stephan902
Goto Top

Professioneller VDSL-Router mit VPN gesucht

Hallo,

ich suche einen professionellen VDSL-Router mit VPN, der geeignet ist um zwei Standorte dauerthaft zu verbinden.

Außerdem soll der Router über ein Webinterface bedienbar sein.

Leider finde ich abseits der üblichen FritzBox relativ wenig und die FritzBox ist, was VPN angeht, eine Katastrophe.

Content-Key: 254159

Url: https://administrator.de/contentid/254159

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: stephan902
stephan902 07.11.2014 um 12:39:26 Uhr
Goto Top
Brauche ich den dann zwangsläufig zweimal?

Bei der Außenstelle ist bereits ein Vigor2760-Serie vorhanden.

Sind Lancom und Draytek auch untereinander kompatibel?

Danke übrigens.
Mitglied: Xaero1982
Xaero1982 07.11.2014 um 12:52:52 Uhr
Goto Top
Würde ich nicht riskieren die zu mixen - wird sicher aber noch jemand was dazu sagen können.

Generell brauchst du den natürlich zwei mal.

Gerne
Mitglied: stephan902
stephan902 07.11.2014 um 13:09:27 Uhr
Goto Top
Der Punkt ist halt, dass zwei Lancon 1781VA zum einen 1000€ kosten und zum anderen ja schon ein Vigor2760 vorhanden ist.
Mitglied: Xaero1982
Xaero1982 07.11.2014 um 13:17:02 Uhr
Goto Top
Wie gesagt, da wird sicher noch jemand genaueres zu sagen können ob die beiden miteinander "sprechen".

Richtig, aber du sprachst von Professionell und hast keinen Preis genannt und sowas kostet, auch wenn du nur um einen VPN Tunnel aufzubauen sicher keine professionelle Lösung brauchst.
Mitglied: stephan902
stephan902 07.11.2014 um 13:44:10 Uhr
Goto Top
Was wäre denn eine günstigere und trotzdem zuverlässige Lösung für eine Firma mit einer festen Außenstelle und 2-3 mobilen Geräten, die als Teleworker fungieren?
Mitglied: Mobsmonster
Mobsmonster 07.11.2014 um 14:12:49 Uhr
Goto Top
Lancom und DRaytek können wunderbar miteinander reden. face-smile ALternativ könntest du auch jeweils mit openvpn ein netz aufspannen.
Mitglied: Mobsmonster
Mobsmonster 07.11.2014 aktualisiert um 14:16:12 Uhr
Goto Top
Alternativ würde auch sowas gehen wenn noch keine Firewall vorhanden ist... Gibt auch schöne Remote devices bei denen

https://www.sophos.com/products/unified-threat-management/tech-specs.asp ...
Mitglied: keine-ahnung
keine-ahnung 07.11.2014 um 14:20:44 Uhr
Goto Top
Moin,
Der Punkt ist halt, dass zwei Lancon 1781VA zum einen 1000€ kosten und zum anderen ja schon ein Vigor2760 vorhanden ist.
der Punkt ist aber auch, dass Du zwei Lancoms auch als IT-Blindschleiche in Nullkommanix miteinander verheiraten kannst und wenn irgendwann einmal irgendwas nicht funktionieren sollte, hast Du einen Ansprechpartner für beide Knoten des VPN und nicht zwei Supporter, die das Problem auf das jeweilig andere Gerät schieben.
Wenn Du viel Zeit zum Basteln und ein wenig Erfahrung hast, kannst Du auch zwei Standorte für insgesamt < 100 Ocken verbinden, aber Zeit ist halt auch Geld und Deinen Erfahrungsschatz musst Du einschätzen können.
Ich kenne nur wenige Geräte, die ihren Pris tatsächlich so wert sind wie Lancom-Router.

LG, Thomas
Mitglied: stephan902
stephan902 07.11.2014 um 14:21:07 Uhr
Goto Top
Dann ist nur noch die Frage, ob der 2760 bleiben könnte?
Mitglied: Mobsmonster
Mobsmonster 07.11.2014 um 14:26:53 Uhr
Goto Top
Der 2760 kann meiner Meinung nach bleiben....
Mitglied: stephan902
stephan902 07.11.2014 um 14:29:45 Uhr
Goto Top
Ok. Einen zweiten 1781VA kann ich ja, sollte es nicht klappen, ja immer noch kaufen!
Mitglied: aqui
aqui 07.11.2014 aktualisiert um 15:35:38 Uhr
Goto Top
Professionell und preiswert ist auch:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Oder wenns etwas weniger Budget ist das du hast:
http://varia-store.com/Hardware/MikroTik-Routers/MikroTik-RouterBoard/R ...
Mit LCD Touchscreen zur Überwachung.
Wie man damit ein Site to Site VPN herstellt:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
OVPN, L2TP supporten die auch als Standard und sind somiot sehr universell was das Thema VPN anbetrifft.

Oder wenn du mit Eigenmitteln was auf die Beine stellen willst:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Es gibt außer der Plaste FirtzBox zig weitere Optionen das etwas professioneller zu erledigen !
Mitglied: Kalle2013
Kalle2013 07.11.2014 um 17:48:46 Uhr
Goto Top
Dann werfe ich mal noch eine Alternative in den Raum: bintec RS353jv
Mitglied: keine-ahnung
keine-ahnung 07.11.2014 um 18:25:23 Uhr
Goto Top
Dann werfe ich mal noch eine Alternative in den Raum: bintec RS353jv
Ist vermutlich auch nicht billiger als ein entsprechendes Pendant ... dafür ungleich schwieriger in der Administration und der support ist ... sagen wir mal so ... ach, Sagen wir lieber mal gar nichts dazu face-wink.

LG, Thomas
Mitglied: Kalle2013
Kalle2013 07.11.2014 um 18:49:19 Uhr
Goto Top
Ich habe sowohl Lancom als auch bintec Router im Einsatz und kann diese Einschätzung nicht bestätigen. Und was den Support betrifft, so ist das die Aufgabe des Fachhändlers. Bisher bin ich mit dem bintec Support ganz gut klar gekommen. Seitdem bintec elmeg das neue Online CGS System haben klappt der Support ganz hervorragend.
Mitglied: aqui
aqui 07.11.2014 aktualisiert um 20:05:39 Uhr
Goto Top
Wer nur ein bischen Cisco Syntax versteht hat eine Konfig im Handumdrehen fertig. Dagegen sind die Bintec und Lancom Konfigs eher kryptisch. Abgesehen davon gibt es Millionen fertige Cisco Konfigs im Internet...für Bintec sicher weniger face-wink
OK, CLI Dummies nehmen so oder so das GUI basierte Setup das es auch für den Cisco gibt mit dem Konfig Manager.
Aber Kollege kA hat Recht.... Sagen wir lieber mal gar nichts dazu
Mitglied: tikayevent
tikayevent 07.11.2014 um 21:34:13 Uhr
Goto Top
Ich arbeite auch regelmäßig mit LANCOM und Bintec und muss zustimmen, dass LANCOM für Laien einfacher zu konfigurieren ist. Ich kenne sowohl den 1781VA als auch den RS353j (mit nachgekaufter VDSL-Lizenz, damit absolut identisch zum jv). Zu Draytek kann ich nichts sagen, trotz offensichtlicher Businessfeatures sind mir diese Geräte noch nicht begegnet und wenn ich meine Kollegen so höre, bin ich froh drum.

Den 1781VA konfiguriert man als Laie am besten über LANconfig und über die mitgelieferten Assistenten. Damit ist der Router innerhalb von 10 Minuten online. Bei VPN kommt es darauf an, ob man ISDN an beiden Standorten hat oder nicht. Mit ISDN ist die VPN-Sache in weiteren 10 Minuten geklärt. Ohne ISDN muss man entweder ne statische IP-Adresse auf an einem der zwei Router haben oder vorher ein DynDNS-Konto einrichten. Mit DynDNS +15 Minuten, mit statischer IP-Adresse +10 Minuten.

Dadurch, dass es mit dem Assistenten konfiguriert ist, funktioniert es, solange richtige Werte eingegeben werden, einwandfrei.

Alternativ gibt es noch den One-Click-VPN-Assistenten, der das alles in einer Minute durchziehen kann, dafür muss man aber zeitgleich Zugriff auf beide Geräte haben.

Die Zeiten sind jetzt für absolute Anfänger gedacht.

Bei bintec gibt es nur wenige Assistenten, ich glaube sogar, dass es nur ein Assistent für den Internetzugang gibt (ehrlich gesagt, hab ich diesen noch nie verwendet). Als Laie wird es besonders im VPN-Teil ziemlich unrund laufen, einfach weil viele Einstellungen gemacht werden müssen, mit denen ein Laie nichts anfangen kann. Für erfahrene Personen geht das Ruckzuck, weil klar ist, dass bis auf wenigen Einstellungen alles identisch sein muss.

LANCOM ist im Hintergrund komplex, komplexer als bintec, hat sich aber über die Assistenten darum gekümmert, dass die Geräte für Laien bedienbar werden, während bintec ganz klar das Massenrollout im Vordergrund sieht.

Zu Draytek und LANCOM: Es geht, ich weiß von einem LANCOM-Mitarbeiter der es so laufen hat, aber es ist ja auch schon erwähnt worden, dass man versuchen sollte, die Geräte nicht zu mischen, dem ich zustimmen muss. Ich hab eine produktive LANCOM-bintec-Mischumgebung laufen und teilweise wird die Verbindung, trotz aufgebautem Tunnel, einfach unbrauchbar. Der bintec hält dann einfach eine tote SA fest, die dann händisch gelöscht werden muss.

Zu Cisco: Cisco ist auch nicht schlecht bei komischen Konstrukten. Manchmal muss man da auch von hinten durch die Brust ins Auge. Privat beschäftige ich mich auch mit Cisco und je länger ich mich damit beschäftige, umso unverständlicher sind manche Sachen. Bis heute hab ich keine ordentliche Möglichkeit für ein ISDN-Backup mit VPN gefunden. Selbst ein befreundeter CCIE wusste nicht weiter. Bei Cisco ist VPN oder Direkteinwahl vorgesehen.
Irgendwo hat jeder Router seine Berechtigung. Die einen Router können bestimmte Sachen besser als andere, die einen erledigen Sachen in einem Schritt, die anderen verteilen es auf drei Schritte. Aber den idealen Router, der immer passt, gibt es nicht.
Mitglied: Kalle2013
Kalle2013 07.11.2014 um 21:50:48 Uhr
Goto Top
Die bintec RS353jv hat in der aktuellen Firmware den Assistenten für "Erste Schritte", also die Grundkonfiguration.
Dann gibt es noch die Assistenten "Internetzugang", "VPN" und "VoIP PBX im LAN".
Mitglied: stephan902
stephan902 07.11.2014 um 23:39:30 Uhr
Goto Top
Danke erstmal für eure ausführlichen Antworten.

Also so ein Laie bin ich nun auch wieder nicht.Assistenten brauch ich nicht unbedingt, wobei ich auch schon Interfaces hatte, die so umständlich und unlogisch waren, dass ich daran verzweifelt bin.

Preislich wäre ein Lancom vollkommen in Ordnung, wenn er das Geld wert ist. Zwei sind dann allerdings schon recht teuer.

Wenn also der Draytekt relativ zuverlässig verwendet werden könnte, dann wäre ich schon zufrieden.
Mitglied: keine-ahnung
keine-ahnung 08.11.2014 um 00:01:21 Uhr
Goto Top
Moin nochmal,
wie bekannt: ich bin Laie face-wink. Und ich habe sowohl einen Lancom als auch einen Bintec am Rödel. Ich persönlich empfinde das Bintec-GUI logischer strukturiert als das von Lancom, trotzdem nimmt Dich der Lancom deutlich liebevoller an die Hand. Und da das letztlich Geräte für Kleinstunternehmen sind, die meist keine eigenen ITler beschäftigen, finde ich die Lancom-Philosophie dafür stimmiger. und der Support ist definitiv netter ...

LG, Thomas
Mitglied: stephan902
stephan902 08.11.2014 um 14:17:42 Uhr
Goto Top
Ich habe mich jetzt erstmal für einen Lancom 1781VA entschieden.

VDSL ist zwar hier noch nicht verfügbar, aber der 1781A kostet nur 50€ weniger und ist nutzlos, sollte VDSL doch verfügbar werden (evtl. schon nächstes Jahr).
Mitglied: keine-ahnung
keine-ahnung 08.11.2014 um 18:18:29 Uhr
Goto Top
Da machst Du nix verkehrt ... und der zweite kommt bestimmt bald dazu, wetten face-wink?

LG, Thomas
Mitglied: stephan902
stephan902 09.11.2014 um 01:07:10 Uhr
Goto Top
Hoffentlich nicht. Ich möchte, dass es mit dem Draytek schnell und zuverlässig funktioniert. Ist auch ganz schön kostspielig.
Mitglied: stephan902
stephan902 15.11.2014 aktualisiert um 01:47:19 Uhr
Goto Top
So, der 1781VA ist da. Einrichtung von Internet, etc. hat gut geklappt und ist meiner Meinung nach sogar viel leichter als bei einer Fritzbox. Aber gut, das liegt vlt. daran, dass ich lieber mit Geräten arbeite, die einen nicht einschränken und für doof halten.

Nur mit VPN klappt es noch nicht so ganz. Konfiguriert habe ich den LANCOM exakt nach folgender Anleitung und den Draytek soweit möglich, denn Beim Draytek sieht das Interface doch etwas anders aus:
https://www2.lancom.de/kb.nsf/bf0ed2a4d2a4419ac125721b00471d85/2ab2ad90f ...$FILE/VPN_Draytek-Vigor_LANCOM.pdf
Was mache ich beim Draytek falsch:
http://img5.fotos-hochladen.net/uploads/unbenanntb1rkxh9a35.jpg
?
Bei der Remote IP kommt doch eigentlich nur die statische IP des LANCOM rein und Name ist ja sowieso beliebig?

Stimmt das so mit den Identities?

Local Network ist ja einfach nur die IP Range des lokalen Netzwerks des Drayteks und Remote Netzwork, das des LANCOMs?

Was könnte sonst nicht stimmen?

Hier ist übrigens noch eine Live-Demo eines 2750:
http://www.draytek.com/.upload/Demo/Vigor2750_v1.4.1/
Mitglied: aqui
aqui 17.11.2014 aktualisiert um 04:13:41 Uhr
Goto Top
Bis heute hab ich keine ordentliche Möglichkeit für ein ISDN-Backup mit VPN gefunden. Selbst ein befreundeter CCIE wusste nicht weiter.
Oha...wie peinlich für den CCIE ! Der sollte seine Zertifizierung besser zurückgeben...traurig.
Frag ihn mal was er zum Thema Floating Static Routes gelernt hat bei ISDN Backup und Dial on Demand, dann sollte es ihm dämmern... Hoffentlich !
Aber den idealen Router, der immer passt, gibt es nicht.
Doch, das wäre eben der Cisco. Ohne voreingenommen zu sein aber genau DAS ist die Stärke deren Router, das die eben alles können was andere nur immer in Teilbereichen abdecken.
Mit "komischen Konstrukten" oder wie immer du sowas auch bezeichnest (was soll das denn auch sein..??!) hat das rein gar nix zu tun.
In so fern zeigen deine obigen Äußerungen zu dem Hersteller eher eine relative Unkenntniss der Materie sowohl zum Produkt als auch zur Thematik Router und Routing. Sorry, hart, sind aber die Tatsachen !
Mitglied: stephan902
stephan902 17.11.2014 aktualisiert um 18:11:01 Uhr
Goto Top
Inzwischen steht die VPN Verbindung, allerdings kann ich von der Draytek Seite noch nicht auf die Lancom Seite zugreifen, umgekehrt funktionierts. Woran könnte das liegen?

Dann habe ich noch zwei ganz allgemeine Fragen:
1) Wo kauft man eigentlich das ganze Zeug wie Serverschränke, Patchpanel, Kabel, Switche, Router, USVs, etc.? Wo kaufen IT-Systemhäuser sowas? Mich nervt es sowas immer (vermutlich zu teuer) bei verschiedenen Shops zusammenzubestellen. Ich würde gerne einen festen, günstigen Lieferanten haben.
Was brauche ich min. alles an Ausrüstung, um zumindest kleinere Netzwerke selber verkabeln zu können? Ich meine sowas wie Crimpzange, Auflegewerkzeug, usw...?
2) Wie bilde ich mich fort bzgl. Netzwerk. Wie mache ich möglichst günstig die Cisco Zertifizierungen (die Seminare kosten ja ca. 3k Euro)? Kann ich das ganze irgendwo üben, ohne etwas kaputt machen zu können und tausende Euro für das Equipment auszugeben?
Mitglied: aqui
aqui 18.11.2014 um 11:02:29 Uhr
Goto Top
Woran könnte das liegen?
Vermutlich an der Firewall Einstellung oder das eine Seite NAT im Tunnel macht was du zwingen abschalten musst.

Zu deinen Fragen gibt es im Internet oder bei Dr. Google jede Menge Hilfe was zentrale Lieferanten anbetrifft.
Crimpwerkzeug und Zubehör findest du z.B. hier:
http://www.reichelt.de/Netzwerktechnik/2/index.html?&ACTION=2&L ...
Dort gibt es auch Kabeltester, Schränke usw.
Für dein Fortbildung baust du dir selber ein kleines Testnetz auf. Mit billigen Switches von eBay, Server wie Raspberry_Pi und den Tutorials auf Administrator.de kommst du schon recht weit face-wink
Ob du eine herstellerproprietäre Zertifizierung machen willst musst du dann selber entscheiden.
Mitglied: tikayevent
tikayevent 19.11.2014 aktualisiert um 01:06:29 Uhr
Goto Top
Wenn ich mich recht erinnere, wird die VPN-Verbindung ans jeweilige Interface, also DSL oder ISDN gehängt und nicht an die Routingtabelle. Damit müsste ich ja zwei VPN-Verbindungen konfigurieren, sprich doppelte Konfiguration für den gleichen Zweck und genau das wollte ich nicht. Mit den Floating Static Routes kenn ich es wohl auch, aber wie gesagt, doppelter Konfigurationsaufwand. Was passiert jetzt, wenn auf einmal DSL und ISDN oben sind, dann könnte es passieren, dass auch beide Tunnel oben sind, sich gegenseitig rausschmeißen und eine Kommunikation behindern.

Doch, das wäre eben der Cisco. Ohne voreingenommen zu sein aber genau DAS ist die Stärke deren Router, das die eben alles können was andere nur immer in Teilbereichen abdecken.
Eine Sache, die ich auf Cisco-Routern noch immer vermisse, ist ein Captive Portal. Die WLCs können es, aber die Router nicht. Bei LANCOM und bintec ist es nur eine Lizenz, die nachgeschoben werden muss.

Mir ist bekannt, das Cisco viel kann, universell und flexibel ist, dies geht aber zu Lasten der Bedienbarkeit. Cisco ist aufgrund der hinterherhinkenden Telco-Technik in Amiland mehr gefragt als hier. Analoge Standardfestverbindungen sind schon lange tot, ISDN kommt demnächst hinterher. E1 als reine Datenverbindung hat auch nur noch Bestandsschutz. Oder wann hast du das letzte mal eine neue Frame Relay-Verbindung in Betrieb genommen?

Und durch die Erfahrungen eines befreundeten Unternehmens ist Cisco für uns eh tot. Antwort des Vertrieblers für eine Projektanfrage mit 2500 Routern "Gehen Sie auf unsere Seite, da haben wir die und die Reihe, die können das gleiche, suchen Sie sich was aus". Bis heute ist da bintec im Einsatz.

Zu den komischen Konstrukten zähle ich z.B. die Arbeit mit GRE over IPSec, was im Cisco-Bereich ja gerne getätigt wird. Ich arbeite mit Plain-IPSec und sehe daher keinen Vorteil, da nochmal mit GRE weiteren Overhead zu produzieren. Ich lass mich da aber gerne belehren.

Das Draytek mit LANCOM nicht reden darf, könnte daran liegen, dass die VPN-Regeln nicht stimmen. Wenn du mal mit dem LANmonitor auf den LANCOM gehst, wirst du vermutlich einen Fehler auf der IPSec-Verbindung sehen, der irgendwas mit unbekannten IDs als Beschreibung enthält. Da scheint der Draytek dann einfach eine Netzbeziehung aufzubauen, die der LANCOM aufgrund der Regelgebung nicht akzeptiert. Da am besten einfach mal einen VPN-Status-Trace mit dem LANtracer machen, da siehst du dann, wo es genau wehtut.
Mitglied: aqui
aqui 19.11.2014 aktualisiert um 17:42:19 Uhr
Goto Top
Ich arbeite mit Plain-IPSec und sehe daher keinen Vorteil, da nochmal mit GRE weiteren Overhead zu produzieren. Ich lass mich da aber gerne belehren.
Da hast du Recht ! Fairerweise muss man aber sagen das das nur früher so war mit älteren IOS Versionen und älterer HW. Aktuelle Produkte supporten alle auch plain IPsec.