] Site-to-Site Netzwerk


Tigershark
2020-06-25, 16:20:39
Hallo Forum,

ich bin bei uns (ein wenig wie die Jungfrau zum Kind :-P) als einziger "IT-affiner" in einem mittelständischen Betrieb (Gärtnerei) mit 4 Filialen so "nebenbei" damit betraut worden, unsere IT Infrastruktur auf den aktuellen Stand zu bringen.

Drucker, Desktoprechner, Server etc. habe ich schon alle umgerüstet, DSL 16000 auf Kabel 1000MBit umgestellt etc. etc. So weit, so prima - aber aktuell fahre ich noch 2 WAN-Anschlüsse, weil:

* wir haben 4 Filialen
* Filiale 1 ist gleichzeitig Büro und Serverstandort
* alle Kassen laufen per VPN (Telekom Digibox Premium - IPSec PSK) am Server, Zeiterfassungssysteme ebenfalls

So - die Fritzbox, die ich bei vodafone gestellt bekomme (6591) kann kein VPN (bzw. nur ungenügend und über Umwege per Skript konfigurierbar) und außerdem soll die ja dann nicht mit anderen Fritzboxen kommunizieren sondern mit den Digiboxen (alle anderen Filialen sind nach wie vor per Telekom verkabelt).

Jetzt war meine Idee, mit einem Hardware Gateway zu arbeiten, z.B. mit einem Ubiqity USG (1 pro Filiale + ein "Master" mit Cloud key zur Verwaltung am Bürostandort). Alles dazu lese ich mir an - ich habe zwar zu Hause alles selbst verkabelt und vernetzt und bin auch sonst so ganz fit, aber das ist jetzt doch noch mal eine andere Hausnummer.

Daher meine Frage an euch: habt ihr eine andere/bessere Idee? Bitte keine Cisco und Konsolenconfig Vorschläge - ich würde das sicher noch hinbekommen, aber ich muss es auch so hinterlassen, dass im Falle meines Ausfalls ein echte "noob" eingreifen kann.

USG okay? Oder alle router auf fritzboxen umstellen? Oder... sonst was anderes?

Danke schonmal - bin für alle Anregungen offen :-)

RaumKraehe
2020-06-25, 16:36:52
Kauf dir einfach vernünftige Router. Das spart auf Dauer nerven und Geld.

z.b. Geräte von LANCOM. Da ist so eine Konfiguration innerhalb von 5 Minuten zusammen geklickt, dass VPN konfiguriert sich praktisch automatisch, was dann in der Regel über Jahre läuft.

Mann muss nichts über PSK-Gruppen oder preshared Keys wissen. Geht alles per klickibunti.

Im Notfall ersetzt du das Gerät und lädst die zuvor gesicherte Konfig wieder rein. Zack ist alles wieder online.

qiller
2020-06-25, 17:38:59
IPFire aufsetzen und OpenVPN-Netz-zu-Netz einrichten, funktioniert wunderbar und kann auch per "Klicki-Bunti" bedient werden. Hardware kann man dazu alles mögliche nutzen, würde aber sowas vorschlagen, wenn man die Hardware nicht selber basteln will:
https://shop.tx-team.de/Netzwerk-Firewall/Desktop-Firewall/DuoBox-Business::8.html
falls DMZ und etwas mehr Leistung benötigt wird:
https://shop.tx-team.de/Netzwerk-Firewall/Desktop-Firewall/EcoBox::32.html

Von irgendwelchen Routern o. Hardwarefirewall etc., die das machen, kann ich nur abraten, außer man hat garantiert nen vernünftig langen Supportzeitraum und kurze Reaktionszeiten, um nicht z.B. mehrere Monate lang auf offenen Sicherheitslücken zu sitzen, wie das schon bei so manchem Routerhersteller in der Vergangenheit aufgetreten ist.

PS: Man kann IPFire natürlich auch manuell mit anderen OpenVPN-Systemen "verheiraten", muss dann aber bisschen gebastelt werden. Habe z.B. ein IPFire-DDWRT-Netz-zu-Netz und IPFire-Securepoint-VPN-Netz-zu-Netz erfolgreich einrichten können.

RaumKraehe
2020-06-25, 19:03:50
Die meisten scheitern bei der Konstelation des TS wohl eher am Routing.

Für den Preis der Kisten bekommt man schon fertige Router. Lancom bringt gefühlt pro Monat ein Update raus. Ich fühle mich bei denen gut aufgehoben.

sven2.0
2020-06-25, 19:26:01
Hatten Lancom, hat gut funktioniert wobei die Oberfläche mehr als altbacken ist. Jetzt Unifi funktionert genauso gut. VPN Lösungen sind bei Beiden Herstellern mit ein paar Klicks gemacht.

RaumKraehe
2020-06-25, 19:32:22
Hatten Lancom, hat gut funktioniert wobei die Oberfläche mehr als altbacken ist. Jetzt Unifi funktionert genauso gut. VPN Lösungen sind bei Beiden Herstellern mit ein paar Klicks gemacht.

Was die Oberfläche angeht hast du recht. Mit der externen Software gehts aber.

Tigershark
2020-06-25, 22:20:43
Danke schon mal für die Antworten bis hierher.

Lancom hatte ich bisher nicht auf dem Zettel, das schaue ich mir mal an.
Um ehrlich zu sein ist ein Argument tatsächlich auch die einfache "klickibunti" Administration, weil das Ganze (nach Einrichtung) nur noch einen Bruchteil meiner Arbeitszeit in Anspruch nehmen darf (soll... :-)) und mir das von daher auch entgegen kommt, wenn es easy ist.

Mein "Contra" bem USG war, so wie ich herausgelesen habe, dass man damit in doppel-NAT Netzwerken ein Problem mit VPN hat (oder zumindest haben kann).

Man kann ja von den Digiboxen der T-Com halten, was man will (das UI ist echt gruselig), aber einfaches VPN, das auch seit Jahren abbruchfrei läuft (letzteres weiß ich nur vom Hörensagen, bin selbst erst seit letzten September dort) bieten sie schon...

RaumKraehe
2020-06-25, 22:30:50
Das ist aber in der Regel auf Verbindungen zwischen 2 Punkten ausgelegt. Bei 4 wird es komplizierter weil das Routing komplexer wird. Klickibunti Lösungen bieten das dann auch out of the Box mit an.

Tigershark
2020-06-25, 22:40:08
Ja das stimmt, wobei eigentlich nur die 3 "Slave" Filialen auf die eine "Master" Filiale zugreifen können müssen. Es reicht also, wenn die 3 jeweils vom routing her Zugang zum Server haben, untereinander müssen sie nicht kommunizieren können.

RaumKraehe
2020-06-25, 22:46:04
Ja das stimmt, wobei eigentlich nur die 3 "Slave" Filialen auf die eine "Master" Filiale zugreifen können müssen. Es reicht also, wenn die 3 jeweils vom routing her Zugang zum Server haben, untereinander müssen sie nicht kommunizieren können.

Wenn man bei Lancom die Verbindungen herstellt wird genau das abgefragt. ;)

Ich will jetzt hier nicht Lancom pushen, wirklich nicht. Es gibt sicher auch andere Anbieter die das bieten. Mit Lancom kenne ich mich halt halbwegs aus. Habe damit mal ein Netz mit 80 Außenstellen gebaut. Allerdings waren das auch der fetteste Router den Lancom angeboten hat. (9000,- € damals)

Tigershark
2020-06-25, 22:55:41
Okay, danke. Erfahrungen aus erster Hand sind die besten... - so wie ich es sehe, gibt es im Grunde 3 Möglichkeiten:

1. Ich bringe in die Filialen ein USG-ähnliches Device, an dem NUR die Kassen hängen und installiere ein entsprechendes Gegenstück serverseitig (in den Filialen stehen auch noch Bürorechner, die brauchen bzw. sollen nicht über das VPN laufen)
2. Ich installiere einen Switch, der den VPN Tunnel regelt (filialseitig und serverseitig)
3. Ich installiere einen Router, der das alles in einem kann
(4.) alles über Software Lösungen

Bei Lösungen 1 und 2 finde ich sympathisch, dass ich die T-Com Boxen in den Filialen nicht anfassen muss. Ich weiß, klingt banal, aber "never touch a running...." und so weiter... und die Fritzbox am Serverstandort wollte ich auch nicht unbedingt tauschen, weil die das was sie machen soll auch gut macht. Also ROUTER ersetzen wäre mein least favorite... daher kam die Idee #1 auf, weil das der kleinste Eingriff ist.

So wie ich das sehe, sind die LANCOM Geräte alle mindestens 2. oder 3. - oder übersehe ich das etwas? So wie hier brauche ich es ja im Prinzip (den Hotelbob denke ich mir weg :D):

https://www.lancom-systems.de/fileadmin/user_upload/Anbindung_Filialen_und_Partnerunternehmen.png


Hast Du vielleicht eine konkrete Empfehlung? ;D

lumines
2020-06-30, 13:29:01
Mein "Contra" bem USG war, so wie ich herausgelesen habe, dass man damit in doppel-NAT Netzwerken ein Problem mit VPN hat (oder zumindest haben kann).

Das Problem wirst du immer haben und ist nicht auf die USG beschränkt.

uglyHansWurst
2020-06-30, 14:28:03
Behalt die Digibox, das sind etwas abgespeckte Geräte von Bintec (be.ip) und somit gerade was Routing und VPN angeht, besser als Fritzboxen. Jede Digibox, auch die billigste Smart, kann 5 gleichzeitige VPNs.

Tigershark
2020-07-01, 11:05:08
Das Problem ist, ich kann zwar die 3 Digiboxen der Filialen behalten, aber am Hauptstandort eben nicht - sonst wäre das natürlich die einfachste Lösung, klar.

uglyHansWurst
2020-07-01, 13:14:02
Ich würde die Fritzbox als reines Kabelmodem betreiben, zwei NAT-Router hintereinander ist Murks.

Tigershark
2020-07-01, 14:04:57
Das ist mit deen vodafone-boxen nicht möglich, dazu bräuchte ich eine freie Fritzbox (machbar).
Ein anderes Modem wird aber wegen unserem EuroDOCSIS 3.1 (GBit Kabel) schon wieder eng. Hach, es ist echt zum Mäusemelken...

uglyHansWurst
2020-07-01, 16:02:27
IPSec benutzt die UDP Ports 500 und 4500 für Nat-Traversal. Kannst ja probieren, dich mit mit einem VPN-Client (von shrewsoft gibts einen Kostenlosen, der mit den Digiboxen funktioniert) hinter der Fritzbox auf eine Digibox zu verbinden, wenn das klappt, sollte auch eine site-to-site möglich sein.

Tigershark
2020-07-02, 13:47:58
das ist eine Idee, probiere ich mal aus - Danke!